Tutorial: Integração do Microsoft Entra ID com o Oracle HCM
A API de provisionamento de entrada é um recurso que permite criar, atualizar e excluir usuários no Microsoft Entra ID e no Ative Directory local de uma fonte externa, como o Oracle Human Capital Management (HCM). Esse recurso permite que as organizações melhorem a produtividade, fortaleçam a segurança e atendam mais facilmente aos requisitos normativos e de conformidade.
Você pode usar o Microsoft Entra ID Governance para garantir automaticamente que as pessoas certas tenham o acesso certo aos recursos certos. Esse acesso inclui automação de processos de identidade e acesso, delegação a grupos de negócios e maior visibilidade.
Neste tutorial, orientamos você pelas etapas e práticas recomendadas para integrar o Oracle HCM ao Microsoft Entra ID por meio do provisionamento controlado por API. Saberá como:
- Prepare seu ambiente e defina as configurações da API
- Exporte seus dados de trabalho do Oracle HCM no formato CSV e transforme-os no sistema para o formato SCIM (cross-domain identity management) usando scripts da Microsoft
- Envie seus dados de trabalho para a API de provisionamento de entrada usando o PowerShell ou aplicativos lógicos
- Execute sincronizações delta para manter os dados do trabalhador atualizados usando APIs de feed Oracle ATOM ou extrações HCM
- Configure write-back (se necessário) do ID do Microsoft Entra para o Oracle HCM usando as APIs do Oracle HCM SCIM
Terminologia
Oracle HCM Fusion Cloud (oracle.com): Este guia se concentra especificamente em como integrar o Oracle HCM Fusion Cloud ao Microsoft Entra ID. Outras ofertas da Oracle, como PeopleSoft e Taleo, não estão no escopo deste tutorial.
Licenciamento:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3: Estas licenças permitem-lhe utilizar a nossa nova funcionalidade de aprovisionamento orientada por API.
Licença de Governança do Microsoft Entra ID: esta licença de complemento é necessária para configurar fluxos de trabalho do ciclo de vida.
Subscrição do Azure: esta subscrição é necessária se planeia utilizar as Aplicações Lógicas do Azure.
Pré-requisitos
Antes de começar a integrar o Oracle HCM com o Microsoft Entra ID usando a API de provisionamento de entrada, você precisa garantir que tenha os seguintes pré-requisitos:
Uma conta Oracle HCM (oracle.com) com privilégios para:
- Visualize e exporte dados HCM.
- Acesse as APIs REST do Oracle HCM. Para este tutorial, fizemos referência a Recursos Humanos 24A (oracle.com). e Aplicações Comuns 24A (oracle.com).
Um locatário do Microsoft Entra ID com uma licença P1 mínima (ou EMS E3 / Microsoft 365 E3):
Para instalar o agente de provisionamento (somente usuários híbridos), você precisará acessar o servidor Microsoft Windows conectado ao seu Domínio do AD.
Para criar um aplicativo de galeria e um trabalho de provisionamento, você precisará do Microsoft Entra com as funções de Administrador de Aplicativos e Administrador de Identidade Híbrida .
Visão geral da integração
Há três cenários principais de sincronização que você pode usar para configurar uma integração de RH. O diagrama nesta seção ilustra esses cenários de sincronização. Este guia está dividido e organizado em três seções. Para cada fluxo de trabalho, fornecemos uma recomendação sobre como configurá-lo.
A sincronização inicial/completa é o processo de sincronização de todos os dados do trabalhador entre dois sistemas, neste caso: Oracle HCM e Microsoft Entra ID diretamente ou para o Ative Directory local (AD local). Esse processo inclui todas as identidades e atributos do trabalhador, como informações pessoais, informações de contato, informações de emprego e muito mais. Uma sincronização completa geralmente é executada durante a configuração inicial da integração para garantir que todos os dados do trabalhador sejam consistentes e atualizados em ambos os sistemas.
