Einführung

Cloud HCM bietet die Möglichkeit, Daten aus HCM mit einer Plattform der neuen Generation mit leseoptimiertem Datenspeicher zu extrahieren. In diesem Tutorial wird die Sicherheitskonfiguration beschrieben, die Voraussetzung für das Extrahieren von Daten ist.

Ziele

Nach Abschluss dieses Tutorials erfahren Sie, wie Sie:

  • HCM-Tätigkeitsrolle für die Datenextraktion konfigurieren
  • Konfigurieren Sie eine OAuth-Clientanwendung, um Daten mit API-Aufrufen programmgesteuert zu extrahieren

Aufgabe 1: HCM-Tätigkeitsrolle vorbereiten

Um auf Daten in der Hierarchie von Worker-bezogenen Objekten zugreifen zu können, müssen bestimmte Berechtigungsgruppen einer neuen oder vorhandenen HCM-Tätigkeitsrolle hinzugefügt werden.

Führen Sie die folgenden Schritte aus, um einen angemessenen Datenzugriff sicherzustellen.

  1. Gehe zu Setup und Verwaltung
    1. Suchen Sie nach Administratorprofilwerte verwalten, und geben Sie diese Aufgabe ein
    2. Nach Profiloptionscode ORA_ASE_SAS_INTEGRATION_ENABLED suchen
    3. Setzen Sie den Wert auf Ja auf der Ebene Standort.
    4. Profilwert speichern
  2. Gehen Sie zu Tools → Security Console
    1. Rolle der Rollenkategorie HCM - Tätigkeitsrollen erstellen oder bearbeiten
    2. Klicken Sie auf Berechtigungsgruppen aktivieren, und bestätigen Sie
    3. Zur Haltestelle Berechtigungsgruppen gehen
      1. Klicken Sie auf Berechtigungsgruppe hinzufügen.
      2. Suchen Sie nach boss_execute_AsyncDataExtraction_OraBatchJobDefinition, und wählen Sie es aus
      3. Klicken Sie auf Ausgewählte Berechtigungsgruppen hinzufügen
      4. Popup-Fenster schließen
    4. Zur Haltestelle der Rollenhierarchie gehen
      1. Klicken Sie auf Rollen und Berechtigungsgruppen
      2. Klicken Sie auf Rolle hinzufügen
      3. Stellen Sie sicher, dass die Option Aufgabenrollen ausgewählt ist
      4. Im Folgenden werden Extraktionsaufgabenrollen aufgeführt, die ab Release 26B verfügbar sind. Suchen Sie für jede Aufgabenrolle nach der Rolle, wählen Sie sie aus, und klicken Sie auf Rollenmitgliedschaft hinzufügen. Dieser Standardansatz gewährt Zugriff auf alle exportierbaren Objekte in HCM. Sie können die Datensicherheit nach Bedarf basierend auf Ihren spezifischen Anforderungen optimieren.
        • Globales Personalwesen
          • ORA_DR_PER_WORK_STRUCTURES_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_DETAILS_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_EMPLOYMENT_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_PII_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_SENSITIVE_DETAILS_EXTRACT_DUTY
        • HCM - Gemeinsam
          • ORA_DR_HRC_OBJ_CHANGES_EXTRACTION_DUTY
        • Entgeltabrechnung
          • ORA_DR_PAY_BALANCE_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_ELEMENT_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PAYMENT_METHOD_EXTRACT_DUTY
          • ORA_DR_PAY_PAYROLL_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_FLOW_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULT_ACTIVITIES_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULTS_EXTRACT_DUTY
          • ORA_DR_PAY_RELATIONSHIP_EXTRACT_DUTY
      5. Popup-Fenster schließen
    5. Zur Haltestelle Übersicht
    6. Prüfen und speichern Sie die Änderungen

Aufgabe 2: Anwendung erstellen

Auf die APIs können nur vertrauliche Anwendungen zugreifen, die OAuth 2.0 verwenden. Sie müssen einen in Oracle Identity Cloud Service (IDCS) definieren.

