Openflow Connector for Workdayを設定する¶
注釈
コネクタには、 コネクタ利用規約 が適用されます。
このトピックでは、Openflow Connector for Workdayを設定する手順について説明します。
前提条件¶
Openflow Connector for Workday について を確認してください。
Openflowの設定 - BYOC または Openflowの設定 - Snowflakeデプロイメント - タスク概要 があることを確認してください。
認証情報を取得する¶
Workday管理者として、以下のアクションを実行します。
Workdayでユーザーを作成します。
Workdayに移動し、管理者としてログインします。ワークシートの検索バーで、と入力します Create user.
Create Integration System User: Task をクリックします。
ユーザー名とパスワードを入力します。
セキュリティグループを作成し、ステップ1のユーザーを追加します。
ワークシートの検索バーで、と入力します Create Security Group.
Create Security Group: Task をクリックします。
タイプを Integration System Security Group (Unconstrained) に設定します。
セキュリティグループ名を入力し、 OK をクリックします。
Edit Integration System Security Group (Unconstrained) ウィンドウで、ステップ1で作成した統合システムユーザーを Integration System Users フィールドに追加します。
ステップ2で作成したセキュリティグループにドメインセキュリティポリシーを追加します。
ワークシートの検索バーで、と入力します View Security Group.
Go to Security Group Settings » Maintain Domain Permissions for Security Group.
Integration Permissions セクションのドメインセキュリティポリシーにあるGetアクセスを許可するフィールドで、同期するレポートに関連付けられているセキュリティドメインを選択します。
Activate Pending Security Policy Changes ページにアクセスし、 OK をクリックします。
OAuth クライアントアプリを作成します。
Workdayの検索バーに Register API Client と入力し、 Register API Client for Integrations: Task をクリックします。
クライアント名を入力します。
Non-Expiring Refresh Token をクリックします。
スコープの検索バーで、 System と入力し、選択します。
OK をクリックします。
クライアント ID とクライアントシークレットをコピーし、 Done をクリックします。
View Integration System Security Group ページで、ドメインセキュリティポリシーにある機能領域をメモします。その後、 API クライアントにこれらをスコープ/機能領域として追加します。
検索バーに View API Client と入力します。
リストからお使いの API クライアントを選択します。
上部の青いバーで、3点リーダーをクリックし、API Client » API Clients for Integrations を選択します。
Scope (Functional Areas) フィールドで、メモした機能領域を検索し、追加します。
前と同じメニュー(5c)で、 Manage Refresh Tokens for Integrations を選択します。
フォームで、 ISU ユーザーを検索し、選択します。
OK をクリックします。
Generate new token をクリックし、後で使用する更新トークンの詳細をコピーします。
Snowflakeアカウントを設定する¶
Snowflakeアカウント管理者として、以下のタスクを実行します。
新しいロールを作成するか、既存のロールを使用して データベース権限 を付与します。
タイプを SERVICE として、新しいSnowflakeサービスユーザーを作成します。
Snowflakeサービスユーザーに、前の手順で作成したロールを付与します。
ステップ2のSnowflake SERVICE ユーザーを key-pair auth で構成します。
Snowflakeではこの手順を強く推奨します。Openflowがサポートするシークレットマネージャ(AWS、Azure、Hashicorpなど)を構成し、公開キーと秘密キーを秘密ストアに格納します。
注釈
何らかの理由でシークレットマネージャを使用したくない場合は、組織のセキュリティポリシーに従って、キーペア認証に使用する公開キーと秘密キーファイルを保護する責任があります。
シークレットマネージャを構成したら、その認証方法を決定します。AWS 上では、Openflowに関連付けられた EC2 インスタンスロールが推奨されます。こうすることで、他の秘密を永続化する必要がなくなるからです。
Openflowで、右上のハンバーガーメニューから、このシークレットマネージャーに関連付けられたパラメータープロバイダーを構成します。Controller Settings » Parameter Provider に移動してから、パラメーター値を取得します。
この時点で、すべての認証情報を関連するパラメーターパスで参照することができるため、機密性の高い値をOpenflow内で永続化する必要はありません。
他のSnowflakeユーザーが、コネクタによって取り込まれた生の取り込みドキュメントやとテーブルへのアクセスを必要とする場合は(Snowflakeでのカスタム処理のためなど)、それらのユーザーにステップ1で作成したロールを付与します。
コネクタが使用するウェアハウスを指定します。まずは最小のウェアハウスサイズから始め、複製するテーブルの数や転送するデータ量に応じて異なるサイズを試してみてください。テーブル数が大きい場合は、通常、ウェアハウスのサイズを大きくするよりも、 マルチクラスターウェアハウス を使用した方がスケーリングが向上します。
コネクタを設定する¶
データエンジニアとして、以下のタスクを実行してコネクタを構成します。
コネクタをインストールする¶
取り込んだデータを格納するコネクタ用に、Snowflakeでデータベースとスキーマを作成します。最初のステップで作成したロールに必要な データベース権限 を付与します。ロールのプレースホルダーを実際の値で置き換え、以下の SQL コマンドを使用します。