A sincronização delta é o processo de sincronizar apenas as alterações ou atualizações que ocorreram desde a última sincronização com o Oracle HCM. As sincronizações delta geralmente são realizadas após a sincronização completa inicial para manter os dados do trabalhador atualizados com quaisquer alterações que ocorram no sistema de origem. Esse processo inclui novos funcionários, dados atualizados de funcionários ou funcionários excluídos. As sincronizações delta são atualizações incrementais e são mais rápidas e eficientes do que executar uma sincronização completa sempre que os dados do trabalhador são alterados.
Write-back é o processo opcional de enviar alterações de atributos de usuário que ocorrem no Microsoft Entra ID (como nome de usuário, e-mail e números de telefone) de volta para o Oracle HCM.
Etapas de integração
| # | Passo | O que fazer | Quem se envolver |
|---|---|---|---|
| 1. | Determine qual conjunto de atributos você deseja provisionar do HCM | • Consulte esta lista de atributos HCM e determine quais atributos você deseja exportar para o Microsoft Entra ID • Mapear atributos Oracle HCM para atributos SCIM • Definir regras exclusivas de geração e transformação de ID |
Oracle HCM Admin & Administrador de TI |
| 2. | Conceder permissões à API de provisionamento de entrada | Crie um aplicativo para representar seu cliente de API e conceda-lhe permissões para enviar dados para o ponto de extremidade de provisionamento de entrada | Administrador de TI - Administrador de Função Privilegiada |
| 3. | Determine seu destino de provisionamento: você está provisionando identidades somente na nuvem para o ID do Microsoft Entra ou identidades híbridas para o AD local? | Se o seu destino for o Microsoft Entra ID (provisionamento de identidade somente na nuvem): • Configurar aplicativo de galeria • Mapear atributos SCIM para Microsoft Entra Se o seu destino for o AD local (provisionamento de identidade híbrida): • Baixar e configurar o agente de provisionamento • Configurar aplicativo de galeria • Mapear atributos SCIM para o Ative Directory local • Atualize seus mapeamentos Microsoft Entra Connect Sync e sincronização na nuvem para fluir novos atributos de RH para o Entra ID |
Para a instalação do agente de provisionamento, envolva o administrador do Windows Para a configuração do aplicativo de galeria, envolva o administrador com privilégios de administrador de aplicativos |
| 4. | Execute a sincronização inicial para enviar todo o escopo de dados para o ponto de extremidade de provisionamento | • Prepare-se para a sincronização inicial • Realizar exportação CSV e enviar dados para API • Validar se os trabalhadores certos foram combinados e estão presentes no Microsoft Entra / AD |
Administrador de TI |
| 5. | Execute sincronizações delta para manter os dados no Microsoft Entra ID atualizados | Use um destes métodos: • Use extratos CSV • Use APIs do Atom Feed |
Administrador de TI |
| 6. | Dados de write-back para Oracle HCM | • Configurar e executar o trabalho de provisionamento de write-back | Administrador de TI |
| 7. | Recomendado: Configurar fluxos de trabalho do ciclo de vida do Microsoft Entra | • Automatize seus processos de Marceneiro, Mover, Leaver usando o Microsoft Entra • Licença de governança necessária |
Administrador de TI |
Configurar aplicativo de galeria
Antes de configurar o trabalho de provisionamento no Microsoft Entra, você precisa determinar se o destino do provisionamento é AD local ou ID do Microsoft Entra. Se você deseja ter usuários híbridos com uma dependência local, o AD se torna seu destino. Se os usuários forem apenas na nuvem, você poderá provisioná-los diretamente para o Microsoft Entra ID.
Para utilizadores apenas na nuvem
Crie e configure o provisionamento controlado por API do aplicativo de galeria para o ID do Microsoft Entra seguindo estas etapas:
Crie o aplicativo de galeria e nomeie o aplicativo Oracle HCM Cloud como provisionamento de ID do Entra.
Para utilizadores híbridos
Trabalhe com o administrador do Windows para instalar o agente de provisionamento em um servidor Windows associado a um domínio e siga estas etapas:
Instale o agente de provisionamento.
Crie o aplicativo de galeria e nomeie o aplicativo Oracle HCM Cloud como Ative Directory local.
