Configurar SAP SuccessFactors para el aprovisionamiento de usuarios de Microsoft Entra

El objetivo de este artículo es mostrar los pasos que debe realizar para aprovisionar datos de empleados de SuccessFactors Employee Central en Microsoft Entra ID, con opción de escritura de vuelta de dirección de correo electrónico en SuccessFactors.

Nota:

Use este artículo si los usuarios a los que desea aprovisionar desde SuccessFactors son usuarios solo en la nube que no necesitan una cuenta de AD local. Si los usuarios solo necesitan una cuenta de AD local o tanto una cuenta de AD como de Microsoft Entra, consulte el artículo sobre configurar SAP SuccessFactors para el aprovisionamiento de usuarios de Active Directory.

En el vídeo siguiente se proporciona información general rápida de los pasos necesarios al planear la integración del aprovisionamiento con SAP SuccessFactors.

Información general

El servicio de aprovisionamiento de usuarios de Microsoft Entra se integra con SuccessFactors Employee Central para administrar el ciclo de vida de identidad de los usuarios.

Los flujos de trabajo de aprovisionamiento de usuarios de SuccessFactors admitidos por el servicio de aprovisionamiento de usuarios de Microsoft Entra permiten la automatización de los siguientes escenarios de recursos humanos y administración del ciclo de vida de identidades:

• Contratación de nuevos empleados : cuando se agrega un nuevo empleado a SuccessFactors, se crea automáticamente una cuenta de usuario en microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID, con reescritura de la dirección de correo electrónico en SuccessFactors.

• Actualizaciones de perfiles y atributos de empleado: cuando se actualiza un registro de empleado en SuccessFactors (por ejemplo, su nombre, título o administrador), su cuenta de usuario se actualiza automáticamente en Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID.

• Despidos de empleados: cuando un empleado es despedido en SuccessFactors, su cuenta de usuario se deshabilita automáticamente en Microsoft Entra ID y, opcionalmente, en Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID.

• Recontrataciones de empleados: cuando un empleado es recontratado en SuccessFactors, su cuenta antigua se puede reactivar o aprovisionar automáticamente (según sus preferencias) a Microsoft Entra ID y, opcionalmente, a Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID.

¿Para quién es más adecuada esta solución de aprovisionamiento de usuarios?

Esta solución de aprovisionamiento de usuarios de SuccessFactors a Microsoft Entra es ideal para:

• Organizaciones que desean una solución pregenerada basada en la nube para el aprovisionamiento de usuarios successFactors, incluidas las organizaciones que rellenan SuccessFactors de SAP HCM mediante SAP Integration Suite

• Organizaciones que implementan Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino de SAP, mediante Microsoft Entra para configurar identidades para los trabajadores para que puedan iniciar sesión en una o varias aplicaciones SAP, como SAP ECC o SAP S/4HANA, y opcionalmente aplicaciones que no son de SAP.

• Organizaciones que requieren el aprovisionamiento directo de usuarios de SuccessFactors al identificador de Microsoft Entra, pero no requieren que esos usuarios también estén en Windows Server Active Directory.

• Organizaciones que requieren que los usuarios sean aprovisionados con datos obtenidos de SuccessFactors Employee Central (EC)

• Organizaciones que usan Microsoft 365 para el correo electrónico

Arquitectura de la solución

En esta sección se describe la arquitectura de la solución de aprovisionamiento de usuarios de un extremo a otro para usuarios que solo están en la nube. Hay dos flujos relacionados:

• Flujo de datos de RR. HH. autoritativo: desde SuccessFactors a Microsoft Entra ID: En este flujo, los eventos de trabajo (como New Hires, Transfers, Terminations) se producen primero en la nube SuccessFactors Employee Central y, a continuación, los datos del evento fluyen a Microsoft Entra ID. En función del evento, puede dar lugar a operaciones de creación, actualización, habilitación o deshabilitación en Microsoft Entra ID.

• Flujo de escritura de correo electrónico: desde Microsoft Entra ID a SuccessFactors: Una vez completada la creación de la cuenta en Microsoft Entra ID, el valor del atributo de correo electrónico o el UPN generado en Microsoft Entra ID se puede escribir de nuevo en SuccessFactors.

