Tutorial: Microsoft Entra ID-Integration mit Oracle HCM
Die API für die eingehende Bereitstellung ermöglicht Ihnen, Benutzer und Benutzerinnen in Microsoft Entra ID und einem lokalem Active Directory aus einer externen Quelle, z. B. Oracle Human Capital Management (HCM), zu erstellen, zu aktualisieren und zu löschen. Diese Funktion ermöglicht Organisationen, die Produktivität zu steigern, die Sicherheit zu stärken und Complianceanforderungen und gesetzliche Vorschriften einfacher zu erfüllen.
Sie können Microsoft Entra ID Governance verwenden, um automatisch sicherzustellen, dass die richtigen Personen über den richtigen Zugriff auf die richtigen Ressourcen verfügen. Dieser Zugriff umfasst die Automatisierung von Identitäts- und Zugriffsprozessen und die Delegierung an Geschäftsgruppen, und er steigert die Transparenz.
In diesem Tutorial werden Sie durch die Schritte und bewährten Methoden für die Integration von Oracle HCM mit Microsoft Entra ID mithilfe der API-gesteuerten Bereitstellung geführt. Sie lernen Folgendes:
- Vorbereiten Ihrer Umgebung und Konfigurieren der API-Einstellungen
- Exportieren der Daten Ihrer Arbeitskräfte aus Oracle HCM im CSV-Format und Transformieren dieser mithilfe von Microsoft-Skripts in das SCIM-Format (System for Cross-Domain Identity Management)
- Übermitteln der Daten von Arbeitskräften an die API für die eingehende Bereitstellung mithilfe von PowerShell oder Logic Apps
- Durchführen von Deltasynchronisierungen, um die Daten Ihrer Arbeitskräfte mithilfe von Oracle ATOM-Feed-APIs oder HCM Extracts auf dem neuesten Stand zu halten
- Konfigurieren des Rückschreibens (sofern erforderlich) von Microsoft Entra ID zu Oracle HCM mithilfe der SCIM-APIs von Oracle HCM
Terminologie
Oracle HCM Fusion Cloud (oracle.com): In diesem Leitfaden geht es speziell um die Integration von Oracle HCM Fusion Cloud mit Microsoft Entra ID. Andere Oracle-Angebote, z. B. PeopleSoft oder Taleo, sind nicht Thema dieses Tutorials.
Lizenzierung:
Microsoft Entra ID P1 / EMS E3 / Microsoft 365 E3: Mit diesen Lizenzen können Sie das neue Feature für die API-gesteuertes Bereitstellung verwenden.
Microsoft Entra ID Governance-Lizenz: Diese Add-On-Lizenz ist erforderlich, um Lebenszyklus-Workflows zu konfigurieren.
Azure-Abonnement: Dieses Abonnement ist erforderlich, wenn Sie Azure Logic Apps verwenden möchten.
Voraussetzungen
Bevor Sie mit der Integration von Oracle HCM mit Microsoft Entra ID mithilfe der API für die eingehende Bereitstellung beginnen können, müssen die folgenden Voraussetzungen erfüllt sein:
Ein Oracle HCM-Konto (oracle.com) mit Berechtigungen für:
- Anzeigen und Exportieren von HCM-Daten
- Zugreifen auf die Oracle HCM-REST-APIs In diesem Tutorial wird auf Human Resources 24A (oracle.com) und Applications Common 24A (oracle.com) verwiesen.
Ein Microsoft Entra ID-Mandant mit mindestens einer P1-Lizenz (oder EMS E3 bzw. Microsoft 365 E3):
Um den Bereitstellungs-Agent zu installieren (nur Hybridbenutzer/-benutzerinnen), benötigen Sie Zugriff auf den Microsoft Windows-Server, der mit Ihrer AD-Domäne verbunden ist.
Zum Erstellen einer Katalog-App und eines Bereitstellungsauftrags benötigen Sie Microsoft Entra mit den Rollen Anwendungsadministrator und Hybrididentitätsadministrator.
Übersicht über die Integration
Es gibt drei Hauptsynchronisierungsszenarien, mit denen Sie eine HR-Integration einrichten können. Diese Synchronisierungsszenarien werden in der Abbildung in diesem Abschnitt veranschaulicht. Dieser Leitfaden ist in drei Abschnitte unterteilt und entsprechend organisiert. Zu jedem Workflow wird eine Empfehlung für die Konfiguration des Workflows bereitgestellt.
Die anfängliche/vollständige Synchronisierung ist der Prozess der Synchronisierung sämtlicher Daten aller Arbeitskräfte zwischen zwei Systemen, in diesem Fall zwischen Oracle HCM und Microsoft Entra ID direkt oder mit dem lokalen Active Directory (lokales AD). Dieser Prozess umfasst alle Identitäten und Attribute der Arbeitskräfte wie persönliche Informationen, Kontaktinformationen, Anstellungsinformationen u. v. m. Eine vollständige Synchronisierung wird in der Regel während der anfänglichen Einrichtung der Integration durchgeführt, um sicherzustellen, dass die Daten aller Arbeitskräfte konsistent und in beiden Systemen auf dem neuesten Stand sind.
Eine Deltasynchronisierung ist der Prozess der Synchronisierung ausschließlich von Änderungen oder Aktualisierungen, die seit der letzten Synchronisierung mit Oracle HCM aufgetreten sind. Deltasynchronisierungen werden in der Regel nach der anfänglichen vollständigen Synchronisierung durchgeführt, um die Daten von Arbeitskräften mit Änderungen im Quellsystem auf dem neuesten Stand zu halten. Dieser Vorgang umfasst neue Arbeitskräfte, aktualisierte Daten von Arbeitskräften oder gelöschte Arbeitskräfte. Deltasynchronisierungen sind inkrementelle Updates und schneller und effizienter, als wenn bei jeder Änderung an Daten von Arbeitskräften eine vollständige Synchronisierung durchgeführt wird.
