接続の作成の前提条件

Oracle HCM Cloudをサブスクライブします

Oracle HCM Cloudにサブスクライブします。このアクションにより、正しい権限を持つOracle HCM Cloudユーザー・アカウントを作成できます。接続ページで「Oracle HCM Cloudアダプタ」接続を作成するときに、このユーザー・アカウントを指定します。

接続ページでのこれらの資格証明の指定の詳細は、「接続セキュリティの構成」を参照してください。サブスクライブの詳細は、Oracle HCM Cloudを参照してください。

Oracle HCM CloudインスタンスでのAtomフィードおよびREST API機能へのアクセスのリクエスト

Oracle HCM Cloud AtomフィードとOracle HCM Cloud REST APIのサポートは、デフォルトでOracle Integrationの「Oracle HCM Cloudアダプタ」で使用できます。ただし、Oracle HCM Cloudアプリケーションでは、まずOracle HCM CloudインスタンスのAtomフィードおよびREST API機能へのアクセスをリクエストする必要があります。

My Oracle Support Note 2060899.1で説明されているステップを参照してください。 Oracle HCM Cloudアプリケーションでこれらを有効にすると、AtomフィードとREST APIがOracle Integrationの「Oracle HCM Cloudアダプタ」に表示されます。

統合ユーザーへの必要なロールの割当て

統合で「Oracle HCM Cloudアダプタ」を使用するには、統合ユーザーに特定のロールを割り当てる必要があります。

統合ユーザーと次のロールおよび特権の関連付け

ユーザーには、次のロールと権限を関連付けます。

ロール	説明
ALL_INTEGRATION_POINTS_ALL_DATA	リリース12以降、このロールはサポートされなくなりました。既存の顧客がリリース12にアップグレードすると、このロールを持つユーザーはセキュリティ・コンソールから隠されていますが、引き続き使用します。リリース12以降で新規統合ユーザーを作成する場合は、このロールを割り当てることはできません。
ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB	人材管理統合スペシャリストこのロールはリリース12および13に適用されます。
添付ユーザー	HCM統合サービスでログファイルまたは出力ファイルをダウンロードするための添付ファイル・セキュリティ・グループへのアクセスを提供します。リリース12から、このロールは自動的に出荷されます。このロールが自動的にユーザーに割り当てられることを確認する必要があります。
SOAOperator	SOAオペレータのロール。
FND_MANAGE_CATALOG_SERVICE_PRIV	Webサービス・カタログを管理するためのロール。
Oracle CRM Cloud実装の場合は、Customer Relationship Managementアプリケーション管理者ロールを割り当てることもできます。	「CX SalesおよびB2B Serviceのセキュリティ・リファレンス」の「顧客関係管理アプリケーション管理者(ジョブ・ロール)」を参照してください。

各インタフェースの要件に応じて、追加のロールが必要になることがあります。

セキュリティ・コンソールの使用

セキュリティ・コンソールを使用して、ロール、ユーザー、証明書、および管理タスクなどのアプリケーション・セキュリティを管理します。セキュリティ・コンソールへのアクセスは、あらかじめ定義された「セキュリティ・マネージャ」ロールによって提供されます。次の方法でセキュリティ・コンソールにアクセスします:

設定とメンテナンス・ワークエリアで、ジョブ・ロールの管理または職務の管理タスクを使用します。
「ナビゲータ」 > 「ツール」 > 「セキュリティ・コンソール」を選択します。

「図sales_cloud_security.pngの説明」

HCMデータ・ローダーを使用するためのHCM-compliant.datファイルの作成

HCMデータ・ローダーを使用してデータをバルク・ロードおよび管理する場合は、HCM準拠の.datファイルを作成する必要があります。手順については、Oracle HCM Cloudのドキュメントを参照してください。

Oracle WebCenterコンテンツへのファイルのアップロード

「Oracle HCM Cloudアダプタ」を使用してOracle WebCenter Content (Universal Content Manager)にファイルをアップロードする場合は、次の前提条件を満たす必要があります。

暗号化ファイルのアップロード用のPGP公開キーを作成します:

暗号化されたファイルをアップロードするには、PGP公開キーが必要です。 PGP公開キーを生成し、アップロード用に保存する必要があります。公開キーでサポートされているアルゴリズムは、暗号化ではRSAであり、キーサイズは1024ビットの長さである必要があります。

Oracle HCM Cloudにファイルをアップロードする手順は次のとおりです。
- Oracle HCM Cloud公開キーを使用してファイルを暗号化します。
- データ・ロード・プロセスでは、Oracle HCM Cloud秘密キーを使用してファイルを復号化します。
「HCMデータ・ローダー」の「ファイル転送の暗号化の設定」を参照してください。
セキュリティおよびユーザー・アクセスの構成

アップロードするファイルのセキュリティ・グループおよびドキュメント・アカウントを構成したら、「Oracle HCM Cloudアダプタ」を構成してファイルをOracle WebCenterコンテンツにアップロードできます。

