Tutorial: Integração do Microsoft Entra ID com o Oracle HCM
A API de Provisionamento de Entrada é um recurso que permite criar, atualizar e excluir usuários no Microsoft Entra ID e no Active Directory local a partir de uma fonte externa, como o Oracle Human Capital Management (HCM). Esse recurso permite que as organizações aumentem a produtividade, reforcem a segurança e atendam mais facilmente aos requisitos de regulamentação e de conformidade.
Você pode usar o Microsoft Entra ID Governance para garantir automaticamente que as pessoas certas tenham o acesso certo aos recursos certos. Esse acesso inclui a automação de processos de identidade e acesso, delegação a grupos de negócios e maior visibilidade.
Neste tutorial, orientamos você nas etapas e melhores práticas para integrar o Oracle HCM com o Microsoft Entra ID por meio de provisionamento controlado por API. Você aprenderá a:
- Preparar seu ambiente e definir as configurações de API
- Exportar os dados de seus funcionários do Oracle HCM no formato CSV e transformá-los no formato SCIM (Sistema para Gerenciamento de Identidade entre Domínios) usando scripts da Microsoft
- Envie os dados de seus funcionários para a API de provisionamento de entrada usando o PowerShell ou os Aplicativos Lógicos
- Realizar sincronizações delta para manter os dados de seus funcionários atualizados usando APIs de feed do Oracle ATOM ou HCM Extracts
- Configurar o write-back (se necessário) do Microsoft Entra ID para o Oracle HCM usando as APIs SCIM do Oracle HCM
Terminologia
Oracle HCM Fusion Cloud (oracle.com): Esse guia se concentra especificamente em como fazer a integração do Oracle HCM Fusion Cloud com o Microsoft Entra ID. Outras ofertas da Oracle, como PeopleSoft e Taleo, não fazem parte do escopo deste tutorial.
Licenciamento:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3: Essas licenças permitem que você use nosso novo recurso de provisionamento controlado por API.
Licença do Microsoft Entra ID Governance: Essa licença complementar é necessária para configurar os fluxos de trabalho do ciclo de vida.
Assinatura do Azure: Essa assinatura é necessária se você planeja usar os Aplicativos Lógicos do Azure.
Pré-requisitos
Antes de iniciar a integração do Oracle HCM com o Microsoft Entra ID usando a API de Provisionamento de Entrada, é necessário garantir que você tenha os seguintes pré-requisitos:
Uma conta do Oracle HCM (oracle.com) com privilégios para:
- Exibir e exportar dados do HCM.
- Acessar as APIs REST do Oracle HCM. Para este tutorial, fizemos referência ao Human Resources 24A (oracle.com). e Applications Common 24A (oracle.com).
Um locatário do Microsoft Entra ID com uma licença mínima P1 (ou EMS E3 / Microsoft 365 E3):
Para instalar o agente de provisionamento (somente usuários híbridos), você precisará de acesso ao servidor Microsoft Windows conectado ao seu domínio do AD.
Para criar um aplicativo de galeria e um trabalho de provisionamento, você precisará do Microsoft Entra com funções de Administrador de Aplicativos e Administrador de Identidade Híbrida.
Visão geral da integração
Há três cenários principais de sincronização que você pode usar para configurar uma integração de RH. O diagrama nesta seção ilustra esses cenários de sincronização. Este guia está dividido e organizado em três seções. Para cada fluxo de trabalho, fornecemos uma recomendação sobre como configurá-lo.
Sincronização inicial/completa é o processo de sincronização de todos os dados de seus funcionários entre dois sistemas, neste caso: Oracle HCM e Microsoft Entra ID diretamente ou para o Active Directory local (AD local). Esse processo inclui todas as identidades e atributos dos funcionários, como informações pessoais, informações de contato, informações de emprego e muito mais. Normalmente, uma sincronização completa é realizada durante a configuração inicial da integração para garantir que todos os dados de seus funcionários estejam consistentes e atualizados em ambos os sistemas.
