機械翻訳について

接続の作成の前提条件

環境に固有の次の前提条件を満たし、「Oracle HCM Cloudアダプタ」との接続を作成します。

• Oracle HCM Cloudをサブスクライブします
• 統合ユーザーへの必要なロールの割当て
• Oracle HCM CloudインスタンスでのAtomフィードおよびREST API機能へのアクセスのリクエスト
• HCMデータ・ローダーを使用するためのHCM-compliant.datファイルの作成
• Oracle WebCenter Contentへのファイルのアップロード
• OAuth認可コード資格証明セキュリティ・ポリシーを設定するための前提条件の実行
• ロケーション・ベースのアクセス制御(LBAC)のステータスの確認
• Oracle HCM Cloudサービス・カタログ・サービスWSDLまたはサービス・インタフェースURLを指定します(2/18/20)より前に作成された接続の場合)

Oracle HCM Cloudをサブスクライブします

Oracle HCM Cloudにサブスクライブします。 このアクションにより、正しい権限を持つOracle HCM Cloudユーザー・アカウントを作成できます。 接続ページで「Oracle HCM Cloudアダプタ」接続を作成するときに、このユーザー・アカウントを指定します。

接続ページでのこれらの資格証明の指定の詳細は、「接続セキュリティの構成」を参照してください。 サブスクライブの詳細は、Oracle HCM Cloudを参照してください。

統合ユーザーへの必要なロールの割当て

統合で「Oracle HCM Cloudアダプタ」を使用するには、統合ユーザーに特定のロールを割り当てる必要があります。

統合ユーザーと次のロールおよび特権の関連付け

ユーザーには、次のロールと権限を関連付けます。

ロール	説明
ALL_INTEGRATION_POINTS_ALL_DATA	リリース12以降、このロールはサポートされなくなりました。 既存の顧客がリリース12にアップグレードすると、このロールを持つユーザーはセキュリティ・コンソールから隠されていますが、引き続き使用します。 リリース12以降で新規統合ユーザーを作成する場合は、このロールを割り当てることはできません。
ORA_HRC_HUMAN_CAPITAL_MANAGEMENT_INTEGRATION_SPECIALIST_JOB	人材管理統合スペシャリスト このロールはリリース12および13に適用されます。
添付ユーザー	HCM統合サービスでログファイルまたは出力ファイルをダウンロードするための添付ファイル・セキュリティ・グループへのアクセスを提供します。 リリース12から、このロールは自動的に出荷されます。 このロールが自動的にユーザーに割り当てられることを確認する必要があります。
SOAOperator	SOAオペレータのロール。
FND_MANAGE_CATALOG_SERVICE_PRIV	Webサービス・カタログを管理するためのロール。
Oracle CRM Cloud実装の場合は、Customer Relationship Managementアプリケーション管理者ロールを割り当てることもできます。	「CX SalesおよびB2B Serviceのセキュリティ・リファレンス」の「顧客関係管理アプリケーション管理者(ジョブ・ロール)」を参照してください。

各インタフェースの要件に応じて、追加のロールが必要になることがあります。

セキュリティ・コンソールの使用

セキュリティ・コンソールを使用して、ロール、ユーザー、証明書、および管理タスクなどのアプリケーション・セキュリティを管理します。 セキュリティ・コンソールへのアクセスは、あらかじめ定義された「セキュリティ・マネージャ」ロールによって提供されます。 次の方法でセキュリティ・コンソールにアクセスします:

• 設定とメンテナンス・ワークエリアで、ジョブ・ロールの管理または職務の管理タスクを使用します。

• 「ナビゲータ」 > 「ツール」 > 「セキュリティ・コンソール」を選択します。

  
  
  「図sales_cloud_security.pngの説明」
  

Oracle HCM CloudインスタンスでのAtomフィードおよびREST API機能へのアクセスのリクエスト

Oracle HCM Cloud AtomフィードとOracle HCM Cloud REST APIのサポートは、デフォルトでOracle Integrationの「Oracle HCM Cloudアダプタ」で使用できます。 ただし、Oracle HCM Cloudアプリケーションでは、まずOracle HCM CloudインスタンスのAtomフィードおよびREST API機能へのアクセスをリクエストする必要があります。

My Oracle Support Note 2060899.1で説明されているステップを参照してください。 Oracle HCM Cloudアプリケーションでこれらを有効にすると、AtomフィードとREST APIがOracle Integrationの「Oracle HCM Cloudアダプタ」に表示されます。

HCMデータ・ローダーを使用するためのHCM-compliant.datファイルの作成

HCMデータ・ローダーを使用してデータをバルク・ロードおよび管理する場合は、HCM準拠の.datファイルを作成する必要があります。 手順については、Oracle HCM Cloudのドキュメントを参照してください。