OAuth認可コード資格証明セキュリティ・ポリシーを設定するための前提条件の実行

Oracle Fusion Applicationsアイデンティティ・ドメインまたはOracle Fusion Applications以外のアイデンティティ・ドメイン(Oracle Integrationアイデンティティ・ドメインなど)を使用してOAuth認可コード資格証明セキュリティ・ポリシーを設定するには、次の前提条件を実行します。

トピック:

Oracle Fusion Applicationsアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定
Oracle Fusion Applications以外のアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定
ノート:
Oracle Fusion Applications以外のアイデンティティ・ドメインの使用は廃止されています。
- Oracle Fusion Applicationsアイデンティティ・ドメインのOAuth認可コード資格証明セキュリティ・ポリシーを使用して、すべての新規接続を作成します。「Oracle Fusion Applicationsアイデンティティ・ドメインでのOAuth認可コード資格証明セキュリティ・ポリシーの設定」を参照してください。
- Oracle Fusion Applications以外のアイデンティティ・ドメイン(Oracle Integrationアイデンティティ・ドメインなど)を使用する既存の顧客は、今年中に完了した日付でOracle Fusion Applicationsアイデンティティ・ドメインへの移行をスケジュール中です。 Identity Upgrade Overviewを参照してください。
  移行後、次を再構成する必要があります。
  - Oracle Fusion Applicationsアイデンティティ・ドメインを指すように、Oracle CloudコンソールでOAuthリソース設定を再構成します。「Oracle Fusion Applicationsアイデンティティ・ドメインでのOAuth認可コード資格証明セキュリティ・ポリシーの設定」を参照してください。
  - OAuth認可コード資格証明のセキュリティ・ポリシー接続(クライアントID、クライアント・シークレット、認可コードURI、アクセス・トークンURIなど)を再構成します。同意を確認し、接続をテストします。「接続セキュリティの構成」を参照してください。
  - 更新された接続を使用して統合を再アクティブ化します。接続更新後の統合の再アクティブ化を参照してください。

Oracle Fusion Applicationsアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsリソースを表すリソース・アプリケーションを作成し、OAuth認可コード資格証明セキュリティ・ポリシーを使用するには、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。これらのタスクが完了したら、接続ページで接続を正常に構成できます。 Oracle Fusion Applicationsにアップロードするために、JWT署名証明書を作成する必要はありません。

Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成

Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションを作成します。
1. ドメイン管理者としてアイデンティティ・ドメインにログインします。
2. メニュー・バーで、「アイデンティティ&セキュリティ」をクリックします。
3. 「ドメイン」をクリックします。
4. コンパートメントを選択します。
5. アイデンティティ・ドメインをクリックします。
6. メニュー・バーで、「統合アプリケーション」をクリックします。
  これは、権限付与タイプのクライアント・アプリケーションを作成するロケーションです。
7. 「Add application」をクリックします。
8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
1. 名前(FA Resourceなど)を指定し、「送信」をクリックします。
2. 「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
3. 「リソース・サーバー構成」セクションで、「このアプリケーションをリソース・サーバーとして今すぐ構成」を選択します。
4. (オプション)「OAuthを保護する必要があるアプリケーションAPIの構成」セクションで、「アクセス・トークンの有効期限(秒)」リストから値を選択します。
5. 「トークンの更新を許可」トグルをクリックします。
6. 「リフレッシュ・トークンの有効期限」(秒)リストで、値を選択します。
7. 「プライマリ・オーディエンス」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。これは、トークンが処理されるプライマリ受信者です。
```
https://FA_URL:443
```
8. 「スコープの追加」トグルをクリックし、「追加」をクリックします。
9. 「スコープ」フィールドに/と入力します。
10. 「説明」フィールドに「すべて」と入力します。
11. 「ユーザーの同意が必要」を選択します。
12. 「追加」をクリックし、「送信」をクリックします。
13. 上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するアプリケーションをアクティブ化します。リソースを表すリソース・サーバーがアクティブになりました。

Oracle Integrationの機密クライアント・アプリケーションの作成

アイデンティティ・ドメイン管理者としてOracle Cloudコンソールにサインインします。
メニュー・バーで、「アイデンティティ&セキュリティ」をクリックします。
「ドメイン」をクリックします。
コンパートメントを選択します。
アイデンティティ・ドメインをクリックします。
メニュー・バーで、「統合アプリケーション」をクリックします。
「Add application」をクリックします。
「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
名前を入力します。このページの残りのフィールドはオプションであり、無視してかまいません。
「送信」をクリックします。
「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
「クライアント構成」パネルで、「このアプリケーションをクライアントとして今すぐ構成」を選択します。
認可コードの場合は、「許可された付与タイプ」セクションで「トークンのリフレッシュ」および「認証コード」を選択します。

「リダイレクトURL」フィールドに、クライアント・アプリケーションのリダイレクトURLを入力します。ユーザー・ログイン後、このURLは認可コードでリダイレクトされます。複数のリダイレクトURLを指定できます。これは、複数のインスタンスがあるが、ライセンスの問題が原因でクライアント・アプリケーションが1つのみである開発環境に役立ちます。たとえば:

ノート:

次の情報がわからない場合は、管理者に確認してください:

インスタンスが新規であるか、Oracle Integration Generation 2からOracle Integration 3にアップグレードされた場合。
リージョンを含む完全なインスタンスURL (新しいインスタンスで必要)。

接続用… リダイレクトURLの一部としてリージョンを含めますか。指定するリダイレクトURLの例…

接続用…	リダイレクトURLの一部としてリージョンを含めますか。	指定するリダイレクトURLの例…
新しいOracle Integration 3インスタンスで作成されます	はい	`https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback`
Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます	番号このことは両方とも該当します: アップグレード後に作成された新しい接続アップグレードの一部であった既存の接続	`https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback`

新しいOracle Integration 3インスタンスで作成されます

はい

https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback

Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます

番号

このことは両方とも該当します:

アップグレード後に作成された新しい接続
アップグレードの一部であった既存の接続

https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback

OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

「リソースの追加」トグルをクリックします。
「スコープの追加」をクリックして、適切なスコープを追加します。
Oracle Fusion Applicationsインスタンスがアイデンティティ・ドメインとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが、選択するリソースの中でリストされます。これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。
「Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成」で作成されたOracle Fusion Applicationsリソース・アプリケーションを検索します。
リソースを検索して展開します。
スコープを選択し、「追加」をクリックします。
「送信」をクリックします。
「詳細」ページには、クライアントIDおよびクライアント・シークレットの値が「一般情報」セクションに表示されます。

これらの値をコピーして保存します。この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。

接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

その場合...	結果
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

その場合...

結果

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。

前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。

一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するクライアント・アプリケーションをアクティブ化します。

「同意」をクリックしたときに発生するエラーの解決

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
接続ページに戻り、接続を再テストします。
今回は接続に成功しました。

Oracle Fusion Applications以外のアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsとアイデンティティ・ドメインの間に信頼を設定し、OAuth認可コード資格証明セキュリティ・ポリシーを使用するには、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。これらのタスクが完了したら、接続ページで接続を正常に構成できます。このオプションは、Oracle Fusion Applications以外のアイデンティティ・ドメイン(Oracle Integrationアイデンティティ・ドメインなど)と統合する場合に使用します。

ノート:

Oracle Fusion Applications以外のアイデンティティ・ドメインの使用は廃止されています。このアイデンティティ・ドメインを使用している顧客は移行中です。 Identity Upgrade Overviewを参照してください。

Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定

Oracle Integrationのアイデンティティ・ドメインからJWK署名証明書を取得します。
1. 署名証明書エンドポイントを付与するアイデンティティ・ドメイン・エンドポイントのREST APIを取得します。たとえば:
```
/admin/v1/SigningCert/jwk
```
  「アイデンティティ・ドメインREST APIの開始」を参照してください。
2. エンドポイントをコピーします。
3. Oracle CloudコンソールまたはOracle Integrationの「情報」メニューからアイデンティティ・ドメインURLを取得します。
4. そのURLを署名証明書の前面に追加し、ツール(postmanなど)を使用してREST APIを起動します。たとえば:
```
https://identity_domain_URL.identity.oraclecloud.com/admin/v1/SigningCert/jwk
```
5. GETコールを実行して、署名キーのペイロードを取得します。ペイロードには2つのセクションがあります:
  - アイデンティティ・ドメイン署名キー
  - 認証局(CA)署名キー
  受信したレスポンスのタイプの例が提供されています。「テナント署名証明書をJWK形式で取得」を参照してください。
6. 両方の署名キー・セクションを個別のファイルにコピーします。ファイルのヘッダーおよびフッターは、Oracle Fusion Applicationsに正常にアップロードするために、次の正確な形式である必要があります:
```
-----BEGIN CERTIFICATE-----
 content_of_signing_key
. . .
. . .
-----END CERTIFICATE-----
```
  コンテンツを検証できます。たとえば:
```
openssl x509 -in identity.cert -noout -text
```
次の詳細を含むOracle Fusion Applicationsサポートを使用して、サービス・リクエスト(SR)を提出します:
- SR要約: Oracle Fusion ApplicationsとOCIアイデンティティ・ドメイン間の信頼の設定
- カテゴリ: ログイン、ログアウトおよびSSO
アップロードする証明書を添付します。証明書を自分でアップロードすることはできません。
Oracle Fusion Applicationsリソースを表すリソース・アプリケーションをOracle Integrationアイデンティティ・ドメインに作成します。
1. ドメイン管理者としてアイデンティティ・ドメインにログインします。
2. ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
3. 「ドメイン」をクリックします。
4. コンパートメントを選択します。
5. アイデンティティ・ドメインをクリックします。
6. ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
7. 「Add application」をクリックします。
8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
9. 名前(FA Resourceなど)を指定し、「送信」をクリックします。
10. 「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
11. 「リソース・サーバー構成」セクションで、「このアプリケーションをリソース・サーバーとして今すぐ構成」をクリックします。
12. (オプション)「OAuthを保護する必要があるアプリケーションAPIの構成」セクションで、「アクセス・トークンの有効期限(秒)」リストから値を選択します。
13. 「トークンの更新を許可」トグルをクリックします。
14. 「リフレッシュ・トークンの有効期限」(秒)リストで、値を選択します。
15. 「主な読者」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。これは、トークンが処理されるプライマリ受信者です。
```
https://FA_URL:443
```
16. 「スコープの追加」トグルをクリックし、「追加」をクリックします。
17. 「スコープ」フィールドに/と入力します。
18. 「説明」フィールドに「すべて」と入力します。
19. 「ユーザーの同意が必要」を選択します。
20. 「追加」をクリックし、「送信」をクリックします。
21. 上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するクライアント・アプリケーションをアクティブ化します。

