Configuración de SAP SuccessFactors en el aprovisionamiento de usuarios de Active Directory

El objetivo de este artículo es mostrar los pasos que debe realizar para aprovisionar usuarios de SuccessFactors Employee Central a Active Directory (AD) y Microsoft Entra ID, con escritura diferida opcional de la dirección de correo electrónico en SuccessFactors.

Nota

Use este artículo si los usuarios a los que desea aprovisionar desde SuccessFactors necesitan una cuenta de AD local y, opcionalmente, una cuenta de Microsoft Entra. Si los usuarios de SuccessFactors solo necesitan una cuenta de Microsoft Entra (usuarios solo en la nube), consulte el artículo sobre cómo configurar SAP SuccessFactors en el aprovisionamiento de usuarios de Microsoft Entra ID .

En el vídeo siguiente se proporciona información general rápida de los pasos necesarios al planear la integración del aprovisionamiento con SAP SuccessFactors.

Información general

El servicio de aprovisionamiento de usuarios de Microsoft Entra se integra con SuccessFactors Employee Central para administrar el ciclo de vida de identidad de los usuarios.

El flujo de trabajo de aprovisionamiento de usuarios de SuccessFactors compatible con el servicio de aprovisionamiento de usuarios de Microsoft Entra permite la automatización de los siguientes escenarios de recursos humanos y de administración del ciclo de vida de identidades:

• Contratación de nuevos empleados : cuando se agrega un nuevo empleado a SuccessFactors, se crea automáticamente una cuenta de usuario en Active Directory, Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID, con reescritura de la dirección de correo electrónico en SuccessFactors.

• Actualizaciones de perfiles y atributos de empleado: cuando se actualiza un registro de empleado en SuccessFactors (por ejemplo, su nombre, título o administrador), su cuenta de usuario se actualiza automáticamente en Active Directory, Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con microsoft Entra ID.

• Despidos de empleados: cuando un empleado finaliza en SuccessFactors, su cuenta de usuario se deshabilita automáticamente en Active Directory, el identificador de Microsoft Entra y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con el id. de Microsoft Entra.

• Reincorporación de empleados - Cuando un empleado es reincorporado en SuccessFactors, su cuenta antigua se puede reactivar o volver a aprovisionar automáticamente (según la preferencia) a Active Directory, Microsoft Entra ID y, de manera opcional, a Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID.

¿Para quién es más adecuada esta solución de aprovisionamiento de usuarios?

Esta solución de aprovisionamiento de usuarios de SuccessFactors a Active Directory es adecuada para:

• Organizaciones que desean una solución pregenerada basada en la nube para el aprovisionamiento de usuarios successFactors, incluidas las organizaciones que rellenan SuccessFactors de SAP HCM mediante SAP Integration Suite

• Organizaciones que implementan Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino de SAP, mediante Microsoft Entra para configurar identidades para los trabajadores para que puedan iniciar sesión en una o varias aplicaciones SAP, como SAP ECC o SAP S/4HANA, y opcionalmente aplicaciones que no son de SAP.

• Organizaciones que requieren el aprovisionamiento directo de usuarios de SuccessFactors a Active Directory para que los usuarios puedan acceder a aplicaciones integradas en Windows Server Active Directory y aplicaciones integradas de Microsoft Entra ID

• Organizaciones que requieren que los usuarios se aprovisionen mediante datos obtenidos de SuccessFactors Employee Central (EC)

• Organizaciones que necesitan unir, mover y eliminar usuarios para sincronizarlos con uno o varios bosques, dominios y unidades organizativas de Active Directory solo en función de la información de cambio detectada en SuccessFactors Employee Central (EC)

• Organizaciones que usan Microsoft 365 para el correo electrónico

Arquitectura de la solución

En esta sección se describe la arquitectura de la solución de aprovisionamiento de usuarios de un extremo a otro para entornos híbridos comunes. Hay dos flujos relacionados:

• Flujo de datos de RR. HH. autoritativo: desde SuccessFactors a Active Directory local: En este flujo, los eventos de trabajo (como New Hires, Transfers, Terminations) se producen primero en la nube SuccessFactors Employee Central y, a continuación, los datos del evento fluyen a Active Directory local a través de Microsoft Entra ID y provisioning Agent. En función del evento, puede dar lugar a las operaciones de creación, actualización, habilitación o deshabilitación en AD.

