Konfigurieren Sie SAP SuccessFactors für die Benutzerbereitstellung in Microsoft Entra.

Das Ziel dieses Artikels besteht darin, die Schritte zu zeigen, die Sie ausführen müssen, um Arbeitsdaten aus SuccessFactors Employee Central in Microsoft Entra ID bereitzustellen, mit optionaler Zurückschreibung der E-Mail-Adresse an SuccessFactors.

Hinweis

Verwenden Sie diesen Artikel, wenn die Benutzer, die Sie aus SuccessFactors bereitstellen möchten, reine Cloudbenutzer sind, die kein lokales AD-Konto benötigen. Wenn die Benutzer nur ein lokales AD-Konto oder sowohl AD- als auch Microsoft Entra-Konto benötigen, lesen Sie den Artikel zum Konfigurieren von SAP SuccessFactors für die Active Directory-Benutzerbereitstellung .

Das folgende Video bietet einen kurzen Überblick über die Schritte, die bei der Planung der Bereitstellungsintegration mit SAP SuccessFactors erforderlich sind.

Überblick

Der Microsoft Entra-Benutzerbereitstellungsdienst ist in den SuccessFactors Employee Central integriert, um den Identitätslebenszyklus von Benutzern zu verwalten.

Die vom Microsoft Entra-Benutzerbereitstellungsdienst unterstützten SuccessFactors-Workflows zur Benutzerbereitstellung ermöglichen die Automatisierung der folgenden Szenarien für das Personalwesen und Identity Lifecycle Management:

• Einstellung neuer Mitarbeiter – Wenn ein neuer Mitarbeiter zu SuccessFactors hinzugefügt wird, wird automatisch ein Benutzerkonto in Microsoft Entra ID und optional Microsoft 365 und anderen SaaS-Anwendungen erstellt, die von Microsoft Entra ID unterstützt werden, mit Rückschreiben der E-Mail-Adresse auf SuccessFactors.

• Aktualisierungen von Mitarbeiterattributen und Profilaktualisierungen – Wenn ein Mitarbeiterdatensatz in SuccessFactors aktualisiert wird (z. B. Name, Titel oder Vorgesetzter), wird sein Benutzerkonto automatisch aktualisiert Microsoft Entra ID und optional Microsoft 365 und andere SaaS-Anwendungen, die von Microsoft Entra ID unterstützt werden.

• Kündigungen von Mitarbeitern – Wenn ein Mitarbeiter in SuccessFactors beendet wird, wird sein Benutzerkonto automatisch in der Microsoft Entra-ID und optional in Microsoft 365 und anderen SaaS-Anwendungen deaktiviert, die von Microsoft Entra ID unterstützt werden.

• Wiedereinstellungen von Mitarbeitern – Wenn ein Mitarbeiter in SuccessFactors neu eingestellt wird, kann sein altes Konto automatisch reaktiviert oder, je nach Ihren Vorlieben, auf Microsoft Entra ID und optional auf Microsoft 365 sowie andere von Microsoft Entra ID unterstützte SaaS-Anwendungen erneut bereitgestellt werden.

Für wen ist diese Benutzerbereitstellungslösung am besten geeignet?

Diese Benutzerbereitstellungslösung zwischen SuccessFactors und Microsoft Entra eignet sich ideal für:

• Organisationen, die eine vordefinierte, cloudbasierte Lösung für die Bereitstellung von SuccessFactors-Benutzer:innen verwenden möchten, einschließlich Organisationen, die SuccessFactors von SAP HCM mit der SAP Integration Suite auffüllen

• Organisationen, die Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Ziel-Apps bereitstellen, verwenden Microsoft Entra zum Einrichten von Identitäten für Mitarbeiter, damit sie sich bei einer oder mehreren SAP-Anwendungen wie SAP ECC oder SAP S/4HANA anmelden können und optional nicht-SAP-Anwendungen