(オプション)ローカル・ユーザーの作成

ノート:

Oracle Fusion Applicationsユーザーがアイデンティティ・ドメインまたは使用しているアイデンティティ・プロバイダとフェデレートされていない場合は、次のステップが必要です。

アイデンティティ・ドメインのローカル・ユーザーを作成します。「慎重」次の表を参照して、すでにローカル・ユーザーが存在するかどうかを確認します。

シナリオ	ローカル・ユーザーを作成する必要がありますか。
Oracle Integrationを保護しているアイデンティティ・ドメインとフェデレートされたOracle Fusion Applicationsユーザーがいます。	番号ローカル・アイデンティティ・ドメインのOracle Fusion Applicationsユーザーを作成する必要はありません。これは、アイデンティティ・ドメインがリポジトリにすでにOracle Fusion Applicationsユーザーを持っているためです。
Oracle Fusion Applicationsと、Oracle Integrationを保護しているアイデンティティ・ドメインとの間にフェデレーションがありません。	はい Oracle IntegrationのOAuth設定で使用するローカル・アイデンティティ・ドメインOracle Fusion Applicationsユーザーを作成する必要があります。

アイデンティティ・ドメイン管理者は、Oracle Fusion Applicationsのユーザーと一致する非フェデレーテッド・ローカル・ユーザー名をアイデンティティ・ドメインに作成する必要があります。 Oracle Fusion Applications RESTエンドポイントをすでに使用および起動している場合は、Oracle Fusion ApplicationsのRESTエンドポイントを起動するために必要なロールおよびアクセス権を持つユーザーをすでに作成している可能性があります。このユーザーは、アイデンティティ・ドメインに作成され、ローカル・ユーザー・パスワードを持っている必要があります。

Oracle Integrationの機密クライアント・アプリケーションの作成

アイデンティティ・ドメイン管理者としてOracle Cloudコンソールにサインインします。
ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
「ドメイン」をクリックします。
コンパートメントを選択します。
アイデンティティ・ドメインをクリックします。
ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
「Add application」をクリックします。
「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
名前を入力します。このページの残りのフィールドはオプションであり、無視してかまいません。
「送信」をクリックします。
「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
「クライアント構成」ボックスで、「このアプリケーションをクライアントとして構成」を選択します。
認可コードの場合は、「許可された付与タイプ」セクションで「トークンのリフレッシュ」および「認証コード」を選択します。

「リダイレクトURL」フィールドに、クライアント・アプリケーションのリダイレクトURLを入力します。ユーザー・ログイン後、このURLは認可コードでリダイレクトされます。複数のリダイレクトURLを指定できます。これは、複数のインスタンスがあるが、ライセンスの問題が原因でクライアント・アプリケーションが1つのみである開発環境に役立ちます。たとえば:

ノート:

次の情報がわからない場合は、管理者に確認してください:

インスタンスが新規であるか、Oracle Integration Generation 2からOracle Integration 3にアップグレードされた場合。
リージョンを含む完全なインスタンスURL (新しいインスタンスで必要)。

接続用… リダイレクトURLの一部としてリージョンを含めますか。指定するリダイレクトURLの例…

接続用…	リダイレクトURLの一部としてリージョンを含めますか。	指定するリダイレクトURLの例…
新しいOracle Integration 3インスタンスで作成されます	はい	`https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback`
Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます	番号このことは両方とも該当します: アップグレード後に作成された新しい接続アップグレードの一部であった既存の接続	`https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback`

新しいOracle Integration 3インスタンスで作成されます

はい

https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback

Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます

番号

このことは両方とも該当します:

アップグレード後に作成された新しい接続
アップグレードの一部であった既存の接続

https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback

OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

「スコープの追加」トグルをクリックし、「追加」をクリックします。
Oracle Fusion Applicationsインスタンスがアイデンティティ・ドメインとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが、選択するリソースの中でリストされます。これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。
「Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定」で作成されたOracle Fusion Applicationsリソース・アプリケーションを検索します。
リソースを検索して展開します。
スコープを選択し、「追加」をクリックします。
「送信」をクリックします。
詳細ページには、クライアントIDおよびクライアント・シークレットの値が表示されます。

これらの値をコピーして保存します。この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。

接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

その場合...	結果
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

その場合...