Das Rückschreiben ist ein optionaler Prozess, bei dem Änderungen an Benutzerattributen, die in Microsoft Entra ID durchgeführt werden (z. B. Benutzername, E-Mail-Adresse und Telefonnummer), zurück an Oracle HCM übermittelt werden.
Schritte für die Integration
| # | Schritt | Vorgehensweise | Wer einbezogen werden sollte |
|---|---|---|---|
| 1. | Bestimmen Sie, welche Attribute Sie aus HCM bereitstellen möchten. | • Bestimmen Sie anhand dieser Liste der HCM-Attribute, welche Attribute Sie nach Microsoft Entra ID exportieren möchten. • Ordnen Sie Oracle HCM-Attribute Ihren SCIM-Attributen zu. • Definieren Sie eindeutige Regeln für die ID-Generierung und die Transformation. |
Oracle HCM- und IT-Administratoren/-Administratorinnen |
| 2. | Erteilen von Berechtigungen für die eingehende Bereitstellungs-API | Erstellen Sie eine Anwendung, die Ihren API-Client darstellt, und erteilen Sie ihm Berechtigungen zum Senden von Daten an den Endpunkt für eingehende Bereitstellungen | IT-Administrator – Administrator privilegierter Rollen |
| 3. | Legen Sie Ihr Bereitstellungsziel fest: Stellen Sie reine Cloudidentitäten in Microsoft Entra ID oder Hybrididentitäten im lokalen AD bereit? | Wenn Ihr Ziel Microsoft Entra ID ist (rein cloudbasierte Identitätsbereitstellung): • Konfigurieren Sie eine Katalog-App. • Ordnen Sie SCIM-Attribute Microsoft Entra-Attributen zu. Wenn Ihr Ziel ein lokales AD ist (Hybrididentitätsbereitstellung): • Laden Sie den Bereitstellungs-Agent herunter, und konfigurieren Sie ihn. • Konfigurieren Sie eine Katalog-App. • Ordnen Sie SCIM-Attribute Attributen im lokalen Active Directory zu. • Aktualisieren Sie die Zuordnungen Ihrer Microsoft Entra Connect- und Cloudsynchronisierung, um neue Personalattribute an Entra ID zu übertragen. |
Für die Installation des Bereitstellungs-Agents müssen Sie Windows-Administratoren/-Administratorinnen einbeziehen. Für die Konfiguration der Katalog-App wenden Sie sich an Personen mit den Berechtigungen der Rolle „Anwendungsadministrator“. |
| 4. | Durchführen der anfänglichen Synchronisierung zum Übermitteln sämtlicher Daten an den Bereitstellungsendpunkt | • Vorbereiten der anfänglichen Synchronisierung • Durchführen des CSV-Exports und Übermitteln von Daten an die API • Überprüfen, ob die Arbeitskräfte übereinstimmen und in Microsoft Entra bzw. AD vorhanden sind |
IT-Administrator |
| 5. | Durchführen von Deltasynchronisierungen, um Daten in Microsoft Entra ID auf dem neuesten Stand zu halten | Verwenden Sie dafür eine der folgenden Methoden: • Verwenden von CSV-Extrakten • Verwenden von Atom-Feed-APIs |
IT-Administrator |
| 6. | Zurückschreiben von Daten in Oracle HCM | • Konfigurieren und Ausführen des Bereitstellungsauftrags für das Rückschreiben | IT-Administrator |
| 7. | Empfohlen: Konfigurieren von Microsoft Entra-Lebenszyklus-Workflows | • Automatisieren Ihrer Prozesse für neue, wechselnde oder ausscheidende Arbeitskräfte mithilfe von Microsoft Entra • Governance-Lizenz erforderlich |
IT-Administrator |
Konfigurieren der Kataloganwendung
Bevor Sie den Bereitstellungsauftrag in Microsoft Entra konfigurieren können, müssen Sie ermitteln, ob das Ziel für Ihre Bereitstellung ein lokales AD oder Microsoft Entra ID ist. Bei Hybridbenutzern/-benutzerinnen mit einer lokalen Abhängigkeit ist Ihr Ziel AD. Wenn Ihre Benutzer und Benutzerinnen nur in der Cloud arbeiten, können Sie sie direkt in Microsoft Entra ID bereitstellen.
Für reine Cloudbenutzer/-benutzerinnen
Erstellen und konfigurieren Sie die Kataloganwendung für die API-gesteuerte Bereitstellung in Microsoft Entra ID anhand der folgenden Schritte:
Erstellen Sie die Kataloganwendung, und benennen Sie dann die Anwendung mit Oracle HCM Cloud-zu-Entra ID-Bereitstellung.
Für Hybridbenutzer/-benutzerinnen
Arbeiten Sie mit Ihren Windows-Administratoren/-Administratorinnen zusammen, um den Bereitstellungs-Agent auf einem in eine Domäne eingebundenen Windows-Server zu installieren, und führen Sie dann die folgenden Schritte aus:
Erstellen Sie die Kataloganwendung, und benennen Sie dann die Anwendung mit Oracle HCM Cloud-zu-lokalem Active Directory.
