Konfigurace SAP SuccessFactors pro zřizování uživatelů služby Active Directory

Cílem tohoto článku je ukázat kroky, které potřebujete ke zřízení uživatelů z Centra zaměstnanců SuccessFactors do služby Active Directory (AD) a Microsoft Entra ID s volitelným zpětným zápisem e-mailové adresy do SuccessFactors.

Poznámka:

Tento článek použijte, pokud uživatelé, které chcete zřídit z SuccessFactors, potřebují místní účet AD a volitelně účet Microsoft Entra. Pokud uživatelé SuccessFactors potřebují pouze účet Microsoft Entra (pouze cloudoví uživatelé), přečtěte si článek o konfiguraci uživatelského zřizování z SAP SuccessFactors do Microsoft Entra ID (,).

Následující video poskytuje rychlý přehled kroků, které jsou součástí plánování integrace poskytování se systémem SAP SuccessFactors.

Přehled

Služba zřizování uživatelů Microsoft Entra se integruje s Centrem zaměstnanců SuccessFactors, aby bylo možné spravovat životní cyklus identit uživatelů.

Pracovní postupy zřizování uživatelů SuccessFactors podporované službou zřizování uživatelů Microsoft Entra umožňují automatizaci následujících scénářů správy lidských zdrojů a životního cyklu identit:

• Nábor nových zaměstnanců – když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra s zpětným zápisem e-mailové adresy do SuccessFactors.

• Aktualizace atributu a profilu zaměstnance – Když se záznam zaměstnance aktualizuje v SuccessFactors (například jméno, titul nebo manažer), uživatelský účet se automaticky aktualizuje ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikacíCh SaaS podporovaných ID Microsoft Entra.

• Ukončení zaměstnance – Když je zaměstnanec ukončen v SuccessFactors, jeho uživatelský účet se automaticky zakáže ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných ID Microsoft Entra.

• Znovupřijetí zaměstnance – když je zaměstnanec znovu přijat v SuccessFactors, může se jeho starý účet automaticky znovu aktivovat nebo znovu zřídit (v závislosti na vašich preferencích) v Active Directory, Microsoft Entra ID a případně v Microsoft 365 a dalších SaaS aplikacích podporovaných Microsoft Entra ID.

Pro koho je toto řešení zřizování uživatelů nejvhodnější?

Toto řešení pro zřizování uživatelů ze služby SuccessFactors do služby Active Directory je ideální pro:

• Organizace, které chtějí předem připravené cloudové řešení pro zřizování uživatelů SuccessFactors, včetně organizací, které naplňují SuccessFactors ze SAP HCM pomocí sap Integration Suite

• Organizace, které nasazují Microsoft Entra pro zřizování uživatelů se zdrojovými a cílovými aplikacemi SAP, pomocí Microsoft Entra nastavují identity pro pracovníky, aby se mohli přihlásit k jedné nebo více aplikacím SAP, jako je SAP ECC nebo SAP S/4HANA, a volitelně i aplikace mimo SAP

• Organizace, které vyžadují přímé zřizování uživatelů z SuccessFactors do active Directory, aby uživatelé měli přístup k integrovaným aplikacím Windows Server Active Directory a integrovaným aplikacím Microsoft Entra ID

• Organizace, které vyžadují, aby uživatelé byli poskytováni pomocí dat získaných z Centra zaměstnanců SuccessFactors (EC)

• Uživatelé, kteří se připojují, přesouvají nebo opouštějí organizace, musí být synchronizováni s jedním nebo více stromy Active Directory, doménami a organizačními jednotkami, pouze na základě informací o změnách zjištěných v Centru zaměstnanců SuccessFactors (EC).

• Organizace používající Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí. Existují dva související toky:

• Autoritativní tok personálních dat – od SuccessFactors do místní Active Directory: V tomto toku událostí pracovníků (jako jsou noví zaměstnanci, přesuny, ukončení pracovního poměru) nejprve probíhají v cloudu SuccessFactors Employee Central a pak data událostí proudí do místní Active Directory prostřednictvím Microsoft Entra ID a agenta zřizování. V závislosti na události může dojít k vytvoření, aktualizaci, povolení nebo zakázání operací ve službě AD.

