Tutorial: Configuración de la escritura diferida de atributos de Microsoft Entra ID en SAP SuccessFactors

El objetivo de este tutorial es mostrar los pasos para la escritura diferida de atributos de Microsoft Entra ID en Employee Central de SAP SuccessFactors.

Información general

Puede configurar la aplicación de escritura diferida de SAP SuccessFactors para escribir atributos específicos de Microsoft Entra ID en Employee Central de SAP SuccessFactors. La aplicación de aprovisionamiento de escritura diferida de SuccessFactors admite la asignación de valores a los siguientes atributos de Employee Central:

• Correo electrónico del trabajo
• Nombre de usuario
• Número de teléfono del trabajo (incluidos el código de país, el código de área, el número y la extensión)
• Marca principal del número de teléfono del trabajo
• Número móvil (incluidos el código de país, el código de área y el número)
• Marca principal del teléfono móvil
• Atributos custom01-custom15 del usuario
• Atributo loginMethod

Nota:

Esta aplicación no tiene ninguna dependencia en las aplicaciones de integración de aprovisionamiento de usuarios de entrada de SuccessFactors. Puede configurarla de forma independiente de la aplicación de aprovisionamiento de SuccessFactors en AD local o de la aplicación de aprovisionamiento de SuccessFactors para Microsoft Entra ID.

Consulte la sección de escenarios de reescritura de la guía de referencia de integración de SAP SuccessFactors para obtener más información sobre los escenarios admitidos, los problemas conocidos y las limitaciones.

¿Para quién es más adecuada esta solución de aprovisionamiento de usuarios?

La solución de aprovisionamiento de usuarios SuccessFactors Writeback es idónea para:

• Organizaciones que usan Microsoft 365 y que quieren realizar la escritura diferida de atributos autoritativos administrados por TI (como la dirección de correo electrónico, el teléfono o el nombre de usuario) en Employee Central de SuccessFactors.

Configuración de SuccessFactors para la integración

Todos los conectores de aprovisionamiento de SuccessFactors requieren credenciales de una cuenta de SuccessFactors con los permisos correctos para invocar las API OData de Employee Central. En esta sección se describen los pasos para crear la cuenta de servicio de SuccessFactors y conceder los permisos adecuados.

• Creación e identificación de una cuenta de usuario de API en SuccessFactors
• Creación de un rol de permisos de API
• Creación de un grupo de permisos para el usuario de la API
• Concesión del rol de permisos al grupo de permisos

Creación e identificación de una cuenta de usuario de API en SuccessFactors

Trabaje con el equipo de administración de SuccessFactors o con el asociado de implementación para crear o identificar una cuenta de usuario en SuccessFactors que se usará para invocar las API OData. Las credenciales de nombre de usuario y contraseña de esta cuenta se necesitarán al configurar las aplicaciones de aprovisionamiento en Microsoft Entra ID.

Creación de un rol de permisos de API

1. Inicie sesión en SAP SuccessFactors con una cuenta de usuario que tenga acceso al centro de administración.

2. Busque Manage Permission Roles (Administrar roles de permisos) y, después, seleccione Manage Permission Roles (Administrar roles de permisos) en los resultados de la búsqueda.

   

3. En Permission Role List (Lista de roles de permisos), haga clic en Create New (Crear).

   

4. Agregue valores en Role Name (Nombre de rol) y Description (Descripción) para el nuevo rol de permisos. El nombre y la descripción deben indicar que el rol se utilizará para los permisos de uso de la API.

   

5. En Permission settings (Configuración de los permisos), haga clic en Permission... (Permiso), desplácese hacia abajo en la lista de permisos y haga clic en Manage Integration Tools (Administrar herramientas de integración). Active la casilla Allow Admin to Access to OData API through Basic Authentication (Permitir que el administrador acceda a la API OData mediante autenticación básica).

   

6. Desplácese hacia abajo en el mismo cuadro y seleccione Employee Central API. Agregue permisos, tal como se muestra a continuación, de lectura y edición mediante la API ODATA. Seleccione la opción de edición si tiene previsto usar la misma cuenta para el escenario de escritura diferida en SuccessFactors.