  

Flujo de datos de usuarios de un extremo a otro

1. El equipo de RR. HH. realiza las transacciones relacionadas con los trabajadores (empleados que se incorporan a la empresa, se trasladan o se van, o nuevas contrataciones, traslados o despidos) en SuccessFactors Employee Central.
2. El servicio de aprovisionamiento de Microsoft Entra ejecuta sincronizaciones programadas de identidades de SuccessFactors EC e identifica los cambios que deben procesarse para la sincronización con Microsoft Entra ID.
3. El servicio de aprovisionamiento de Microsoft Entra determina el cambio e invoca la operación de creación/actualización/habilitación/deshabilitación para el usuario en Microsoft Entra ID.
4. Si la SuccessFactors Writeback app está configurada, la dirección de correo electrónico del usuario se recupera de Microsoft Entra ID.
5. El servicio de aprovisionamiento de Microsoft Entra realiza la escritura diferida del atributo de correo electrónico en SuccessFactors, en función del atributo coincidente usado.

Planeamiento de la implementación

La configuración del aprovisionamiento de usuarios impulsado por Cloud RR. HH. desde SuccessFactors a Microsoft Entra ID requiere una planificación considerable que abarque distintos aspectos como:

• Determinación del identificador coincidente
• Asignación de atributos
• Transformación de atributos
• Filtros de ámbito

Consulte el plan de implementación de RR. HH . en la nube para obtener instrucciones completas sobre estos temas. Consulte la referencia de integración de SAP SuccessFactors para obtener información sobre las entidades admitidas, los detalles de procesamiento y cómo personalizar la integración para diferentes escenarios de RR. HH.

Configuración de SuccessFactors para la integración

Un requisito común de todos los conectores de aprovisionamiento de SuccessFactors es que requieren credenciales de una cuenta de SuccessFactors con los permisos correctos para invocar las API OData de SuccessFactors. En esta sección se describen los pasos para crear la cuenta de servicio de SuccessFactors y conceder los permisos adecuados.

• Creación o identificación de una cuenta de usuario de API en SuccessFactors
• Creación de un rol de permisos de API
• Creación de un grupo de permisos para el usuario de API
• Conceder el rol de permiso al grupo de permisos

Creación e identificación de una cuenta de usuario de API en SuccessFactors

Trabaje con el equipo de administración de SuccessFactors o con el asociado de implementación para crear o identificar una cuenta de usuario en SuccessFactors que se usará para invocar las API de OData. Las credenciales de nombre de usuario y contraseña de esta cuenta se necesitarán al configurar las aplicaciones de aprovisionamiento en Microsoft Entra ID.

Creación de un rol de permisos de API

1. Inicie sesión en SAP SuccessFactors con una cuenta de usuario que tenga acceso al centro de administración.

2. Busque Administrar roles de permiso y, a continuación, seleccione Administrar roles de permiso en los resultados de la búsqueda.

3. En la lista de roles de permisos, seleccione Crear nuevo.

   

4. Agregue un nombre de rol y una descripción para el nuevo rol de permiso. El nombre y la descripción deben indicar que el rol se utilizará para los permisos de uso de la API.

5. En Configuración de permisos, seleccione Permiso..., desplácese hacia abajo en la lista de permisos y seleccione Administrar herramientas de integración. Active la casilla Permitir que el administrador acceda a la API de OData a través de la autenticación básica.

   

6. Desplácese hacia abajo en el mismo cuadro y seleccione Employee Central API. Agregue permisos, tal como se muestra a continuación, de lectura y edición mediante la API ODATA. Seleccione la opción de edición si tiene previsto usar la misma cuenta para el escenario de escritura diferida en SuccessFactors.

   

7. En el mismo cuadro de permisos, vaya a Permisos de usuario:> datos de empleados y revise los atributos que la cuenta de servicio puede leer del inquilino de SuccessFactors. Por ejemplo, para recuperar el atributo Username de SuccessFactors, asegúrese de que se concede el permiso "Ver" para este atributo. De igual forma, revise cada atributo para ver el permiso.

   

   Nota:

   Para obtener la lista completa de atributos recuperados por esta aplicación de aprovisionamiento, consulte Referencia de Atributos SuccessFactors.

8. Seleccione Listo. Seleccione Guardar cambios.

Creación de un grupo de permisos para el usuario de la API

1. En el Centro de administración de SuccessFactors, busque Administrar grupos de permisos y, a continuación, seleccione Administrar grupos de permisos en los resultados de la búsqueda.

   

2. En la ventana Administrar grupos de permisos, seleccione Crear nuevo.

   

3. Agregue un valor en Group Name (Nombre de grupo) para el nuevo grupo. El nombre del grupo debe indicar que se utilizará para los usuarios de la API.

   

4. Agregue miembros al grupo. Por ejemplo, puede seleccionar Nombre de usuario en el menú desplegable Grupo de personas y, a continuación, escribir el nombre de usuario de la cuenta de API que se usa para la integración.