結果

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。

前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。

一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するクライアント・アプリケーションをアクティブ化します。

非フェデレーテッド・ユーザー・アカウントで接続をテストする際の潜在的なエラーの回避

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
接続ページに戻り、接続を再テストします。
今回は接続に成功しました。

ロケーション・ベースのアクセス制御(LBAC)のステータスの確認

Fusion Applications (Oracle HCM Cloudの場合)のロケーション・ベースのアクセス制御(LBAC)を有効にしているかどうかを確認します。

LBACが有効な場合、LBACで許可リスト(識別されたエンティティへのアクセスを明示的に許可) Oracle Integration NATゲートウェイIPアドレスを許可する必要があります。このタスクを実行しないと、Oracle Fusion Applicationsから401 Access Deniedエラーまたは403 Forbiddenエラーを受信できます。

「SCMの保護」の「ロケーション・ベースのアクセスの仕組み」およびOracle Support ServicesのDoc ID 2615294.1を参照してください。

JWTユーザー・アサーション・セキュリティ・ポリシーを使用するための前提条件の実行

JWTユーザー・アサーション・セキュリティ・ポリシーを使用するには、前提条件を実行する必要があります。

トピック:

JWTユーザー・アサーション・セキュリティ・ポリシーを使用するための機密アプリケーションの構成

秘密キーを生成し、JWTユーザー・アサーション・セキュリティ・ポリシーを使用するように機密アプリケーションを構成する必要があります。

「Oracle Integration 3でのRESTアダプタの使用」の「JWTユーザー・アサーションの前提条件」を参照してください。

アウトバウンド使用のためのJWTアサーションの構成

JWTアサーションを使用するには、次の前提条件を実行します。

「JWTユーザー・アサーション・セキュリティ・ポリシーを使用するための機密アプリケーションの構成」で生成した秘密キーを取得し、証明書ページにアップロードします。「外部サービスに接続するための証明書のアップロード」を参照してください。
通常、サービス・プロバイダは、署名キーおよび形式の生成方法について説明します。例については、「必要なキーとOCID」を参照してください。

JWTヘッダーおよびJWTペイロードJSONファイルを作成します。 JWTアサーションをサポートするようにアダプタを構成するときに、「接続」ページで両方のファイルをアップロードします。

JWTペイロードJSONファイルに関する次の詳細に注意してください:

iss、exp、subおよびaud要求は必須です。Oracle Integrationは、これらの要求が存在することを検証します。アップロードする内容は、コールしようとしているプロバイダによって異なります。たとえば、NHSでは追加の請求が必要になる場合があります。
iat (発行場所)、exp (有効期限)、nbf (前以外)およびjti (JWT ID)クレームは、JWTペイロードJSONファイルに存在する場合、動的に計算されます。これらの要求の値を手動で指定すると、動的に計算された値に置き換えられます。
残りの請求はオプションであり、コールしているプロバイダによって異なります。

たとえば:

JWTヘッダーJSONファイルの例 JWTペイロードJSONファイルの例

JWTヘッダーJSONファイルの例	JWTペイロードJSONファイルの例
`{ "alg" : "RS256", "typ": "JWT", "kid": "fajwt2" }` 説明: `alg`: 使用するアルゴリズム。 `typ`: JWTアサーションは通常、`JWT`に設定されます。 `kid`: 一意に生成され、アップロードされた署名キーに関連付けられているキー識別子。	`{ "iss": "f6c9d437eed64e2a8f2b045e39e2e03f", "sub": "admin.user", "aud": "https://identity.oraclecloud.com/", "exp": "1739412427" "iat": "1727372629" "jti": "12345" }` 説明: JWT発行者(`iss`): アサーションを発行したエンティティの一意の識別子。これは通常、アサーションの署名または整合性の保護に使用されるキー・マテリアルを保持するエンティティです。発行者の例は、OAuthクライアント(アサーションが自己発行されている場合)およびサード・パーティのセキュリティ・トークン・サービスです。アサーションが自己発行の場合、発行者の値はクライアント識別子(`client_id`)になります。アサーションがセキュリティ・トークン・サービス(STS)によって発行された場合、発行者は、認可サーバーによって認識される方法でSTSを識別する必要があります。アサーションには発行者が含まれている必要があります。 JWTサブジェクト(`sub`): 通常、サブジェクトは、アクセス・トークンがリクエストされている認可されたアクセサ(リソース所有者または認可された委任者)を識別します。場合によっては、匿名ユーザーを示す疑似匿名識別子やほかの値になることがあります。クライアントが自身のかわりに動作している場合、サブジェクトはクライアント`client_id`の値である必要があります。アサーションにはサブジェクトが含まれている必要があります。 JWTオーディエンス(`aud`): アサーションを処理するパーティを識別する値。アサーションには、認可サーバーを目的のオーディエンスとして識別するオーディエンスが含まれている必要があります。認可サーバーは、目的のオーディエンスとして独自のアイデンティティを含まないアサーション(この場合は、Oracle Cloud Infrastructure Identity and Access Managementアイデンティティ・ドメインの場合は`https://identity.oraclecloud.com/`)を拒否する必要があります。有効期限(`exp`): アサーションが期限切れになる時間。シリアライズはアサーション形式によって異なる場合がありますが、時間はタイムゾーン・コンポーネントなしでUTC形式で表す必要があります。アサーションには、アサーションを使用できる期間を制限する期限切れエンティティが含まれている必要があります。認可サーバーは期限切れのアサーションを拒否する必要があります(システム間で許容されるクロック・スキューに従います)。認可サーバーは、今後不合理な属性値でexpires-atのアサーションを拒否することがあります。 (`iat`)で発行: JWTが発行された時間。 JWT識別子(`jti`): JWTの一意の識別子。これにより、リプレイ攻撃を防止し、トークンを1回のみ使用できるようになります。