   

7. Haga clic en Done (Acabado). Haga clic en Guardar cambios.

Creación de un grupo de permisos para el usuario de la API

1. En el centro de administración de SuccessFactors, busque Manage Permission Groups (Administrar grupos de permisos) y, después, seleccione Manage Permission Groups (Administrar grupos de permisos) en los resultados de la búsqueda.

   

2. En la ventana Manage Permission Groups (Administrar grupos de permisos), haga clic en Create New (Crear).

   

3. Agregue un valor en Group Name (Nombre de grupo) para el nuevo grupo. El nombre del grupo debe indicar que se utilizará para los usuarios de la API.

   

4. Agregue miembros al grupo. Por ejemplo, puede seleccionar Username (Nombre de usuario) en el menú desplegable People Pool (Grupo de personas) y, a continuación, escribir el nombre de usuario de la cuenta de API que se usará para la integración.

   

5. Haga clic en Done (Listo) para terminar de crear el grupo de permisos.

Concesión del rol de permisos al grupo de permisos

1. En el centro de administración de SuccessFactors, busque Manage Permission Roles (Administrar roles de permisos) y, después, seleccione Manage Permission Roles (Administrar roles de permisos) en los resultados de la búsqueda.

2. En Permission Role List (Lista de roles de permisos), seleccione el rol que creó para los permisos de uso de la API.

3. En Conceder este rol a..., haga clic en el botón Agregar....

4. Seleccione Permission Group... (Grupo de permisos) en el menú desplegable y, a continuación, haga clic en Select... (Seleccionar) para abrir la ventana Groups (Grupos), en la que deberá buscar y seleccionar el grupo creado anteriormente.

   

5. Revise la concesión del rol de permisos al grupo de permisos.

   

6. Haga clic en Guardar cambios.

Preparación de la escritura diferida de SuccessFactors

La aplicación de aprovisionamiento de reescritura de SuccessFactors usa ciertos valores de código para configurar el correo electrónico y los números de teléfono en Employee Central. Estos valores de código se establecen como valores constantes en la tabla de asignación de atributos y son diferentes para cada instancia de SuccessFactors. En esta sección se indican los pasos para capturar estos valores de código.

Nota:

Póngase en contacto con su administrador de SuccessFactors para completar los pasos de esta sección.

Identificación de los nombres de listas desplegables de correos electrónicos y números de teléfono

En SAP SuccessFactors, una lista desplegable es un conjunto configurable de opciones que un usuario puede seleccionar. Los diferentes tipos de correo electrónico y número de teléfono (por ejemplo, negocio, personal y otros) se representan en una lista desplegable. En este paso, se identificarán las listas desplegables configuradas en el inquilino SuccessFactors para almacenar los valores de número de teléfono y correo electrónico.

1. En el centro de administración de SuccessFactors, busque Manage business configuration (Administrar configuración empresarial).

   

2. En HRIS Elements (Elementos de HRIS), seleccione emailInfo y haga clic en Details (Detalles) en el campo email-type.

   

3. En la página de detalles de email-type, anote el nombre de la lista desplegable asociada a este campo. De forma predeterminada, es ecEmailType. Sin embargo, puede ser diferente en su inquilino.

   

4. En HRIS Elements (Elementos de HRIS), seleccione phoneInfo y haga clic en Details (Detalles) en el campo phone-type.

   

5. En la página de detalles de phone-type, anote el nombre de la lista desplegable asociada a este campo. De forma predeterminada, es ecPhoneType. Sin embargo, puede ser diferente en su inquilino.

   

Recuperación del valor constante para emailType

1. En el centro de administración de SuccessFactors, busque y abra Picklist Center (Centro de listas desplegables).

2. Use el nombre de la lista desplegable de correos electrónicos capturado en la sección anterior (por ejemplo, ecEmailType) para buscar la lista desplegable.

   

3. Abra la lista desplegable de correos electrónicos activa.

   

4. En la página de la lista desplegable de tipos de correo electrónico, seleccione el tipo de correo electrónico Business (Empresa).

   

5. Anote el valor de Option ID (Id. de opción) asociado al correo electrónico Business (Empresa). Este es el código que se va a usar con emailType en la tabla de asignación de atributos.