Oracle WebCenterコンテンツへのファイルのアップロード

「Oracle HCM Cloudアダプタ」を使用してOracle WebCenter Content (Universal Content Manager)にファイルをアップロードする場合は、次の前提条件を満たす必要があります。

• 暗号化ファイルのアップロード用のPGP公開キーを作成します:

  暗号化されたファイルをアップロードするには、PGP公開キーが必要です。 PGP公開キーを生成し、アップロード用に保存する必要があります。 公開キーでサポートされているアルゴリズムは、暗号化ではRSAであり、キーサイズは1024ビットの長さである必要があります。

  Oracle HCM Cloudにファイルをアップロードする手順は次のとおりです。

  • Oracle HCM Cloud公開キーを使用してファイルを暗号化します。

  • データ・ロード・プロセスでは、Oracle HCM Cloud秘密キーを使用してファイルを復号化します。

  「HCMデータ・ローダー」の「ファイル転送の暗号化の設定」を参照してください。

• セキュリティおよびユーザー・アクセスの構成

  アップロードするファイルのセキュリティ・グループおよびドキュメント・アカウントを構成したら、「Oracle HCM Cloudアダプタ」を構成してファイルをOracle WebCenterコンテンツにアップロードできます。

OAuth認可コード資格証明セキュリティ・ポリシーを設定するための前提条件の実行

Oracle Fusion Applicationsアイデンティティ・ドメイン、Oracle Fusion Applications以外のアイデンティティ・ドメイン(Oracle Integrationアイデンティティ・ドメインなど)またはOracle Identity Cloud Serviceを使用してOAuth認可コード資格証明セキュリティ・ポリシーを設定するには、次の前提条件を実行します。

トピック:

• Oracle Fusion Applicationsアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定
• Oracle Fusion Applications以外のアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定
• Oracle Identity Cloud Serviceを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsリソースを表すリソース・アプリケーションを作成し、OAuth認可コード資格証明セキュリティ・ポリシーを使用するには、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。 これらのタスクが完了したら、接続ページで接続を正常に構成できます。 Oracle Fusion Applicationsにアップロードするために、JWT署名証明書を作成する必要はありません。

• Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成
• Oracle Integrationの機密クライアント・アプリケーションの作成
• 「同意」をクリックしたときに発生するエラーの解決

Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成

1. Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションを作成します。
   1. ドメイン管理者としてアイデンティティ・ドメインにログインします。
   2. ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
   3. 「ドメイン」をクリックします。
   4. コンパートメントを選択します。
   5. アイデンティティ・ドメインをクリックします。
   6. ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
   7. 「Add application」をクリックします。
   8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
2. 1. 詳細ページで、名前(FA Resourceなど)を入力し、「次」をクリックします。
   2. クライアント・ページで、変更せずに「次」をクリックします。
   3. リソース・ページで、「このアプリケーションをリソース・サーバーとして構成」をクリックします。
   4. オプションで、「アクセス・トークンの有効期限」フィールドの値を更新します。
   5. 「リフレッシュ・トークンを許可するかどうか」を選択します。
   6. 「主な読者」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。 これは、トークンが処理されるプライマリ受信者です。

      https://FA_URL:443

   7. 「スコープ」セクションで、「追加」をクリックします。
   8. 「スコープ」フィールドに/と入力します。
   9. 「説明」フィールドに「すべて」と入力します。
   10. 「同意が必要」を選択します。
   11. 「追加」をクリックし、「次」をクリックします。
   12. Web層ポリシーおよび認可ページで、変更せずに「次」をクリックします。
   13. 「終了」をクリックして、リソース・アプリケーションの作成を完了します。
   14. 「アクティブ化」をクリックして、クライアント・アプリケーションをアクティブ化します。 リソースを表すリソース・サーバーがアクティブになりました。

Oracle Integrationの機密クライアント・アプリケーションの作成

1. アイデンティティ・ドメイン管理者としてOracle Cloud Infrastructureコンソールにサインインします。
2. ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
3. 「ドメイン」をクリックします。
4. コンパートメントを選択します。
5. アイデンティティ・ドメインをクリックします。
6. ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
7. 「Add application」をクリックします。
8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
9. 名前を入力します。 このページの残りのフィールドはオプションであり、無視してかまいません。
10. 「次へ」をクリックします。
11. 「クライアント構成」ボックスで、「このアプリケーションをクライアントとして構成」を選択します。
12. 認可コードの場合は、「許可された付与タイプ」セクションで「トークンをリフレッシュ」および「承認コード」を選択します。
13. 「リダイレクトURL」フィールドに、クライアント・アプリケーションのリダイレクトURLを入力します。 ユーザー・ログイン後、このURLは認可コードでリダイレクトされます。 複数のリダイレクトURLを指定できます。 これは、複数のインスタンスがあるが、ライセンスの問題が原因でクライアント・アプリケーションが1つのみである開発環境に役立ちます。 たとえば:

    ノート:

    次の情報がわからない場合は、管理者に確認してください:

    • インスタンスが新規であるか、Oracle Integration Generation 2 Generation 2からOracle Integration Generation 2にアップグレードされた場合。
    • リージョンを含む完全なインスタンスURL (新しいインスタンスで必要)。

    接続用…	リダイレクトURLの一部としてリージョンを含めますか。	指定するリダイレクトURLの例…
    新しいOracle Integration Generation 2インスタンスで作成されます	はい	https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback
    Oracle Integration Generation 2 Generation 2からOracle Integration Generation 2にアップグレードされたインスタンスで作成されます	番号 このことは両方とも該当します: アップグレード後に作成された新しい接続 アップグレードの一部であった既存の接続	https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback

    OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

14. 「リソース」で、「スコープの追加」をクリックして適切なスコープを追加します。

    Oracle Fusion Applicationsインスタンスがアイデンティティ・ドメインとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが、選択するリソースの中でリストされます。 これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。

15. 「Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成」で作成されたOracle Fusion Applicationsリソース・アプリケーションを検索します。
16. リソースを選択し、>をクリックします。
17. スコープを選択し、「追加」をクリックします。
18. リソースおよび「Web層ポリシー」ページで変更を行わずに「次」をクリックします。
19. 認可ページで、「終了」をクリックします。

    「追加されたアプリケーション」ダイアログには、クライアントIDおよびクライアント・シークレットの値が表示されます。

20. これらの値をコピーして保存します。 この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。
    接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

    その場合...	結果
    Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。 認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
    Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。 前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

21. アプリケーションをアクティブにします。

「同意」をクリックしたときに発生するエラーの解決

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。 ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

1. Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
2. 接続ページに戻り、接続を再テストします。

   今回は接続に成功しました。

Oracle Fusion Applications以外のアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsとアイデンティティ・ドメインの間に信頼を設定し、OAuth認可コード資格証明セキュリティ・ポリシーを使用するには、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。 これらのタスクが完了したら、接続ページで接続を正常に構成できます。 このオプションは、Oracle Fusion Applications以外のアイデンティティ・ドメイン(Oracle Integrationアイデンティティ・ドメインなど)と統合する場合に使用します。

• Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定
• (オプション)ローカル・ユーザーの作成
• Oracle Integrationの機密クライアント・アプリケーションの作成
• 非フェデレーテッド・ユーザー・アカウントで接続をテストする際の潜在的なエラーの回避

Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定

1. Oracle Integrationのアイデンティティ・ドメインからJWK署名証明書を取得します。
   1. 署名証明書エンドポイントを付与するアイデンティティ・ドメイン・エンドポイントのREST APIを取得します。 たとえば:

      /admin/v1/SigningCert/jwk

      「Oracle Identity Cloud ServiceのためのREST API」の「すべてのRESTエンドポイント」を参照してください。

   2. エンドポイントをコピーします。
   3. Oracle Cloud InfrastructureコンソールまたはOracle Integration 「について」メニューからアイデンティティ・ドメインURLを取得します。
   4. そのURLを署名証明書の前面に追加し、ツール(postmanなど)を使用してREST APIを起動します。 たとえば:

      https://identity_domain_URL.identity.oraclecloud.com/admin/v1/SigningCert/jwk

   5. GETコールを実行して、証明書のペイロードを取得します。 ペイロードには2つのセクションがあります:
      • アイデンティティ・ドメイン証明書
      • 認証局(CA)証明書

      受信したレスポンスのタイプの例が提供されています。 「テナント署名証明書をJWK形式で取得」を参照してください。

   6. 両方の証明書セクションを別々のファイルにコピーします。 ファイルのヘッダーおよびフッターは、Oracle Fusion Applicationsに正常にアップロードするために、次の正確な形式である必要があります:

      -----BEGIN CERTIFICATE-----
       content_of_certificate
      . . .
      . . .
      -----END CERTIFICATE-----

      証明書を検証できます。 たとえば:

      openssl x509 -in IDCS.cert -noout -text

2. サービス・リクエスト(SR)をOracle Fusion Applicationsで提出し、証明書をアップロード用に添付します。 証明は自分でアップロードできません。
3. Oracle Fusion Applicationsリソースを表すリソース・アプリケーションをOracle Integrationアイデンティティ・ドメインに作成します。
   1. ドメイン管理者としてアイデンティティ・ドメインにログインします。
   2. ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
   3. 「ドメイン」をクリックします。
   4. コンパートメントを選択します。
   5. アイデンティティ・ドメインをクリックします。
   6. ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
   7. 「Add application」をクリックします。
   8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
   9. 詳細ページで、名前(FA Resourceなど)を入力し、「次」をクリックします。
   10. クライアント・ページで、変更せずに「次」をクリックします。
   11. リソース・ページで、「このアプリケーションをリソース・サーバーとして構成」をクリックします。
   12. オプションで、「アクセス・トークンの有効期限」フィールドの値を更新します。
   13. 「リフレッシュ・トークンを許可するかどうか」を選択します。
   14. 「主な読者」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。 これは、トークンが処理されるプライマリ受信者です。