{
    "alg" : "RS256",
    "typ": "JWT",
    "kid": "fajwt2"
}

説明:

alg: 使用するアルゴリズム。
typ: JWTアサーションは通常、JWTに設定されます。
kid: 一意に生成され、アップロードされた署名キーに関連付けられているキー識別子。

{
    "iss": "f6c9d437eed64e2a8f2b045e39e2e03f",
    "sub": "admin.user",
    "aud": "https://identity.oraclecloud.com/",
    "exp": "1739412427"
    "iat": "1727372629"
    "jti": "12345"
  }

説明:

JWT発行者(iss): アサーションを発行したエンティティの一意の識別子。これは通常、アサーションの署名または整合性の保護に使用されるキー・マテリアルを保持するエンティティです。発行者の例は、OAuthクライアント(アサーションが自己発行されている場合)およびサード・パーティのセキュリティ・トークン・サービスです。アサーションが自己発行の場合、発行者の値はクライアント識別子(client_id)になります。アサーションがセキュリティ・トークン・サービス(STS)によって発行された場合、発行者は、認可サーバーによって認識される方法でSTSを識別する必要があります。アサーションには発行者が含まれている必要があります。
JWTサブジェクト(sub): 通常、サブジェクトは、アクセス・トークンがリクエストされている認可されたアクセサ(リソース所有者または認可された委任者)を識別します。場合によっては、匿名ユーザーを示す疑似匿名識別子やほかの値になることがあります。クライアントが自身のかわりに動作している場合、サブジェクトはクライアントclient_idの値である必要があります。アサーションにはサブジェクトが含まれている必要があります。
JWTオーディエンス(aud): アサーションを処理するパーティを識別する値。アサーションには、認可サーバーを目的のオーディエンスとして識別するオーディエンスが含まれている必要があります。認可サーバーは、目的のオーディエンスとして独自のアイデンティティを含まないアサーション(この場合は、Oracle Cloud Infrastructure Identity and Access Managementアイデンティティ・ドメインの場合はhttps://identity.oraclecloud.com/)を拒否する必要があります。
有効期限(exp): アサーションが期限切れになる時間。シリアライズはアサーション形式によって異なる場合がありますが、時間はタイムゾーン・コンポーネントなしでUTC形式で表す必要があります。アサーションには、アサーションを使用できる期間を制限する期限切れエンティティが含まれている必要があります。認可サーバーは期限切れのアサーションを拒否する必要があります(システム間で許容されるクロック・スキューに従います)。認可サーバーは、今後不合理な属性値でexpires-atのアサーションを拒否することがあります。
(iat)で発行: JWTが発行された時間。
JWT識別子(jti): JWTの一意の識別子。これにより、リプレイ攻撃を防止し、トークンを1回のみ使用できるようになります。

Oracle HCM Cloud Service Catalog Service WSDLまたはイベント・カタログURLの指定

必須のOracle HCM Cloudサービス・カタログ・サービスWSDL (ビジネス・オブジェクトにアクセスするため)およびオプションで(イベント・サブスクリプションにアクセスするための)イベント・カタログURLを指定する必要があります。

Oracle HCM Cloud Catalog Service WSDLの取得

WSDL要件	WSDLの入手先
URLはサービス・カタログ・サービスWSDLのものにしてください。サービス・カタログ・サービスを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Oracle Fusion Applicationサービス・エンドポイントに関する情報を取得できます。それによって返される情報は、特定のクラウド・インスタンスに固有のものであり、インスタンスに適用されるパッチで導入されている新しいサービスも反映します。このサービスは、クラウド・インスタンス上で利用可能なSOAPサービスをプログラムによって見つけ出し、必要なメタデータを取得して、ビジネス・オブジェクトを管理するSOAPサービスを呼び出します。	Oracle HCM Cloud接続を作成する開発者は、Oracle HCM Cloudサービス管理者と協力して、特定のSaaSアプリケーションにプロビジョニングされたサービス・カタログ・サービスの具象WSDL URLを取得する必要があります。具体的なWSDL URLは、接続の作成中に提供する必要があります。

WSDL要件

WSDLの入手先

URLはサービス・カタログ・サービスWSDLのものにしてください。サービス・カタログ・サービスを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Oracle Fusion Applicationサービス・エンドポイントに関する情報を取得できます。それによって返される情報は、特定のクラウド・インスタンスに固有のものであり、インスタンスに適用されるパッチで導入されている新しいサービスも反映します。このサービスは、クラウド・インスタンス上で利用可能なSOAPサービスをプログラムによって見つけ出し、必要なメタデータを取得して、ビジネス・オブジェクトを管理するSOAPサービスを呼び出します。