   

   Nota:

   Quite el carácter de coma al copiar el valor. Por ejemplo, si el valor de Id. de opción es 8,448, establezca emailType en Microsoft Entra ID en la constante 8448 (sin la coma).

Recuperación del valor constante para phoneType

1. En el centro de administración de SuccessFactors, busque y abra Picklist Center (Centro de listas desplegables).

2. Use el nombre de la lista desplegable de teléfonos capturada en la sección anterior para encontrar la lista desplegable de teléfonos.

   

3. Abra la lista desplegable de teléfonos activa.

   

4. En la página de la lista desplegable de tipos de teléfono, revise los distintos tipos de teléfono que aparecen en Picklist Values (Valores de lista desplegable).

   

5. Anote el valor de Option ID (Id. de opción) asociado al teléfono Business (Empresa). Este es el código que se va a usar con businessPhoneType en la tabla de asignación de atributos.

   

6. Anote el valor de Option ID (Id. de opción) asociado al teléfono Cell (Móvil). Este es el código que se va a usar con cellPhoneType en la tabla de asignación de atributos.

   

   Nota:

   Quite el carácter de coma al copiar el valor. Por ejemplo, si el valor de Id. de opción es 10,606, establezca cellPhoneType en Microsoft Entra ID en la constante 10606 (sin la coma).

Configuración de la aplicación de escritura diferida de SuccessFactors

En esta sección se proporcionan los pasos necesarios para realizar las siguientes actividades:

• Incorporación de la aplicación del conector de aprovisionamiento y configuración de la conectividad con SuccessFactors
• Configuración de las asignaciones de atributos
• Habilitar e iniciar el aprovisionamiento de usuarios

Parte 1: Incorporación de la aplicación del conector de aprovisionamiento y configuración de la conectividad con SuccessFactors

Para configurar SuccessFactors Writeback:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.

3. Busque SuccessFactors Writeback y agregue esa aplicación desde la galería.

4. Una vez que se haya agregado la aplicación y se muestre la pantalla de detalles de la aplicación, seleccione Aprovisionamiento.

5. Cambie el Modo deaprovisionamiento a Automático.

6. Cumplimente la sección Credenciales de administrador del siguiente modo:

   • Nombre de usuario de administrador: escriba el nombre de usuario de la cuenta de usuario de SuccessFactors API, con el identificador de empresa anexado. El formato es: nombreDeUsuario@idDeEmpresa

   • Contraseña de administrador: escriba la contraseña de la cuenta de usuario de SuccessFactors API.

   • URL de inquilino: escriba el nombre del punto de conexión de servicios de la API OData de SuccessFactors. Especifique solo el nombre de host del servidor sin http o https. Este valor debería ser similar al siguiente: api4.successfactors.com.

   • Correo electrónico de notificación: escriba su dirección de correo electrónico y marque la casilla "Send email if failure occurs" (Enviar una notificación por correo electrónico cuando se produzca un error).

   Nota:

   El servicio de aprovisionamiento de Microsoft Entra envía la notificación por correo electrónico si el trabajo de aprovisionamiento entra en un estado decuarentena.

   • Haga clic en el botón Probar conexión. Si la prueba de conexión se lleva a cabo correctamente, haga clic en el botón Guardar situado en la parte superior. Si se produce un error, compruebe que las credenciales y la dirección URL de SuccessFactors son válidas.

   

   • Una vez que las credenciales se guardan correctamente, en la sección Asignaciones se mostrará la asignación predeterminada. Actualice la página si las asignaciones de atributos no son visibles.

Parte 2: configuración de las asignaciones de atributos

En esta sección, configurará cómo fluyen los datos de los usuarios de SuccessFactors a Active Directory.

1. En la pestaña Aprovisionamiento, en Asignaciones, haga clic en Aprovisionar usuarios de Microsoft Entra.

2. En el campo Ámbito de objeto de origen puede seleccionar los conjuntos de usuarios de Microsoft Entra ID que deben tenerse en cuenta para la escritura diferida; para ello debe definir un conjunto de filtros basados en atributos. El ámbito predeterminado es "todos los usuarios en Microsoft Entra ID".