Prepare-se para a sincronização inicial
Antes de enviar sua carga inicial de sincronização, você precisa se certificar de que seus dados estão preparados para sincronizar corretamente com o Microsoft Entra. As etapas a seguir ajudam a garantir uma integração suave.
Presença e exclusividade do identificador correspondente: o serviço de provisionamento usa um atributo de correspondência para identificar e vincular exclusivamente os registros de trabalhador em seu sistema Oracle com as contas de usuário correspondentes no AD / Microsoft Entra ID. O par de atributos de correspondência padrão é Número de Pessoa no Oracle HCM mapeado para atributo de ID de funcionário no Microsoft Entra ID / AD local. Certifique-se de que o valor da ID do funcionário esteja preenchido no Microsoft Entra ID (para usuários somente na nuvem) e no AD local (para usuários híbridos) antes de iniciar a sincronização completa, pois ele identifica exclusivamente os usuários.
Use filtros de escopo para ignorar registros de RH que não são mais relevantes: os sistemas de RH têm vários anos de dados de emprego que provavelmente remontam à década de 1970. Por outro lado, sua equipe de TI pode estar interessada apenas na lista de funcionários atualmente ativos e nos registros de rescisão que surgirão após o go-live. Para filtrar registros de RH que não são mais relevantes do ponto de vista da sua equipe de TI, identifique as regras de filtros de escopo que você pode configurar no Microsoft Entra.
Exportação CSV para sincronização inicial
Nesta etapa, você exportará os dados do trabalhador do Oracle HCM no formato CSV e os transformará para o formato SCIM usando os scripts Microsoft CSV para SCIM. Esta etapa permite que você envie seus dados de trabalho para a API de provisionamento de entrada em uma carga baseada em padrões que ela pode entender e processar.
Compartilhe a lista de atributos de trabalho do Oracle HCM que você deseja exportar com o administrador do Oracle HCM. Para exportar os dados do trabalhador do Oracle HCM no formato CSV, a Oracle oferece várias opções.
Ferramenta HCM Extract: A principal maneira de recuperar dados em massa do Oracle HCM Cloud é usando HCM Extracts, uma ferramenta para gerar arquivos de dados e relatórios. HCM Extracts tem uma interface dedicada para especificar os registros e atributos a serem extraídos. Com esta ferramenta, você pode:
- Identificar registros para extração usando critérios de seleção complexos
- Definir elementos de dados em uma extração HCM usando itens e regras de banco de dados de fórmula rápida
Nota
Para começar a criar Extrações HCM, consulte Definir Extrações (oracle.com).
Oracle BI Publisher: Suporta relatórios programados e não planejados, com base em estruturas de análise predefinidas do Oracle Transactional Business Intelligence ou em seus próprios modelos de dados. Você pode gerar relatórios em vários formatos. Para usar o Oracle BI Publisher para integrações de saída, você gera relatórios em um formato adequado para processamento downstream automático, como XML ou CSV. Para começar a criar seu relatório do BI Publisher, consulte Definir o modelo do BI Publisher em Extrações HCM (oracle.com).
Serviço Oracle Integration Cloud (OIC): Se você tiver uma assinatura do OIC, poderá configurar a integração com o Oracle HCM Adapter (oracle.com) para extrair os dados necessários do Oracle HCM. A Oracle fornece um guia (oracle.com) que você pode usar para começar.
Nota
Trabalhe com o administrador do Oracle HCM para exportar os atributos necessários para um arquivo CSV.
Depois de exportar os dados do trabalhador para um arquivo CSV, você precisa transformar o CSV no formato SCIM para que a carga esteja em um formato que possamos aceitar. Fornecemos documentação e código de exemplo sobre como transformar seu CSV em uma carga útil SCIM por meio de dois métodos: PowerShell e Aplicativos Lógicos do Azure.
