简介

人力资本管理集成专家职务角色通常授予负责将数据批量加载到 Oracle HCM Cloud 中的用户。但是,此角色授予对其他工具(包括 HCM 提取和所有 REST API)的访问权限,因此建议您改为创建定制角色,并仅授予所需的 HCM 数据加载程序 (HDL) 功能。

访问 HCM 数据加载程序通常有两种用户类型:

  • 负责定义数据文件、启动批量加载和监视现有集成的集成专家用户。此用户类型需要访问应用程序中的 HCM 数据加载程序任务。
  • 负责将数据推送到 Oracle HCM Cloud 的外部集成用户。

    由入站集成用于上载文件和启动 HCM 数据加载程序。这些用户不应有权访问应用程序或监视他们已启动的上载以外的上载。本教程介绍了如何为此目的授予对 HCM 数据加载程序 REST API 的访问权限。

业务对象访问权限

通过 HCM 数据加载程序,可以限制用户可以使用哪些业务对象成批加载数据。默认情况下,这两个功能处于禁用状态,但建议您启用这两个功能,并将定制角色配置为仅具有所需的 HDL 访问权限,并且仅适用于所需的业务对象:
  • 配置业务对象访问权限

    启用后,您可以配置角色可以批量加载数据的各个业务对象和产品区域。

  • 限制对安全相关的业务对象的访问

    启用后,需要额外的功能安全权限才能将数据批量加载到加载安全相关数据的任意对象。目前,包括以下产品区域中的所有对象:

    产品领域 业务对象
    全球人力资源 - 责任范围
    • 责任范围
    • 责任范围模板
    全球人力资源 - 安全性
    • 法律法规数据组安全配置文件
    • 组织安全概要信息
    • 国家(地区)安全概要信息
    • 职位安全概要信息
    • 文档类型安全概要信息
    • 排除规则的
    • 人员安全概要信息
    全球人力资源 - 用户
    • 委派的角色
    • User
    招聘 - 安全性
    • 职务招聘请求安全概要信息
    人才管理 - 安全性
    • 人才库安全性概要信息

    提示:

    通过使用查看业务对象任务,您可以确定哪些对象受功能安全权限保护。受保护的对象具有成批装入受保护

警告:

使用启动 HCM 数据加载程序薪资流任务上载由 HCM 提取生成的文件时提交 HCM 数据加载程序,或者使用启动数据加载程序薪资流任务上载由转换公式生成的文件时,提交用户将被提升并丢失会话用户上下文。因此,无法评估该用户的安全配置。在启用这些安全功能的情况下,现有薪资流任务将无法启动 HDL。在 24A 版中,您可以更新薪资流模式,以使用以会话用户身份提交 HDL 的新薪资流任务:
  • 运行 HCM 数据加载程序以上载 HCM 提取生成的文件。
  • 运行数据加载程序流程以上载由转换公式生成的文件。

要配置“HCM 提取”流,请参阅教程启动 HCM 提取生成文件的 HCM 数据加载程序


文件解密

建议在将所有文件加载到 Oracle WebCenter Content 服务器之前对其进行加密。

HCM 数据加载程序只能处理 Oracle WebCenter 上 hcm$/dataload$/import$ 帐户中存在的文件。使用导入和加载数据任务中的导入文件功能在本地上载的文件将首先上载到此处,然后再进行处理。

警告:

任何有权访问 hcm$/dataload$/import$ 帐户的用户都可以下载并读取该帐户上的任何文件,而不管是谁创建的。

要使 HDL 解密文件,您必须使用用于加载文件的环境的公共 fusion-key PGP 密钥对其进行加密。

本教程中的最终任务将引导您完成生成 fusion-key PGP 证书并提取公钥的步骤,您将使用该公钥对文件进行加密。

目标

在本教程里,您将:

  • 了解如何启用 HCM 数据加载程序安全相关功能。
  • 配置自定义角色以授予对 HCM 数据加载程序的访问权限.
  • 为您的自定义角色配置业务对象访问权限。
  • 生成 fusion-key 证书并提取公共密钥。

先决条件

要完成本教程中的步骤,您需要:

  • 访问安全控制台以创建定制角色并提取文件加密密钥。
  • 访问配置 HCM 数据加载程序任务以启用 HCM 数据加载安全功能。

    您需要此功能安全权限才能访问任务:

    功能安全性权限名称 代码
    管理 HCM 数据加载程序的配置 HRC_MANAGE_CONFIGURATION_HCM_DATA_LOADER_PRIV
  • 访问 HCM 数据加载程序业务对象访问权限任务,以配置角色可以成批加载数据的业务对象。

    此角色层次结构提供以下访问权限:

    角色名 角色代码
    管理 HCM 数据加载程序业务对象访问权限 HRC_MANAGE_HDL_BO_ACCESS_PRIV

注意:

本教程假定您已启用 Redwood。如果不是这样,请访问本教程的版本 25A 以获取导航和屏幕截图。

任务 1:启用安全性相关功能

在此步骤中,您将学习如何启用允许您限制对用户可以成批加载数据的业务对象的访问权限的功能。

注意:

启用这些增强功能不会影响 HCM 电子表格数据加载程序。

要启用这些安全功能,您需要使用具有配置 HCM 数据加载程序任务访问权限的用户登录应用程序(有关如何授予此权限,请参阅先决条件。)

启用基于角色的业务对象访问权限的配置

启用后,您的自定义 HCM 数据加载程序角色需要配置业务对象访问权限。在启用此功能之前,您可以使用 HCM 数据加载程序业务对象访问权限任务配置自定义角色及其业务对象访问权限。

注意:

具有 Human Capital Management Integration Specialist 职务角色的用户将继续具有 HCM 数据加载程序访问权限。此角色已预先配置为访问所有业务对象。
  1. 导航到我的客户组 > 数据交换
  2. 单击配置 HCM 数据加载程序任务。
  3. 从“HCM 数据加载程序”功能区域中选择“配置 HCM 数据加载程序”任务

  4. HCM 数据加载程序参数选项卡上,搜索启用基于角色的业务对象访问配置参数。
  5. 对于“启用基于角色的业务对象访问配置”参数,将“改写”设置为“是”

  6. 改写值设置为并保存。

限制对安全相关的业务对象的访问

启用后,用户需要加载 HCM 安全数据功能安全权限才能批量加载具有安全相关对象的数据。

注意:

启用此功能将禁止具有人力资本管理集成专家职务角色的用户也使用与安全相关的业务对象。启用此功能后,您需要创建定制角色来提供对批量加载安全相关数据的访问权限。
  1. 数据交换工作区访问配置 HCM 数据加载程序任务。
  2. HCM 数据加载程序参数选项卡上搜索限制对安全相关业务对象的访问参数。
  3. 改写值设置为并保存。


任务 2:授予 HCM 数据加载程序访问权限

在此步骤中,您将创建用于访问 HCM 数据加载程序功能的自定义角色。

集成专家访问

此角色将提供对以下功能的访问权限:

  • 查看业务对象任务,用于复核业务对象详细信息并生成 METADATA 文件。
  • 用于提交文件以导入、加载和监视所有数据集状态的导入和加载数据任务。
  • 最近的文件加载任务,用于检查任何设备上最近的数据集状态。
  • 用于维护阶段表的删除阶段表数据任务。
  • 支持在 Oracle WebCenter Content 服务器上导入和导出 HCM 数据加载程序的文件。

要授予此访问权限:

  1. 使用安全控制台访问权限登录到应用程序。
  2. 导航到 Tools(工具) > Security Console(安全控制台)
  3. 单击创建角色
  4. 指定角色名称并提供唯一的角色代码。
  5. 提示:

    角色可以使用的业务对象直接授予此职务角色。请考虑为其提供访问权限的对象命名每个角色。例如,HCM 数据加载程序 - 所有对象、HCM 数据加载程序 - 设置或 HCM 数据加载程序 - 招聘。
  6. 指定 HCM - 职务角色角色类别
  7. 单击下一步以导航到角色层次页。添加以下层次结构:
  8. 角色名 角色代码 授权访问权限至
    HCM 数据加载 ORA_HRC_HCM_DATA_LOAD_DUTY “数据交换”工作区中的 HCM 数据加载程序任务。
    上载数据以进行基于 Oracle Fusion Human Capital Management 文件的导入 HCM_DATALOADER_IMPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/import 目录。
    从基于 Oracle Fusion Human Capital Management 文件的导出中下载数据 HCM_DATALOADER_EXPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/export 目录。导出错误文件是必需的。