   Sugerencia

   Al configurar la aplicación de aprovisionamiento por primera vez, deberá probar y verificar las expresiones y asignaciones de atributos para asegurarse de que ofrece el resultado deseado. Microsoft recomienda usar los filtros de ámbito de Ámbito de objeto de origen para probar las asignaciones con algunos usuarios de prueba de Microsoft Entra ID. Una vez haya verificado que las asignaciones funcionan, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

3. El campo Acciones del objeto de destino solo admite la operación Actualizar.

4. En la tabla de asignación en la sección Asignaciones de atributos, puede asignar los siguientes atributos de Microsoft Entra a SuccessFactors. En la tabla siguiente se proporcionan instrucciones sobre cómo asignar los atributos de escritura diferida.

   #	Atributo de Microsoft Entra	Atributo de SuccessFactors	Observaciones
   1	employeeId	personIdExternal	De manera predeterminada, este atributo es el identificador correspondiente. En lugar de employeeId, puede usar cualquier otro atributo de Microsoft Entra que pueda almacenar el valor igual a personIdExternal en SuccessFactors.
   2	mail	email	Asigne el origen de atributo de correo electrónico. Con fines de prueba, puede asignar userPrincipalName al correo electrónico.
   3	8448	emailType	Este valor constante es el valor de identificador de SuccessFactors asociado con el correo electrónico empresarial. Actualice este valor para que coincida con el entorno de SuccessFactors. Vea la sección Recuperación del valor constante para emailType para conocer los pasos para establecer este valor.
   4	true	emailIsPrimary	Use este atributo para establecer el correo electrónico empresarial como principal en SuccessFactors. Si correo electrónico empresarial no es el principal, establezca esta marca en false.
   5	userPrincipalName	[custom01 – custom15]	Si usa Agregar nueva asignación, puede escribir userPrincipalName o cualquier atributo de Microsoft Entra en un atributo personalizado disponible en el objeto de usuario de SuccessFactors.
   6	On Prem SamAccountName	username	Con Agregar nueva asignación, puede asignar de forma opcional samAccountName local en el atributo de nombre de usuario de SuccessFactors. Use Microsoft Entra Connect Sync: extensiones de directorio para sincronizar samAccountName con Microsoft Entra ID. Aparecerá en el menú desplegable de origen como extension_yourTenantGUID_samAccountName
   7	SSO	loginMethod	Si el inquilino de SuccessFactors se configura para SSO parcial y, después, usa Agregar nueva asignación, puede establecer loginMethod en un valor constante de "SSO" o "PWD".
   8	telephoneNumber	businessPhoneNumber	Use esta asignación para realizar el flujo de telephoneNumber de Microsoft Entra ID a número de teléfono del trabajo o de la empresa de SuccessFactors.
   9	10605	businessPhoneType	Este valor constante es el valor de identificador de SuccessFactors asociado con el teléfono del trabajo. Actualice este valor para que coincida con el entorno de SuccessFactors. Vea la sección Recuperación del valor constante para phoneType para conocer los pasos para establecer este valor.
   10	true	businessPhoneIsPrimary	Use este atributo para establecer la marca principal para el número de teléfono del trabajo. Los valores válidos son "true" y "false".
   11	mobile	cellPhoneNumber	Use esta asignación para realizar el flujo de telephoneNumber de Microsoft Entra ID a número de teléfono del trabajo o de la empresa de SuccessFactors.
   12	10606	cellPhoneType	Este valor constante es el valor de identificador de SuccessFactors asociado con el teléfono móvil. Actualice este valor para que coincida con el entorno de SuccessFactors. Vea la sección Recuperación del valor constante para phoneType para conocer los pasos para establecer este valor.
   13	false	cellPhoneIsPrimary	Use este atributo para establecer la marca principal para el número de teléfono móvil. Los valores válidos son "true" y "false".
   14	[extensionAttribute1-15]	userId	Use esta asignación para asegurarse de que el registro activo de SuccessFactors se actualiza cuando hay varios registros de empleos para el mismo usuario. Para más información, consulte Habilitación de la escritura diferida con UserID.

5. Valide y revise las asignaciones de atributos.

   

6. Haga clic en Guardar para guardar las asignaciones. A continuación, actualizaremos las expresiones de API de ruta de acceso JSON para usar los códigos de phoneType en la instancia de SuccessFactors.