• Flujo de escritura diferida de correo electrónico, de Active Directory local a SuccessFactors: una vez finalizada la creación de la cuenta en Active Directory, se sincroniza con Microsoft Entra ID a través de Microsoft Entra Connect Sync y el atributo de correo electrónico puede escribirse de forma diferida en SuccessFactors.

  

Flujo de datos de usuarios de un extremo a otro

1. El equipo de RR. HH. realiza las transacciones relacionadas con los trabajadores (empleados que se incorporan a la empresa, se trasladan o se van, o nuevas contrataciones, traslados o despidos) en SuccessFactors Employee Central.
2. El servicio de aprovisionamiento de Microsoft Entra ejecuta sincronizaciones programadas de identidades desde SuccessFactors EC e identifica los cambios que deben procesarse para la sincronización con Active Directory local.
3. El servicio de aprovisionamiento de Microsoft Entra invoca al agente de aprovisionamiento local Microsoft Entra Connect con una carga de solicitud que contiene las operaciones de creación, actualización, habilitación y deshabilitación de la cuenta de AD.
4. El agente de aprovisionamiento de Microsoft Entra Connect usa una cuenta de servicio para agregar o actualizar los datos de la cuenta de AD.
5. El motor de Microsoft Entra Connect Sync ejecuta una sincronización diferencial para extraer actualizaciones de AD.
6. Las actualizaciones de Active Directory se sincronizan con Microsoft Entra ID.
7. Si está configurada la aplicación de escritura diferida de SuccessFactors, se escribe de forma diferida el atributo de correo electrónico en SuccessFactors, en función del atributo coincidente usado.

Planeamiento de la implementación

La configuración del aprovisionamiento de usuarios controlado por RR. HH. en la nube desde SuccessFactors a AD requiere un planeamiento considerable que abarca distintos aspectos, como:

• Configuración del agente de aprovisionamiento de Microsoft Entra Connect
• El número de aplicaciones de aprovisionamiento de usuarios de SuccessFactors a AD que se van a implementar
• Identificador de coincidencia, asignación de atributos y filtros de transformación y ámbito

Consulte el plan de implementación de RR. HH . en la nube para obtener instrucciones completas sobre estos temas. Consulte la referencia de integración de SAP SuccessFactors para obtener información sobre las entidades admitidas, los detalles de procesamiento y cómo personalizar la integración para diferentes escenarios de RR. HH.

Configuración de SuccessFactors para la integración

Un requisito común de todos los conectores de aprovisionamiento de SuccessFactors es que requieren credenciales de una cuenta de SuccessFactors con los permisos correctos para invocar las API OData de SuccessFactors. En esta sección se describen los pasos para crear la cuenta de servicio de SuccessFactors y conceder los permisos adecuados.

• Creación o identificación de una cuenta de usuario de API en SuccessFactors
• Creación de un rol de permisos de API
• Creación de un grupo de permisos para el usuario de API
• Concesión del rol de permisos al grupo de permisos

Creación e identificación de una cuenta de usuario de API en SuccessFactors

Trabaje con el equipo de administración de SuccessFactors o con el asociado de implementación para crear o identificar una cuenta de usuario en SuccessFactors que se usará para invocar las API de OData. Las credenciales de nombre de usuario y contraseña de esta cuenta se necesitarán al configurar las aplicaciones de aprovisionamiento en Microsoft Entra ID.

Creación de un rol de permisos de API

1. Inicie sesión en SAP SuccessFactors con una cuenta de usuario que tenga acceso al centro de administración.

2. Busque Administrar roles de permiso y, a continuación, seleccione Administrar roles de permiso en los resultados de la búsqueda.

3. En la lista de roles de permisos, seleccione Crear nuevo.

   

4. Agregue un nombre de rol y una descripción para el nuevo rol de permiso. El nombre y la descripción deben indicar que el rol se utilizará para los permisos de uso de la API.

5. En Configuración de permisos, seleccione Permiso..., desplácese hacia abajo en la lista de permisos y seleccione Administrar herramientas de integración. Active la casilla Permitir que el administrador acceda a la API de OData a través de la autenticación básica.