Oracle HCM Cloud接続を作成する開発者は、Oracle HCM Cloudサービス管理者と協力して、特定のSaaSアプリケーションにプロビジョニングされたサービス・カタログ・サービスの具象WSDL URLを取得する必要があります。具体的なWSDL URLは、接続の作成中に提供する必要があります。

前提条件

この項では、トークン化されたサービスWSDLの外部仮想ホストとポートを導出する方法について説明します。トポロジ登録設定タスクのトポロジ情報には、ドメインやアプリケーションの外部の仮想ホストとポートが含まれます。次に、サービス・カタログ・サービスのWSDL URL (例: https://atf_server:port/fndAppCoreServices/ServiceCatalogService)を使用して値を抽出するステップについて説明します。

トポロジのレビュー・ページにアクセスするには、ユーザーのジョブ・ロールにASM_REVIEW_TOPOLOGY_HIERARCHY_PRIV資格を付与する必要があります。資格は、ASM_APPLICATION_DEPLOYER_DUTY義務ロールに付与されます。これは、義務ロールASM_APPLICATION_DEVELOPER_DUTYおよびASM_APPLICATION_ADMIN_DUTYによって継承されます。

次の手順で説明するメニュー項目とタスクがクラウド・サービスで利用できない場合、アカウントで必要なロールが欠落しています。このような場合は、クラウド・インスタンスのセキュリティ管理者に連絡してください。

クラウド・インスタンスにログインします。
ウィンドウ上部のグローバル領域でナビゲータアイコンをクリックして、見出し「ツール」の「セットアップとメンテナンス」を選択します。
ウィンドウの左側にある「タスク」リージョン・リージョン内のトポロジ登録セクションの下のテクノロジーのレビューを選択します。
ウィンドウ中央の詳細タブをクリックします。

タブには、クラウド・インスタンスで構成されているドメインのリストが表示されます。
「
図osc_get_wsdl_detals.pngの説明」

トポロジ・マネージャで、サービス・パス値のトークン名とドメイン名をマップします。

サービス・パスのトークン名	ドメイン名
atf_server	CommonDomain
crm_server	CRMDomain
fin_server	FinancialDomain
hcm_server	HCMDomain
ic_server	ICDomain
prc_server	ProcurementDomain
prj_server	ProjectsDomain
scm_server	SCMDomain

ドメイン名を展開し、ドメインにデプロイされるJ2EEアプリケーションの外部の仮想ホストとポートを選択します。サンプル・ウィンドウでは、この特定のインスタンスの値は、それぞれfs-your-cloud-hostnameおよび443です。
「
図osc_get_wsdl_detals2.pngの説明」
domainName_server:PortNumberを、前のステップで特定した外部の仮想ホストとポートに置き換えます。たとえば:

https://fs-your-cloud-hostname:port/fndAppCoreServices/ServiceCatalogService?wsdl

イベント・カタログURLの取得

CRMアプリケーション・ユーザー・インタフェースにアクセスするには、CRM URL形式を知る必要があります。 URL形式に従って、イベント・カタログURLを決定します。たとえば、次のようなCRM URL形式だとします。

https://fusxxxx-crm-ext.us.oracle.com/customer/faces/CrmFusionHome

その場合、イベント・カタログURLは次のようになります。

https://fusxxxx-crm-ext.us.oracle.com/soa-infra

Fusion Applicationsリリース10から12まで

次のメソッドで、Oracle Fusion Applicationsリリース10〜12のサービス・カタログ・サービスWSDLおよびインタフェース・カタログURLを取得します。

11を通したリリース10のサービス・カタログ・サービスWSDLの取得

WSDL要件	WSDLの入手先
URLはサービス・カタログ・サービスWSDLのものにしてください。サービス・カタログ・サービスは、統合用として使用可能な外部サービスのリストを返すFusion Applicationサービスです。それを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Fusion Applicationサービス・エンドポイントに関する情報を取得できます。サービス・カタログ・サービスを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Oracle Fusion Applicationサービス・エンドポイントに関する情報を取得できます。それによって返される情報は、特定のクラウド・インスタンスに固有のものであり、インスタンスに適用されるパッチで導入されている新しいサービスも反映します。このサービスは、クラウド・インスタンス上で利用可能なSOAPサービスをプログラムによって見つけ出し、必要なメタデータを取得して、ビジネス・オブジェクトを管理するSOAPサービスを呼び出します。	Oracle HCM Cloud接続を作成する開発者は、Oracle HCM Cloudサービス管理者と協力して、特定のSaaSアプリケーション用としてプロビジョニングされたサービス・カタログ・サービスの具体的なWSDL URLを取得する必要があります。

WSDL要件

WSDLの入手先

URLはサービス・カタログ・サービスWSDLのものにしてください。サービス・カタログ・サービスは、統合用として使用可能な外部サービスのリストを返すFusion Applicationサービスです。それを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Fusion Applicationサービス・エンドポイントに関する情報を取得できます。