Sincronização delta é o processo de sincronização apenas das alterações ou atualizações ocorridas desde a última sincronização com o Oracle HCM. Normalmente, as sincronizações delta são realizadas após a sincronização completa inicial para manter os dados de seus funcionários atualizados com quaisquer alterações que ocorram no sistema de origem. Esse processo inclui novos funcionários, dados atualizados de funcionários ou funcionários excluídos. As sincronizações delta são atualizações incrementais e são mais rápidas e eficientes do que realizar uma sincronização completa sempre que os dados de seus funcionários forem alterados.
Write-back é o processo opcional de envio de alterações de atributos de usuários que ocorrem no Microsoft Entra ID (como nome de usuário, email e números de telefone) de volta ao Oracle HCM.
Etapas de integração
| # | Step | O que fazer | Quem envolver |
|---|---|---|---|
| 1. | Determinar qual conjunto de atributos você deseja provisionar a partir do HCM | • Consultar esta lista de atributos do HCM e determinar quais atributos você deseja exportar para o Microsoft Entra ID • Mapear atributos do Oracle HCM para atributos do SCIM • Definir as regras de geração e transformação de IDs exclusivas |
Administrador do Oracle HCM e Administrador de TI |
| 2. | Conceder permissões à API de provisionamento de entrada | Criar um aplicativo para representar seu cliente de API e conceder a ele permissões para enviar dados para o ponto de extremidade de provisionamento de entrada | Administrador de TI – Administrador de Funções com Privilégios |
| 3. | Determinar seu destino de provisionamento: Você está provisionando identidades somente na nuvem para o Microsoft Entra ID ou identidades híbridas para o AD local? | Se seu destino for o Microsoft Entra ID (provisionamento de identidade somente na nuvem): • Configurar o aplicativo da galeria • Mapear o SCIM para os atributos do Microsoft Entra Se o seu destino for o AD local (provisionamento de identidade híbrida): • Baixar e configurar o agente de provisionamento • Configurar o aplicativo da galeria • Mapear os atributos do SCIM para o Active Directory local • Atualizar o Microsoft Entra Connect Sync e os mapeamentos de sincronização na nuvem para que os novos atributos de RH fluam para o Entra ID |
Para a instalação do agente de provisionamento, envolva o administrador do Windows Para a configuração do aplicativo da galeria, envolva o administrador com privilégios de Administrador de Aplicativos |
| 4. | Realize a sincronização inicial para enviar o escopo completo dos dados para o ponto de extremidade de provisionamento | • Preparar para a sincronização inicial • Realizar a exportação do CSV e enviar dados para a API • Validar se os funcionários certos foram combinados e estão presentes no Microsoft Entra / AD |
Administrador de TI |
| 5. | Realizar sincronizações delta para manter os dados do Microsoft Entra ID atualizados | Use um destes métodos: • Usar extratos CSV • Usar APIs do Atom Feed |
Administrador de TI |
| 6. | Write-back de dados de retorno no Oracle HCM | • Configurar e executar o trabalho de provisionamento de write-back | Administrador de TI |
| 7. | Recomendado: Configurar os fluxos de trabalho do ciclo de vida do Microsoft Entra | • Automatizar seus processos de Ingresso, Migração e Saída utilizando o Microsoft Entra • É necessária uma licença de governança |
Administrador de TI |
Configurar o aplicativo da galeria
Antes de configurar o trabalho de provisionamento no Microsoft Entra, você precisa determinar se o destino do provisionamento é o AD local ou o Microsoft Entra ID. Se desejar ter usuários híbridos com uma dependência local, o AD se tornará seu destino. Se os seus usuários forem apenas de nuvem, você poderá provisioná-los diretamente no Microsoft Entra ID.
Para usuários somente na nuvem
Crie e configure o aplicativo de galeria Provisionamento controlado por API para o Microsoft Entra ID seguindo estas etapas:
Crie o aplicativo de galeria e, em seguida, nomeie o aplicativo Provisionamento do Oracle HCM Cloud para o Entra ID.