Aqui estão os links para executar essa transformação com cada método:
PowerShell: provisionamento de entrada orientado por API com script do PowerShell
Aplicativos Lógicos do Azure: provisionamento de entrada orientado por API com Aplicativos Lógicos do Azure
O processo de provisionamento de entrada inclui o envio da carga útil de provisionamento. Antes de enviar a carga, selecione Iniciar provisionamento no centro de administração do Microsoft Entra para garantir que o trabalho de provisionamento esteja ouvindo novas solicitações. Antes de enviar o arquivo completo para processamento, envie de 5 a 10 registros para validar a correspondência correta de trabalhadores e atributos. Depois que a carga for enviada, os usuários aparecerão brevemente no seu locatário do Microsoft Entra /on-premises AD.
Sincronizações delta
Depois de enviar os dados do trabalhador para a API de provisionamento de entrada para a sincronização inicial, você precisa executar sincronizações delta para manter os dados do trabalhador atualizados. As sincronizações delta são atualizações incrementais que enviam apenas as alterações que ocorreram desde a última sincronização, como novos trabalhadores, trabalhadores atualizados ou trabalhadores excluídos.
Para executar sincronizações delta, você tem três opções:
Opção 1: Use as APIs de feed do Oracle ATOM para obter notificações em tempo real de alterações de trabalho no Oracle HCM e enviá-las para a API de provisionamento de entrada.
Opção 2: Use Extrações CSV para gerar relatórios periódicos de alterações de trabalho no Oracle HCM e enviar as extrações para a API de provisionamento de entrada usando sua própria ferramenta de automação ou aplicativos lógicos.
Opção 3: Use o Oracle Integration Cloud Service (oracle.com). Se você tiver uma assinatura do OIC, poderá configurar a integração com o Oracle HCM Adapter (oracle.com) para extrair os dados necessários do Oracle HCM. A Oracle fornece um guia (oracle.com) que você pode usar para começar.
Opção 1: Usar as APIs de feed do Oracle ATOM
As APIs de feed do Oracle ATOM fornecem notificações em tempo real de alterações de trabalhadores no Oracle HCM. Você pode assinar as APIs de feed ATOM e receber uma representação JSON de atributos que contêm os dados de trabalho que foram alterados. Em seguida, você pode transformar o JSON para o formato SCIM e enviá-los para a API de provisionamento de entrada usando nosso script PowerShell de exemplo ou integração de aplicativos lógicos.
Se você pretende usar a integração de feeds ATOM, certifique-se de ativar os feeds ATOM imediatamente após a sincronização inicial. Um atraso nesta etapa pode levar à perda de alterações.
Para começar a usar os feeds ATOM da Oracle, consulte a documentação (oracle.com) e o tutorial (oracle.com) da Oracle. Recomendamos inscrever-se no espaço de trabalho Employee (oracle.com) e aplicar estas coleções do Atom Feed: newhire, empassignment, empupdate, termination, cancelworkrelship e workrelshipupdate.
Depois de configurar os feeds ATOM em seu locatário HCM, você precisará criar um módulo personalizado que leia a saída da API de feed ATOM e envie os dados para o Microsoft Entra ID em um formato de carga SCIM usando a API de provisionamento de entrada.
A lógica no módulo personalizado é responsável por lidar com os seguintes cenários:
- Validação de dados
- Geração de ID única
- Sequenciação de feeds ATOM
- Conversão de feeds ATOM em cargas úteis SCIM
- Processamento de erros
Recomendamos o uso de um parceiro Oracle HCM ou um Microsoft System Integrator para criar este módulo personalizado. Você pode hospedar esse módulo personalizado em um middleware Oracle como o Oracle Integration Cloud ou na nuvem do Azure como uma função do Azure, Aplicativos Lógicos do Azure ou pipeline do Azure Data Factory.
Implementar cenário de marceneiro
Os cenários de marceneiro abordam especificamente o processo de integração para novas contratações. Os feeds Oracle HCM ATOM retornam dados para marceneiros, conforme documentado aqui: Fusion Cloud HCM Integration with External Entitlement Management Systems (oracle.com).
Leia os dados do feed ATOM da nova contratação e implemente a lógica em seu módulo personalizado para garantir que os seguintes elementos de dados estejam presentes na carga útil SCIM: dados pessoais, dados de contato, informações de emprego e informações de trabalho.
