Présentation

Cloud HCM permet d'extraire des données de HCM à l'aide d'une plate-forme de nouvelle génération avec un magasin de données optimisé pour la lecture. Ce tutoriel décrit la configuration de la sécurité qui est une condition préalable à l'extraction de données.

Objectifs

À la fin de ce tutoriel, vous comprendrez comment :

  • Configurer un rôle professionnel HCM pour l'extraction de données
  • Configurer une application client OAuth pour extraire des données par programmation à l'aide d'appels d'API

Tâche 1 : Préparer un rôle professionnel HCM

Pour accéder aux données de la hiérarchie des objets liés aux travailleurs, certains groupes d'accès doivent être ajoutés à un rôle professionnel HCM nouveau ou existant.

Suivez les étapes ci-dessous pour assurer un accès approprié aux données.

  1. Allez à Configuration et maintenance
    1. Recherchez Manage Administrator Profile Values (Gérer les valeurs de profil d'administrateur) et entrez cette tâche.
    2. Rechercher la valeur de profil par code d'option de profil ORA_ASE_SAS_INTEGRATION_ENABLED
    3. Réglez sa valeur à Oui au niveau Site
    4. Enregistrer la valeur de profil
  2. Allez à Outils → Console de sécurité
    1. Créer ou modifier un rôle de catégorie de rôle HCM - Rôles professionnels
    2. Cliquez sur Activer les groupes d'autorisations et confirmez
    3. Aller à l'arrêt de formation Groupes d'autorisations
      1. Cliquez sur Ajouter un groupe d'autorisations.
      2. Recherchez boss_execute_AsyncDataExtraction_OraBatchJobDefinition et sélectionnez-le
      3. Cliquez sur Ajouter les groupes d'autorisation sélectionnés.
      4. Fermer la fenêtre contextuelle
    4. Aller à l'arrêt de formation Hiérarchie des rôles
      1. Cliquez sur Rôles et groupes d'autorisation
      2. Cliquez sur Ajouter un rôle.
      3. Assurez-vous que l'option Rôles fonctionnels est sélectionnée
      4. Les rôles fonctionnels d'extraction ci-dessous sont disponibles à la version 26B. Pour chacun des rôles fonctionnels, recherchez-le, sélectionnez-le et cliquez sur Ajouter une appartenance à un rôle. Cette approche par défaut permet d'accéder à tous les objets pouvant être extraits dans HCM. Vous pouvez ajuster la sécurité des données selon vos besoins.
        • Global Human Resources
          • ORA_DR_PER_WORK_STRUCTURES_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_DETAILS_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_EMPLOYMENT_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_PII_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_SENSITIVE_DETAILS_EXTRACT_DUTY
        • Fonctions communes HCM
          • ORA_DR_HRC_OBJ_CHANGES_EXTRACTION_DUTY
        • Paie
          • ORA_DR_PAY_BALANCE_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_ELEMENT_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PAYMENT_METHOD_EXTRACT_DUTY
          • ORA_DR_PAY_PAYROLL_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_FLOW_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULT_ACTIVITIES_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULTS_EXTRACT_DUTY
          • ORA_DR_PAY_RELATIONSHIP_EXTRACT_DUTY
      5. Fermer la fenêtre contextuelle
    5. Aller à l'arrêt de train Sommaire
    6. Vérifier les modifications et les enregistrer

Tâche 2 : Créer une application

Les API ne sont accessibles que par les applications confidentielles qui utilisent OAuth 2.0. Vous devez en définir un dans Oracle Identity Cloud Service (IDCS).

  1. Connectez-vous à la console d'administration IDCS et naviguez jusqu'au domaine d'identité du pod indiqué
  2. Cliquez sur Applications intégrées.
  3. Cliquez sur Ajouter une application
  4. Sélectionnez Application confidentielle et cliquez sur Lancer le flux de travail
  5. Indiquez le nom (par exemple, l'application Extractions)
  6. Cliquez sur Soumettre
  7. Sélectionnez l'onglet Configuration OAuth et cliquez sur Modifier la configuration OAuth
  8. Sélectionnez Configurer cette application comme client maintenant
  9. Sélectionnez Types d'autorisation dans les champs Données d'identification du client et Assertion JWT.
  10. Sélectionnez Type de client comme Approuvé
  11. Pour autoriser l'authentification de client à l'aide d'une assertion JWT (recommandée pour les environnements de production), cliquez sur Importer le certificat
    1. Indiquez un alias pour votre certificat
    2. Charger le certificat
    3. Cliquez sur Importer
  12. Sélectionnez Opérations autorisées comme Au nom de
  13. Activer Ignorer le consentement
  14. Sélectionnez Ajouter des ressources.
  15. Cliquez sur Ajouter une étendue, puis recherchez, sélectionnez et ajoutez les étendues suivantes
    • Oracle SaaS Batch Cloud Service
    • Oracle Boss Cloud (Spectra)
  16. Cliquez sur Soumettre
  17. Pour activer la nouvelle application, développez la liste déroulante Actions, sélectionnez l'action Activer et confirmez-la
  18. Dans les détails de votre application, recherchez l'ID client et la clé secrète client qui seront utilisés pour générer des jetons d'accès

Tâche 3 : Affecter le rôle à l'application

Il est maintenant temps d'affecter le rôle de l'étape #1 à l'application de l'étape #2.

  1. Allez à Outils → Console de sécurité
  2. Cliquez sur Extensions d'application.
  3. Recherchez votre application dans la section Applications client OAuth personnalisées et cliquez sur son nom.
  4. Cliquez sur Roles (Rôles)
  5. Cliquez sur Ajouter
  6. Rechercher votre rôle et le sélectionner
  7. Cliquez sur Ajouter
  8. Cliquez sur Terminé

Pour accéder aux extensions d'application, vous devez disposer du privilège ASE_ADMINISTER_APP_EXTENSIONS_PRIV.

Tâche 4 : Obtenir un jeton

Voici comment obtenir un jeton pour utiliser les API.

URL {{idcsUrl}}/oauth2/v1/token
Méthode HTTP POST
En-tête de type de contenu application/x-www-form-urlencoded
Corps de demande

Codage dans l'URL

Pour accéder aux points d'extrémité /api/boss

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:boss/

Pour accéder aux points d'extrémité /api/saas-batch

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:saas-batch/
Authentification

Vous pouvez utiliser l'authentification de base ou l'assertion JWT pour authentifier le client.

Pour utiliser l'authentification de base, utilisez l'en-tête Authorization standard avec clientId:clientSecret encodé en Base64

Sinon, pour utiliser l'assertion JWT, transmettez les paramètres URL supplémentaires suivants dans le corps de la demande

client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&client_assertion={{clientAssertion}}

L'assertion de client doit être une assertion JWT valide encodée en Base64 signée avec la clé privée correspondant à votre certificat public chargé dans IDCS, avec la structure suivante.

En-tête 

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "{{certificateAlias}}"
}

Données utiles

{
  "sub": "{{clientId}}",
  "jti": "{{uuid}}",
  "iat": {{iat}},
  "exp": {{exp}},
  "iss": "{{clientId}}",
  "aud": [ "https://identity.oraclecloud.com/" ]
}

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.