Para usuários híbridos
Trabalhe com o administrador do Windows para instalar o agente de provisionamento em um servidor Windows associado a um domínio e, em seguida, siga estas etapas:
Crie o aplicativo de galeria e, em seguida, nomeie o aplicativo Oracle HCM Cloud para o Active Directory local.
Preparação para a sincronização inicial
Antes de enviar sua conteúdo de sincronização inicial, você precisa ter certeza de que seus dados estão preparados para sincronizar adequadamente com o Microsoft Entra. As etapas a seguir ajudam a garantir uma integração tranquila.
Identificador correspondente presença e exclusividade: O serviço de provisionamento usa um atributo de correspondência para identificar e vincular exclusivamente os registros de funcionários no seu sistema Oracle com as contas de usuário correspondentes no AD/Microsoft Entra ID. O par de atributos de correspondência padrão é o Número da Pessoa no Oracle HCM mapeado para o atributo ID do funcionário no Microsoft Entra ID / AD local. Certifique-se de que o valor da ID do funcionário seja preenchido no Microsoft Entra ID (para usuários somente na nuvem) e no AD local (para usuários híbridos) antes de iniciar a sincronização completa, pois ele identifica os usuários de forma exclusiva.
Use filtros de escopo para ignorar registros de RH que não são mais relevantes: os sistemas de RH têm vários anos de dados de emprego provavelmente voltando até a década de 1970. Por outro lado, a sua equipe de TI pode estar interessada apenas na lista de funcionários ativos no momento e nos registros de rescisão que serão disponibilizados após a ativação. Para filtrar os registros de RH que não são mais relevantes do ponto de vista da equipe de TI, identifique as regras de filtros de escopo que podem ser configuradas no Microsoft Entra.
Exportação do CSV para sincronização inicial
Nesta etapa, você exportará os dados de seus funcionários do Oracle HCM no formato CSV e os transformará no formato SCIM usando os scripts do Microsoft CSV para SCIM. Essa etapa permite que você envie os dados de seus funcionários para a API de provisionamento de entrada em um conteúdo baseado em padrões que ele possa entender e processar.
Compartilhe a lista de atributos dos funcionários do Oracle HCM que deseja exportar com o administrador do Oracle HCM. Para exportar seus dados de seus funcionários do Oracle HCM em formato CSV, o Oracle oferece várias opções.
Ferramenta HCM Extract: A principal maneira de recuperar dados em massa do Oracle HCM Cloud é usar o HCM Extracts, uma ferramenta para gerar arquivos de dados e relatórios. O HCM Extracts tem uma interface dedicada para especificar os registros e atributos a serem extraídos. Com essa ferramenta, você pode:
- Identificar registros para extração usando critérios de seleção complexos
- Definir elementos de dados em uma extração do HCM usando regras e itens de banco de dados de fórmula rápida
Observação
Para começar a criar Extrações HCM, consulte Definir Extrações (oracle.com).
Oracle BI Publisher: Dá suporte a relatórios agendados e não planejados, com base em estruturas de análise predefinidas do Oracle Transactional Business Intelligence ou em seus próprios modelos de dados. Você pode gerar relatórios em vários formatos. Para usar o Oracle BI Publisher para integrações de saída, gere relatórios em um formato adequado para o processamento automático de downstream, como XML ou CSV. Para começar a criar seu relatório do BI Publisher, consulte Definir o Modelo do BI Publisher no HCM Extracts (oracle.com).
Serviço Oracle Integration Cloud (OIC): Se você tiver uma assinatura do OIC, poderá configurar a integração com o Oracle HCM Adapter (oracle.com) para extrair os dados necessários do Oracle HCM. A Oracle fornece um guia (oracle.com) que você pode usar para começar.
Observação
Trabalhe com seu administrador do Oracle HCM para exportar os atributos necessários para um arquivo CSV.
Depois de exportar os dados de seus funcionários para um arquivo CSV, você precisa transformar o CSV para o formato SCIM para que o conteúdo esteja em um formato que possamos aceitar. Fornecemos documentação e código de exemplo sobre como transformar seu CSV em um conteúdo SCIM por meio de dois métodos: PowerShell e Aplicativos Lógicos do Azure.
