Introduction

Cloud HCM permet d'extraire des données de HCM à l'aide d'une plate-forme nouvelle génération dotée d'une banque de données optimisée pour la lecture. Ce tutoriel décrit la configuration de sécurité qui est un prérequis pour l'extraction des données.

Objectifs

A la fin de ce tutoriel, vous saurez comment :

  • Configurer un rôle fonctionnel HCM pour l'extraction de données
  • Configurer une application client OAuth pour extraire des données par programmation à l'aide d'appels d'API

Tâche 1 : préparer un rôle fonctionnel HCM

Pour accéder aux données de la hiérarchie des objets liés aux salariés, certains groupes d'autorisations doivent être ajoutés à un rôle fonctionnel HCM nouveau ou existant.

Suivez les étapes ci-dessous pour garantir un accès approprié aux données.

  1. Aller à Configuration et maintenance
    1. Recherchez Gérer les valeurs de profil d'administrateur et saisissez cette tâche.
    2. Rechercher la valeur de profil par code option de profil ORA_ASE_SAS_INTEGRATION_ENABLED
    3. Définissez sa valeur sur Oui au niveau Site.
    4. Enregistrer la valeur de profil
  2. Accédez à Outils → Console de sécurité
    1. Créer ou modifier un rôle de la catégorie de rôle HCM - Rôles fonctionnels
    2. Cliquez sur Activer les groupes de droits d'accès et confirmez
    3. Accéder à l'étape Groupes d'autorisations
      1. Cliquez sur Ajouter un groupe d'autorisations.
      2. Recherchez boss_execute_AsyncDataExtraction_OraBatchJobDefinition et sélectionnez-le.
      3. Cliquez sur Ajouter les groupes d'autorisations sélectionnés.
      4. Fermer la fenêtre contextuelle
    4. Accéder à l'étape Hiérarchie des rôles
      1. Cliquez sur Rôles et groupes d'autorisations.
      2. Cliquez sur Ajouter un rôle
      3. Assurez-vous que l'option Rôles de service est sélectionnée
      4. Vous trouverez ci-dessous les rôles de responsabilité d'extraction disponibles à partir de la version 26B. Pour chacun des rôles de responsabilité, recherchez-le, sélectionnez-le et cliquez sur Ajouter une appartenance à un rôle. Cette approche par défaut accorde l'accès à tous les objets pouvant être extraits dans HCM. Vous pouvez affiner la sécurité des données en fonction de vos besoins spécifiques.
        • RH globales
          • ORA_DR_PER_WORK_STRUCTURES_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_DETAILS_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_EMPLOYMENT_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_PII_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_SENSITIVE_DETAILS_EXTRACT_DUTY
        • Eléments communs HCM
          • ORA_DR_HRC_OBJ_CHANGES_EXTRACTION_DUTY
        • Payroll
          • ORA_DR_PAY_BALANCE_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_ELEMENT_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PAYMENT_METHOD_EXTRACT_DUTY
          • ORA_DR_PAY_PAYROLL_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_FLOW_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULT_ACTIVITIES_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULTS_EXTRACT_DUTY
          • ORA_DR_PAY_RELATIONSHIP_EXTRACT_DUTY
      5. Fermer la fenêtre contextuelle
    5. Accéder à l'étape Récapitulatif
    6. Vérifier les modifications et les enregistrer

Tâche 2 : création d'une application

Les API sont accessibles uniquement par les applications confidentielles qui utilisent OAuth 2.0. Vous devez en définir un dans Oracle Identity Cloud Service (IDCS).

  1. Connectez-vous à la console d'administration IDCS et accédez au domaine d'identité du pod donné.
  2. Cliquez sur Applications intégrées.
  3. Cliquez sur Ajouter une application.
  4. Sélectionnez Application confidentielle et cliquez sur Lancer le workflow.
  5. Fournir un nom (par exemple, extraction d'une application)
  6. Cliquez sur Soumettre
  7. Sélectionnez l'onglet Configuration OAuth et cliquez sur Modifier la configuration OAuth.
  8. Sélectionnez Configurer cette application en tant que client maintenant
  9. Choisissez Types d'octroi autorisés en tant qu'informations d'identification client et assertion JWT
  10. Choisissez Client type comme Trusted.
  11. Pour autoriser l'authentification client à l'aide de l'assertion JWT (recommandé pour les environnements de production), cliquez sur Importer le certificat.
    1. Indiquez un alias pour votre certificat
    2. Télécharger le certificat
    3. Conseil : par défaut, le portlet Jeu de transport - Services d'import est situé dans l'onglet Portail de l'onglet Administrer de la page Portal Builder
  12. Choisissez Opérations autorisées comme au nom de
  13. Activer Contourner le consentement
  14. Sélectionnez Ajouter des ressources.
  15. Cliquez sur Ajouter une portée, puis recherchez, sélectionnez et ajoutez les portées suivantes
    • Oracle SaaS Batch Cloud Service
    • Oracle Boss Cloud (Spectra)
  16. Cliquez sur Soumettre
  17. Pour activer la nouvelle application, développez la liste déroulante Actions, sélectionnez l'action Activer et confirmez-la.
  18. Dans les détails de votre application, recherchez l'ID client et la clé secrète client qui seront utilisés pour générer des jetons d'accès

Tâche 3 : affecter le rôle à l'application

Il est maintenant temps d'affecter le rôle de l'étape 1 à l'application de l'étape 2.

  1. Accédez à Outils → Console de sécurité
  2. Cliquez sur Extensions d'application.
  3. Recherchez l'application dans la section Applications client OAuth personnalisées et cliquez sur son nom.
  4. Cliquez sur Rôles
  5. Cliquez sur Ajouter
  6. Recherchez votre rôle et sélectionnez-le
  7. Cliquez sur Ajouter
  8. Cliquez sur Terminé.

Pour accéder à Applications Extensions, vous devez disposer du privilège ASE_ADMINISTER_APP_EXTENSIONS_PRIV.

Tâche 4 : obtenir un jeton

Voici comment obtenir un jeton pour utiliser les API.

URL {{idcsUrl}}/oauth2/v1/token
Méthode HTTP POST
En-tête Content-Type application/x-www-form-urlencoded
Corps de demande

Encodage URL

Pour accéder aux adresses /api/boss

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:boss/

Pour accéder aux adresses /api/saas-batch

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:saas-batch/
Authentification

Vous pouvez utiliser l'authentification de base ou l'assertion JWT pour authentifier le client.

Pour utiliser l'authentification de base, utilisez l'en-tête Authorization standard avec le code Base64 clientId:clientSecret

Sinon, pour utiliser l'assertion JWT, transmettez les paramètres supplémentaires encodés en URL suivants dans le corps de la demande

client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&client_assertion={{clientAssertion}}

L'assertion client doit être une assertion JWT encodée en Base64 valide signée avec la clé privée correspondant à votre certificat public téléchargé dans IDCS, avec la structure suivante.

En-tête 

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "{{certificateAlias}}"
}

Charge utile

{
  "sub": "{{clientId}}",
  "jti": "{{uuid}}",
  "iat": {{iat}},
  "exp": {{exp}},
  "iss": "{{clientId}}",
  "aud": [ "https://identity.oraclecloud.com/" ]
}

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.