Vorbereiten der anfänglichen Synchronisierung
Bevor Sie die Nutzdaten für Ihre anfängliche Synchronisierung übermitteln, müssen Sie sicherstellen, dass Ihre Daten für die ordnungsgemäße Synchronisierung mit Microsoft Entra vorbereitet sind. Mit den folgenden Schritten stellen Sie eine reibungslose Integration sicher.
Vorhandensein und Eindeutigkeit übereinstimmender Bezeichner: Der Bereitstellungsdienst verwendet ein Abgleichsattribut, um Datensätze von Arbeitskräften in Ihrem Oracle-System eindeutig zu identifizieren und mit entsprechenden Benutzerkonten in AD/Microsoft Entra ID zu verknüpfen. Das Standardpaar von Abgleichsattributen besteht aus der Personalnummer in Oracle HCM, die dem Attribut der Mitarbeiter-ID in Microsoft Entra ID bzw. dem lokalen AD zugeordnet wird. Stellen Sie sicher, dass der Wert der Mitarbeiter-ID in Microsoft Entra ID (bei reinen Cloudbenutzern/-benutzerinnen) und im lokalen AD (bei Hybridbenutzern/-benutzerinnen) ausgefüllt ist, bevor Sie die vollständige Synchronisierung initiieren, da sie Benutzer und Benutzerinnen eindeutig identifiziert.
Verwenden Sie Scoping-Filter, um HR-Datensätze auszulassen, die nicht mehr relevant sind: HR-Systeme verfügen über mehrere Jahre an Beschäftigungsdaten, die wahrscheinlich bis in die 1970er Jahre zurückreichen. Andererseits kann Ihr IT-Team nur an der Liste derzeit aktiver Arbeitskräfte interessiert sein sowie an Datensätzen von Arbeitskräften, die nach der Aktivierung aus dem Unternehmen ausscheiden. Um Personaldatensätze herauszufiltern, die aus Sicht Ihres IT-Teams nicht mehr relevant sind, legen Sie Bereichsfilterregeln fest, die Sie in Microsoft Entra konfigurieren können.
CSV-Export für die anfängliche Synchronisierung
In diesem Schritt exportieren Sie die Daten Ihrer Arbeitskräfte im CSV-Format aus Oracle HCM und transformieren sie mithilfe der Microsoft-Skripts für die Konvertierung vom CSV- in das SCIM-Format. In diesem Schritt können Sie die Daten Ihrer Arbeitskräfte in standardbasierten Nutzdaten an die API für die eingehende Bereitstellung übermitteln, die diese verstehen und verarbeiten kann.
Geben Sie die Liste der Oracle HCM-Attribute für Arbeitskräfte, die Sie exportieren möchten, für Ihre Oracle HCM-Administratoren/-Administratorinnen frei. Oracle bietet für den Export der Daten Ihrer Arbeitskräfte aus Oracle HCM im CSV-Format mehrere Optionen an.
HCM Extracts-Tool: Die wichtigste Möglichkeit zum Massenabruf von Daten aus Oracle HCM Cloud stellt HCM Extracts dar, ein Tool zum Generieren von Datendateien und Berichten. HCM Extracts verfügt über eine dedizierte Schnittstelle zum Angeben der zu extrahierenden Datensätze und Attribute. Mit diesem Tool haben Sie folgende Möglichkeiten:
- Identifizieren von Datensätzen für die Extraktion mithilfe komplexer Auswahlkriterien
- Definieren von Datenelementen in einem HCM-Extrakt mithilfe schneller Formeldatenbankelemente und -regeln
Hinweis
Informationen zum Erstellen von HCM-Extrakten finden Sie unter Define Extracts (auf oracle.com).
Oracle BI Publisher: Dieses Tool unterstützt sowohl geplante als auch ungeplante Berichte basierend auf vordefinierten Oracle Transactional Business Intelligence-Analysestrukturen oder Ihren eigenen Datenmodellen. Sie können Berichte in verschiedenen Formaten generieren. Um Oracle BI Publisher für ausgehende Integrationen zu verwenden, generieren Sie Berichte in einem Format, das für die automatische nachgelagerte Verarbeitung geeignet ist, z. B. XML oder CSV. Informationen zu den ersten Schritten beim Erstellen Ihres BI Publisher-Berichts finden Sie unter Define the BI Publisher Template in HCM Extracts (auf oracle.com).
Oracle Integration Cloud Service (OIC): Wenn Sie über ein Abonnement für OIC verfügen, können Sie die Integration mit dem Oracle HCM-Adapter (oracle.com) konfigurieren, um die erforderlichen Daten aus Oracle HCM zu extrahieren. Oracle bietet einen Leitfaden (auf oracle.com), den Sie für als Einstieg verwenden können.
Hinweis
Arbeiten Sie mit Ihren Oracle HCM-Administratoren/-Administratorinnen zusammen, um die erforderlichen Attribute in eine CSV-Datei zu exportieren.
Nachdem Sie die Daten Ihrer Arbeitskräfte in eine CSV-Datei exportiert haben, müssen Sie das CSV-Format in das SCIM-Format transformieren, damit die Nutzdaten in einem verwendbaren Format vorliegen. Nutzen Sie die Dokumentation und den Beispielcode, um Ihre CSV-Datei mit einer von zwei Methoden in SCIM-Nutzdaten umzuwandeln: mit PowerShell und Azure Logic Apps.