Aqui estão os links para realizar essa transformação com cada método:
PowerShell: Provisionamento de entrada controlado por API com um script do PowerShell
Aplicativos Lógicos do Azure: Provisionamento de entrada controlado por API com os Aplicativos Lógicos do Azure
O processo de provisionamento de entrada inclui o envio do conteúdo de provisionamento. Antes de enviar o conteúdo, certifique-se de selecionar Iniciar provisionamento no centro de administração do Microsoft Entra para garantir que o trabalho de provisionamento esteja escutando novas solicitações. Antes de enviar o arquivo completo para processamento, envie de 5 a 10 registros para validar a correspondência correta de funcionários e atributos. Depois que o conteúdo for enviado, os usuários aparecerão brevemente no seu locatário do Microsoft Entra / AD local.
Sincronizações Delta
Depois de enviar os dados de seus funcionários para a API de provisionamento de entrada para a sincronização inicial, você precisa executar sincronizações delta para manter os dados de seus funcionários atualizados. As sincronizações delta são atualizações incrementais que enviam apenas as alterações ocorridas desde a última sincronização, como novos funcionários, funcionários atualizados ou funcionários excluídos.
Para executar sincronizações delta, você tem três opções:
Opção 1: Usar as APIs de feed do Oracle ATOM para obter notificações em tempo real de alterações de funcionários no Oracle HCM e enviá-las para a API de provisionamento de entrada.
Opção 2: Usar Extrações CSV para gerar relatórios periódicos de alterações de funcionários no Oracle HCM e enviar as extrações para a API de provisionamento de entrada usando sua própria ferramenta de automação ou Aplicativos Lógicos.
Opção 3: Usar o Oracle Integration Cloud Service (oracle.com). Se você tiver uma assinatura do OIC, poderá configurar a integração com o Oracle HCM Adapter (oracle.com) para extrair os dados necessários do Oracle HCM. A Oracle fornece um guia (oracle.com) que você pode usar para começar.
Opção 1: Usar as APIs de feed do Oracle ATOM
As APIs de feed do Oracle ATOM fornecem notificações em tempo real sobre alterações de funcionários no Oracle HCM. Você pode assinar as APIs do feed ATOM e receber uma representação JSON dos atributos que contêm os dados de seus funcionários que foram alterados. Em seguida, você pode transformar o JSON no formato SCIM e enviá-lo para a API de provisionamento de entrada usando nosso exemplo de script do PowerShell ou integração de Aplicativos Lógicos.
Se você pretende usar a integração de feeds ATOM, certifique-se de ativar os feeds ATOM imediatamente após a sincronização inicial. Um atraso nessa etapa pode levar à perda de alterações.
Para começar a usar os feeds ATOM da Oracle, consulte a Documentação da Oracle (oracle.com) e o tutorial (oracle.com). Recomendamos assinar o workspace de Funcionários (oracle.com) e aplicar estas coleções de Atom Feed: newhire, empassignment, empupdate, termination, cancelworkrelship e workrelshipupdate.
Depois de configurar os feeds ATOM em seu locatário HCM, você precisará criar um módulo personalizado que faça a leitura da saída da API do feed ATOM e envie os dados para o Microsoft Entra ID em um formato de conteúdo SCIM usando a API de provisionamento de entrada.
A lógica no módulo personalizado é responsável por lidar com os seguintes cenários:
- Validação de dados
- Geração de ID exclusiva
- Sequenciamento de feeds ATOM
- Conversão de feeds ATOM em conteúdos SCIM
- Tratamento de erros
Recomendamos usar um parceiro Oracle HCM ou um integrador de sistemas da Microsoft para criar esse módulo personalizado. Você pode hospedar esse módulo personalizado em um middleware da Oracle, como o Oracle Integration Cloud, ou na nuvem do Azure como uma função do Azure, Aplicativos Lógicos do Azure ou pipeline do Azure Data Factory.