       https://FA_URL:443

   15. 「スコープ」セクションで、「追加」をクリックします。
   16. 「スコープ」フィールドに/と入力します。
   17. 「説明」フィールドに「すべて」と入力します。
   18. 「同意が必要」を選択します。
   19. 「追加」をクリックし、「次」をクリックします。
   20. Web層ポリシーおよび認可ページで、変更せずに「次」をクリックします。
   21. 「終了」をクリックして、リソース・アプリケーションの作成を完了します。
   22. 「アクティブ化」をクリックして、クライアント・アプリケーションをアクティブ化します。 リソースを表すリソース・サーバーがアクティブになりました。

(オプション)ローカル・ユーザーの作成

ノート:

Oracle Fusion Applicationsユーザーがアイデンティティ・ドメインまたは使用しているアイデンティティ・プロバイダとフェデレートされていない場合は、次のステップが必要です。

1. アイデンティティ・ドメインのローカル・ユーザーを作成します。 「慎重」次の表を参照して、すでにローカル・ユーザーが存在するかどうかを確認します。

   シナリオ	ローカル・ユーザーを作成する必要がありますか。
   Oracle Integrationを保護しているアイデンティティ・ドメインとフェデレートされたOracle Fusion Applicationsユーザーがいます。	番号 ローカル・アイデンティティ・ドメインのOracle Fusion Applicationsユーザーを作成する必要はありません。 これは、アイデンティティ・ドメインがリポジトリにすでにOracle Fusion Applicationsユーザーを持っているためです。
   Oracle Fusion Applicationsと、Oracle Integrationを保護しているアイデンティティ・ドメインとの間にフェデレーションがありません。	はい Oracle IntegrationのOAuth設定で使用するローカル・アイデンティティ・ドメインOracle Fusion Applicationsユーザーを作成する必要があります。

   アイデンティティ・ドメイン管理者は、Oracle Fusion Applicationsのユーザーと一致する非フェデレーテッド・ローカル・ユーザー名をアイデンティティ・ドメインに作成する必要があります。 Oracle Fusion Applications RESTエンドポイントをすでに使用および起動している場合は、Oracle Fusion ApplicationsのRESTエンドポイントを起動するために必要なロールおよびアクセス権を持つユーザーをすでに作成している可能性があります。 このユーザーは、アイデンティティ・ドメインに作成され、ローカル・ユーザー・パスワードを持っている必要があります。

Oracle Integrationの機密クライアント・アプリケーションの作成

1. アイデンティティ・ドメイン管理者としてOracle Cloud Infrastructureコンソールにサインインします。
2. ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
3. 「ドメイン」をクリックします。
4. コンパートメントを選択します。
5. アイデンティティ・ドメインをクリックします。
6. ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
7. 「Add application」をクリックします。
8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
9. 名前を入力します。 このページの残りのフィールドはオプションであり、無視してかまいません。
10. 「次へ」をクリックします。
11. 「クライアント構成」ボックスで、「このアプリケーションをクライアントとして構成」を選択します。
12. 認可コードの場合は、「許可された付与タイプ」セクションで「トークンをリフレッシュ」および「承認コード」を選択します。
13. 「リダイレクトURL」フィールドに、クライアント・アプリケーションのリダイレクトURLを入力します。 ユーザー・ログイン後、このURLは認可コードでリダイレクトされます。 複数のリダイレクトURLを指定できます。 これは、複数のインスタンスがあるが、ライセンスの問題が原因でクライアント・アプリケーションが1つのみである開発環境に役立ちます。 たとえば:

    ノート:

    次の情報がわからない場合は、管理者に確認してください:

    • インスタンスが新規であるか、Oracle Integration Generation 2 Generation 2からOracle Integration Generation 2にアップグレードされた場合。
    • リージョンを含む完全なインスタンスURL (新しいインスタンスで必要)。

    接続用…	リダイレクトURLの一部としてリージョンを含めますか。	指定するリダイレクトURLの例…
    新しいOracle Integration Generation 2インスタンスで作成されます	はい	https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback
    Oracle Integration Generation 2 Generation 2からOracle Integration Generation 2にアップグレードされたインスタンスで作成されます	番号 このことは両方とも該当します: アップグレード後に作成された新しい接続 アップグレードの一部であった既存の接続	https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback

    OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

14. 「リソース」で、「スコープの追加」をクリックして適切なスコープを追加します。

    Oracle Fusion Applicationsインスタンスがアイデンティティ・ドメインとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが、選択するリソースの中でリストされます。 これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。

15. 「Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定」で作成されたOracle Fusion Applicationsリソース・アプリケーションを検索します。
16. リソースを選択し、>をクリックします。
17. スコープを選択し、「追加」をクリックします。
18. リソースおよび「Web層ポリシー」ページで変更を行わずに「次」をクリックします。
19. 認可ページで、「終了」をクリックします。

    「追加されたアプリケーション」ダイアログには、クライアントIDおよびクライアント・シークレットの値が表示されます。

20. これらの値をコピーして保存します。 この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。
    接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

    その場合...	結果
    Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。 認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
    Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。 前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

21. アプリケーションをアクティブにします。

非フェデレーテッド・ユーザー・アカウントで接続をテストする際の潜在的なエラーの回避

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。 ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

1. Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
2. 接続ページに戻り、接続を再テストします。

   今回は接続に成功しました。

Oracle Identity Cloud Serviceを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

OAuth認可コード資格証明セキュリティ・ポリシーを使用する場合は、Oracle Fusion ApplicationsとOracle Identity Cloud Serviceの間の信頼を設定し、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。 これらのタスクが完了したら、接続ページで接続を正常に構成できます。

ノート:

次の手順は、Oracle Identity Cloud Serviceを引き続き使用しているクラウド・テナンシに「のみ」適用します。 ほとんどのクラウド・テナンシはアイデンティティ・ドメインに移行されており、異なる構成手順が必要です。 「Oracle Fusion Applicationsアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定」または「Oracle Fusion Applications以外のアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定」を参照してください。 環境が不明な場合は、管理者に確認してください。

• Oracle Fusion ApplicationsとOracle Identity Cloud Service間の信頼の設定
• Oracle Integrationの機密クライアント・アプリケーションの作成
• (オプション)ローカル・ユーザーの作成
• 非フェデレーテッド・ユーザー・アカウントで接続をテストする際の潜在的なエラーの回避

Oracle Fusion ApplicationsとOracle Identity Cloud Service間の信頼の設定

1. Oracle IntegrationのOracle Identity Cloud ServiceからJWK署名証明書を取得します。
   1. 署名証明書エンドポイントを提供するOracle Identity Cloud ServiceエンドポイントのREST APIを取得します。 たとえば:

      /admin/v1/SigningCert/jwk

      「Oracle Identity Cloud ServiceのためのREST API」の「すべてのRESTエンドポイント」を参照してください。

   2. エンドポイントをコピーします。
   3. Oracle Cloud InfrastructureコンソールまたはOracle Integration 「バージョン情報」メニューからOracle Identity Cloud Service URLを取得します。
   4. そのURLを署名証明書の前面に追加し、ツール(postmanなど)を使用してREST APIを起動します。 たとえば:

      https://IDCS_URL.identity.oraclecloud.com/admin/v1/SigningCert/jwk

   5. GETコールを実行して、証明書のペイロードを取得します。 ペイロードには2つのセクションがあります:
      • Oracle Identity Cloud Service証明書
      • 認証局(CA)証明書

      受信したレスポンスのタイプの例が提供されています。 「テナント署名証明書をJWK形式で取得」を参照してください。

   6. 両方の証明書セクションを別々のファイルにコピーします。 ファイルのヘッダーおよびフッターは、Oracle Fusion Applicationsに正常にアップロードするために、次の正確な形式である必要があります:

      -----BEGIN CERTIFICATE-----
       content_of_certificate
      . . .
      . . .
      -----END CERTIFICATE-----

      証明書を検証できます。 たとえば:

      openssl x509 -in IDCS.cert -noout -text

2. 証明書をOracle Fusion Applicationsセキュリティ・コンソールにアップロードします。
   1. ITセキュリティ・マネージャ・ロールを持つユーザーとしてOracle Fusion Applicationsにログインします。
   2. ナビゲーション・ペインで、「ツール」、「セキュリティ・コンソール」の順に選択します。
   3. 左側のナビゲーション・ペインで「API認証」を選択します。
   4. 「Oracle API認証プロバイダの作成」をクリックし、右上の「編集」をクリックします。
   5. 「信頼できる発行者」フィールドに、次のように入力します:

      https://identity.oraclecloud.com

   6. 「トークン・タイプ」セクションで、JWTを選択します。
   7. 「Save and Close」をクリックします。
   8. 「インバウンドAPI認証公開証明書」をクリックし、「新しい証明書の追加」をクリックします。
   9. 「証明書別名」フィールドに名前を入力します(たとえば、MY_IDCS_CERT)。
   10. 「公開証明書のインポート」フィールドで、「ファイルを選ぶ」をクリックして最初の証明書ファイルをアップロードし、「保存」をクリックします。
   11. 次のステップを繰り返して、2番目の証明書ファイルをアップロードします。
3. Oracle Fusion Applicationsリソースを表すOracle Identity Cloud Serviceリソース・アプリケーションを作成します。
   1. Oracle Identity Cloud Service管理者としてOracle Identity Cloud Serviceにログインします。
   2. 左側のナビゲーション・ペインで、「アプリケーション」をクリックし、「追加」をクリックします。
   3. 「機密アプリケーション」をクリックします。
   4. 詳細ページで、名前(FA Resourceなど)を入力し、「次」をクリックします。
   5. クライアント・ページで、変更せずに「次」をクリックします。
   6. リソース・ページで、「このアプリケーションをリソース・サーバーとして構成」をクリックします。
   7. オプションで、「アクセス・トークンの有効期限」フィールドの値を更新します。
   8. 「リフレッシュ・トークンを許可するかどうか」を選択します。
   9. 「主な読者」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。 これは、トークンが処理されるプライマリ受信者です。

      https://FA_URL:443

   10. 「スコープ」セクションで、「追加」をクリックします。

       「追加範囲」ダイアログが表示されます。

   11. 「スコープ」フィールドに/と入力します。
   12. 「表示名」フィールドに表示名を入力します。
   13. 「説明」フィールドに「すべて」と入力します。
   14. 「同意が必要」を選択します。
   15. 「追加」をクリックします。
   16. 「次」をクリックして、ウィザードの次のページに移動します。
   17. 「Web層ポリシー」ページで、変更を加えずに「次」をクリックします。
   18. 認可ページで、変更を加えずに「次」をクリックします。
   19. 「終了」をクリックして、リソース・アプリケーションの作成を完了します。
   20. 「アクティブ化」をクリックして、クライアント・アプリケーションをアクティブ化します。 リソースを表すリソース・サーバーがアクティブになりました。

(オプション)ローカル・ユーザーの作成

ノート:

次のステップは、Oracle Fusion ApplicationsユーザーがOracle Identity Cloud Serviceまたは使用しているアイデンティティ・プロバイダとフェデレートされていない場合にのみ必要です。

1. Oracle Identity Cloud Serviceローカル・ユーザーを作成します。 「慎重」次の表を参照して、すでにローカル・ユーザーが存在するかどうかを確認します。

   シナリオ	ローカル・ユーザーを作成する必要がありますか。
   Oracle Integrationを保護しているOracle Identity Cloud ServiceとフェデレートされたOracle Fusion Applicationsユーザーがあります。	番号 ローカルOracle Identity Cloud Service Oracle Fusion Applicationsユーザーを作成する必要はありません。 これは、Oracle Identity Cloud ServiceのリポジトリにOracle Fusion Applicationsユーザーがすでに存在するためです。
   Oracle Fusion ApplicationsとOracle Integrationを保護しているOracle Identity Cloud Serviceの間にフェデレーションはありません。	はい Oracle IntegrationのOAuth設定で使用するローカルOracle Identity Cloud Service Oracle Fusion Applicationsユーザーを作成する必要があります。

   Oracle Identity Cloud Service管理者は、Oracle Fusion Applicationsのユーザーと一致する非フェデレーテッド・ローカル・ユーザー名をOracle Identity Cloud Serviceに作成する必要があります。 Oracle Fusion Applications RESTエンドポイントをすでに使用および起動している場合は、Oracle Fusion ApplicationsのRESTエンドポイントを起動するために必要なロールおよびアクセス権を持つユーザーをすでに作成している可能性があります。 このユーザーは、Oracle Identity Cloud Serviceで作成され、ローカル・ユーザー・パスワードを持っている必要があります。

Oracle Integrationの機密クライアント・アプリケーションの作成

1. Oracle Identity Cloud Service管理者としてOracle Cloud Infrastructureコンソールにサインインします。 この管理者には、Oracle Identity Cloud Serviceインスタンスへのアクセス権が必要です。
2. 左側のナビゲーション・ペインで、「アプリケーション」を選択し、「追加」をクリックしてクライアント・アプリケーションを追加します。
3. 「機密アプリケーション」を選択します。

   機密アプリケーションの追加ウィザードが表示されます。

4. 詳細ページで、アプリケーション名を入力し、「次」をクリックします。
5. クライアント・ページで、「このアプリケーションをクライアントとして構成」をクリックします。
6. 「認可」セクションで、「リフレッシュ・トークン」および「認可コード」を選択します。
7. 「リダイレクトURL」フィールドに、Oracle IntegrationインスタンスのURLおよびポートを入力します。 たとえば:

   https://OIC_URL:443/icsapis/agent/oauth/callback

   OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

8. 「リソース」で、「スコープの追加」をクリックして適切なスコープを追加します。

   Oracle Fusion ApplicationsインスタンスがOracle Identity Cloud Serviceインスタンスとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが選択対象のリソースの中にリストされます。 これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。