• Tok zpětného zápisu e-mailu – z místního Active Directory do SuccessFactors: Po dokončení vytváření účtu v Active Directory se synchronizuje s Microsoft Entra ID prostřednictvím synchronizace Microsoft Entra Connect a lze atribut e-mailu zapsat zpět do SuccessFactors.

  

Tok dat koncových uživatelů

1. Tým personálního oddělení provádí pracovní transakce (Joiners, Movers/Leavers nebo New Hires/Transfers/Terminations) v Centru zaměstnanců SuccessFactors.
2. Služba zřizování Microsoft Entra spouští naplánované synchronizace identit z EC SuccessFactors a identifikuje změny, které je potřeba zpracovat pro synchronizaci s místní Active Directory.
3. Služba zřizování Microsoft Entra vyvolá místního agenta zřizování Microsoft Entra Connect s žádostí, která obsahuje operace pro vytvoření, aktualizaci, povolení nebo zakázání účtu AD.
4. Agent zřizování Microsoft Entra Connect používá služební účet k přidání nebo aktualizaci dat účtu AD.
5. Synchronizační modul Microsoft Entra Connect spouští rozdílovou synchronizaci pro získání aktualizací z AD.
6. Aktualizace služby Active Directory se synchronizují s ID Microsoft Entra.
7. Pokud je aplikace SuccessFactors Writeback nakonfigurovaná, zapíše zpět atribut e-mailu do SuccessFactors na základě použitého odpovídajícího atributu.

Plánování nasazení

Konfigurace zřizování uživatelů řízených cloudovým personálním oddělením z SuccessFactors do AD vyžaduje značné plánování zahrnující různé aspekty, jako jsou:

• Instalace agenta zřizování Microsoft Entra Connect
• Počet aplikací pro zřizování uživatelů AD ze SuccessFactors k nasazení
• Odpovídající ID, mapování atributů, transformace a filtry zaměřování

Podrobné pokyny k těmto tématům najdete v plánu nasazení HR v cloudu. Informace o podporovaných entitách, zpracování podrobností a přizpůsobení integrace pro různé scénáře personálního oddělení najdete v referenčních informacích k integraci SAP SuccessFactors.

Konfigurace SuccessFactors pro integraci

Běžným požadavkem všech zřizovacích konektorů SuccessFactors je, že vyžadují přihlašovací údaje k účtu SuccessFactors s odpovídajícími oprávněními pro používání SuccessFactors OData API. Tato část popisuje postup vytvoření účtu služby v SuccessFactors a udělení odpovídajících oprávnění.

• Vytvoření nebo identifikace uživatelského účtu rozhraní API v SuccessFactors
• Vytvoření role oprávnění rozhraní API
• Vytvoření skupiny oprávnění pro uživatele rozhraní API
• Přiřazení role k oprávněné skupině

Vytvoření nebo identifikace uživatelského účtu rozhraní API v SuccessFactors

Ve spolupráci s týmem pro správu SuccessFactors nebo implementačním partnerem vytvořte nebo identifikujte uživatelský účet v SuccessFactors pro vyvolání rozhraní API OData. Uživatelské jméno a heslo pro tento účet se vyžadují při konfiguraci zřizovacích aplikací v MICROSOFT Entra ID.

Vytvořte roli oprávnění pro rozhraní API

1. Přihlaste se k SAP SuccessFactors pomocí uživatelského účtu, který má přístup k Centru pro správu.

2. Vyhledejte Spravovat role oprávnění a pak ve výsledcích hledání vyberte Spravovat role oprávnění.

3. V seznamu rolí oprávnění vyberte Vytvořit novou.

   

4. Přidejte název a popis role pro novou roli oprávnění. Název a popis by měl indikovat, že role je určená pro oprávnění k používání rozhraní API.