Implementar o cenário de Junção
Os cenários de Junção tratam especificamente do processo de integração de novas contratações. Os feeds ATOM do Oracle HCM retornam dados para os ingressados, conforme documentado aqui: Integração do Fusion Cloud HCM com Sistemas de Gerenciamento de Direitos Externos (oracle.com).
Leia os dados do feed ATOM de novos contratados e implemente a lógica em seu módulo personalizado para garantir que os seguintes elementos de dados estejam presentes no conteúdo do SCIM: dados pessoais, dados de contato, informações de emprego e informações de trabalho.
Se necessário, após obter o feed ATOM para cenários de junção, consulte os pontos de extremidade de Trabalhadores ou Funcionários para recuperar atributos adicionais do trabalhador.
Para disparar os fluxos de trabalho do ciclo de vida do Microsoft Entra para novas contratações, certifique-se de incluir o atributo SCIM personalizado para a data de contratação do funcionário: urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate.
Use o campo EffectiveStartDate do Oracle HCM para definir o valor da data de contratação. Consulte o exemplo de conteúdo SCIM.
Implementar Cenário de Migração
Os cenários de Migração são disparados no Oracle HCM quando um trabalhador é convertido de tempo integral para terceirizado ou vice-versa, quando ocorre uma alteração na atribuição, quando ocorre uma alteração na relação de trabalho, quando há uma transferência ou quando há uma promoção. Os feeds ATOM do Oracle HCM retornam dados para os migradores, conforme documentado aqui: Integração do Fusion Cloud HCM com Sistemas de Gerenciamento de Direitos Externos (oracle.com).
Certifique-se de buscar os novos valores dos atributos que foram alterados no Oracle HCM. Esses valores geralmente podem ser obtidos na seção Atributos Alterados da resposta do feed ATOM. Se necessário, consulte os pontos de extremidade de Trabalhadores ou Funcionários diretamente para recuperar atributos adicionais do trabalhador.
Use os dados recuperados para construir um conteúdo SCIM. Consulte o exemplo de conteúdo SCIM.
Implementar o Cenário de Saída
Os cenários de saída ocorrem quando o emprego de um funcionário na organização é encerrado, voluntária ou involuntariamente. Os feeds do Oracle HCM ATOM retornam dados para os desligamentos, conforme documentado aqui: Integração do Fusion Cloud HCM com Sistemas de Gerenciamento de Direitos Externos (oracle.com). Leia os dados do feed ATOM e construa o conteúdo do SCIM.
Para disparar Fluxos de Trabalho do Ciclo de Vida para os trabalhos que estão saindo, certifique-se de incluir o atributo SCIM personalizado para a data de saída do funcionário: urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
Use o campo EffectiveDate do Oracle HCM para definir o valor da data de desligamento. Consulte o exemplo de conteúdo SCIM.
Exemplo de carga SCIM
Transforme os conteúdos JSON associados aos cenários Ingresso, Migração e Saída para criar uma conteúdo SCIM a ser enviada ao ponto de extremidade de provisionamento controlado por API da Microsoft.
Aqui está um exemplo genérico de como os atributos do Oracle HCM poderiam ser mapeados para atributos na conteúdo SCIM com base na planilha do Oracle HCM para SCIM:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
Depois de formatar a Solicitação em massa SCIM, você pode enviar os dados para o bulkUpload via provisionamento controlado por API.
Antes de ativar a integração, execute testes e verificações manuais para validar a estrutura de conteúdo da solicitação em massa SCIM. Você pode usar ferramentas como cURL ou Explorador do Graph para confirmar que os conteúdos de solicitação em massa foram processados conforme o esperado.
Observação
Se não quiser envolver um parceiro ou criar seu próprio módulo personalizado, recomendamos usar a ferramenta HCM Extract descrita na próxima seção.