9. 「Oracle Fusion ApplicationsとOracle Identity Cloud Service間の信頼の設定」で作成したOracle Fusion Applicationsリソース・アプリケーションを検索します。
10. リソースを選択し、>をクリックします。
11. スコープを選択し、「追加」をクリックします。
12. リソースおよび「Web層ポリシー」ページで変更を行わずに「次」をクリックします。
13. 認可ページで、「終了」をクリックします。

    「追加されたアプリケーション」ダイアログには、クライアントIDおよびクライアント・シークレットの値が表示されます。

14. これらの値をコピーして保存します。 この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。
    接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

    その場合...	結果
    Oracle IntegrationとOracle Fusion Applicationsリソース・アプリケーションを保護するOracle Identity Cloud Serviceは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。 認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
    Oracle IntegrationおよびOracle Fusion Applicationsリソース・アプリケーションを保護するOracle Identity Cloud Servicesは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。 前に作成したローカルOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion ApplicationsリソースOracle Identity Cloud Serviceアプリケーションにログインする必要があります。

15. アプリケーションをアクティブにします。

非フェデレーテッド・ユーザー・アカウントで接続をテストする際の潜在的なエラーの回避

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。 ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

1. Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
2. 接続ページに戻り、接続を再テストします。

   今回は接続に成功しました。

ロケーション・ベースのアクセス制御(LBAC)のステータスの確認

Fusion Applications (Oracle HCM Cloudの場合)のロケーション・ベースのアクセス制御(LBAC)を有効にしているかどうかを確認します。

LBACが有効な場合、LBACで許可リスト(識別されたエンティティへのアクセスを明示的に許可) Oracle Integration NATゲートウェイIPアドレスを許可する必要があります。 このタスクを実行しないと、Oracle Fusion Applicationsから401 Access Deniedエラーまたは403 Forbiddenエラーを受信できます。

「SCMの保護」の「ロケーション・ベースのアクセスの仕組み」およびOracle Support ServicesのDoc ID 2615294.1を参照してください。

Oracle HCM Cloudサービス・カタログ・サービスWSDLまたはサービス・インタフェースURLを指定します(2/18/20)より前に作成された接続の場合)

「この項のステップは、2/18/20の簡易接続ページの初期リリースの前に作成された既存の接続でのみ必要です。」。 existing接続の場合、「HCMサービス・カタログWSDL URL」フィールドに必須のOracle HCM Cloudサービス・カタログ・サービスのWSDL(ビジネス・オブジェクトにアクセスするため)、オプションでインタフェース・カタログURL (RESTリソースを使用してアウトバウンド・エンドポイントにアクセスするため)が「インタフェース・カタログのURL」フィールドを指定するよう求められます。

ノート:

「2/18/20の簡易接続の初期リリースで作成された新しい接続については、この項で説明されている事前構成詳細は必要ありません」。 すべてのWSDLとURLは、コネクション・ページの「HCM Cloudホスト」フィールドで指定したOracle HCM Cloudホスト名に基づいて自動的に識別されます。

次の各項では、サービス・カタログ・サービスのWSDLおよびインタフェース・カタログURLを取得する方法について説明します:

• Fusion Applicationsリリース10から12まで

• Fusion Applicationsリリース13以降

Fusion Applicationsリリース10から12まで

次のメソッドで、Oracle Fusion Applicationsリリース10〜12のサービス・カタログ・サービスWSDLおよびインタフェース・カタログURLを取得します。

• 11を通したリリース10のサービス・カタログ・サービスWSDLの取得

• リリース12のサービス・カタログ・サービスWSDLの取得

• インタフェース・カタログURLの取得

11を通したリリース10のサービス・カタログ・サービスWSDLの取得

WSDL要件

WSDLの入手先

URLはサービス・カタログ・サービスWSDLのものにしてください。 サービス・カタログ・サービスは、統合用として使用可能な外部サービスのリストを返すFusion Applicationサービスです。 それを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Fusion Applicationサービス・エンドポイントに関する情報を取得できます。 サービス・カタログ・サービスを使用すると、クライアントは、そのインスタンスに利用可能なすべての公開Oracle Fusion Applicationサービス・エンドポイントに関する情報を取得できます。 それによって返される情報は、特定のクラウド・インスタンスに固有のものであり、インスタンスに適用されるパッチで導入されている新しいサービスも反映します。 このサービスは、クラウド・インスタンス上で利用可能なSOAPサービスをプログラムによって見つけ出し、必要なメタデータを取得して、ビジネス・オブジェクトを管理するSOAPサービスを呼び出します。