Se necessário, depois de obter o feed ATOM para cenários de marceneiro, consulte os pontos de extremidade Workers ou Employees para recuperar atributos de trabalho adicionais.
Para acionar os fluxos de trabalho do ciclo de vida do Microsoft Entra para novas contratações, certifique-se de incluir o atributo SCIM personalizado para a data de contratação do funcionário: urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate.
Use o campo Oracle HCM EffectiveStartDate para definir o valor para a data de contratação. Consulte o exemplo de carga útil SCIM.
Implementar cenário de movimentação
Os cenários de movimentação são acionados no Oracle HCM quando um trabalhador é convertido de tempo integral para contratado ou vice-versa, quando ocorre uma alteração de atribuição, quando ocorre uma alteração na relação de trabalho, quando há uma transferência ou quando há uma promoção. Os feeds ATOM do Oracle HCM retornam dados para movers, conforme documentado aqui: Fusion Cloud HCM Integration with External Entitlement Management Systems (oracle.com).
Certifique-se de buscar os novos valores de atributos que foram alterados no Oracle HCM. Esses valores geralmente podem ser obtidos na seção Atributos alterados da resposta de feed ATOM. Se necessário, consulte os pontos de extremidade Workers ou Employees diretamente para recuperar atributos de trabalhador adicionais.
Use os dados recuperados para construir uma carga útil SCIM. Consulte o exemplo de carga útil SCIM.
Implementar cenário de abandono
Os cenários de abandono ocorrem quando o emprego de um trabalhador na organização é rescindido, voluntária ou involuntariamente. Os feeds ATOM do Oracle HCM retornam dados para os leavers, conforme documentado aqui: Fusion Cloud HCM Integration with External Entitlement Management Systems (oracle.com). Leia os dados da alimentação ATOM e construa a carga útil SCIM.
Para acionar fluxos de trabalho de ciclo de vida para pessoas que saem, certifique-se de incluir o atributo SCIM personalizado para a data de licença do funcionário: urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
Use o campo Oracle HCM EffectiveDate para definir o valor para a data de encerramento. Consulte o exemplo de carga útil SCIM.
Exemplo de carga útil SCIM
Transforme as cargas úteis JSON associadas aos cenários Joiner, Mover e Leaver para criar uma carga útil SCIM para enviar ao ponto de extremidade de provisionamento controlado por API da Microsoft.
Aqui está um exemplo genérico de como os atributos do Oracle HCM podem ser mapeados para atributos na carga útil do SCIM com base na planilha Oracle HCM to SCIM:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
Depois de formatar a solicitação em massa SCIM, você pode enviar os dados para o ponto de extremidade da API bulkUpload por meio do provisionamento controlado por API.
Antes de habilitar a integração, execute testes e verificações manuais para validar a estrutura de carga útil de solicitação em massa SCIM. Você pode usar ferramentas, como cURL ou Graph Explorer para confirmar se as cargas úteis de solicitação em massa são processadas conforme o esperado.
Nota
Se você não quiser contratar um parceiro ou criar seu próprio módulo personalizado, recomendamos usar a ferramenta HCM Extract descrita na próxima seção.
Opção 2: Usar extrações CSV
Semelhante ao método usado na sincronização inicial, você também pode usar extrações CSV para lidar com suas sincronizações delta. Você pode configurar sua extração para executar apenas novas alterações da sincronização anterior. Em alternativa, pode enviar o âmbito completo dos seus dados de trabalhador e o Serviço de Aprovisionamento de ID do Microsoft Entra gere e atualiza quaisquer alterações, tais como novas contratações, alterações de atributos e terminações.
Semelhante à sincronização inicial, você também pode usar várias opções para obter a extração CSV:
Ferramenta HCM Extract: A principal maneira de recuperar dados em massa do Oracle HCM Cloud é usando HCM Extracts, uma ferramenta para gerar arquivos de dados e relatórios. HCM Extracts tem uma interface dedicada para especificar os registros e atributos a serem extraídos. Com esta ferramenta, você pode:
Identificar registros para extração usando critérios de seleção complexos.