Opção 2: Usar extrações CSV
Semelhante ao método usado na sincronização inicial, você também pode usar extrações CSV para lidar com as sincronizações delta. Você pode configurar sua extração para executar somente as novas alterações da sincronização anterior. Ou pode enviar o escopo completo dos dados de seus funcionários e o Serviço de Provisionamento do Microsoft Entra ID gerencia e atualiza todas as alterações, como novas contratações, alterações de atributos e rescisões.
Semelhante à sincronização inicial, você também pode usar várias opções para obter a extração CSV:
Ferramenta HCM Extract: A principal maneira de recuperar dados em massa do Oracle HCM Cloud é usar o HCM Extracts, uma ferramenta para gerar arquivos de dados e relatórios. O HCM Extracts tem uma interface dedicada para especificar os registros e atributos a serem extraídos. Com essa ferramenta, você pode:
Identificar registros para extração usando critérios de seleção complexos.
Definir elementos de dados em uma extração do HCM usando regras e itens de banco de dados de fórmula rápida.
Observação
Para começar a criar suas Extrações HCM, consulte Definir Extrações (oracle.com).
Oracle BI Publisher: O Oracle BI Publisher dá suporte para relatórios agendados e não planejados, com base em estruturas de análise predefinidas do Oracle Transactional Business Intelligence ou em seus próprios modelos de dados. Você pode gerar relatórios em vários formatos. Para usar o Oracle BI Publisher para integrações de saída, gere relatórios em um formato adequado para o processamento automático de downstream, como XML ou CSV. Para começar a criar seu relatório do BI Publisher, consulte Definir o Modelo do BI Publisher no HCM Extracts (oracle.com).
Serviço Oracle Integration Cloud (OIC): Se você tiver uma assinatura do OIC, poderá configurar a integração com o Oracle HCM Adapter (oracle.com) para extrair os dados necessários do Oracle HCM. A Oracle fornece um guia (oracle.com) que você pode usar para começar.
Quando tiver os dados de seus funcionários no formato CSV, use um dos dois métodos a seguir para convertê-los em uma conteúdo SCIM e enviar os dados para o nosso serviço de provisionamento.
PowerShell: Provisionamento de entrada controlado por API com um script do PowerShell
Aplicativos Lógicos: Provisionamento de entrada controlado por API com Aplicativos Lógicos do Azure
Write-back do Microsoft Entra ID para o Oracle HCM
Depois de sincronizar os dados de seus funcionários do Oracle HCM usando a API de provisionamento de entrada, você pode querer configurar o write-back do Microsoft Entra Provisioning Service para o Oracle HCM. Write-back é o processo de envio de alterações de usuários que ocorrem no Microsoft Entra ID de volta ao Oracle HCM, como nome de usuário, email e números de telefone. Esse processo garante que seus dados sejam consistentes e precisos em ambos os sistemas.
Para configurar o write-back, você precisará usar as APIs SCIM do Oracle HCM (oracle.com). Essas APIs são serviço Web RESTful que permitem criar, atualizar e excluir usuários no Oracle HCM a partir de uma fonte externa, como o Microsoft Entra. Você pode usar o Serviço de Provisionamento do Microsoft Entra para conectar o Microsoft Entra às APIs SCIM do Oracle HCM e mapear os atributos de usuário para o write-back.
Para configurar o write-back, você precisará configurar um trabalho de provisionamento de saída para o locatário do Oracle HCM. Para configurar o write-back, você precisará das seguintes informações:
URL do servidor REST, que normalmente é a URL do seu Oracle Cloud Service. Deve ser algo parecido com isto: https://servername.fa.us2.oraclecloud.com.
Token do Segredo do ambiente HCM que fornece ao seu locatário HCM acesso a outros sistemas, como o Microsoft Entra.
- Crie um token OAUTH no HCM e salve-o para uso nas etapas a seguir. Você pode criar um token OAUTH indo para a etapa quatro no seguinte guia (oracle.com).
Depois de ter a URL do servidor REST e o token do segredo, siga as etapas aqui para configurar o trabalho de write-back no Microsoft Entra:
Criar um aplicativo Empresarial.
Selecione a opção Provisionamento e alterne o modo para Automático.