   

6. Desplácese hacia abajo en el mismo cuadro y seleccione Employee Central API. Agregue permisos, tal como se muestra a continuación, de lectura y edición mediante la API ODATA. Seleccione la opción de edición si tiene previsto usar la misma cuenta para el escenario de escritura diferida en SuccessFactors.

   

7. En el mismo cuadro de permisos, vaya a Permisos de usuario:> datos de empleados y revise los atributos que la cuenta de servicio puede leer del inquilino de SuccessFactors. Por ejemplo, para recuperar el atributo Username de SuccessFactors, asegúrese de que se concede el permiso "Ver" para este atributo. De igual forma, revise cada atributo para ver el permiso.

   

   Nota

   Para obtener la lista completa de atributos recuperados por esta aplicación de aprovisionamiento, consulte Referencia de atributos SuccessFactors.

8. Seleccione Listo. Seleccione Guardar cambios.

Creación de un grupo de permisos para el usuario de la API

1. En el Centro de administración de SuccessFactors, busque Administrar grupos de permisos y, a continuación, seleccione Administrar grupos de permisos en los resultados de la búsqueda.

   

2. En la ventana Administrar grupos de permisos, seleccione Crear nuevo.

   

3. Agregue un valor en Group Name (Nombre de grupo) para el nuevo grupo. El nombre del grupo debe indicar que se utilizará para los usuarios de la API.

   

4. Agregue miembros al grupo. Por ejemplo, puede seleccionar Nombre de usuario en el menú desplegable Grupo de personas y, a continuación, escribir el nombre de usuario de la cuenta de API que se usa para la integración.

   

5. Seleccione Listo para terminar de crear el grupo de permisos.

Concesión del rol de permisos al grupo de permisos

1. En SuccessFactors Admin Center, busque Administrar roles de permiso y, a continuación, seleccione Administrar roles de permiso en los resultados de la búsqueda.
2. En la Lista de Roles de Permisos, seleccione el rol que creó para los permisos de uso del API.
3. En Conceder este rol a... , seleccione el botón Agregar... .
4. Seleccione Grupo de permisos... en el menú desplegable y, a continuación, seleccione Seleccionar... para abrir la ventana Grupos para buscar y seleccionar el grupo creado anteriormente.
5. Revise la concesión del rol de permisos al grupo de permisos.
6. Seleccione Guardar cambios.

Configuración del aprovisionamiento de usuarios de SuccessFactors a Active Directory

En esta sección se describen los pasos para el aprovisionamiento de cuentas de usuario de SuccessFactors a cada dominio de Active Directory dentro del ámbito de su integración.

• Añade la aplicación del conector de aprovisionamiento y descarga el Agente de Aprovisionamiento
• Instalación y configuración de agentes de aprovisionamiento locales
• Configuración de la conectividad con SuccessFactors y Active Directory
• Configuración de asignaciones de atributos
• Habilitación e inicio del aprovisionamiento de usuarios

Parte 1: Incorporación de la aplicación de conector de aprovisionamiento y descarga del agente de aprovisionamiento

Para configurar SuccessFactors en el aprovisionamiento de Active Directory:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales>Nueva aplicación.

3. Busque Aprovisionamiento de usuarios de SuccessFactors a Active Directory y agregue esa aplicación desde la galería.

4. Una vez agregada la aplicación y se muestra la pantalla de detalles de la aplicación, seleccione Aprovisionamiento.

5. Cambiar el modode aprovisionamiento a Automático

6. Seleccione el banner de información que se muestra para descargar el Agente de aprovisionamiento.

   

Parte 2: Instalación y configuración de agentes de aprovisionamiento en el entorno local

Para realizar el aprovisionamiento en Active Directory local, el agente de aprovisionamiento debe estar instalado en un servidor unido a un dominio que tenga acceso de red a los dominios de Active Directory deseados.

Transfiera el instalador del agente descargado al host del servidor y siga los pasos indicados en la sección install agent para completar la configuración del agente.

Parte 3: En la aplicación de aprovisionamiento, configure la conectividad a SuccessFactors y Active Directory

En este paso, se establece la conectividad con SuccessFactors y Active Directory.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales> en la aplicación de aprovisionamiento de usuarios de Active Directory de SuccessFactors creada en la Parte 1.