7. Seleccione Mostrar opciones avanzadas.

   

8. Haga clic en Editar lista de atributos para SuccessFactors.

   Nota:

   Si la opción Editar lista de atributos para SuccessFactors no se muestra en Azure Portal, use la dirección URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true para acceder a la página.

9. La columna Expresión de API de esta vista muestra las expresiones de ruta de acceso JSON que usa el conector.

10. Actualice las expresiones de ruta de acceso JSON para el teléfono del trabajo y el teléfono móvil para usar el valor de identificador (businessPhoneType y cellPhoneType) correspondiente a su entorno.

    

11. Haga clic en Guardar para guardar las asignaciones.

Habilitar e iniciar el aprovisionamiento de usuarios

Una vez completadas las configuraciones de la aplicación de aprovisionamiento de SuccessFactors, puede activar el servicio de aprovisionamiento.

Sugerencia

De forma predeterminada, al activar el servicio de aprovisionamiento, se iniciarán las operaciones de aprovisionamiento para todos los usuarios del ámbito. Si hay errores en la asignación o problemas con los datos, puede que se produzcan errores con el trabajo de aprovisionamiento y que entre en estado de cuarentena. Para evitar esto, como procedimiento recomendado, es conveniente configurar el filtro Ámbito de objeto de origen y probar las asignaciones de atributos con algunos usuarios de prueba antes de iniciar la sincronización completa de todos los usuarios. Una vez haya verificado que las asignaciones funcionan y que obtiene los resultados deseados, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

1. En la pestaña Aprovisionamiento, establezca Estado de aprovisionamiento en Activado.

2. Seleccione Ámbito. Puede seleccionar una de las siguientes opciones:

   • Sincronizar todos los usuarios y grupos: seleccione esta opción si tiene previsto reescribir atributos asignados de todos los usuarios de Microsoft Entra ID a SuccessFactors, de acuerdo con las reglas de ámbito definidas en Asignaciones ->Ámbito de objeto de origen.
   • Sincronizar solo los usuarios y grupos asignados: seleccione esta opción si tiene previsto reescribir los atributos asignados solo de los usuarios que ha asignado a esta aplicación en la opción de menú Aplicación ->Administrar ->Usuarios y grupos. Estos usuarios también están sujetos a las reglas de ámbito definidas en Asignaciones ->Ámbito de objeto de origen.

   

   Nota

   Las aplicaciones de aprovisionamiento de escritura diferida de SuccessFactors creadas después del 12 de octubre de 2022 admiten la característica "asignación de grupo". Si creó la aplicación antes del 12 de octubre de 2022, solo tendrá compatibilidad con la "asignación de usuarios". Para usar la característica "asignación de grupo", cree una nueva instancia de la aplicación de escritura diferida SuccessFactors y mueva las configuraciones de asignación existentes a esta aplicación.

3. Haga clic en Save(Guardar).

4. Esta operación dará comienzo a la sincronización inicial, que puede tardar una cantidad de horas variable, según el número de usuarios que haya en el inquilino de Microsoft Entra y el ámbito definido para la operación. Puede consultar en la barra de progreso el seguimiento del progreso del ciclo de sincronización.

5. En cualquier momento, compruebe la pestaña Registros de aprovisionamiento en Azure Portal para ver las acciones que ha realizado el servicio de aprovisionamiento. En los registros de aprovisionamiento se enumeran todos los eventos de sincronización individuales que realiza el servicio de aprovisionamiento.

6. Una vez completada la sincronización inicial, se escribe un informe resumido de auditoría en la pestaña Aprovisionamiento, tal y como se muestra a continuación.

   

Pasos siguientes

• Sumérjase en Referencia de la integración de Microsoft Entra ID y SAP SuccessFactors
• Aprenda a revisar los registros y a obtener informes sobre la actividad de aprovisionamiento
• Obtenga más información sobre cómo configurar el inicio de sesión único entre SuccessFactors y Microsoft Entra ID
• Aprenda a integrar otras aplicaciones SaaS con Microsoft Entra ID
• Aprenda a exportar e importar las configuraciones de aprovisionamiento