Unter den folgenden Links finden Sie Informationen zu Ausführen dieser Transformation mit einer der Methoden:
PowerShell: API-gesteuerte eingehende Bereitstellung mit einem PowerShell-Skript
Azure Logic Apps: API-gesteuerte eingehende Bereitstellung mit Azure Logic Apps
Die eingehende Bereitstellung umfasst das Senden der Bereitstellungsnutzdaten. Bevor Sie die Nutzdaten übermitteln, müssen Sie im Microsoft Entra Admin Center die Startbereitstellung auswählen, um sicherzustellen, dass der Bereitstellungsauftrag auf neue Anforderungen lauscht. Übermitteln Sie vor dem Senden der vollständigen Datei zur Verarbeitung 5–10 Datensätze, um den korrekten Abgleich von Arbeitskräften und Attributen zu überprüfen. Nachdem die Nutzdaten gesendet wurden, werden die Benutzer und Benutzerinnen kurz in Ihrem Microsoft Entra-Mandanten bzw. Ihrem lokalen AD angezeigt.
Deltasynchronisierungen
Nachdem Sie die Daten Ihrer Arbeitskräfte für die anfängliche Synchronisierung an die API für die eingehende Bereitstellung übermittelt haben, müssen Sie Deltasynchronisierungen durchführen, um die Daten Ihrer Arbeitskräfte auf dem neuesten Stand zu halten. Deltasynchronisierungen sind inkrementelle Updates, bei denen nur die seit der letzten Synchronisierung vorgenommenen Änderungen übertragen werden, z. B. neue, geänderte oder gelöschte Daten von Arbeitskräften.
Zum Ausführen von Deltasynchronisierungen haben Sie drei Optionen:
Option 1: Verwenden Sie die Oracle ATOM-Feed-APIs, um Echtzeitbenachrichtigungen über Änderungen an Arbeitskräften in Oracle HCM zu erhalten und sie an die API für die eingehende Bereitstellung zu senden.
Option 2: Verwenden Sie CSV-Extrakte, um regelmäßige Berichte von Änderungen an Arbeitskräften in Oracle HCM zu generieren und die Extrakte mithilfe Ihres eigenen Automatisierungstools oder mit Logic Apps an die API für die eingehende Bereitstellung zu senden.
Option 3: Verwenden Sie den Oracle Integration Cloud Service (oracle.com). Wenn Sie über ein OIC-Abonnement verfügen, können Sie die Integration mit dem Oracle HCM-Adapter (oracle.com) konfigurieren, um die erforderlichen Daten aus Oracle HCM zu extrahieren. Oracle bietet einen Leitfaden (auf oracle.com), den Sie für als Einstieg verwenden können.
Option 1: Verwenden der Oracle ATOM-Feed-APIs
Die Oracle ATOM-Feed-APIs stellen Echtzeitbenachrichtigungen zu Änderungen an Arbeitskräften in Oracle HCM bereit. Sie können die ATOM-Feed-APIs abonnieren und erhalten dann eine JSON-Darstellung der Attribute mit geänderten Daten von Arbeitskräften. Anschließend können Sie den JSON-Code in das SCIM-Format transformieren und dieses mithilfe des PowerShell-Beispielskripts oder der Logic Apps-Integration an die API für die eingehende Bereitstellung übermitteln.
Wenn Sie die ATOM-Feed-Integration verwenden möchten, müssen Sie ATOM-Feeds direkt nach der anfänglichen Synchronisierung aktivieren. Eine Verzögerung bei diesem Schritt kann zu einem Verlust von Änderungen führen.
Weitere Informationen zum Einstieg in Oracle ATOM-Feeds finden Sie in der Oracle-Dokumentation (oracle.com) und im Tutorial (oracle.com). Es wird empfohlen, den Arbeitsbereich „Mitarbeiter“ (oracle.com) zu abonnieren und diese Atom-Feed-Sammlungen anzuwenden: newhire, empassignment, empupdate, termination, cancelworkrelship und workrelshipupdate.
Nachdem Sie ATOM-Feeds in Ihrem HCM-Mandanten konfiguriert haben, müssen Sie ein benutzerdefiniertes Modul erstellen, das die Ausgabe der ATOM-Feed-API liest und die Daten mithilfe der API für die eingehende Bereitstellung in einem SCIM-Nutzdatenformat an Microsoft Entra ID sendet.
Die Logik im benutzerdefinierten Modul ist für die folgenden Szenarien vorgesehen:
- Datenvalidierung
- Generierung eindeutiger IDs
- Sequenzierung von Atom-Feeds
- Konvertierung von Atom-Feeds in SCIM-Nutzdaten
- Fehlerbehandlung
Sie sollten einen Oracle HCM-Partner oder Microsoft Systemintegrator zurate ziehen, um dieses benutzerdefinierte Modul zu erstellen. Sie können dieses benutzerdefinierte Modul entweder in einer Oracle-Middleware wie Oracle Integration Cloud oder in der Azure Cloud als Azure Functions-, Azure Logic Apps- oder Azure Data Factory-Pipeline hosten.
Implementieren des „Joiner“-Szenarios
„Joiner“-Szenarien richten sich speziell an den Onboardingprozess bei Neueinstellungen. Oracle HCM ATOM-Feeds geben Daten für neu eingestellte Arbeitskräfte zurück. Eine Dokumentation finden Sie unter Fusion Cloud HCM Integration in External Entitlement Management Systems (auf oracle.com).
Lesen Sie Daten aus dem newhire-ATOM-Feed, und implementieren Sie Logik in Ihrem benutzerdefinierten Modul, um sicherzustellen, dass die folgenden Datenelemente in den SCIM-Nutzdaten enthalten sind: personenbezogene Daten, Kontaktdaten, Beschäftigungsinformationen und Stelleninformationen.