Insira a URL do ponto de extremidade do locatário do Oracle HCM e o token de autenticação nos campos URL do servidor REST e Token do segredo.
Teste a conexão e salve as configurações.
Volte à página Visão geral do provisionamento deste aplicativo e selecione Editar provisionamento. Clique na seta abaixo de mapeamentos e selecione o link do esquema de mapeamento.
Na seção Mapeamento de Atributo, selecione apenas a operação Atualizar em Ações do objeto de destino.
Você verá que os atributos HCM são automaticamente preenchidos na seção Mapeamento de Atributos. Remova apenas os atributos para os quais você não deseja fazer write-back de dados.
Salve as configurações e, em seguida, ative o status de provisionamento.
Use o recurso Provisionamento sob Demanda do Microsoft Entra para testar e validar a integração do write-back.
Depois de validar o fluxo de trabalho, inicie o trabalho e mantenha-o em execução para que o Microsoft Entra sincronize continuamente os dados de volta ao Oracle HCM.
Apêndice
Planilha 1: Atributos do Oracle HCM
A tabela nesta seção representa os atributos que podem ser exportados do Oracle HCM. Os nomes desses atributos podem ser diferentes em seu sistema HCM, mas essa lista representa uma lista comum de atributos em uma integração de RH. Determine quais atributos você deseja exportar para sua integração.
| Atributo do Oracle HCM (do arquivo CSV) | Necessário ou obrigatório |
|---|---|
| Número da Pessoa | Obrigatório |
| Status da Conta | Obrigatório -> defina o valor como Verdadeiro funcionários que não rescindiram o contrato |
| Endereço | |
| City | |
| State | |
| Código postal | |
| País/região | |
| Nome do Departamento | |
| Divisão | |
| Empresa | |
| Nome de Usuário | |
| Nome | Obrigatório |
| Sobrenome | Obrigatório |
| Código do Trabalho | |
| Nome do Trabalho | |
| Endereço de Email | |
| Gerente | |
| Número de Telefone Celular | |
| Número de telefone | |
| Endereço do Trabalho | |
| Número de telefone | |
| Hire Date | Exigido pelos Fluxos de Trabalho do Ciclo de Vida |
| Data de Rescisão | Exigido pelos Fluxos de Trabalho do Ciclo de Vida |
Observação
Incluímos linhas em branco na planilha acima, para que você possa adicionar outros atributos que não estejam nessa lista para inclusão em seu trabalho de provisionamento.
Planilha 2: Mapeamento de atributos do Oracle HCM para o SCIM
A tabela nesta seção exibe um exemplo de mapeamento dos atributos do Oracle HCM para os atributos genéricos do SCIM com suporte pela API.
| Atributo do Oracle HCM (do arquivo CSV) | Atributo SCIM |
|---|---|
| Número da Pessoa | ExternalId |
| Status da Conta | Ativa |
| Endereço | addresses[type eq "work"].streetAddress |
| City | addresses[type eq "work"].locality |
| Estado | addresses[type eq "work"].region |
| Código postal | addresses[type eq "work"].postalCode |
| País/região | addresses[type eq "work"].country |
| Nome do Departamento | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| Divisão | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| Empresa | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| Nome de Usuário | displayName |
| Nome | name.givenName |
| Sobrenome | name.familyName |
| Código do Trabalho | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| Nome do Trabalho | title |
| Endereço de Email | emails[type eq "work"].value |
| Gerente | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| Número de Telefone Celular | phoneNumbers[type eq "mobile"].value |
| Número de telefone | phoneNumbers[type eq "work"].value |
| Endereço do Trabalho | addresses[type eq "work"].formatted |
| Hire Date | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| Data de Rescisão | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
Planilha 3: Definir regras de geração e transformação de IDs exclusivas
A tabela nesta seção descreve determinados atributos que exigem geração exclusiva ou regras de transformação específicas. Isso inclui três atributos comumente usados que têm regras adicionais para definir seu valor. Consulte os links para preencher esses atributos corretamente.