5. V nastavení oprávnění vyberte Oprávnění..., posuňte se dolů seznamem oprávnění a vyberte Spravovat integrační nástroje. Zaškrtněte políčko Povolit správci přístup k rozhraní OData API prostřednictvím základního ověřování.

   

6. Posuňte se dolů ve stejném poli a vyberte Employee Central API. Přidejte oprávnění, jak je znázorněno níže, abyste mohli číst pomocí rozhraní API ODATA a upravovat pomocí rozhraní ODATA API. Tuto možnost vyberte, pokud plánujete použít stejný účet pro scénář zpětného zápisu do SuccessFactors.

   

7. Ve stejném poli oprávnění přejděte na Uživatelská oprávnění –> Data zaměstnanců a zkontrolujte atributy, které může účet služby číst z tenanta SuccessFactors. Pokud chcete například načíst atribut Username z SuccessFactors, ujistěte se, že pro tento atribut je uděleno oprávnění Zobrazit. Podobně zkontrolujte každý atribut pro oprávnění zobrazení.

   

   Poznámka:

   Úplný seznam atributů načtených touto aplikací pro zřizování najdete v referencích atributů SuccessFactors.

8. Vyberte Hotovo. Vyberte volbu Uložit změny.

Vytvoření skupiny oprávnění pro uživatele rozhraní API

1. V Centru pro správu SuccessFactors vyhledejte spravovat skupiny oprávnění a pak ve výsledcích hledání vyberte Spravovat skupiny oprávnění.

   

2. V okně Spravovat skupiny oprávnění vyberte Vytvořit nový.

   

3. Přidejte název skupiny pro novou skupinu. Název skupiny by měl znamenat, že skupina je určená pro uživatele rozhraní API.

   

4. Přidejte členy do skupiny. Můžete například vybrat Uživatelské jméno z rozevírací nabídky Skupina osob a poté zadat uživatelské jméno účtu API, který se používá pro integraci.

   

5. Výběrem Hotovo dokončete vytváření skupiny oprávnění.

Přiřadit roli oprávnění skupině oprávnění

1. V Centru pro správu SuccessFactors vyhledejte Spravovat role oprávnění, a pak ve výsledcích hledání vyberte Spravovat role oprávnění.
2. V seznamu rolí oprávnění vyberte roli, kterou jste vytvořili pro oprávnění k používání rozhraní API.
3. V části Udělit této roli... vyberte tlačítko Přidat... .
4. V rozevírací nabídce vyberte Skupina oprávnění... a pak vyberte Vybrat... pro otevření okna Skupiny, ve kterém můžete vyhledat a vybrat skupinu vytvořenou výše.
5. Zkontrolujte přidělení role oprávnění k skupině oprávnění.
6. Vyberte volbu Uložit změny.

Konfigurace zřizování uživatelů z SuccessFactors do služby Active Directory

Tato část obsahuje kroky pro zřizování uživatelských účtů z SuccessFactors do každé domény služby Active Directory v rámci vaší integrace.

• Přidat aplikaci zřizovacího konektoru a stáhnout agenta zřizování
• Instalace a konfigurace interního agenta zřizování
• Konfigurace připojení k SuccessFactors a Active Directory
• Konfigurace mapování atributů
• Aktivace a spuštění zřizování uživatelů

Část 1: Přidání aplikace zřizovacího konektoru a stažení agenta pro zřizování

Konfigurace SuccessFactors pro zřizování služby Active Directory:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Prohlédněte si Entra ID>Podnikové aplikace>Nová aplikace.

3. Vyhledejte aplikaci SuccessFactors pro zřizování uživatelů v Active Directory a přidejte ji z galerie.

4. Po přidání aplikace a zobrazení obrazovky s podrobnostmi o aplikaci vyberte Zřizování.

5. Změna režimu zřizování na automatický

6. Vyberte informační banner, který se zobrazuje, abyste stáhli agenta pro zřizování.

   

Část 2: Instalace a konfigurace agentů pro zřizování v místním prostředí

Pokud chcete zřídit místní službu Active Directory, musí být agent zřizování nainstalovaný na serveru připojeném k doméně, který má síťový přístup k požadovaným doménám služby Active Directory.