Defina elementos de dados em uma extração HCM usando itens e regras de banco de dados de fórmulas rápidas.
Nota
Para começar a criar suas extrações HCM, consulte Definir extrações (oracle.com).
Oracle BI Publisher: O Oracle BI Publisher suporta relatórios programados e não planejados, com base em estruturas de análise predefinidas do Oracle Transactional Business Intelligence ou em seus próprios modelos de dados. Você pode gerar relatórios em vários formatos. Para usar o Oracle BI Publisher para integrações de saída, você gera relatórios em um formato adequado para processamento downstream automático, como XML ou CSV. Para começar a criar seu relatório do BI Publisher, consulte Definir o modelo do BI Publisher em Extrações HCM (oracle.com).
Serviço Oracle Integration Cloud (OIC): Se você tiver uma assinatura do OIC, poderá configurar a integração com o Oracle HCM Adapter (oracle.com) para extrair os dados necessários do Oracle HCM. A Oracle fornece um guia (oracle.com) que você pode usar para começar.
Depois de ter os dados do trabalhador no formato CSV, use um dos dois métodos a seguir para convertê-los em uma carga útil SCIM e enviar os dados para o nosso serviço de provisionamento.
PowerShell: provisionamento de entrada orientado por API com script do PowerShell
Aplicativos lógicos: provisionamento de entrada orientado por API com o Aplicativo Lógico do Azure
Write-back do Microsoft Entra ID para Oracle HCM
Depois de sincronizar os dados de trabalho do Oracle HCM usando a API de provisionamento de entrada, convém configurar o write-back do Serviço de Provisionamento do Microsoft Entra para o Oracle HCM. Write-back é o processo de enviar alterações de usuário que ocorrem no ID do Microsoft Entra de volta para o Oracle HCM, como nome de usuário, e-mail e números de telefone. Esse processo garante que seus dados sejam consistentes e precisos em ambos os sistemas.
Para configurar o write-back, você precisará usar as APIs SCIM do Oracle HCM (oracle.com). Essas APIs são serviços Web RESTful que permitem criar, atualizar e excluir usuários no Oracle HCM de uma fonte externa, como o Microsoft Entra. Você pode usar o Serviço de Provisionamento do Microsoft Entra para conectar o Microsoft Entra às APIs SCIM do Oracle HCM e mapear os atributos de usuário que deseja regravar.
Para configurar o write-back, você precisará configurar um trabalho de provisionamento de saída para seu locatário do Oracle HCM. Para configurar o write-back, você precisará das seguintes informações:
URL do servidor REST, que normalmente é a URL do seu Oracle Cloud Service. Deve ser mais ou menos assim: https://servername.fa.us2.oraclecloud.com.
Token secreto do ambiente HCM que fornece ao locatário HCM acesso a outros sistemas, como o Microsoft Entra.
- Crie um token OAUTH no HCM e salve-o para uso nas etapas aqui. Você pode criar um token OAUTH indo para a etapa quatro no guia a seguir (oracle.com).
Depois de ter a URL do servidor REST e o token secreto, siga as etapas aqui para configurar o trabalho de write-back no Microsoft Entra:
Crie um novo aplicativo Enterprise.
Selecione a opção Provisionamento e alterne o modo para Automático.
Insira a URL do ponto de extremidade do locatário do Oracle HCM e o token de autenticação nos campos URL do servidor REST e Token secreto.
Teste a conexão e salve as configurações.
Volte para a página Visão geral do provisionamento para este aplicativo e selecione Editar provisionamento. Clique na seta em mapeamentos e selecione o link do esquema de mapeamento.
Na seção editar mapeamento de atributos, selecione apenas a operação Atualizar em Ações de objeto de destino.
Você notará que os atributos HCM são preenchidos automaticamente na seção Mapeamentos de atributos. Remova apenas os atributos que você não deseja fazer write-back de dados.
Salve as configurações e habilite o status de provisionamento.