   

5. Seleccione Listo para terminar de crear el grupo de permisos.

Concesión del rol de permisos al grupo de permisos

1. En SuccessFactors Admin Center, busque Administrar roles de permiso y, a continuación, seleccione Administrar roles de permiso en los resultados de la búsqueda.
2. En la Lista de roles de permisos, seleccione el rol que creó para los permisos de uso de API.
3. En Conceder este rol a... , seleccione el botón Agregar... .
4. Seleccione Grupo de permisos... en el menú desplegable y, a continuación, seleccione Seleccionar... para abrir la ventana Grupos para buscar y seleccionar el grupo creado anteriormente.
5. Revise la concesión del rol de permisos al grupo de permisos.
6. Seleccione Guardar cambios.

Configuración del aprovisionamiento de usuarios de SuccessFactors en Microsoft Entra ID

Esta sección proporciona los pasos para el aprovisionamiento de cuentas de usuario desde SuccessFactors a Microsoft Entra ID.

• Adición de la aplicación del conector de aprovisionamiento y configuración de la conectividad a SuccessFactors
• Configuración de asignaciones de atributos
• Habilitación e inicio del aprovisionamiento de usuarios

Parte 1: Incorporación de la aplicación del conector de aprovisionamiento y configuración de la conectividad con SuccessFactors

Para configurar SuccessFactors para el aprovisionamiento de Microsoft Entra:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a Entra ID>aplicaciones empresariales>Nueva aplicación.

3. Busque SuccessFactors en el aprovisionamiento de usuarios de Microsoft Entra y agregue esa aplicación desde la galería.

4. Una vez agregada la aplicación y se muestra la pantalla de detalles de la aplicación, seleccione Aprovisionamiento.

5. Cambiar el modode aprovisionamiento a Automático

6. Complete la sección Credenciales de administrador de la manera siguiente:

   • Nombre de usuario de administrador : escriba el nombre de usuario de la cuenta de usuario de SuccessFactors API, con el identificador de empresa anexado. Tiene el formato : username@companyID

   • Contraseña de administrador: Escriba la contraseña de la cuenta de usuario de SuccessFactors API.

   • URL del inquilino: Ingrese el nombre del punto de conexión del servicio SuccessFactors OData API. Especifique solo el nombre de host del servidor sin http o https. Este valor debe ser similar al siguiente: api-server-name.successfactors.com.

   • Correo electrónico de notificación: Escriba su dirección de correo electrónico y active la casilla "Enviar correo electrónico si se produce un error".

   Nota:

   El servicio de aprovisionamiento de Microsoft Entra envía una notificación por correo electrónico si el trabajo de aprovisionamiento entra en un estado de cuarentena .

   • Seleccione el botón Probar conexión . Si la prueba de conexión se realiza correctamente, seleccione el botón Guardar en la parte superior. Si se produce un error, compruebe que las credenciales y la dirección URL de SuccessFactors son válidas.

   • Una vez que las credenciales se guardan correctamente, la sección Asignaciones muestra la asignación predeterminada Synchronize SuccessFactors Users to Microsoft Entra ID (Sincronizar usuarios de SuccessFactors con el identificador de Microsoft Entra).

Parte 2: configuración de las asignaciones de atributos

En esta sección, configurará cómo fluyen los datos de usuario de SuccessFactors a Microsoft Entra ID.

1. En la pestaña Aprovisionamiento, en Asignaciones, seleccione Sincronizar usuarios de SuccessFactors con Microsoft Entra ID.

2. En el campo Ámbito de objeto de origen, puede seleccionar qué conjuntos de usuarios de SuccessFactors deben estar incluidos en el ámbito para el aprovisionamiento a Microsoft Entra ID, definiendo un conjunto de filtros basados en atributos. El ámbito predeterminado es "todos los usuarios de SuccessFactors". Filtros de ejemplo:

   • Ejemplo: Ámbito de los usuarios con personIdExternal entre 1 000 000 y 2 000 000 (excepto 2 000 000)

     • Atributo: personIdExternal

     • Operador: REGEX Match

     • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Ejemplo: solo los empleados, no los trabajadores temporales

     • Atributo: EmployeeID

     • Operador: IS NOT NULL

   Sugerencia

   Al configurar la aplicación de aprovisionamiento por primera vez, deberá probar y comprobar las asignaciones de atributos y expresiones para asegurarse de que le proporciona el resultado deseado. Microsoft recomienda usar los filtros de ámbito en Ámbito de objeto de origen para probar sus asignaciones con algunos usuarios de prueba de SuccessFactors. Una vez que haya comprobado que las asignaciones funcionan, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

   Precaución

   El comportamiento predeterminado del motor de aprovisionamiento es deshabilitar o eliminar usuarios que salen del ámbito. Puede que esta no sea la situación deseable en la integración de SuccessFactors con Microsoft Entra. Para invalidar este comportamiento predeterminado, consulte el artículo Omitir la eliminación de cuentas de usuario que salen del ámbito.