Fragen Sie bei Bedarf nach dem Abrufen des Atom-Feeds für „Joiner“-Szenarien die Worker- oder Employees-Endpunkte ab, um weitere Attribute der Arbeitskräfte abzurufen.
Um Microsoft Entra-Lebenszyklus-Workflows für Neueinstellungen auszulösen, müssen Sie unbedingt das benutzerdefinierte SCIM-Attribut für das Einstellungsdatum der Arbeitskraft einschließen: urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate.
Verwenden Sie das Oracle HCM-Feld EffectiveStartDate, um den Wert für das Einstellungsdatum festzulegen. Weitere Informationen finden Sie im SCIM-Nutzdatenbeispiel.
Implementieren des „Mover“-Szenarios
„Mover“-Szenarien werden in Oracle HCM ausgelöst, wenn eine Arbeitskraft zwischen Vollzeitbeschäftigung und befristeter Anstellung wechselt, wenn sich ihre Aufgabe ändert, wenn sich die Arbeitsbeziehung ändert, wenn ein Arbeitsortswechsel erfolgt oder bei einer Beförderung. Oracle HCM ATOM-Feeds geben Daten für geänderte Arbeitskräfte zurück. Eine Dokumentation finden Sie unter Fusion Cloud HCM Integration in External Entitlement Management Systems (auf oracle.com).
Stellen Sie sicher, dass Sie die neuen Werte von Attributen abrufen, die in Oracle HCM geändert wurden. Diese Werte können häufig aus dem Abschnitt Geänderte Attribute der Atom-Feed-Antwort abgerufen werden. Fragen Sie bei Bedarf die Worker- oder Employees-Endpunkte direkt ab, um weitere Attribute der Arbeitskräfte abzurufen.
Verwenden Sie die abgerufenen Daten, um SCIM-Nutzdaten zu erstellen. Weitere Informationen finden Sie im SCIM-Nutzdatenbeispiel.
Implementieren des „Leaver“-Szenarios
„Leaver“-Szenarien treten auf, wenn die Beschäftigung von Arbeitskräften in der Organisation entweder freiwillig oder unfreiwillig beendet wird. Oracle HCM ATOM-Feeds geben Daten für ausscheidende Arbeitskräfte zurück. Eine Dokumentation finden Sie unter Fusion Cloud HCM Integration in External Entitlement Management Systems (auf oracle.com). Lesen Sie Daten aus dem Atom-Feed, und erstellen Sie die SCIM-Nutzdaten.
Um Lebenszyklus-Workflows für ausscheidende Arbeitskräfte auszulösen, müssen Sie das benutzerdefinierte SCIM-Attribut für das Enddatum der Beschäftigung der Arbeitskraft einzuschließen: urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate
Verwenden Sie das Oracle HCM-Feld EffectiveDate, um den Wert für das Enddatum festzulegen. Weitere Informationen finden Sie im SCIM-Nutzdatenbeispiel.
SCIM-Nutzdatenbeispiel
Transformieren Sie die JSON-Nutzdaten, die den Szenarien „Joiner“, „Mover“ und „Leaver“ zugeordnet sind, um SCIM-Nutzdaten zu erstellen, die an den Microsoft-Endpunkt für die API-gesteuerten Bereitstellung gesendet werden sollen.
Nachfolgend finden Sie ein allgemeines Beispiel dafür, wie die Oracle HCM-Attribute basierend auf dem Oracle HCM-zu-SCIM-Arbeitsblatt Attributen in den SCIM-Nutzdaten zugeordnet werden können:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
"Operations": [
{
"method": "POST",
"bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
"path": "/Users",
"data": {
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "<Oracle HCM workers.PersonNumber>",
"userName": "<Oracle HCM employee.UserName>",
"name": {
"familyName": "<Oracle HCM workers.names.LastName>",
"givenName": "<Oracle HCM workers.names.FirstName> ",
"middleName": "<Oracle HCM workers.names.MiddleName>",
},
"displayName": "<Oracle HCM workers.DisplayName>",
"emails": [
{
"value": "<Oracle HCM workers.emails.EmailAddress> ",
"type": "work",
"primary": true
}
],
"addresses": [
{
"type": "work",
"streetAddress": "<Oracle HCM workers.addresses.AddressLine1>",
"locality": "<Oracle HCM workers.addresses.TownorCity>",
"region": "<Oracle HCM workers.addresses.Region1>",
"postalCode": "<Oracle HCM workers addresses.PostalCode> ",
"country": "<Oracle HCM workers addresses.Country> ",
"primary": true
}
],
"phoneNumbers": [
{
"value": "<Oracle HCM workers. phones.PhoneNumber ",
"type": "work"
}
],
"userType": "<Oracle HCM workers.workRelationships.WorkerType ",
"title": " <Oracle HCM worker.workRelationships.assignments.JobName",
"active":true,
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
"employeeNumber": "<Oracle HCM workers.PersonNumber> ",
"division": "<Oracle HCM worker.workRelationships.assignments.BusinessUnitId> ",
"department": "<Oracle HCM worker.workRelationships.assignments.DepartmentId >",
"manager": {
"value": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerPersonNumber> ",
"displayName": "<Oracle HCM worker.workRelationships.assignments.allReports.ManagerDisplayName"
}
}
}
}
],
"failOnErrors": null
}
Nachdem Sie die SCIM-Massenanforderung formatiert haben, können Sie die Daten über die API-gesteuerte Bereitstellung an den API-Endpunkt bulkUpload senden.