サービス・カタログ・サービスを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Oracle Fusion Applicationサービス・エンドポイントに関する情報を取得できます。それによって返される情報は、特定のクラウド・インスタンスに固有のものであり、インスタンスに適用されるパッチで導入されている新しいサービスも反映します。このサービスは、クラウド・インスタンス上で利用可能なSOAPサービスをプログラムによって見つけ出し、必要なメタデータを取得して、ビジネス・オブジェクトを管理するSOAPサービスを呼び出します。

Oracle HCM Cloud接続を作成する開発者は、Oracle HCM Cloudサービス管理者と協力して、特定のSaaSアプリケーション用としてプロビジョニングされたサービス・カタログ・サービスの具体的なWSDL URLを取得する必要があります。

この項では、トークン化されたサービス・カタログ・サービスWSDLの外部の仮想ホストとポートを抽出する方法について説明します。トポロジ登録設定タスクのトポロジ情報には、ドメインやアプリケーションの外部の仮想ホストとポートが含まれます。次に、サービス・カタログ・サービスのWSDL URL (例: https://atf_server:port/fndAppCoreServices/ServiceCatalogService)を使用して値を抽出するステップについて説明します。

トポロジの確認ページにアクセスするには、ASM_REVIEW_TOPOLOGY_HIERARCHY_PRIV資格をユーザーのジョブ・ロールに付与する必要があります。資格は、ASM_APPLICATION_DEPLOYER_DUTY義務ロールに付与されます。これは、義務ロールASM_APPLICATION_DEVELOPER_DUTYおよびASM_APPLICATION_ADMIN_DUTYによって継承されます。

次の手順で説明するメニュー項目とタスクがクラウド・サービスで利用できない場合、アカウントで必要なロールが欠落しています。このような場合は、クラウド・インスタンスのセキュリティ管理者に連絡してください。

クラウド・インスタンスにログインします。
ウィンドウ上部のグローバル領域でナビゲータアイコンをクリックして、見出し「ツール」の「セットアップとメンテナンス」を選択します。
ウィンドウの左側にある「タスク」リージョン・リージョン内のトポロジ登録セクションの下のテクノロジーのレビューを選択します。
ウィンドウ中央の詳細タブをクリックします。

タブには、クラウド・インスタンスで構成されているドメインのリストが表示されます。
「
図osc_get_wsdl_detals.pngの説明」

トポロジ・マネージャで、サービス・パス値のトークン名とドメイン名をマップします。

サービス・パスのトークン名	ドメイン名
atf_server	CommonDomain
crm_server	CRMDomain
fin_server	FinancialDomain
hcm_server	HCMDomain
ic_server	ICDomain
prc_server	ProcurementDomain
prj_server	ProjectsDomain
scm_server	SCMDomain

ドメイン名を展開し、ドメインにデプロイされるJ2EEアプリケーションの外部の仮想ホストとポートを選択します。サンプル・ウィンドウでは、この特定のインスタンスの値は、それぞれfs-your-cloud-hostnameおよび443です。
「
図osc_get_wsdl_detals2.pngの説明」
domainName_server:PortNumberを、前のステップで特定した外部の仮想ホストとポートに置き換えます。たとえば:

https://fs-your-cloud-hostname:port/fndAppCoreServices/ServiceCatalogService?wsdl

リリース12のサービス・カタログ・サービスWSDLの取得

インスタンスの物理エンドポイントを取得するには、以下のステップを実行します:

Fusion Applicationsホームページにログインします。たとえば:
```
https://acme.fs.us2.oraclecloud.com/homePage/faces/FuseWelcome
```
ここで、acmeはシステム名で、fsはFusion Applicationsドメインです。
https://acme.fs.us2.oraclecloud.com/をコピーし、fndAppCoreServices/ServiceCatalogService?WSDLを追加します。たとえば:
```
https://acme.fs.us2.oraclecloud.com/fndAppCoreServices/ServiceCatalogService?WSDL
```

インタフェース・カタログURLの取得

インタフェース・カタログURLの形式は次のとおりです:

https://fusxxxx-fs-ext.us.oracle.com/helpPortalApi/otherResources/latest/interfaceCatalogs

Fusion Applicationsリリース13以降

次のメソッドで、Oracle Fusion Applicationsリリース13以降のサービス・カタログ・サービスWSDLおよびインタフェース・カタログURLを取得します。

サービス・カタログ・サービスWSDLの取得

インスタンスの物理エンドポイントを取得するには、以下のステップを実行します:

Fusion Applicationsホームページにログインします。たとえば:
```
https://acme.fa.us6.oraclecloud.com/fscmUI/faces/FuseWelcome
```
ここで、acmeはシステム名で、us6はデータセンターです。
https://acme.fa.us6.oraclecloud.com/をコピーし、fscmService/ServiceCatalogService?WSDLで追加します。たとえば:
```
https://acme.fs.us2.oraclecloud.com/fscmService/ServiceCatalogService?WSDL
```

インタフェース・カタログURLの取得

インタフェース・カタログURLの形式は次のとおりです:

https://fusxxxx-fa-ext.us.oracle.com/fscmRestApi/otherResources/latest/interfaceCatalogs