• Organisationen, die eine direkte Benutzerbereitstellung von SuccessFactors zu Microsoft Entra-ID erfordern, aber nicht erfordern, dass sich diese Benutzer auch in Windows Server Active Directory befinden

• Organisationen, die verlangen, dass Benutzer mithilfe von Daten bereitgestellt werden, die aus dem SuccessFactors Employee Central (EC) abgerufen wurden

• Organisationen, die Microsoft 365 für E-Mail verwenden

Lösungsarchitektur

In diesem Abschnitt wird die Lösungsarchitektur der End-to-End-Benutzerbereitstellung für ausschließliche Cloudbenutzer beschrieben. Es gibt zwei zugehörige Flows:

• Autoritativer HR-Datenfluss – von SuccessFactors zu Microsoft Entra ID: In diesem Flow Worker-Ereignis (z. B. Neueinstellungen, Übertragungen, Kündigungen) treten zuerst in der Cloud SuccessFactors Employee Central auf und dann fließen die Ereignisdaten in die Microsoft Entra-ID. Abhängig vom Ereignis kann dies dann in Microsoft Entra ID zu Erstellungs-, Aktualisierungs-, Aktivierungs- oder Deaktivierungsvorgängen führen.

• E-Mail-Rückschreibfluss – von Microsoft Entra ID zu SuccessFactors: Sobald die Kontoerstellung in der Microsoft Entra-ID abgeschlossen ist, kann der in Microsoft Entra ID generierte E-Mail-Attributwert oder UPN in SuccessFactors zurückgeschrieben werden.

  

End-to-End-Benutzerdatenfluss

1. Das Team der Personalabteilung führt Mitarbeitertransaktionen (Einstellungen/Wechsel/Kündigungen) in SuccessFactors Employee Central aus.
2. Der Microsoft Entra-Bereitstellungsdienst führt geplante Synchronisierungen von Identitäten aus SuccessFactors EC aus und ermittelt Änderungen, die für die Synchronisierung mit Microsoft Entra ID verarbeitet werden müssen.
3. Der Microsoft Entra-Bereitstellungsdienst ermittelt die Änderung und ruft den entsprechenden Vorgang zum Erstellen, Aktualisieren, Aktivieren oder Deaktivieren für die jeweiligen Benutzer*innen in Microsoft Entra ID auf.
4. Wenn die SuccessFactors Writeback-App konfiguriert ist, wird die E-Mail-Adresse des Benutzers aus der Microsoft Entra-ID abgerufen.
5. Der Microsoft Entra-Bereitstellungsdienst schreibt das E-Mail-Attribut basierend auf dem verwendeten Übereinstimmungsattribut nach SuccessFactors zurück.

Planen der Bereitstellung

Das Konfigurieren einer cloudbasierten Benutzerbereitstellung für das Personalwesen von SuccessFactors in Microsoft Entra ID erfordert eine ausführliche Planung, die unter anderem die folgenden Aspekte abdecken sollte:

• Ermittlung der Übereinstimmungs-ID
• Attributzuordnung
• Attributtransformation
• Bereichsfilter

Ausführliche Richtlinien zu diesen Themen finden Sie im Cloud HR-Bereitstellungsplan . Bitte konsultieren Sie die SAP SuccessFactors Integrationsreferenz, um mehr über die unterstützten Entitäten, Verarbeitungsdetails und die Anpassung der Integration für unterschiedliche HR-Szenarien zu erfahren.

Konfigurieren von SuccessFactors für die Integration

Eine allgemeine Anforderung für alle SuccessFactors-Bereitstellungsconnectors besteht darin, dass sie Anmeldeinformationen eines SuccessFactors-Kontos mit den erforderlichen Berechtigungen zum Aufrufen der OData-APIs von SuccessFactors benötigen. In diesem Abschnitt werden die Schritte zum Erstellen des Dienstkontos in SuccessFactors und zum Erteilen der benötigten Berechtigungen beschrieben.