3. Complete la sección Credenciales de administrador de la manera siguiente:

   • Nombre de usuario de administrador : escriba el nombre de usuario de la cuenta de usuario de SuccessFactors API, con el identificador de empresa anexado. Tiene el formato : username@companyID

   • Contraseña de administrador: Escriba la contraseña de la cuenta de usuario de SuccessFactors API.

   • URL de inquilino: escriba el nombre del punto de conexión de servicios de la API OData de SuccessFactors. Especifique solo el nombre de host del servidor sin http o https. Este valor debe ser similar al siguiente: <api-server-name.successfactors.com>.

   • Bosque de Active Directory: el nombre de su dominio de Active Directory, según se ha registrado con el agente. Use la lista desplegable para seleccionar el dominio de destino para el aprovisionamiento. Este valor suele ser una cadena como : contoso.com

   • Contenedor de Active Directory: Escriba el DN de contenedor donde el agente debe crear cuentas de usuario de forma predeterminada. Ejemplo: OU=Users,DC=contoso,DC=com

     Nota

     Esta configuración solo entra en juego para las creaciones de cuentas de usuario si el atributo parentDistinguishedName no está configurado en las asignaciones de atributos. Esta configuración no se usa para la búsqueda de usuarios o las operaciones de actualización. El subárbol de todo el dominio se encuentra en el ámbito de la operación de búsqueda.

   • Correo electrónico de notificación: Escriba su dirección de correo electrónico y active la casilla "Enviar correo electrónico si se produce un error".

     Nota

     El servicio de aprovisionamiento de Microsoft Entra envía una notificación por correo electrónico si el trabajo de aprovisionamiento entra en un estado de cuarentena .

   • Seleccione el botón Probar conexión . Si la prueba de conexión se realiza correctamente, seleccione el botón Guardar en la parte superior. Si se produce un error, compruebe que las credenciales de SuccessFactors y las credenciales de AD configuradas en la instalación del agente sean válidas.

   • Una vez que las credenciales se guardan correctamente, en la sección Asignaciones se muestra la asignación predeterminada Sincronizar usuarios de SuccessFactors con Active Directory local

Parte 4: configuración de las asignaciones de atributos

En esta sección, configurará cómo fluyen los datos de los usuarios de SuccessFactors a Active Directory.

1. En la pestaña Aprovisionamiento, en Asignaciones, seleccione Sincronizar usuarios de SuccessFactors con Active Directory local..

2. En el campo Ámbito del objeto de origen, puede seleccionar qué conjuntos de usuarios de SuccessFactors deben estar en el ámbito para el aprovisionamiento a AD, definiendo un conjunto de filtros basados en atributos. El ámbito predeterminado es todos los usuarios de SuccessFactors. Filtros de ejemplo:

   • Ejemplo: Ámbito de los usuarios con personIdExternal entre 1 000 000 y 2 000 000 (excepto 2 000 000)

     • Atributo: personIdExternal

     • Operador: REGEX Match

     • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Ejemplo: solo los empleados, no los trabajadores temporales

     • Atributo: EmployeeID

     • Operador: IS NOT NULL

   Sugerencia

   Al configurar la aplicación de aprovisionamiento por primera vez, deberá probar y comprobar las asignaciones de atributos y expresiones para asegurarse de que le proporciona el resultado deseado. Microsoft recomienda usar los filtros de ámbito en Ámbito del objeto de origen para probar las asignaciones con algunos usuarios de prueba de SuccessFactors. Una vez haya verificado que las asignaciones funcionan, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

   Precaución

   El comportamiento predeterminado del motor de aprovisionamiento es deshabilitar o eliminar usuarios que salen del ámbito. Puede que esta no sea la situación deseable en la integración de SuccessFactors con AD. Para invalidar este comportamiento predeterminado, consulte el artículo Omitir la eliminación de cuentas de usuario que salen del ámbito.

3. En el campo Acciones de objeto de destino, puede filtrar globalmente qué acciones se realizan en Active Directory. Crear y actualizar son más comunes.

4. En la sección Asignaciones de atributos, puede definir cómo los atributos individuales de SuccessFactors se asignan a los atributos de Active Directory.

   Nota

   Para obtener la lista completa del atributo SuccessFactors admitido por la aplicación, consulte Referencia de atributos successFactors.