Führen Sie vor dem Aktivieren der Integration manuelle Tests und Überprüfungen aus, um die SCIM-Nutzdatenstruktur der Massenanforderung zu überprüfen. Sie können Tools wie cURL oder Graph-Tester verwenden, um zu überprüfen, ob die Nutzdaten der Massenanforderung wie erwartet verarbeitet werden.
Hinweis
Wenn Sie keinen Partner einbeziehen oder Ihr eigenes benutzerdefiniertes Modul erstellen möchten, sollten Sie die Verwendung des im nächsten Abschnitt beschriebenen Tools HCM Extracts in Erwägung ziehen.
Option 2: Verwenden von CSV-Extrakten
Ähnlich wie bei der Methode zur anfänglichen Synchronisierung können Sie auch CSV-Extrakte verwenden, um Ihre Deltasynchronisierungen zu verarbeiten. Sie können Ihren Extrakt so konfigurieren, dass nur neue Änderungen seit der letzten Synchronisierung extrahiert werden. Sie können aber auch sämtliche Daten Ihrer Arbeitskräfte senden. Der Microsoft Entra ID-Bereitstellungsdienst verwaltet und aktualisiert dann alle Änderungen, z. B. Neueinstellungen, Attributänderungen und Kündigungen.
Ähnlich wie bei der anfänglichen Synchronisierung haben Sie auch hierbei mehrere Möglichkeiten, um den CSV-Extrakt abzurufen:
HCM Extracts-Tool: Die wichtigste Möglichkeit zum Massenabruf von Daten aus Oracle HCM Cloud stellt HCM Extracts dar, ein Tool zum Generieren von Datendateien und Berichten. HCM Extracts verfügt über eine dedizierte Schnittstelle zum Angeben der zu extrahierenden Datensätze und Attribute. Mit diesem Tool haben Sie folgende Möglichkeiten:
Identifizieren von Datensätzen für die Extraktion mithilfe komplexer Auswahlkriterien
Definieren von Datenelementen in einem HCM-Extrakt mithilfe schneller Formeldatenbankelemente und -regeln
Hinweis
Informationen zum Erstellen Ihrer HCM-Extrakte finden Sie unter Define Extracts (auf oracle.com).
Oracle BI Publisher: Dieses Tool unterstützt sowohl geplante als auch ungeplante Berichte basierend auf vordefinierten Oracle Transactional Business Intelligence-Analysestrukturen oder Ihren eigenen Datenmodellen. Sie können Berichte in verschiedenen Formaten generieren. Um Oracle BI Publisher für ausgehende Integrationen zu verwenden, generieren Sie Berichte in einem Format, das für die automatische nachgelagerte Verarbeitung geeignet ist, z. B. XML oder CSV. Informationen zu den ersten Schritten beim Erstellen Ihres BI Publisher-Berichts finden Sie unter Define the BI Publisher Template in HCM Extracts (auf oracle.com).
Oracle Integration Cloud Service (OIC): Wenn Sie über ein Abonnement für OIC verfügen, können Sie die Integration mit dem Oracle HCM-Adapter (oracle.com) konfigurieren, um die erforderlichen Daten aus Oracle HCM zu extrahieren. Oracle bietet einen Leitfaden (auf oracle.com), den Sie für als Einstieg verwenden können.
Nachdem Sie die Daten Ihrer Arbeitskräfte im CSV-Format haben, verwenden Sie eine der folgenden beiden Methoden, um die Daten in SCIM-Nutzdaten zu konvertieren und die Daten an den Bereitstellungsdienst zu senden.
PowerShell: API-gesteuerte eingehende Bereitstellung mit einem PowerShell-Skript
Logic Apps: API-gesteuerte eingehende Bereitstellung mit Azure Logic Apps
Rückschreiben von Microsoft Entra ID zu Oracle HCM
Nachdem Sie die Daten Ihrer Benutzer mithilfe der API für die eingehende Bereitstellung von Oracle HCM zu Microsoft Entra ID / lokales Active Directory synchronisiert haben, sollten Sie das Rückschreiben vom Microsoft Entra-Bereitstellungsdienst in Oracle HCM konfigurieren. Das Rückschreiben ist ein Prozess, bei dem Änderungen an Benutzerattributen, die in Entra ID vorgenommen werden (z. B. Benutzername, E-Mail-Adresse und Passwort), zurück an Oracle HCM übermittelt werden. Damit wird sichergestellt, dass Ihre Benutzerdaten in beiden Systemen konsistent und korrekt sind.
Zum Konfigurieren des Rückschreibens müssen Sie die Oracle HCM-SCIM-APIs verwenden. Die Oracle HCM SCIM APIs (oracle.com) sind RESTful-Webdienste, mit denen Sie Benutzer und Benutzerinnen in Oracle HCM aus einer externen Quelle wie Entra erstellen, aktualisieren und löschen können. Sie können den bestehenden Oracle Fusion ERP Bereitstellungsconnector im Microsoft Entra App-Katalog verwenden, um eine Verbindung zu den Oracle HCM SCIM APIs herzustellen und die Benutzerattribute zuzuordnen, die Sie zurückschreiben möchten.
Um das Rückschreiben einzurichten, müssen Sie einen ausgehenden Bereitstellungsauftrag für Ihren Oracle HCM-Mandanten konfigurieren. Zum Konfigurieren des Rückschreibens benötigen Sie die folgenden Informationen:
- Nutzername und Passwort des Administrators: Sie benötigen die Details des Administratorkontos, das Zugriff auf Oracle HCM hat und die HCM User Update API aufrufen kann.