| Atributo | Como definir o valor do atributo |
|---|---|
| userPrincipalName (obrigatório) | Planejar o provisionamento de usuário do aplicativo de RH na nuvem para o Microsoft Entra |
| SamAccountName (somente no AD local) | Planejar o provisionamento de usuário do aplicativo de RH na nuvem para o Microsoft Entra |
| parentDistinguishedName (somente no AD local) | Planejar o provisionamento de usuário do aplicativo de RH na nuvem para o Microsoft Entra |
Planilha 4: Mapeamento dos atributos SCIM no AD local
A tabela nesta seção representa o conjunto de atributos locais que o Active Directory dá suporte. Mapeie seus atributos SCIM para os atributos nesta tabela se seu destino de provisionamento for o Active Directory.
| Atributo SCIM | Atributo do AD no local |
|---|---|
| ExternalId | employeeID |
| Ativa | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | company |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | title |
| emails[type eq "work"].value | <Gerado pelo AD> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | Serviço Móvel |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
Observação
Se estiver definindo atributos de extensão do esquema SCIM que não têm um atributo correspondente no AD local, você pode mapeá-los para extensionAttributes 1-15 ou estender o esquema do AD para adicionar uma nova classe de objeto auxiliar com os atributos necessários.
Planilha 5: Mapeamento de IDs do AD local para o Microsoft Entra
Depois de ter suas identidades sincronizadas com o AD local, você pode enviá-las para o Microsoft Entra ID por meio da sincronização na nuvem ou do Microsoft Entra ID Connect. Consulte a documentação vinculada para saber como usar essas ferramentas.
A tabela nesta seção é um exemplo de mapeamento de atributos dos atributos do AD incluídos na Planilha 4 para os atributos do Microsoft Entra.
Observação
O atributo personalizado extensionAttribute1 é o código de trabalho do funcionário. Na tabela anterior, ele foi mapeado para extensionAttribute1 do AD. Mas aqui estamos mapeando-o para extensionAttribute1 do Microsoft Entra, porque não há atributo correspondente no Microsoft Entra. Os atributos extensionAttribute2 e extensionAttribute3 (data de contratação e data de rescisão) são mapeados adequadamente.
| Atributo do AD no local | Atributo Microsoft Entra |
|---|---|
| streetAddress | streetAddress |
| l | cidade |
| st | estado |
| postalCode | postalCode |
| co | country |
| department | department |
| division | EmployeeOrgData.division |
| company | companyName |
| cn | displayName |
| givenName | givenName |
| sn | sobrenome |
| extensionAttribute1 | extensionAttribute1 |
| title | jobTitle |
| <Gerado pelo AD> | |
| manager | manager |
| Serviço Móvel | Serviço Móvel |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
Planilha 6: Atributo SCIM para o mapeamento de atributos do Microsoft Entra
A tabela nesta seção representa o conjunto de atributos que o Microsoft Entra ID dá suporte. Mapeie seus atributos SCIM para os atributos dessa tabela se seu destino de provisionamento for o Microsoft Entra ID. Para adicionar atributos SCIM personalizados ao seu aplicativo de galeria, consulte Estender o provisionamento controlado por API para sincronizar atributos personalizados.
| Atributo SCIM | Atributo Microsoft Entra |
|---|---|
| ExternalId | employeeId |
| Ativa | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | cidade |
| addresses[type eq "work"].region | estado |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | country |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | sobrenome |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | Serviço Móvel |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
Confirmações
Agradecemos aos seguintes parceiros por sua ajuda na revisão e contribuição para esse tutorial:
- Michael Starkweather, Diretor da PwC
- Rob Allen, Diretor de Arquitetura e Tecnologia da ActiveIdM
- Ray Nalette, Gerente Técnico de Entrega na ActiveIdM
- Randy Robb, Consultor Principal no Oxford Computer Group
- Frank Urena, Arquiteto Principal no Oxford Computer Group
- Nick Herbert, Vice-Presidente de Vendas no Oxford Computer Group
- Steve Brugger, CEO no Oxford Computer Group