• Erstellen/Identifizieren eines API-Benutzerkontos in SuccessFactors
• Erstellen einer API-Berechtigungsrolle
• Erstellen einer Berechtigungsgruppe für den API-Benutzer
• Berechtigungsrolle an die Berechtigungsgruppe vergeben

Erstellen/Ermitteln des API-Benutzerkontos in SuccessFactors

Wenden Sie sich an das Administratorteam von SuccessFactors oder Ihren Implementierungspartner, um ein Benutzerkonto in SuccessFactors zu erstellen oder zu bestimmen, das zum Aufrufen der OData-APIs verwendet wird. Die Anmeldeinformationen (Benutzername und Kennwort) dieses Kontos sind für das Konfigurieren der Bereitstellungs-Apps in Microsoft Entra ID erforderlich.

Erstellen einer API-Berechtigungsrolle

1. Melden Sie sich bei SAP SuccessFactors mit einem Benutzerkonto an, das Zugriff auf das Admin Center hat.

2. Suchen Sie nach "Berechtigungsrollen verwalten", und wählen Sie dann " Berechtigungsrollen verwalten " aus den Suchergebnissen aus.

3. Wählen Sie in der Berechtigungsrollenliste " Neu erstellen" aus.

   

4. Fügen Sie einen Rollennamen und eine Beschreibung für die neue Berechtigungsrolle hinzu. Der Name und die Beschreibung sollten darauf hindeuten, dass die Rolle für Berechtigungen zur API-Verwendung vorgesehen ist.

5. Wählen Sie unter "Berechtigungen..." aus, scrollen Sie dann nach unten in der Berechtigungsliste und wählen Sie "Integrationstools verwalten" aus. Aktivieren Sie das Kontrollkästchen für Erlaube dem Administrator den Zugriff auf die OData-API über die Standardauthentifizierung.

   

6. Scrollen Sie im selben Feld nach unten, und wählen Sie "Employee Central API" aus. Fügen Sie wie unten gezeigt Berechtigungen für das Lesen und Bearbeiten über die OData-API hinzu. Wählen Sie die Bearbeitungsoption aus, wenn Sie dasselbe Konto für das Rückschreiben in ein SuccessFactors-Szenario verwenden möchten.

   

7. Wechseln Sie im gleichen Berechtigungsfeld zu "Benutzerberechtigungen –> Mitarbeiterdaten ", und überprüfen Sie die Attribute, die das Dienstkonto aus dem SuccessFactors-Mandanten lesen kann. Um z. B. das Username-Attribut von SuccessFactors abzurufen, stellen Sie sicher, dass für dieses Attribut die Berechtigung "Ansicht" erteilt wird. Überprüfen Sie analog dazu jedes Attribut auf die Anzeigeberechtigung.

   

   Hinweis

   Die vollständige Liste der Attribute, die von dieser Bereitstellungs-App abgerufen werden, finden Sie in der SuccessFactors-Attributreferenz

8. Wählen Sie "Fertig" aus. Wählen Sie " Änderungen speichern" aus.

Erstellen einer Berechtigungsgruppe für den API-Benutzer

1. Suchen Sie im SuccessFactors Admin Center nach "Berechtigungsgruppen verwalten", und wählen Sie dann " Berechtigungsgruppen verwalten " aus den Suchergebnissen aus.

   

2. Wählen Sie im Fenster "Berechtigungsgruppen verwalten" die Option "Neu erstellen" aus.

   

3. Fügen Sie einen Gruppennamen für die neue Gruppe hinzu. Im Gruppennamen sollte angegeben werden, dass die Gruppe für API-Benutzer vorgesehen ist.

   

4. Fügen Sie der Gruppe Mitglieder hinzu. Sie können beispielsweise "Benutzername" im Dropdownmenü "Personenpool" auswählen und dann den Benutzernamen des API-Kontos eingeben, das für die Integration verwendet wird.