    此外,如果要为角色分配对加载安全相关数据的任何业务对象的访问权限,则需要以下功能安全权限:

    角色名 角色代码 授权访问权限至
    加载 HCM 安全性数据 HRC_LOAD_HCM_SECURITY_DATA_PRIV 与安全性相关的 HCM 数据加载程序业务对象。

  9. 保存所做更改。

现在,您可以配置此角色可以加载数据的业务对象。请参见 Task 3

REST 访问

对于为入站集成定义的外部用户(例如供第三方薪资回馈集成使用),请授予对 dataLoadDataSets REST 资源的访问权限。

  1. 使用安全控制台访问权限登录到应用程序。
  2. 导航到 Tools(工具) > Security Console(安全控制台)
  3. 单击创建角色
  4. 指定角色名称并提供唯一的角色代码。
  5. 提示:

    角色可以使用的业务对象直接授予此职务角色。考虑为其集成命名角色,例如 HDL Payroll Backfeed。
  6. 定位至角色层次结构页。添加以下层次结构:
  7. 角色名 角色代码 授权访问权限至
    使用 REST 服务 - 数据加载数据集 ORA_HRC_REST_SERVICE_ACCESS_DATA_LOAD_DATA_SETS 用于启动批量加载和监视数据集状态的 dataLoadDataSets REST API。
    上载数据以进行基于人力资本管理文件的导入 HCM_DATALOADER_IMPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/import 目录。

  8. 提交 HDL 的自定义操作是单独保护的,因此可以授予对 REST 服务的访问权限,以启动 HSDL,而角色的用户没有自动启动 HDL 的权限。要授予启动 HDL 的访问权限,请添加此功能安全权限:
  9. 功能安全性权限 权限代码 保护自定义操作
    使用 REST 服务创建 HCM 数据加载程序数据集 HRC_CREATE_FILE_DATA_SET_USING_REST createFileDataSet

  10. 此外,如果您希望此角色有权访问用于删除该角色创建的数据集的暂存表数据的 REST 自定义操作,请添加以下权限:
  11. 功能安全性权限 权限代码 保护自定义操作
    使用 REST 服务删除 HCM 数据加载程序数据集 HRC_DELETE_HDL_DATA_SET_USING_REST deleteDataSet
    使用 REST 服务删除 HCM 电子表格数据加载程序数据集 HRC_DELETE_HSDL_DATA_SET_USING_REST deleteSpreadsheetDataSet

  12. 保存所做更改。
  13. 现在,您可以配置此角色可以加载数据的业务对象。


任务 3:配置业务对象访问权限

在此步骤中,您将配置角色可以使用 HCM 数据加载程序批量加载数据的业务对象。

  1. 使用有权访问 HCM 数据加载程序业务对象访问权限任务的用户登录应用程序(有关如何授予此权限,请参阅先决条件)。
  2. 导航到我的客户组 > 数据交换
  3. 单击 HCM 数据加载程序业务对象访问权限
  4. 搜索您的定制角色,然后单击编辑操作按钮。
  5. 单击分配

    您将导航到查看分配的业务对象页,您可以在其中查看此角色的用户可以成批加载数据的业务对象和产品区域。

  6. 单击 Assign 按钮。
  7. 单击分配

  8. 选择下列选项之一:
    • 分配各个业务对象
    • 按产品区域分配业务对象
    • 分配所有不受限制的业务对象
    • 分配所有业务对象,包括与安全相关的对象

    分配各个业务对象

    如果选择分配各个业务对象,则导航到分配各个业务对象页。

    • 使用搜索栏和筛选器搜索业务对象。
    • 选中业务对象对应的复选框以将其添加到角色。
    • 单击分配

      提示:

      按产品区域分配列指明业务对象是否已通过产品区域映射可供角色使用。
    • 单击保存
    • 将在已分配业务对象表中为每个选定的业务对象创建一个条目。
      单击分配

    按产品区域分配业务对象

    如果选择分配产品区域中的所有业务对象,则您会导航到按产品区域分配业务对象页。

    • 使用搜索栏搜索产品区域。
    • 单击分配

    • 单击编辑操作按钮。这将打开产品区域内的业务对象面板,您可以通过将此产品区域分配给角色来查看角色将能够批量加载数据的对象。
    • 单击分配

    • 取消选择不应使用此角色批量加载数据的任何业务对象。
    • 提示:

      已分配列指明业务对象是否已通过单个业务对象映射可供角色使用。
    • 单击保存
    • 您将导航回按产品区域分配业务对象页,在此页上可以查看产品区域映射并将其他产品区域分配给角色
      单击分配

    • 返回到查看分配的业务对象页以复核和配置角色的映射。
    • 单击分配

      提示:

      您可以通过针对产品区域单击“编辑”按钮来配置现有产品区域映射中的可用业务对象。

    分配所有不受限制的业务对象

    如果选择分配所有不受限制的业务对象,则会出现一条确认消息,说明具有此角色的用户可以批量加载未加载安全相关数据的任何业务对象的数据。

    • 单击分配以关闭警告并继续。分配的业务对象表中对所有不受限制的业务对象显示单个条目。
    • 单击分配

    分配所有业务对象

    如果选择分配所有业务对象,包括与安全相关的对象,则会出现一条确认消息,说明具有此角色的用户只有在具有加载 HCM 安全数据功能安全权限时才能使用与安全相关的对象。

    • 单击分配以关闭警告并继续。在分配的业务对象部分中为所有业务对象显示一个条目。
    • 单击分配


任务 4:创建公用 HCM 数据加载程序自定义角色

此步骤说明如何创建以下自定义角色:

  • 一个集成专家管理员角色,能够加载任何对象的数据并监视所有数据集。
  • 具有受限业务对象访问权限的集成专家角色。
  • 外部集成角色,此角色只能使用 REST API 加载薪资回馈数据,并且只能查看已提交的数据集。

集成专家 - 无限制

  1. 使用安全控制台创建自定义 HCM 数据加载程序 - 无限制角色。
  2. 授予此功能安全权限:
    角色名 角色代码 授权访问权限至
    加载 HCM 安全性数据 HRC_LOAD_HCM_SECURITY_DATA_PRIV 与安全性相关的 HCM 数据加载程序业务对象。
  3. 授予以下角色层次结构:
  4. 角色名 角色代码 授权访问权限至
    HCM 数据加载 ORA_HRC_HCM_DATA_LOAD_DUTY “数据交换”工作区中的 HCM 数据加载程序任务。
    上载数据以进行基于 Oracle Fusion Human Capital Management 文件的导入 HCM_DATALOADER_IMPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/import 目录。
    从基于 Oracle Fusion Human Capital Management 文件的导出中下载数据 HCM_DATALOADER_EXPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/export 目录。导出错误文件是必需的。
  5. 保存定制角色。
  6. 定位至数据交换工作区中的 HCM 数据加载程序业务对象访问权限任务。
  7. 搜索 HCM 数据加载程序 - 无限制角色。
  8. 针对角色单击编辑操作按钮以访问查看分配的业务对象页。
  9. 单击分配下拉按钮,然后选择分配所有业务对象,包括与安全相关的对象
  10. 单击 Assign(分配)关闭确认消息。
  11. 现在,您可以将此角色分配给应当能够使用任何 HCM 数据加载程序业务对象成批加载数据的用户。

集成专家 - 受限

  1. 使用安全控制台创建自定义 HCM 数据加载程序 - {objects} 角色,将 {objects} 替换为角色有权使用的业务对象的说明,例如 HCM 数据加载程序 - 工作结构或 HCM 数据加载程序 - 招聘
  2. 授予以下角色层次结构:
  3. 角色名 角色代码 授权访问权限至
    HCM 数据加载 ORA_HRC_HCM_DATA_LOAD_DUTY “数据交换”工作区中的 HCM 数据加载程序任务。
    上载数据以进行基于 Oracle Fusion Human Capital Management 文件的导入 HCM_DATALOADER_IMPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/import 目录。
    从基于 Oracle Fusion Human Capital Management 文件的导出中下载数据 HCM_DATALOADER_EXPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/export 目录。导出错误文件是必需的。

    提示:

    如果此角色可以访问的业务对象列表将包括加载安全相关数据的对象,则还将授予加载 HCM 安全数据功能安全权限。
  4. 保存定制角色。
  5. 定位至数据交换工作区中的 HCM 数据加载程序业务对象访问权限任务。
  6. 搜索您的自定义角色。
  7. 针对角色单击编辑操作按钮以访问查看分配的业务对象页。
  8. 使用分配下拉按钮可以分配角色可以成批加载数据的单个业务对象和产品区域。
  9. 现在,您可以将此角色分配给应该能够使用配置的 HCM 数据加载程序业务对象成批加载数据的用户。

外部用户 - 特定于集成

在此步骤中,您将创建外部用户以启动薪资回送集成。此用户将提供给提供数据并启动集成的提供商。

  1. 使用安全控制台创建自定义外部薪资回馈角色。
  2. 提示:

    使用描述用户为其提供访问权限的集成的任何名称。
  3. 授予以下角色层次结构:
  4. 角色名 角色代码 授权访问权限至
    使用 REST 服务 - 数据加载数据集 ORA_HRC_REST_SERVICE_ACCESS_DATA_LOAD_DATA_SETS 用于启动 HDL 和 HSDL 以及监视数据集状态的 dataLoadDataSets REST API。
    上载数据以进行基于人力资本管理文件的导入 HCM_DATALOADER_IMPORT_RWD Oracle WebCenter Content 服务器上的 hcm/dataloader/import 目录。

  5. 保存定制角色。
  6. 定位至数据交换工作区中的 HCM 数据加载程序业务对象访问权限任务。
  7. 搜索您的自定义角色。
  8. 针对角色单击编辑操作按钮以访问查看分配的业务对象页。
  9. 单击分配下拉按钮,然后选择分配单个业务对象
  10. 搜索并选择集成将更新的业务对象:
    • 文档记录
    • 薪资接口入站记录
    • 第三方 Payroll Interface 错误
  11. 保存所做更改。
  12. 现在,您可以将此角色分配给提供给第三方薪资供应商的用户账户,以上载薪资回馈数据。


任务 5:生成用于加密 HDL 文件的 PGP 密钥对

建议在将所有文件加载到 Oracle WebCenter Content 服务器之前对其进行加密。有权访问 HCM 数据加载程序导入账户的任何用户都可以下载和读取该账户上的任何文件,而不管是谁创建的。

HCM 数据加载程序使用私有 fusion-key PGP 密钥对文件进行解密,因此您需要先在 Oracle Cloud 环境中生成此密钥,然后再加载加密的文件。使用 fusion-key 公钥对文件进行加密。

在此步骤中,您将生成 fusion-key PGP 密钥对并提取公钥。

  1. 使用 IT 安全经理职务角色或权限登录到 Oracle HCM Cloud。
  2. 导航到 Tools(工具) > Security Console(安全控制台)
  3. 单击 Certificates(证书)选项卡。
  4. 查看已存在的证书。如果 fusion-key 证书已存在,则可以跳至提取公钥部分。否则,请按照步骤生成 fusion-key 证书。

生成 Fusion-key 证书

  1. 单击生成以打开“生成”对话框。
  2. 单击“生成页面级别”按钮。

  3. 选择 PGP证书类型并指定以下值:
  4. 别名 融合键
    密码短语 输入私有密钥的口令短语。编辑、删除或下载私钥时需要此口令短语。
    关键字类型 RSA
    密钥长度 选择 1024 或 2048。
    加密算法 选择要使用的加密算法

    注意:

    您必须使用 HCM 数据加载程序的 fusion-key 别名来解密使用此密钥加密的文件。
    fusion-key 属性值的示例

  5. 单击保存和关闭。将显示一条确认消息,将其关闭。
  6. 您的证书将被显示。

    证书页面现在显示生成的融合键

提取公钥

  1. 单击 Fusion-key 记录的操作选项菜单按钮。
  2. 单击导出 > 公钥
  3. 将下载 fusion-key_pub.asc 文件。将其保存到桌面。

提示:

有关更多信息,请参阅设置文件传输加密主题。

帮助主题 教程

有关适用于 HDL 和 HSDL 的最新 Oracle By Example 教程的链接,请参阅此 Cloud Customer Connect 主题:

致谢

  • 作者 — Ema Johnson(高级首席产品经理)

更多学习资源

通过 docs.oracle.com/learn 浏览其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心