Führen Sie die folgenden Schritte aus, um den Rückschreibauftrag mithilfe des Oracle Fusion ERP-Connectors für Oracle HCM zu konfigurieren:
Suchen Sie im Microsoft Entra Enterprise App-Katalog nach der App Oracle Fusion ERP.
Weitere Informationen finden Sie unter Oracle Fusion ERP zum Konfigurieren des Rückschreibens mithilfe der Oracle Fusion ERP-App.
Wenn Sie aufgefordert werden, eine URL sowie einen Administrator-Nutzernamen und ein Passwort einzugeben, verwenden Sie die in den Anweisungen angegebene URL und geben Sie den Administrator-Nutzernamen und das Passwort des Kontos ein, das Zugriff auf Oracle HCM hat und die HCM User Update API aufrufen kann.
Folgen Sie der Anleitung im Oracle Fusion ERP-Tutorial, um Attributzuordnungen zu bearbeiten und bestimmte Benutzer wieder in Oracle HCM bereitzustellen.
Wählen Sie im Abschnitt Attributzuordnung bearbeiten nur den Vorgang Update unter Zielobjektaktionen aus.
Sie werden feststellen, dass HCM-Attribute automatisch im Abschnitt Attributzuordnungen aufgefüllt werden. Entfernen Sie Attribute, die Sie nicht rückschreiben möchten.
Speichern Sie die Einstellungen, und aktivieren Sie dann den Bereitstellungsstatus.
Verwenden Sie die Entra-Funktion Bei Bedarf bereitstellen, um die Rückschreibintegration zu testen und zu überprüfen.
Nachdem Sie den Workflow überprüft haben, starten Sie den Auftrag, und lassen Sie ihn dauerhaft in Entra ausführen, damit Ihre Daten kontinuierlich mit Oracle HCM synchronisiert werden.
Anhang
Arbeitsblatt 1: Oracle HCM-Attribute
Die Tabelle in diesem Abschnitt stellt Attribute dar, die Sie aus Oracle HCM exportieren können. Die Namen dieser Attribute können sich in Ihrem HCM-System unterscheiden, diese Liste stellt lediglich allgemeine Attribute in einer Integration für die Personalverwaltung dar. Bestimmen Sie, welche Attribute Sie für Ihre Integration exportieren möchten.
| Oracle HCM-Attribut (aus CSV-Datei) | Erforderlich oder obligatorisch |
|---|---|
| Personalnummer | Obligatorisch. |
| Kontostatus | Obligatorisch > Legen Sie den Wert für unbestimmte Arbeitskräfte auf True fest. |
| Anschrift | |
| Ort | |
| Bundesland | |
| Postleitzahl | |
| Land / Region | |
| Abteilungsname | |
| Geschäftsbereich | |
| Unternehmen | |
| Benutzername | |
| First Name (Vorname) | Obligatorisch. |
| Last Name (Nachname) | Obligatorisch. |
| Stellencode | |
| Auftragsname | |
| E-Mail-Adresse | |
| Manager | |
| Mobiltelefonnummer | |
| Telefonnummer | |
| Adresse (geschäftlich) | |
| Telefonnummer | |
| Hire Date | Erforderlich für Lebenszyklus-Workflows |
| Kündigungsdatum | Erforderlich für Lebenszyklus-Workflows |
Hinweis
Das obige Arbeitsblatt enthält leere Zeilen, sodass Sie weitere Attribute hinzufügen können, die nicht in dieser Liste enthalten sind, aber in Ihren Bereitstellungsauftrag aufgenommen werden sollen.
Arbeitsblatt 2: Attributzuordnung von Oracle HCM zu SCIM
In der Tabelle in diesem Abschnitt finden Sie eine Beispielzuordnung von Oracle HCM-Attributen zu generischen SCIM-Attributen, die von der API unterstützt werden.
| Oracle HCM-Attribut (aus CSV-Datei) | SCIM-Attribut |
|---|---|
| Personalnummer | ExternalId |
| Kontostatus | Aktiv |
| Anschrift | addresses[type eq "work"].streetAddress |
| Ort | addresses[type eq "work"].locality |
| Bundesland | addresses[type eq "work"].region |
| Postleitzahl | addresses[type eq "work"].postalCode |
| Land / Region | addresses[type eq "work"].country |
| Abteilungsname | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:department |
| Geschäftsbereich | urn:ietf:params:scim:schemas: extension:enterprise:2.0:User:division |
| Unternehmen | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
| Benutzername | displayName |
| First Name (Vorname) | name.givenName |
| Last Name (Nachname) | name.familyName |
| Stellencode | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode |
| Auftragsname | title |
| E-Mail-Adresse | emails[type eq "work"].value |
| Manager | urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:manager |
| Mobiltelefonnummer | phoneNumbers[type eq "mobile"].value |
| Telefonnummer | phoneNumbers[type eq "work"].value |
| Adresse (geschäftlich) | addresses[type eq "work"].formatted |
| Hire Date | urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate |
| Kündigungsdatum | urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate |
Arbeitsblatt 3: Definieren von Regeln für die Generierung eindeutiger IDs und die Transformation
In der Tabelle in diesem Abschnitt werden bestimmte Attribute beschrieben, die Regeln für die eindeutige Generierung oder bestimmte Transformationsregeln erfordern. Dazu gehören drei häufig verwendete Attribute, für deren Festlegung zusätzliche Regeln gelten. Weitere Informationen zum richtigen Ausfüllen dieser Attribute finden Sie unter den Links.