   

5. Wählen Sie "Fertig" aus, um die Erstellung der Berechtigungsgruppe abzuschließen.

Erteilen der Berechtigungsrolle für die Berechtigungsgruppe

1. Suchen Sie im SuccessFactors Admin Center nach "Berechtigungsrollen verwalten", und wählen Sie dann " Berechtigungsrollen verwalten " aus den Suchergebnissen aus.
2. Wählen Sie in der Berechtigungsrollenliste die Rolle aus, die Sie für API-Verwendungsberechtigungen erstellt haben.
3. Wählen Sie unter Grant this role to... die Schaltfläche Add... aus.
4. Wählen Sie im Dropdown-Menü "Berechtigungsgruppe..." aus, dann wählen Sie "Auswählen...", um das Fenster Gruppen zu öffnen, in welchem Sie die oben erstellte Gruppe suchen und auswählen können.
5. Überprüfen Sie die erteilte Berechtigungsrolle für die Berechtigungsgruppe.
6. Wählen Sie " Änderungen speichern" aus.

Konfigurieren der Benutzerbereitstellung von SuccessFactors auf Microsoft Entra ID

In diesem Abschnitt werden die Schritte für die Bereitstellung von Benutzerkonten aus SuccessFactors in Microsoft Entra ID erläutert.

• Fügen Sie die Bereitstellungsconnector-App hinzu und konfigurieren Sie die Konnektivität zu SuccessFactors
• Konfigurieren von Attributzuordnungen
• Aktivieren und Starten der Benutzerbereitstellung

Teil 1: Hinzufügen der Bereitstellungsconnector-App und Konfigurieren der Konnektivität mit SuccessFactors

So konfigurieren Sie SuccessFactors für die Microsoft Entra-Bereitstellung:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.

3. Suchen Sie nach SuccessFactors für die Benutzerbereitstellung in Microsoft Entra, und fügen Sie diese App aus der Galerie hinzu.

4. Nachdem die App hinzugefügt wurde und der Bildschirm "App-Details" angezeigt wird, wählen Sie "Bereitstellung" aus.

5. Ändern des Bereitstellungsmodus in "Automatisch"

6. Füllen Sie den Abschnitt " Administratoranmeldeinformationen " wie folgt aus:

   • Administratorbenutzername – Geben Sie den Benutzernamen des SuccessFactors-API-Benutzerkontos ein, wobei die Firmen-ID angefügt ist. Es hat das Format: username@companyID

   • Administratorkennwort – Geben Sie das Kennwort des SuccessFactors-API-Benutzerkontos ein.

   • Mandanten-URL – Geben Sie den Namen des SuccessFactors OData-API-Dienstendpunkts ein. Geben Sie nur den Hostnamen des Servers ohne „http“ oder „https“ ein. Dieser Wert sollte wie folgt aussehen: api-server-name.successfactors.com.

   • Benachrichtigungs-E-Mail – Geben Sie Ihre E-Mail-Adresse ein, und aktivieren Sie das Kontrollkästchen "E-Mail senden, wenn ein Fehler auftritt".

   Hinweis

   Der Microsoft Entra-Bereitstellungsdienst sendet E-Mail-Benachrichtigungen, wenn der Bereitstellungsauftrag in einen Quarantänezustand wechselt.

   • Wählen Sie die Schaltfläche " Verbindung testen " aus. Wenn der Verbindungstest erfolgreich ist, wählen Sie oben die Schaltfläche " Speichern " aus. Falls nicht, sollten Sie überprüfen, ob die SuccessFactors-Anmeldeinformationen und die URL gültig sind.

   • Nachdem die Anmeldeinformationen erfolgreich gespeichert wurden, zeigt der Abschnitt „Zuordnungen“ die Standardzuordnung „Erfolgfaktoren-Benutzer zu Microsoft Entra ID synchronisieren“ an.

Teil 2: Konfigurieren von Attributzuordnungen

In diesem Abschnitt konfigurieren Sie, wie Benutzerdaten von SuccessFactors zu Microsoft Entra ID fließen.