Přeneste stažený instalační program agenta na hostitele serveru a podle kroků uvedených v části instalace agenta dokončete konfiguraci agenta.

Část 3: V aplikaci zřizování nakonfigurujte připojení k SuccessFactors a Active Directory.

V tomto kroku navážeme připojení k SuccessFactors a Active Directory.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte do Entra ID>Enterprise Apps> a k aplikaci Zřizování uživatelů pro Active Directory SuccessFactors vytvořené v část 1.

3. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

   • Uživatelské jméno správce – Zadejte uživatelské jméno uživatelského účtu rozhraní API SuccessFactors s připojeným ID společnosti. Má formát: username@companyID

   • Heslo správce – Zadejte heslo uživatelského účtu rozhraní API SuccessFactors.

   • Adresa URL tenanta – Zadejte název koncového bodu služby rozhraní SUCCESSFactors OData API. Zadejte pouze název hostitele serveru bez http nebo https. Tato hodnota by měla vypadat takto: <.>

   • Doménová struktura služby Active Directory – Název vaší domény služby Active Directory, jak je registrován u agenta. V rozevíracím seznamu vyberte cílovou doménu pro zřizování. Tato hodnota je obvykle řetězec jako: contoso.com

   • Kontejner služby Active Directory – Zadejte název kontejneru, ve kterém by měl agent ve výchozím nastavení vytvářet uživatelské účty. Příklad: OU=Users,DC=contoso,DC=com

     Poznámka:

     Toto nastavení se pro vytváření uživatelských účtů uplatní pouze pokud v mapování atributů není nakonfigurovaný atribut parentDistinguishedName. Toto nastavení se nepoužívá pro operace vyhledávání uživatelů nebo jejich aktualizace. Celý podřízený strom domény spadá do rozsahu vyhledávací operace.

   • E-mail s oznámením – Zadejte svoji e-mailovou adresu a zaškrtněte políčko Odeslat e-mail, pokud dojde k selhání.

     Poznámka:

     Služba zřizování Microsoft Entra odešle e-mailové oznámení, pokud zřizovací úloha přejde do stavu karantény.

   • Vyberte tlačítko Test připojení. Pokud test připojení proběhne úspěšně, vyberte tlačítko Uložit v horní části obrazovky. Pokud selže, zkontrolujte platnost přihlašovacích údajů SuccessFactors a přihlašovacích údajů AD nakonfigurovaných v instalačním programu agenta.

   • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizovat uživatele SuccessFactors do místní služby Active Directory.

Část 4: Konfigurace mapování atributů

V této části nakonfigurujete toky uživatelských dat z SuccessFactors do Active Directory.

1. Na kartě Zřizování v části Mapování vyberte Synchronizovat uživatele ze SuccessFactors do místního Active Directory.

2. V poli Obor zdrojového objektu můžete vybrat, které sady uživatelů v SuccessFactors by měly být v oboru pro zřizování ve službě AD definováním sady filtrů založených na atributech. Výchozím oborem jsou všichni uživatelé v SuccessFactors. Ukázkové filtry:

   • Příklad: Rozsah pro uživatele s personIdExternal mezi 1000000 a 2000000 (s výjimkou 20000000)

     • Atribut: personIdExternal

     • Operátor: Shoda REGEX

     • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Příklad: Pouze zaměstnanci a ne podmínění pracovníci

     • Atribut: EmployeeID

     • Operátor: IS NOT NULL

   Návod

   Při první konfiguraci aplikace zřizování je potřeba otestovat a ověřit mapování atributů a výrazy, abyste měli jistotu, že vám poskytne požadovaný výsledek. Microsoft doporučuje použít filtry rozsahu zdrojového objektu k otestování mapování s několika testovacími uživateli z SuccessFactors. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

   Upozornění

   Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří vyjdou mimo rozsah. To nemusí být žádoucí v integraci SuccessFactors do AD. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

3. V poli Akce cílového objektu můžete globálně filtrovat akce prováděné ve službě Active Directory. Nejběžnější jsou vytváření a aktualizace .