5. Seleccione una asignación de atributos existente para actualizarla o seleccione Agregar nueva asignación en la parte inferior de la pantalla para agregar nuevas asignaciones. Las asignaciones de atributos admiten estas propiedades:

   • Tipo de asignación

     • Directo : escribe el valor del atributo SuccessFactors en el atributo AD, sin cambios.

     • Constante : escriba un valor estático de cadena constante en el atributo de AD.

     • Expresión : permite escribir un valor personalizado en el atributo de AD, en función de uno o varios atributos successFactors. Para obtener más información, consulte este artículo sobre expresiones.

   • Atributo source : el atributo user de SuccessFactors

   • Valor predeterminado : opcional. Si el atributo de origen tiene un valor vacío, la asignación escribirá este valor. La configuración más habitual consiste en dejarlo en blanco.

   • Atributo de destino : atributo de usuario en Active Directory.

   • Hacer coincidir objetos con este atributo: determina si se debe usar o no esta asignación para identificar de forma unívoca a los usuarios entre SuccessFactors y Active Directory. Este valor se suele establecer en el campo de id. de trabajo de SuccessFactors, que se suele asignar a uno de los atributos de id. de empleado de Active Directory.

   • Precedencia de coincidencia : se pueden establecer varios atributos coincidentes. Si hay varios, se evalúan en el orden definido por este campo. En el momento en que se encuentre una coincidencia, no se evaluarán más atributos coincidentes.

   • Aplicar este mapeo

     • Siempre: esta asignación se aplica a las acciones de creación y actualización de usuarios.

     • Solo durante la creación: esta asignación se aplica solo a las acciones de creación de usuarios.

6. Para guardar las asignaciones, seleccione Guardar en la parte superior de la sección Asignación de atributos.

Una vez completada la configuración de asignación de atributos, puede probar el aprovisionamiento de un solo usuario mediante el aprovisionamiento a petición y, a continuación, habilitar e iniciar el servicio de aprovisionamiento de usuarios.

Habilitar e iniciar el aprovisionamiento de usuarios

Una vez completadas las configuraciones de la aplicación de aprovisionamiento de SuccessFactors y ha comprobado el aprovisionamiento de un solo usuario con aprovisionamiento a petición, puede activar el servicio de aprovisionamiento.

Sugerencia

De forma predeterminada, al activar el servicio de aprovisionamiento, se iniciarán las operaciones de aprovisionamiento para todos los usuarios del ámbito. Si hay errores en la asignación o problemas con los datos de SuccessFactors, es posible que se produzcan errores con el trabajo de aprovisionamiento y que entre en estado de cuarentena. Para evitar esto, como procedimiento recomendado, se recomienda configurar el filtro Ámbito de objeto de origen y probar las asignaciones de atributos con algunos usuarios de prueba que usan el aprovisionamiento a petición antes de iniciar la sincronización completa para todos los usuarios. Una vez haya verificado que las asignaciones funcionan y que obtiene los resultados deseados, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

1. Vaya a la hoja Aprovisionamiento y seleccione Iniciar aprovisionamiento.

2. Esta operación dará comienzo a la sincronización inicial, que puede tardar una cantidad de horas variable, según el número de usuarios que haya en el inquilino de SuccessFactors. Puede consultar en la barra de progreso el seguimiento del progreso del ciclo de sincronización.

3. En cualquier momento, compruebe la pestaña Aprovisionamiento del Centro de administración de Entra para ver qué acciones ha realizado el servicio de aprovisionamiento. Los registros de aprovisionamiento muestran todos los eventos de sincronización individuales realizados por el servicio de aprovisionamiento, por ejemplo, los usuarios que se leen fuera de SuccessFactors y que luego se agregan o actualizan en Active Directory.

4. Una vez completada la sincronización inicial, escribe un informe de resumen de auditoría en la pestaña Aprovisionamiento , como se muestra a continuación.

   

Contenido relacionado

• Obtén más información sobre los atributos de SuccessFactors que se admiten para la provisión de entrada
• Aprenda a configurar la devolución de correo electrónico a SuccessFactors
• Obtenga información sobre cómo revisar los registros y obtener informes sobre la actividad de aprovisionamiento.
• Aprenda a configurar el inicio de sesión único entre SuccessFactors y Microsoft Entra ID
• Obtenga información sobre cómo integrar otras aplicaciones SaaS con microsoft Entra ID
• Obtenga información sobre cómo exportar e importar las configuraciones de aprovisionamiento.