Use o recurso Provisionamento sob Demanda do Microsoft Entra para testar e validar a integração de write-back.
Depois de validar o fluxo de trabalho, inicie o trabalho e mantenha-o em execução para que o Microsoft Entra sincronize continuamente os dados com o Oracle HCM.
Anexo
Planilha 1: Atributos do Oracle HCM
A tabela nesta seção representa os atributos que você pode exportar do Oracle HCM. Os nomes desses atributos podem diferir em seu sistema HCM, mas essa lista representa uma lista comum de atributos em uma integração de RH. Determine quais atributos você deseja exportar para sua integração.
| Atributo Oracle HCM (do arquivo CSV) | Obrigatório ou obrigatório |
|---|---|
| Número de Pessoa | Obrigatório |
| Estado da Conta | Obrigatório -> defina o valor como True para trabalhadores não rescindidos |
| Rua | |
| City | |
| Estado | |
| Código Postal | |
| País | |
| Nome do Departamento | |
| Divisão | |
| Empresa | |
| Username | |
| Nome Próprio | Obrigatório |
| Apelido | Obrigatório |
| Código do Trabalho | |
| Nome da Tarefa | |
| Endereço de E-mail | |
| Gestor | |
| Número de telemóvel | |
| Número de Telefone | |
| Endereço de trabalho | |
| Número de Telefone | |
| Data de Contratação | Exigido pelos fluxos de trabalho do ciclo de vida |
| Data de Rescisão | Exigido pelos fluxos de trabalho do ciclo de vida |
Nota
Incluímos linhas em branco na planilha acima, para que você possa adicionar outros atributos que não estão nesta lista para inclusão em seu trabalho de provisionamento.
Planilha 2: Mapeamento de atributos Oracle HCM para SCIM
A tabela nesta seção exibe um mapeamento de exemplo dos atributos do Oracle HCM para os atributos SCIM genéricos suportados pela API.
| Atributo Oracle HCM (do arquivo CSV) | Atributo SCIM |
|---|---|
| Número de Pessoa | Identificação externa |
| Estado da Conta | Ativos |
| Rua | endereços[digite eq "trabalho"].streetEndereço |
| City | endereços[tipo eq "trabalho"].localidade |
| Estado | endereços[digite eq "work"].region |
| Código Postal | endereços[tipo eq "trabalho"].postalCode |
| País | endereços[tipo eq "trabalho"].country |
| Nome do Departamento | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| Divisão | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| Empresa | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| Username | displayName |
| Nome Próprio | name.givenName |
| Apelido | name.familyName |
| Código do Trabalho | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| Nome da Tarefa | title |
| Endereço de E-mail | emails[type eq "work"].value |
| Gestor | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| Número de telemóvel | phoneNumbers[type eq "mobile"].value |
| Número de Telefone | phoneNumbers[type eq "work"].value |
| Endereço de trabalho | endereços[digite eq "work"].formatted |
| Data de Contratação | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| Data de Rescisão | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
Planilha 3: Definir regras exclusivas de geração e transformação de ID
A tabela nesta seção descreve determinados atributos que exigem geração exclusiva ou regras de transformação específicas. Estes incluem três atributos comumente usados que têm regras adicionais para definir seu valor. Faça referência aos links para preencher esses atributos corretamente.
| Atributo | Como definir o valor do atributo |
|---|---|
| userPrincipalName (obrigatório) | Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra |
| SamAccountName (somente AD local) | Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra |
| parentDistinguishedName (somente AD local) | Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra |
Planilha 4: Mapeamento de atributos do AD local do SCIM
A tabela nesta seção representa o conjunto de atributos locais suportados pelo Ative Directory. Mapeie seus atributos SCIM para os atributos nesta tabela se o destino de provisionamento for o Ative Directory.