1. Wählen Sie auf der Registerkarte "Bereitstellung" unter "Zuordnungen" die Option " SuccessFactors-Benutzer mit Microsoft Entra-ID synchronisieren" aus.

2. Im Feld " Quellobjektbereich " können Sie auswählen, welche Benutzergruppen in SuccessFactors den Bereich für die Bereitstellung für die Microsoft Entra-ID haben sollen, indem Sie einen Satz attributbasierter Filter definieren. Der Standardbereich ist „Alle Benutzer in SuccessFactors“. Beispielfilter:

   • Beispiel: Auswählen der Benutzer mit personIdExternal von 1000000 bis 1999999

     • Attribut: personIdExternal

     • Operator: REGEX.VERGLEICH

     • Wert: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Beispiel: Nur Mitarbeiter und keine vorübergehend Beschäftigten

     • Attribut: EmployeeID

     • Operator: IST NICHT NULL (IS NOT NULL)

   Tipp

   Wenn Sie die Bereitstellungs-App zum ersten Mal konfigurieren, müssen Sie die Attributzuordnungen und Ausdrücke testen und überprüfen, um sicherzustellen, dass Sie damit das gewünschte Ergebnis erzielen. Microsoft empfiehlt die Verwendung der Bereichsfilter unter " Quellobjektbereich ", um Ihre Zuordnungen mit einigen Testbenutzern von SuccessFactors zu testen. Sobald Sie sich vergewissert haben, dass die Zuordnungen funktionieren, können Sie den Filter entweder entfernen oder schrittweise auf weitere Benutzer erweitern.

   Achtung

   Beim Standardverhalten des Bereitstellungsmoduls werden Benutzer deaktiviert/gelöscht, die sich außerhalb des gültigen Bereichs befinden. Dies ist bei Ihrer Integration von SuccessFactors mit Microsoft Entra möglicherweise nicht wünschenswert. Wenn Sie dieses Standardverhalten außer Kraft setzen möchten, lesen Sie den Artikel "Löschen von Benutzerkonten überspringen", die außerhalb des Gültigkeitsbereichs verlaufen.

3. Im Feld "Zielobjektaktionen " können Sie global filtern, welche Aktionen in der Microsoft Entra-ID ausgeführt werden. Erstellen und Aktualisieren werden am häufigsten verwendet.

4. Im Abschnitt "Attributzuordnungen " können Sie definieren, wie einzelne SuccessFactors-Attribute Microsoft Entra-Attribute zugeordnet werden.

   Hinweis

   Die vollständige Liste des von der Anwendung unterstützten SuccessFactors-Attributs finden Sie in der SuccessFactors-Attributreferenz.

5. Wählen Sie eine vorhandene Attributzuordnung aus, um sie zu aktualisieren, oder wählen Sie unten auf dem Bildschirm " Neue Zuordnung hinzufügen " aus, um neue Zuordnungen hinzuzufügen. Eine einzelne Attributzuordnung unterstützt die folgenden Eigenschaften:

   • Zuordnungstyp

     • Direct – Schreibt den Wert des SuccessFactors-Attributs in das Microsoft Entra-Attribut ohne Änderungen.

     • Konstant - Schreiben eines statischen, konstanten Zeichenfolgenwerts in das Microsoft Entra-Attribut

     • Ausdruck – Ermöglicht es Ihnen, basierend auf einem oder mehreren SuccessFactors-Attributen, einen benutzerdefinierten Wert in das Microsoft Entra-Attribut zu schreiben. Weitere Informationen finden Sie in diesem Artikel zu Ausdrücken.

   • Quellattribute – Das Benutzer-Attribut von SuccessFactors

   • Standardwert – Optional. Wenn das Quellattribut einen leeren Wert aufweist, wird von der Zuordnung stattdessen dieser Wert geschrieben. Die meisten Konfigurationen sehen vor, dieses Feld leer zu lassen.

   • Target-Attribut – Das Benutzeratribut in der Microsoft Entra-ID.

