Introducción

Cloud HCM ofrece la capacidad de extraer datos de HCM mediante una plataforma de nueva generación con un almacén de datos optimizado para la lectura. En este tutorial se describe la configuración de seguridad que es un requisito previo para extraer datos.

Objetivos

Al completar este tutorial, comprenderá cómo:

  • Configurar un rol de puesto de HCM para la extracción de datos
  • Configurar una aplicación cliente OAuth para extraer datos mediante programación mediante llamadas de API

Tarea 1: Preparar un rol de puesto de HCM

Para acceder a los datos de la jerarquía de objetos relacionados con el trabajador, se deben agregar determinados grupos de permisos a un rol de puesto de HCM nuevo o existente.

Siga los pasos que se indican a continuación para garantizar el acceso adecuado a los datos.

  1. Vaya a Configuración y mantenimiento.
    1. Busque Gestionar valores de perfil de administrador e introduzca esta tarea
    2. Buscar el valor de perfil por código ORA_ASE_SAS_INTEGRATION_ENABLED de opción del perfil
    3. Defina su valor en Yes (Sí) en el nivel Site
    4. Guardar el valor de perfil
  2. Ir a Herramientas → Consola de seguridad
    1. Crear o editar un rol de la categoría de rol HCM - Roles de puesto
    2. Haga clic en Activar grupos de permisos y confirme
    3. Ir a la parada del tren Permission Groups
      1. Haga clic en Agregar grupo de permisos.
      2. Busque boss_execute_AsyncDataExtraction_OraBatchJobDefinition y selecciónelo
      3. Haga clic en Agregar grupos de permisos seleccionados.
      4. Cerrar la ventana emergente
    4. Vaya a la parada del tren Role Hierarchy
      1. Haga clic en Roles y grupos de permisos.
      2. Haga clic en Agregar Rol
      3. Asegúrese de que la opción Roles de servicio está seleccionada
      4. A continuación, se muestran los roles de tarea de extracción disponibles a partir de la versión 26B. Para cada uno de los roles de tarea, búsquelo, selecciónelo y haga clic en Agregar afiliación a rol. Este enfoque por defecto otorga acceso a todos los objetos extraíbles de HCM. Puede ajustar la seguridad de los datos según sea necesario, en función de sus requisitos específicos.
        • Recursos humanos globales
          • ORA_DR_PER_WORK_STRUCTURES_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_DETAILS_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_EMPLOYMENT_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_PII_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_SENSITIVE_DETAILS_EXTRACT_DUTY
        • Arquitectura común de HCM
          • ORA_DR_HRC_OBJ_CHANGES_EXTRACTION_DUTY
        • Nómina
          • ORA_DR_PAY_BALANCE_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_ELEMENT_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PAYMENT_METHOD_EXTRACT_DUTY
          • ORA_DR_PAY_PAYROLL_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_FLOW_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULT_ACTIVITIES_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULTS_EXTRACT_DUTY
          • ORA_DR_PAY_RELATIONSHIP_EXTRACT_DUTY
      5. Cerrar la ventana emergente
    5. Ir a la parada del tren Resumen
    6. Revise los cambios y guárdelos

Tarea 2: Creación de una aplicación

Solo las aplicaciones confidenciales que utilizan OAuth 2.0 pueden acceder a las API. Tendrá que definir uno en Oracle Identity Cloud Service (IDCS).

  1. Conéctese a la consola de administración de IDCS y navegue al dominio de identidad del pod proporcionado
  2. Haga clic en Aplicaciones integradas.
  3. Haga clic en Agregar aplicación.
  4. Seleccione Aplicación confidencial y haga clic en Iniciar flujo de trabajo.
  5. Proporcione el nombre (por ejemplo, la aplicación Extracts)
  6. Haga clic en Enviar
  7. Seleccione el separador OAuth configuration y haga clic en Editar configuración OAuth
  8. Seleccione Configurar esta aplicación como un cliente ahora
  9. Seleccione Tipos de permiso permitidos como Credenciales de cliente y Afirmación de JWT
  10. Seleccione Tipo de cliente como De confianza.
  11. Para permitir la autenticación de cliente mediante la afirmación de JWT (recomendado para entornos de producción), haga clic en Importar certificado.
    1. Proporcione un alias para el certificado
    2. Cargar el certificado
    3. Haga clic en Importar
  12. Seleccione Operaciones permitidas como En nombre de
  13. Activar Omitir consentimiento
  14. Seleccione Agregar recursos.
  15. Haga clic en Agregar ámbito, busque, seleccione y agregue los siguientes ámbitos.
    • Oracle SaaS Batch Cloud Service
    • Oracle Boss Cloud (Spectra)
  16. Haga clic en Enviar
  17. Para activar la aplicación recién creada, amplíe la lista desplegable Acciones, seleccione la acción Activar y confírmela
  18. En los detalles de la aplicación, busque el ID de cliente y el secreto de cliente que se utilizarán para generar tokens de acceso.

Tarea 3: Asignar el rol a la aplicación

Ahora es el momento de asignar el rol del paso 1 a la aplicación del paso 2.

  1. Ir a Herramientas → Consola de seguridad
  2. Haga clic en Extensiones de aplicación
  3. Busque la aplicación en la sección Aplicaciones cliente OAuth personalizadas y haga clic en su nombre
  4. Haga clic en Roles
  5. Haga clic en Agregar
  6. Busque su rol y selecciónelo
  7. Haga clic en Agregar
  8. Haga clic enListo

Para acceder a las extensiones de aplicaciones, debe tener el privilegio ASE_ADMINISTER_APP_EXTENSIONS_PRIV.

Tarea 4: Obtener un token

A continuación, se muestra cómo obtener un token para utilizar las API.

URL {{idcsUrl}}/oauth2/v1/token
Método HTTP POST
Cabecera de tipo de contenido application/x-www-form-urlencoded
Cuerpo de Solicitud

Codificado en URL

Para acceder a los puntos finales /api/boss

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:boss/

Para acceder a los puntos finales /api/saas-batch

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:saas-batch/
Autenticación

Puede utilizar la autenticación básica o la afirmación JWT para autenticar el cliente.

Para utilizar la autenticación básica, utilice la cabecera Authorization estándar con la codificación Base64 clientId:clientSecret

Como alternativa, para utilizar la afirmación de JWT, transfiera los siguientes parámetros codificados de URL adicionales en el cuerpo de la solicitud

client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&client_assertion={{clientAssertion}}

La afirmación de cliente debe ser una afirmación de JWT codificada en Base64 válida firmada con la clave privada que coincida con el certificado público cargado en IDCS, con la siguiente estructura.

Cabecera

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "{{certificateAlias}}"
}

Carga Útil

{
  "sub": "{{clientId}}",
  "jti": "{{uuid}}",
  "iat": {{iat}},
  "exp": {{exp}},
  "iss": "{{clientId}}",
  "aud": [ "https://identity.oraclecloud.com/" ]
}

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.