| Atributo SCIM | Atributo do AD local |
|---|---|
| Identificação externa | employeeID |
| Ativos | contaDesativado |
| endereços[digite eq "trabalho"].streetEndereço | streetAddress |
| endereços[tipo eq "trabalho"].localidade | l |
| endereços[digite eq "work"].region | st |
| endereços[tipo eq "trabalho"].postalCode | postalCode |
| endereços[tipo eq "trabalho"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | departamento |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | Divisão |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | empresa |
| displayName | CN |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensãoAttribute1 |
| title | title |
| emails[type eq "work"].value | <Gerado pelo AD> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | gestor |
| phoneNumbers[type eq "mobile"].value | telemóvel |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| endereços[digite eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensãoAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
Nota
Se você estiver definindo atributos de extensão de esquema SCIM que não tenham um atributo AD local correspondente, poderá mapeá-los para extensionAttributes 1-15 ou estender o esquema do AD para adicionar uma nova classe de objeto auxiliar com os atributos necessários.
Planilha 5: Mapeamento de AD local para ID do Microsoft Entra
Depois de sincronizar suas identidades com o AD local, você pode enviá-las para o Microsoft Entra ID por meio da sincronização na nuvem ou da conexão do Microsoft Entra ID. Consulte a documentação vinculada sobre como usar essas ferramentas.
A tabela nesta seção é um exemplo de mapeamento de atributos dos atributos do AD incluídos na Planilha 4 para os atributos do Microsoft Entra.
Nota
O atributo personalizado extensionAttribute1 é o código de trabalho do trabalhador. Na tabela anterior, ele foi mapeado para AD extensionAttribute1. Mas aqui estamos mapeando para o Microsoft Entra extensionAttribute1, porque não há nenhum atributo correspondente no Microsoft Entra. O extensionAttribute2 e extensionAttribute3 (data de contratação e data de término) são mapeados de acordo.
| Atributo do AD local | Atributo Microsoft Entra |
|---|---|
| streetAddress | streetAddress |
| l | cidade |
| st | state |
| postalCode | postalCode |
| co | país/região |
| departamento | departamento |
| Divisão | EmployeeOrgData.division |
| empresa | Nome da empresa |
| CN | displayName |
| givenName | givenName |
| sn | surname |
| extensãoAttribute1 | extensãoAttribute1 |
| title | jobTitle |
| <Gerado pelo AD> | correio |
| gestor | gestor |
| telemóvel | telemóvel |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensãoAttribute2 | funcionárioHireDate |
| extensionAttribute3 | funcionárioLeaveDateTime |
Planilha 6: Atributo SCIM para mapeamento de atributos do Microsoft Entra
A tabela nesta seção representa o conjunto de atributos que o Microsoft Entra ID suporta. Mapeie seus atributos SCIM para os atributos nesta tabela se o destino de provisionamento for o Microsoft Entra ID. Para adicionar atributos SCIM personalizados ao seu aplicativo de galeria, consulte Estender provisionamento controlado por API para sincronizar atributos personalizados.
| Atributo SCIM | Atributo Microsoft Entra |
|---|---|
| Identificação externa | Identificação do empregado |
| Ativos | accountEnabled |
| endereços[digite eq "trabalho"].streetEndereço | streetAddress |
| endereços[tipo eq "trabalho"].localidade | cidade |
| endereços[digite eq "work"].region | state |
| endereços[tipo eq "trabalho"].postalCode | postalCode |
| endereços[tipo eq "trabalho"].country | país/região |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | departamento |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | Nome da empresa |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | surname |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensãoAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | correio |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | gestor |
| phoneNumbers[type eq "mobile"].value | telemóvel |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| endereços[digite eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | funcionárioHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | funcionárioLeaveDateTime |
Confirmações
Agradecemos aos seguintes parceiros pela ajuda na revisão e contribuição para este tutorial:
- Michael Starkweather, Diretor da PwC
- Rob Allen, Diretor de Arquitetura e Tecnologia da ActiveIdM
- Ray Nalette, Gerente de Entrega Técnica na ActiveIdM
- Randy Robb, Consultor Principal do Oxford Computer Group
- Frank Urena, Arquiteto Principal do Oxford Computer Group
- Nick Herbert, Vice-Presidente de Vendas do Oxford Computer Group
- Steve Brugger, CEO do Oxford Computer Group