Oracle HCM Cloud接続を作成する開発者は、Oracle HCM Cloudサービス管理者と協力して、特定のSaaSアプリケーション用としてプロビジョニングされたサービス・カタログ・サービスの具体的なWSDL URLを取得する必要があります。

この項では、トークン化されたサービス・カタログ・サービスWSDLの外部の仮想ホストとポートを抽出する方法について説明します。 トポロジ登録設定タスクのトポロジ情報には、ドメインやアプリケーションの外部の仮想ホストとポートが含まれます。 次に、サービス・カタログ・サービスのWSDL URL (例: https://atf_server:port/fndAppCoreServices/ServiceCatalogService)を使用して値を抽出するステップについて説明します。

トポロジの確認ページにアクセスするには、ASM_REVIEW_TOPOLOGY_HIERARCHY_PRIV資格をユーザーのジョブ・ロールに付与する必要があります。 資格は、ASM_APPLICATION_DEPLOYER_DUTY義務ロールに付与されます。これは、義務ロールASM_APPLICATION_DEVELOPER_DUTYおよびASM_APPLICATION_ADMIN_DUTYによって継承されます。

次の手順で説明するメニュー項目とタスクがクラウド・サービスで利用できない場合、アカウントで必要なロールが欠落しています。 このような場合は、クラウド・インスタンスのセキュリティ管理者に連絡してください。

1. クラウド・インスタンスにログインします。

2. ウィンドウ上部のグローバル領域でナビゲータアイコンをクリックして、見出し「ツール」の「セットアップとメンテナンス」を選択します。

3. ウィンドウの左側にある「タスク」リージョン・リージョン内のトポロジ登録セクションの下のテクノロジーのレビューを選択します。

4. ウィンドウ中央の詳細タブをクリックします。

   タブには、クラウド・インスタンスで構成されているドメインのリストが表示されます。
   「
   図osc_get_wsdl_detals.pngの説明」
   

5. トポロジ・マネージャで、サービス・パス値のトークン名とドメイン名をマップします。

   サービス・パスのトークン名	ドメイン名
   atf_server	CommonDomain
   crm_server	CRMDomain
   fin_server	FinancialDomain
   hcm_server	HCMDomain
   ic_server	ICDomain
   prc_server	ProcurementDomain
   prj_server	ProjectsDomain
   scm_server	SCMDomain

6. ドメイン名を展開し、ドメインにデプロイされるJ2EEアプリケーションの外部の仮想ホストとポートを選択します。 サンプル・ウィンドウでは、この特定のインスタンスの値は、それぞれfs-your-cloud-hostnameおよび443です。
   「
   図osc_get_wsdl_detals2.pngの説明」
   

7. domainName_server:PortNumberを、前のステップで特定した外部の仮想ホストとポートに置き換えます。 たとえば:

   https://fs-your-cloud-hostname:port/fndAppCoreServices/ServiceCatalogService?wsdl

リリース12のサービス・カタログ・サービスWSDLの取得

インスタンスの物理エンドポイントを取得するには、以下のステップを実行します:

1. Fusion Applicationsホームページにログインします。 たとえば:

   https://acme.fs.us2.oraclecloud.com/homePage/faces/FuseWelcome

   ここで、acmeはシステム名で、fsはFusion Applicationsドメインです。

2. https://acme.fs.us2.oraclecloud.com/をコピーし、fndAppCoreServices/ServiceCatalogService?WSDLを追加します。 たとえば:

   https://acme.fs.us2.oraclecloud.com/fndAppCoreServices/ServiceCatalogService?WSDL

インタフェース・カタログURLの取得

インタフェース・カタログURLの形式は次のとおりです:

https://fusxxxx-fs-ext.us.oracle.com/helpPortalApi/otherResources/latest/interfaceCatalogs

Fusion Applicationsリリース13以降

次のメソッドで、Oracle Fusion Applicationsリリース13以降のサービス・カタログ・サービスWSDLおよびインタフェース・カタログURLを取得します。

• サービス・カタログ・サービスWSDLの取得

• インタフェース・カタログURLの取得

サービス・カタログ・サービスWSDLの取得

インスタンスの物理エンドポイントを取得するには、以下のステップを実行します:

1. Fusion Applicationsホームページにログインします。 たとえば:

   https://acme.fa.us6.oraclecloud.com/fscmUI/faces/FuseWelcome

   ここで、acmeはシステム名で、us6はデータセンターです。

2. https://acme.fa.us6.oraclecloud.com/をコピーし、fscmService/ServiceCatalogService?WSDLで追加します。 たとえば:

   https://acme.fs.us2.oraclecloud.com/fscmService/ServiceCatalogService?WSDL

インタフェース・カタログURLの取得

インタフェース・カタログURLの形式は次のとおりです:

https://fusxxxx-fa-ext.us.oracle.com/fscmRestApi/otherResources/latest/interfaceCatalogs