簡介

雲端 HCM 提供使用具有讀取最佳化資料存放區的新一代平台,從 HCM 擷取資料的功能。本教學課程描述擷取資料的先決條件安全組態。

目標

完成本教學課程後,您將瞭解如何:

  • 設定資料擷取的 HCM 職務角色
  • 設定 OAuth 用戶端應用程式,以使用 API 呼叫以程式設計方式擷取資料

任務 1:準備 HCM 職務角色

為了存取「職工」相關物件階層中的資料,必須將特定「權限群組」新增至新的或現有的 HCM 職務角色。

請遵循下列步驟,以確保適當的資料存取。

  1. 前往設定與維護
    1. 搜尋管理管理員設定檔值並輸入此任務
    2. 依設定檔選項代碼 ORA_ASE_SAS_INTEGRATION_ENABLED 搜尋設定檔值
    3. 網站層次的值設為
    4. 儲存設定檔值
  2. 前往工具 → 安全主控台
    1. 建立或編輯角色類目 HCM - 職務角色的角色
    2. 按一下啟用權限群組並確認
    3. 前往權限群組訓練站
      1. 按一下新增權限群組
      2. 搜尋 boss_execute_AsyncDataExtraction_OraBatchJobDefinition 並加以選取
      3. 按一下新增選取的權限群組
      4. 關閉彈出式視窗
    4. 前往角色階層訓練站
      1. 按一下角色和權限群組
      2. 按一下新增角色
      3. 確定已選取職責角色選項
      4. 以下是自版本 26B 起的擷取工作角色。針對每個職責角色進行搜尋,選取它並按一下新增角色成員身分。此預設方式會授予 HCM 中所有可擷取物件的存取權。您可以視需要根據特定需求微調資料安全性。
        • 全球人力資源
          • ORA_DR_PER_WORK_STRUCTURES_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_DETAILS_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_EMPLOYMENT_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_PII_EXTRACT_DUTY
          • ORA_DR_PER_WORKER_SENSITIVE_DETAILS_EXTRACT_DUTY
        • HCM 一般功能
          • ORA_DR_HRC_OBJ_CHANGES_EXTRACTION_DUTY
        • 薪資
          • ORA_DR_PAY_BALANCE_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_ELEMENT_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PAYMENT_METHOD_EXTRACT_DUTY
          • ORA_DR_PAY_PAYROLL_DEFINITION_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_FLOW_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULT_ACTIVITIES_EXTRACT_DUTY
          • ORA_DR_PAY_PROCESS_RESULTS_EXTRACT_DUTY
          • ORA_DR_PAY_RELATIONSHIP_EXTRACT_DUTY
      5. 關閉彈出式視窗
    5. 前往摘要訓練站
    6. 複查變更並加以儲存

工作 2:建立應用程式

只有使用 OAuth 2.0 的機密應用程式才能存取 API。您必須在 Oracle Identity Cloud Service (IDCS) 中定義一個服務。

  1. 登入 IDCS 管理主控台並瀏覽至指定 Pod 的識別網域
  2. 按一下整合的應用程式
  3. 按一下新增應用程式
  4. 選取機密應用程式,然後按一下啟動工作流程
  5. 提供名稱 (例如 Extracts 應用程式)
  6. 按一下提交
  7. 選取 OAuth 組態頁籤,然後按一下編輯 OAuth 組態
  8. 選取立即將此應用程式設定為從屬端
  9. 選擇允許的授權類型作為從屬端證明資料JWT 宣告
  10. 選擇從屬端類型作為信任
  11. 若要允許使用 JWT 宣告 (建議用於生產環境) 進行從屬端認證,請按一下匯入憑證
    1. 提供您憑證的別名
    2. 上傳憑證
    3. 按一下匯入
  12. 選擇允許的作業作為代表
  13. 啟用略過許可
  14. 選取新增資源
  15. 按一下新增範圍,然後搜尋、選取及新增下列範圍
    • Oracle SaaS Batch Cloud Service
    • Oracle Boss Cloud (西班牙)
  16. 按一下提交
  17. 若要啟用新建立的應用程式,請展開動作下拉式清單,選取啟用動作並加以確認
  18. 在您的應用程式詳細資訊中,尋找將用來產生存取權杖的從屬端 ID從屬端加密密碼

工作 3:將角色指定給應用程式

現在是從步驟 #1 將角色從步驟 #2 指派給應用程式的時候了。

  1. 前往工具 → 安全主控台
  2. 按一下應用程式擴充功能
  3. 自訂 OAuth 從屬端應用程式區段中尋找您的應用程式,然後按一下其名稱
  4. 按一下角色
  5. 按一下「新增」
  6. 搜尋您的角色並加以選取
  7. 按一下「新增」
  8. 按一下「完成」

若要存取 Applications Extensions ,您必須具有 ASE_ADMINISTER_APP_EXTENSIONS_PRIV 權限。

工作 4:取得記號

以下說明如何取得權杖以使用 API。

URL {{idcsUrl}}/oauth2/v1/token
HTTP 方法 POST
Content-Type 表頭 application/x-www-form-urlencoded
要求主體

URL 編碼

用於存取 /api/boss 端點

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:boss/

用於存取 /api/saas-batch 端點

grant_type=client_credentials&scope=urn:opc:resource:fusion:{{pod}}:saas-batch/
認證

您可以使用基本認證或 JWT 宣告來認證從屬端。

若要使用基本認證,請使用含有 Base64 編碼 clientId:clientSecret 的標準 Authorization 標頭

或者,若要使用 JWT 宣告,請在要求主體中傳送下列額外的 URL 編碼參數

client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer&client_assertion={{clientAssertion}}

用戶端宣告必須是使用與 IDCS 中上傳之公用憑證相符的私密金鑰簽署的有效 Base64 編碼 JWT 宣告,且其結構如下。

標頭

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "{{certificateAlias}}"
}

有效負載

{
  "sub": "{{clientId}}",
  "jti": "{{uuid}}",
  "iat": {{iat}},
  "exp": {{exp}},
  "iss": "{{clientId}}",
  "aud": [ "https://identity.oraclecloud.com/" ]
}

其他學習資源

docs.oracle.com/learn 上探索其他實驗室,或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件,請造訪 Oracle Help Center