| Attribut | Festlegen des Attributwerts |
|---|---|
| userPrincipalName (obligatorisch) | Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung |
| SamAccountName (nur lokales AD) | Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung |
| parentDistinguishedName (nur lokales AD) | Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung |
Arbeitsblatt 4: Attributzuordnung vom lokalen AD zu SCIM
Die Tabelle in diesem Abschnitt stellt die lokalen Attribute dar, die Active Directory unterstützt. Ordnen Sie Ihre SCIM-Attribute den Attributen in dieser Tabelle zu, wenn Ihr Bereitstellungsziel Active Directory ist.
| SCIM-Attribut | Attribut im lokalen AD |
|---|---|
| ExternalId | employeeID |
| Aktiv | accountDisabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | l |
| addresses[type eq "work"].region | st |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | co |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | company |
| displayName | cn |
| name.givenName | givenName |
| name.familyName | sn |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | title |
| emails[type eq "work"].value | <Von AD generiert> |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | mobile |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | extensionAttribute2 |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | extensionAttribute3 |
Hinweis
Wenn Sie SCIM-Schemaerweiterungsattribute definieren, die kein entsprechendes Attribut im lokalen AD aufweisen, können Sie sie extensionAttributes 1–15 zuordnen oder das AD-Schema erweitern, um eine neue Hilfsobjektklasse mit den erforderlichen Attributen hinzuzufügen.
Arbeitsblatt 5: Zuordnung vom lokalen AD zu Microsoft Entra ID
Nachdem Ihre Identitäten mit dem lokalen AD synchronisiert wurden, können Sie sie über die Cloudsynchronisierung oder Microsoft Entra ID Connect an Microsoft Entra ID übertragen. Weitere Informationen zur Verwendung dieser Tools finden Sie in der verknüpften Dokumentation.
Die Tabelle in diesem Abschnitt ist eine Beispielattributzuordnung von AD-Attributen aus Arbeitsblatt 4 zu Microsoft Entra-Attributen.
Hinweis
Das benutzerdefinierte Attribut extensionAttribute1 ist der Stellencode der Arbeitskräfte. In der obigen Tabelle wurde es dem AD-Attribut extensionAttribute1 zugeordnet. Aber hier wird es dem Microsoft Entra-Attribut extensionAttribute1 zugeordnet, da es in Microsoft Entra kein entsprechendes Attribut gibt. Die Attribute extensionAttribute2 und extensionAttribute3 (Einstellungs- und Kündigungsdatum) werden entsprechend zugeordnet.
| Attribut im lokalen AD | Microsoft Entra-Attribut |
|---|---|
| streetAddress | streetAddress |
| l | Ort |
| st | bundesland |
| postalCode | postalCode |
| co | Land / Region |
| department | department |
| division | EmployeeOrgData.division |
| company | companyName |
| cn | displayName |
| givenName | givenName |
| sn | surname |
| extensionAttribute1 | extensionAttribute1 |
| title | jobTitle |
| <Von AD generiert> | |
| manager | manager |
| mobile | mobile |
| telephoneNumber | telephoneNumber |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| extensionAttribute2 | employeeHireDate |
| extensionAttribute3 | employeeLeaveDateTime |
Arbeitsblatt 6: Attributzuordnung von SCIM zu Microsoft Entra
Die Tabelle in diesem Abschnitt stellt die Attribute dar, die Microsoft Entra ID unterstützt. Ordnen Sie Ihre SCIM-Attribute den Attributen in dieser Tabelle zu, wenn Ihr Bereitstellungsziel Microsoft Entra ID ist. Informationen zum Hinzufügen von benutzerdefinierten SCIM-Attributen zu Ihrer Kataloganwendung finden Sie unter Erweitern der API-gesteuerten Bereitstellung zum Synchronisieren benutzerdefinierter Attribute.
| SCIM-Attribut | Microsoft Entra-Attribut |
|---|---|
| ExternalId | employeeId |
| Aktiv | accountEnabled |
| addresses[type eq "work"].streetAddress | streetAddress |
| addresses[type eq "work"].locality | Ort |
| addresses[type eq "work"].region | bundesland |
| addresses[type eq "work"].postalCode | postalCode |
| addresses[type eq "work"].country | Land / Region |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division | EmployeeOrgData.division |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization | companyName |
| displayName | displayName |
| name.givenName | givenName |
| name.familyName | surname |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:JobCode | extensionAttribute1 |
| title | jobTitle |
| emails[type eq "work"].value | |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
| phoneNumbers[type eq "mobile"].value | mobile |
| phoneNumbers[type eq "work"].value | telephoneNumber |
| addresses[type eq "work"].formatted | physicalDeliveryOfficeName |
| urn:ietf:params:scim:schemas:extension:COMPANYNAME:1.0:User:HireDate | employeeHireDate |
| urn:ietf:params:scim:schemas:extension:COMPANYAME:1.0:User:TermDate | employeeLeaveDateTime |
Danksagung
Wir danken den folgenden Personen für ihre Hilfe beim Erstellen und Überprüfen dieses Tutorials:
- Michael Starkweather, Director bei PwC
- Rob Allen, Director of Architecture and Technology bei ActiveIdM
- Ray Nalette, Technical Delivery Manager bei ActiveIdM
- Randy Robb, Principal Consultant bei Oxford Computer Group
- Frank Urena, Principal Architect bei Oxford Computer Group
- Nick Herbert, Vice President of Sales bei Oxford Computer Group
- Steve Brugger, CEO der Oxford Computer Group