CREATE DATABASE DESTINATION_DB; CREATE SCHEMA DESTINATION_DB.DESTINATION_SCHEMA; GRANT USAGE ON DATABASE DESTINATION_DB TO ROLE <CONNECTOR_ROLE>; GRANT USAGE ON SCHEMA DESTINATION_DB.DESTINATION_SCHEMA TO ROLE <CONNECTOR_ROLE>; GRANT CREATE TABLE, CREATE PIPE ON SCHEMA DESTINATION_DB.DESTINATION_SCHEMA TO ROLE <CONNECTOR_ROLE>;
Openflowの概要ページに移動します。Featured connectors セクションで、 View more connectors を選択します。
Openflowのコネクタページでコネクタを探し、 Add to runtime を選択します。
Select runtime ダイアログで、 Available runtimes ドロップダウンリストからランタイムを選択します。
Add を選択します。
注釈
コネクタをインストールする前に、コネクタが取り込んだデータを格納するためのデータベースとスキーマをSnowflakeで作成したことを確認します。
Snowflakeアカウント認証情報でデプロイメントを認証し、Snowflakeアカウントへのランタイムアプリケーションのアクセスを許可するよう求められたられたら、 Allow を選択します。コネクタのインストールプロセスは数分で完了します。
Snowflakeアカウント認証情報でランタイムを認証します。
コネクタプロセスグループが追加されたOpenflowキャンバスが表示されます。
コネクタを構成する¶
インポートしたプロセスグループを右クリックし、 Parameters を選択します。
フローパラメーター の説明に従って、必要なパラメーター値を入力します。
フローパラメーター¶
構成は3つのパラメーターコンテキストに分かれています。Workday宛先パラメーター および Workdayソースパラメーター コンテキストは、SnowflakeおよびWorkdayとの接続を担当します。Workday取り込みパラメーター には、両方の構成に含まれるすべてのパラメーターと、特定レポートに固有のその他のパラメーター(例: Report URL)が含まれます。
Workday取り込みパラメーター*パラメーターコンテキストにはレポート固有の詳細が含まれているため、新しいレポートグループとプロセスグループごとに新しいパラメーターコンテキストを作成する必要があります。新しいパラメーターコンテキストを作成するには、メニューに移動し、:ui:`Parameter Contexts` を選択して新しいコンテキストを追加します。これは、*Workday宛先パラメーター と Workdayソースパラメーター の両方のパラメーターコンテキストから継承する必要があります。
Workday宛先パラメーター の パラメーターコンテキスト
パラメーター |
説明 |
必須 |
|---|---|---|
宛先データベース |
データが永続化されるデータベース。Snowflakeにすでに存在している必要があります。名前は大文字と小文字を区別します。引用符で囲まれていない識別子の場合、名前を大文字で指定します。 |
有り |
宛先スキーマ |
データが永続化されるスキーマ。これはSnowflakeにすでに存在している必要があります。名前は大文字と小文字を区別します。引用符で囲まれていない識別子の場合、名前を大文字で指定します。 次の例をご参照ください。
|
有り |
Snowflakeアカウント識別子 |
以下を使用する場合:
|
有り |
Snowflake認証ストラテジー |
以下を使用する場合:
|
有り |
Snowflake秘密キー |
以下を使用する場合:
|
無し |
Snowflake秘密キーファイル |
以下を使用する場合:
|
無し |
Snowflake秘密キーパスワード |
以下を使用する場合
|
無し |
Snowflakeロール |
以下を使用する場合
|
有り |
Snowflakeのユーザー名 |
以下を使用する場合
|
有り |
Snowflakeウェアハウス |
クエリの実行に使用されるSnowflakeウェアハウス。 |
有り |
Workdayソースパラメーター の パラメーターコンテキスト
パラメーター |
説明 |
|---|---|
認証タイプ |
OAUTH または BASIC_AUTH のいずれかを選択します。OAUTH を選択した場合、 OAuth クライアント ID、 OAuth クライアントシークレット、 OAuth 更新トークン、 OAuth トークンエンドポイント を定義する必要があります。BASIC_AUTH を選択した場合、 Workdayユーザー名 および Workdayパスワード を定義する必要があります。 |
OAuth クライアント ID |
Workdayに登録されているアプリケーションのクライアント ID。 |
OAuth クライアントシークレット |
クライアント ID に関連するクライアントシークレット。 |
OAuth 更新トークン |
更新トークンは、ユーザーがアプリ登録時に取得します。これは、クライアント ID、クライアントシークレットとともに、アクセストークンを取得するために使用されます。 |
OAuth トークンエンドポイント |
トークンエンドポイントは、ユーザーがアプリの登録プロセスで取得します。 |
ユーザー名 |
ユーザー名はWorkdayアカウントにログインするために使用します。BASIC_AUTH を選択した場合のみ設定する必要があります。 |
Workday パスワード |
パスワードはWorkdayのユーザー名に関連付けられています。BASIC_AUTH を選択した場合のみ設定する必要があります。 |
Workday取り込みパラメーター の パラメーターコンテキスト
パラメーター |
説明 |
|---|---|
宛先テーブル |
Workdayから取得したレポートデータが格納される宛先テーブル。コネクタが存在しない場合は、コネクタによって作成されます。 |
レポート URL |
Workdayで作成されたレポートへの RaaS API URL。 |
スケジュールを実行する |
Workdayからデータを取得し、Snowflakeに保存するスケジュールを実行します。この値は、数値とそれに続く時間単位で指定された時間です。例: 1 second または 5 mins。 |
フローを実行する¶
プレーンを右クリックし、 Enable all Controller Services を選択します。
インポートしたプロセスグループを右クリックし、 Start を選択します。コネクタがデータの取り込みを開始します。