4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy SuccessFactors mapují na atributy služby Active Directory.

   Poznámka:

   Úplný seznam atributů SuccessFactors podporovaných aplikací najdete v referenčních informacích k atributu SuccessFactors.

5. Vyberte existující mapování atributů, které chcete aktualizovat, nebo výběrem možnosti Přidat nové mapování v dolní části obrazovky přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

   • Typ mapování

     • Direct – Zapíše hodnotu atributu SuccessFactors atributu AD beze změn.

     • Konstanta – Zápis statické hodnoty řetězce konstanty do atributu AD

     • Výraz – Umožňuje zadat vlastní hodnotu do atributu AD, vycházející z jednoho nebo více atributů SuccessFactors. Další informace najdete v tomto článku o výrazech.

   • Atribut zdroje – atribut uživatele z SuccessFactors

   • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, mapování místo toho tuto hodnotu zapíše. Nejběžnější konfigurací je ponechat tuto prázdnou hodnotu.

   • Cílový atribut – atribut uživatele ve službě Active Directory.

   • Porovná objekty používající tento atribut – zda toto mapování by mělo být použito k jedinečné identifikaci uživatelů mezi SuccessFactors a Active Directory. Tato hodnota je obvykle nastavena na pole ID pracovníka pro SuccessFactors, což je obvykle namapováno na jeden z atributů ID zaměstnance v systému Active Directory.

   • Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy.

   • Použít toto mapování

     • Vždy – Použít toto mapování na akce vytváření uživatelů i aktualizace

     • Pouze během vytváření – Použít toto mapování pouze u akcí vytváření uživatelů

6. Mapování uložíte tak, že v horní části Attribute-Mapping oddílu vyberete Uložit .

Po dokončení konfigurace mapování atributů můžete otestovat zřizování pro jednoho uživatele pomocí zřizování na vyžádání a pak povolit a spustit službu zřizování uživatelů.

Zapnout a spustit zřizování uživatelů

Po dokončení konfigurace aplikace pro zřizování SuccessFactors a po ověření zřizování pro jednoho uživatele pomocí zřizování na vyžádání můžete zapnout službu zřizování.

Návod

Když službu zřizování zapnete, ve výchozím nastavení zahájí operace zřizování pro všechny uživatele v oboru. Pokud dojde k chybám v mapování nebo problémech s daty SuccessFactors, může úloha zřizování selhat a přejít do stavu karantény. Abyste tomu předešli, doporučujeme před spuštěním úplné synchronizace pro všechny uživatele nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli, kteří používají zřizování na vyžádání. Jakmile ověříte, že mapování funguje a dává vám požadované výsledky, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

1. Přejděte do okna Zřizování a vyberte Spustit zřizování.

2. Tato operace spustí počáteční synchronizaci, která může trvat proměnlivý počet hodin v závislosti na tom, kolik uživatelů je v tenantovi SuccessFactors. Indikátor průběhu můžete zkontrolovat a sledovat průběh cyklu synchronizace.

3. Kdykoli zkontrolujte kartu Zřizování v Centru pro správu Entra, abyste zjistili, jaké akce služba Zřizování provedla. Protokoly zřizování obsahují seznam všech jednotlivých synchronizačních událostí provedených službou zřizování, například kteří uživatelé jsou čteni ze SuccessFactors a následně se do služby Active Directory přidají nebo aktualizují.

4. Jakmile se dokončí počáteční synchronizace, zapíše se souhrnná zpráva auditu na kartě Zřizování, jak je znázorněno níže.

   

Související obsah

• Další informace o podporovaných atributech SuccessFactors pro příchozí poskytování
• Informace o konfiguraci zpětného zápisu e-mailu do SuccessFactors
• Zjistěte, jak procházet protokoly a získat zprávy o aktivitách zřizování.
• Zjistěte, jak nakonfigurovat jednotné přihlašování mezi SuccessFactors a ID Microsoft Entra.
• Zjistěte, jak integrovat další aplikace SaaS s Microsoft Entra ID.
• Informace o exportu a importu konfigurací zřizování