  1. Melden Sie sich bei der IDCS-Admin-Konsole an, und navigieren Sie zur Identitätsdomain des angegebenen Pods
  2. Klicken Sie auf Integrierte Anwendungen
  3. Klicken Sie auf Anwendung hinzufügen
  4. Wählen Sie Vertrauliche Anwendung aus, und klicken Sie auf Workflow starten.
  5. Name angeben (z.B. Anwendung extrahieren)
  6. Klicken Sie auf Weiterleiten
  7. Wählen Sie die Registerkarte OAuth-Konfiguration, und klicken Sie auf OAuth-Konfiguration bearbeiten.
  8. Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus
  9. Wählen Sie Zulässige Berechtigungstypen als Clientzugangsdaten und JWT-Assertion aus.
  10. Wählen Sie Clienttyp als Vertrauenswürdig aus
  11. Um die Clientauthentifizierung mit JWT-Assertion zuzulassen (empfohlen für Produktionsumgebungen), klicken Sie auf Zertifikat importieren
    1. Geben Sie einen Alias für Ihr Zertifikat an
    2. Zertifikat hochladen
    3. Klicken Sie auf Importieren
  12. Wählen Sie Zulässige Vorgänge als Im Namen aus.
  13. Einwilligung umgehen aktivieren
  14. Wählen Sie Ressourcen hinzufügen aus
  15. Klicken Sie auf Geltungsbereich hinzufügen, und wählen Sie die folgenden Geltungsbereiche aus, und fügen Sie sie hinzu
    • Oracle SaaS-Batch-Cloud Service
    • Oracle Boss Cloud (Spectra)
  16. Klicken Sie auf Weiterleiten
  17. Um die neu erstellte Anwendung zu aktivieren, blenden Sie die Dropdown-Liste Aktionen ein, und wählen Sie die Aktion Aktivieren aus, und bestätigen Sie sie
  18. Suchen Sie in den Anwendungsdetails die Client-ID und das Client Secret, mit denen Zugriffstoken generiert werden

3. Aufgabe: Rolle der Anwendung zuweisen

Nun ist es an der Zeit, die Rolle aus Schritt 1 der Anwendung aus Schritt 2 zuzuweisen.

  1. Gehen Sie zu Tools → Security Console
  2. Klicken Sie auf Anwendungserweiterungen
  3. Suchen Sie die Anwendung im Abschnitt Benutzerdefinierte OAuth-Clientanwendungen, und klicken Sie auf den entsprechenden Namen.
  4. Klicken Sie auf Rollen
  5. Klicken Sie auf "Hinzufügen"
  6. Suchen Sie nach Ihrer Rolle und wählen Sie sie aus
  7. Klicken Sie auf "Hinzufügen"
  8. Klicken Sie auf Fertig

Um auf Anwendungserweiterungen zugreifen zu können, benötigen Sie die Berechtigung ASE_ADMINISTER_APP_EXTENSIONS_PRIV.

Aufgabe 4: Token abrufen

So können Sie ein Token zur Verwendung der APIs abrufen.

URL {{idcsUrl}}/oauth2/v1/token
HTTP-Methode POST
Contenttypheader application/x-www-form-urlencoded
Anforderungstext

URL-codiert

Für den Zugriff auf /api/boss-Endpunkte

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:boss/

Für den Zugriff auf /api/saas-batch-Endpunkte

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:saas-batch/
Authentifizierung

Sie können den Client mit Basisauthentifizierung oder JWT-Assertion authentifizieren.

Um die Basisauthentifizierung zu verwenden, verwenden Sie den Standard-Authorization-Header mit dem Base64-codierten clientId:clientSecret

Um JWT-Assertion zu verwenden, übergeben Sie alternativ die folgenden zusätzlichen URL-codierten Parameter im Anforderungsbody

client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&client_assertion={{clientAssertion}}

Die Client-Assertion muss eine gültige Base64-codierte JWT-Assertion sein, die mit dem Private Key signiert ist, der mit Ihrem öffentlichen Zertifikat übereinstimmt, das in IDCS hochgeladen wurde. Dabei muss die folgende Struktur verwendet werden.

Header

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "{{certificateAlias}}"
}

Payload

{
  "sub": "{{clientId}}",
  "jti": "{{uuid}}",
  "iat": {{iat}},
  "exp": {{exp}},
  "iss": "{{clientId}}",
  "aud": [ "https://identity.oraclecloud.com/" ]
}

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.