Introduzione

Cloud HCM offre la possibilità di estrarre dati da HCM utilizzando una piattaforma di nuova generazione con data store ottimizzato in lettura. Questa esercitazione descrive la configurazione di sicurezza che è un prerequisito per l'estrazione dei dati.

Obiettivi

Dopo aver completato questo tutorial, capirete come:

  • Configurare un ruolo mansione HCM per l'estrazione dei dati
  • Configurare un'applicazione client OAuth per estrarre i dati a livello di programmazione mediante chiamate API

Task 1: Prepara un ruolo mansione HCM

Per accedere ai dati nella gerarchia degli oggetti correlati ai lavoratori, è necessario aggiungere determinati gruppi di autorizzazioni a un ruolo mansione HCM nuovo o esistente.

Seguire la procedura riportata di seguito per garantire l'accesso ai dati appropriato.

  1. Vai a Impostazione e gestione
    1. Cercare Gestisci valori profilo amministratore e immettere questo task
    2. Cercare il valore del profilo in base al codice opzione profilo ORA_ASE_SAS_INTEGRATION_ENABLED
    3. Impostare il valore su a livello di sede
    4. Salva il valore del profilo
  2. Vai a Strumenti → Console sicurezza
    1. Creare o modificare un ruolo della categoria di ruoli HCM - Ruoli mansione
    2. Fare clic su Abilita gruppi di autorizzazioni e confermare
    3. Vai alla fermata del treno Gruppi autorizzazioni
      1. Fare clic su Aggiungi gruppo di autorizzazioni
      2. Cerca boss_execute_AsyncDataExtraction_OraBatchJobDefinition e selezionalo
      3. Fare clic su Aggiungi gruppi di autorizzazioni selezionati
      4. Chiudi la finestra popup
    4. Vai alla fermata del treno Gerarchia ruoli
      1. Fare clic su Ruoli e gruppi di autorizzazioni
      2. Fare clic su Aggiungi ruolo
      3. Assicurarsi che l'opzione Ruoli responsabilità sia selezionata
      4. Di seguito sono riportati i ruoli responsabilità di estrazione disponibili a partire dalla release 26B. Per ciascuno dei ruoli responsabilità, cercarlo, selezionarlo e fare clic su Aggiungi appartenenza ruolo. Questo approccio predefinito concede l'accesso a tutti gli oggetti estraibili in HCM. È possibile ottimizzare la sicurezza dei dati in base alle esigenze, in base ai requisiti specifici.
        • HR globali
          • ORA_DR_PER_WORK_STRUCTURES_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_DETAILS_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_EMPLOYMENT_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_PII_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_SENSITIVE_DETAILS_EXTRACT_DUTY
        • Comune
          • ORA_DR_HRC_OBJ_CHANGES_EXTRACTION_DUTY
        • Payroll
          • ORA_DR_PAY_BALANCE_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_ELEMENT_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PAYMENT_METHOD_EXTRACT_DUTY
          • ORA_DR_PAY_PAYROLL_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_FLOW_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULT_ACTIVITIES_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULTS_EXTRACT_DUTY
          • ORA_DR_PAY_RELATIONSHIP_EXTRACT_DUTY
      5. Chiudi la finestra popup
    5. Vai alla fermata del treno Riepilogo
    6. Rivedere le modifiche e salvarle

Task 2: Creazione di un'applicazione

Le API sono accessibili solo da applicazioni riservate che utilizzano OAuth 2.0. Sarà necessario definirne uno in Oracle Identity Cloud Service (IDCS).

  1. Eseguire il login alla console di amministrazione IDCS e andare al dominio di Identity del pod specificato
  2. Fare clic su Applicazioni integrate
  3. Fare clic su Aggiungi applicazione
  4. Selezionare Applicazione riservata e fare clic su Avvia workflow
  5. Fornire il nome (ad esempio, applicazione per estrazioni)
  6. Fare clic su Sottometti
  7. Selezionare la scheda Configurazione OAuth e fare clic su Modifica configurazione OAuth.
  8. Selezionare Configurare questa applicazione come client ora
  9. Scegliere Tipi di privilegio consentiti come Credenziali client e Asserzione JWT
  10. Scegliere Tipo di client come Affidabile
  11. Per consentire l'autenticazione del client mediante l'asserzione JWT (consigliato per gli ambienti di produzione), fare clic su Importa certificato.
    1. Fornire un alias per il certificato
    2. Carica il certificato
    3. Fare clic su Importa
  12. Scegliere Operazioni consentite come per conto di
  13. Abilita Ignora consenso
  14. Selezionare Aggiungi risorse
  15. Fare clic su Aggiungi ambito, quindi cercare, selezionare e aggiungere gli ambiti seguenti
    • Oracle SaaS - Batch Cloud Service
    • Oracle Boss Cloud (Spectra)
  16. Fare clic su Sottometti
  17. Per attivare l'applicazione appena creata, espandere l'elenco a discesa Azioni, selezionare l'azione Attiva e confermarla
  18. Nei dettagli dell'applicazione, trovare l'ID client e il segreto client che verranno utilizzati per generare i token di accesso

Task 3: Assegnazione del ruolo all'applicazione

Ora è il momento di assegnare il ruolo dal passo #1 all'applicazione dal passo #2.

  1. Vai a Strumenti → Console sicurezza
  2. Fare clic su Estensioni applicazione
  3. Trovare l'applicazione nella sezione Applicazioni client OAuth personalizzate e fare clic sul relativo nome
  4. Fare clic su Ruoli
  5. Fare clic su Aggiungi
  6. Cercare il proprio ruolo e selezionarlo
  7. Fare clic su Aggiungi
  8. Fare clic su·Fine

Per accedere a Applications Extensions, è necessario disporre del privilegio ASE_ADMINISTER_APP_EXTENSIONS_PRIV.

Task 4: Ottenere un token

Di seguito viene descritto come ottenere un token per utilizzare le API.

URL {{idcsUrl}}/oauth2/v1/token
Metodo HTTP POST
Intestazione Content-Type application/x-www-form-urlencoded
Corpo richiesta

Con codifica URL

Per accedere agli endpoint /api/boss

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:boss/

Per accedere agli endpoint /api/saas-batch

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:saas-batch/
Autenticazione

È possibile utilizzare l'autenticazione di base o l'asserzione JWT per autenticare il client.

Per utilizzare l'autenticazione di base, utilizzare l'intestazione Authorization standard con codifica Base64 clientId:clientSecret

In alternativa, per utilizzare l'asserzione JWT, passare i seguenti parametri aggiuntivi con codifica URL nel corpo della richiesta

client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&client_assertion={{clientAssertion}}

L'asserzione client deve essere un'asserzione JWT con codifica Base64 valida firmata con la chiave privata corrispondente al certificato pubblico caricato in IDCS, con la struttura seguente.

Intestazione

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "{{certificateAlias}}"
}

Payload

{
  "sub": "{{clientId}}",
  "jti": "{{uuid}}",
  "iat": {{iat}},
  "exp": {{exp}},
  "iss": "{{clientId}}",
  "aud": [ "https://identity.oraclecloud.com/" ]
}

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.