3. En el campo Acciones de objeto de destino , puede filtrar globalmente qué acciones se realizan en microsoft Entra ID. Crear y actualizar son más comunes.

4. En la sección Asignaciones de atributos, puede definir cómo los atributos individuales de SuccessFactors se asignan a los atributos de Microsoft Entra.

   Nota:

   Para obtener la lista completa del atributo SuccessFactors admitido por la aplicación, consulte Referencia de atributos successFactors.

5. Seleccione una asignación de atributos existente para actualizarla o seleccione Agregar nueva asignación en la parte inferior de la pantalla para agregar nuevas asignaciones. Las asignaciones de atributos admiten estas propiedades:

   • Tipo de asignación

     • Directo : escribe el valor del atributo SuccessFactors en el atributo Microsoft Entra, sin cambios.

     • Constante : escriba un valor de cadena estático y constante en el atributo Microsoft Entra.

     • Expresión : permite escribir un valor personalizado en el atributo Microsoft Entra, en función de uno o varios atributos successFactors. Para obtener más información, consulte este artículo sobre expresiones.

   • Atributo source : el atributo user de SuccessFactors

   • Valor predeterminado : opcional. Si el atributo de origen tiene un valor vacío, la asignación escribirá este valor. La configuración más habitual consiste en dejarlo en blanco.

   • Atributo de destino : atributo de usuario en Microsoft Entra ID.

   • Hacer coincidir objetos usando este atributo – Indica si esta asignación se debe usar para identificar de forma única a los usuarios entre SuccessFactors y Microsoft Entra ID. Este valor se establece normalmente en el campo Id. de trabajo de SuccessFactors, que normalmente se asigna a uno de los atributos de identificador de empleado en Microsoft Entra ID.

   • Precedencia de coincidencia : se pueden establecer varios atributos coincidentes. Si hay varios, se evalúan en el orden definido por este campo. En el momento en que se encuentre una coincidencia, no se evaluarán más atributos coincidentes.

   • Aplicar esta asignación

     • Siempre : aplique esta asignación en las acciones de creación y actualización del usuario.

     • Solo durante la creación : aplique esta asignación solo en las acciones de creación de usuarios.

6. Para guardar las asignaciones, seleccione Guardar en la parte superior de la sección Attribute-Mapping.

Una vez completada la configuración de asignación de atributos, ahora puede habilitar e iniciar el servicio de aprovisionamiento de usuarios.

Habilitar e iniciar el aprovisionamiento de usuarios

Una vez completadas las configuraciones de la aplicación de aprovisionamiento de SuccessFactors, puede activar el servicio de aprovisionamiento.

Sugerencia

De forma predeterminada, al activar el servicio de aprovisionamiento, se iniciarán las operaciones de aprovisionamiento para todos los usuarios del ámbito. Si hay errores en la asignación o problemas con los datos de SuccessFactors, puede que se produzcan errores con el trabajo de aprovisionamiento y que entre en estado de cuarentena. Para evitar esto, como procedimiento recomendado, se recomienda configurar el filtro Ámbito de objeto de origen y probar las asignaciones de atributos con algunos usuarios de prueba antes de iniciar la sincronización completa para todos los usuarios. Una vez haya verificado que las asignaciones funcionan y que obtiene los resultados deseados, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

1. En la pestaña Aprovisionamiento , establezca estado de aprovisionamiento en Activado.

2. Seleccione Guardar.

3. Esta operación dará comienzo a la sincronización inicial, que puede tardar una cantidad de horas variable, según el número de usuarios que haya en el inquilino de SuccessFactors. Puede consultar en la barra de progreso el seguimiento del progreso del ciclo de sincronización.

4. En cualquier momento, compruebe la pestaña Aprovisionamiento del Centro de administración de Entra para ver qué acciones ha realizado el servicio de aprovisionamiento. Los registros de aprovisionamiento enumeran todos los eventos de sincronización individuales realizados por el servicio de aprovisionamiento, como los usuarios que se leen de SuccessFactors y, a continuación, se agregan o actualizan a Microsoft Entra ID.

5. Una vez completada la sincronización inicial, escribe un informe de resumen de auditoría en la pestaña Aprovisionamiento , como se muestra a continuación.

   

Contenido relacionado

• Obtén más información sobre los atributos admitidos de SuccessFactors para el provisionamiento entrante
• Aprenda a configurar la retroalimentación de correos electrónicos en SuccessFactors
• Obtenga información sobre cómo revisar los registros y obtener informes sobre la actividad de aprovisionamiento.
• Obtenga información sobre cómo integrar otras aplicaciones SaaS con microsoft Entra ID