   • Zuordnen von Objekten mit diesem Attribut – Ob diese Zuordnung verwendet werden soll, um Benutzer zwischen SuccessFactors und Microsoft Entra ID eindeutig zu identifizieren. Dieser Wert wird meist im Feld „Worker-ID“ für SuccessFactors festgelegt, das in der Regel einem der Mitarbeiter-ID-Attribute in Microsoft Entra ID zugeordnet ist.

   • Rangfolgenvergleich – Es können mehrere übereinstimmende Attribute festgelegt werden. Falls mehrere vorhanden sind, werden sie entsprechend der in diesem Feld festgelegten Reihenfolge ausgewertet. Sobald eine Übereinstimmung gefunden wird, werden keine weiteren Attribute für den Abgleich mehr ausgewertet.

   • Diese Zuordnung anwenden

     • Immer – Wenden Sie diese Zuordnung sowohl bei der Erstellung als auch bei der Aktualisierung von Benutzern an.

     • Nur während der Erstellung – Diese Zuordnung nur auf Benutzererstellungsaktionen anwenden

6. Um Ihre Zuordnungen zu speichern, wählen Sie oben im Abschnitt Attribute-Mapping "Speichern " aus.

Sobald die Attributzuordnungskonfiguration abgeschlossen ist, können Sie den Benutzerbereitstellungsdienst jetzt aktivieren und starten.

Aktivieren und Starten der Benutzerbereitstellung

Nachdem die Konfiguration der SuccessFactors-Bereitstellungs-App abgeschlossen ist, können Sie den Bereitstellungsdienst aktivieren.

Tipp

Beim Aktivieren des Bereitstellungsdiensts werden Bereitstellungsvorgänge für alle Benutzer im Bereich initiiert. Wenn Fehler bei der Zuordnung oder SuccessFactors-Datenprobleme auftreten, kann der Bereitstellungsauftrag fehlschlagen und in den Quarantänezustand versetzt werden. Um dies zu vermeiden, empfehlen wir, den Quellobjektbereichsfilter zu konfigurieren und Ihre Attributzuordnungen mit einigen Testbenutzern zu testen, bevor sie die vollständige Synchronisierung für alle Benutzer starten. Sobald Sie sich vergewissert haben, dass die Zuordnungen funktionieren und Sie die gewünschten Ergebnisse erhalten, können Sie den Filter entweder entfernen oder schrittweise erweitern, um mehr Benutzer einzubinden.

1. Legen Sie auf der Registerkarte "Bereitstellung " den Bereitstellungsstatus auf "Ein" fest.

2. Wählen Sie "Speichern" aus.

3. Dieser Vorgang startet die erste Synchronisierung, die abhängig von der Anzahl von Benutzern im SuccessFactors-Mandanten mehrere Stunden dauern kann. Sie können die Statusanzeige überprüfen, um den Fortschritt des Synchronisierungszyklus zu verfolgen.

4. Überprüfen Sie jederzeit die Registerkarte "Bereitstellung " im Entra Admin Center, um zu sehen, welche Aktionen der Bereitstellungsdienst ausgeführt hat. Die Bereitstellungsprotokolle enthalten alle einzelnen Synchronisierungsereignisse des Bereitstellungsdiensts, beispielsweise welche Benutzer in SuccessFactors gelesen und anschließend zu Microsoft Entra ID hinzugefügt oder darin aktualisiert wurden.

5. Sobald die erste Synchronisierung abgeschlossen ist, schreibt sie einen Zusammenfassenden Überwachungsbericht auf der Registerkarte "Bereitstellung ", wie unten dargestellt.

   

Verwandte Inhalte

• Erfahren Sie mehr über unterstützte SuccessFactors-Attribute für den Provisioning-Eingang
• Erfahren Sie, wie Sie E-Mail-Rückschreiben auf SuccessFactors konfigurieren.
• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen.
• Erfahren Sie, wie Sie andere SaaS-Anwendungen mit Microsoft Entra ID integrieren.