Tutoriel : Configurer le provisionnement des utilisateurs SAP SuccessFactors dans Microsoft Entra

L’objectif de ce tutoriel est de présenter les étapes à suivre pour provisionner les données des employés de SuccessFactors Employee Central dans Microsoft Entra ID, avec réécriture facultative de l’adresse e-mail dans SuccessFactors.

Remarque

Utilisez ce tutoriel si les utilisateurs que vous souhaitez provisionner à partir de SuccessFactors sont des utilisateurs cloud uniquement qui n’ont pas besoin de compte AD local. Si les utilisateurs ont besoin seulement d’un compte AD local ou à la fois d’un compte AD et d’un compte Microsoft Entra, consultez le tutoriel sur la configuration du provisionnement des utilisateurs SAP SuccessFactors dans Active Directory.

La vidéo suivante fournit une vue d’ensemble rapide des étapes impliquées dans la planification de votre intégration de provisionnement avec SAP SuccessFactors.

Vue d’ensemble

Le service de provisionnement des utilisateurs Microsoft Entra s'intègre à SuccessFactors Employee Central afin de gérer le cycle de vie de l'identité des utilisateurs.

Les workflows de provisionnement des utilisateurs SuccessFactors pris en charge par le service de provisionnement des utilisateurs Microsoft Entra permettent d’automatiser les scénarios suivants de gestion du cycle de vie des ressources humaines et des identités :

• Embaucher de nouveaux employés : quand un nouvel employé est ajouté à SuccessFactors, un compte d’utilisateur est automatiquement créé dans Microsoft Entra ID, et éventuellement Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID, avec réécriture de l’adresse e-mail dans SuccessFactors.

• Mises à jour du profil et des attributs des employés : quand le dossier d’un employé est mis à jour dans SuccessFactors (par exemple, son nom, son poste ou son responsable), son compte d’utilisateur est mis à jour automatiquement dans Microsoft Entra ID, et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

• Résiliations de contrats d’employés : quand le contrat d’un employé est résilié dans SuccessFactors, son compte d’utilisateur est désactivé automatiquement dans Microsoft Entra ID, et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

• Employés réembauchés : quand un employé est réembauché dans SuccessFactors, son ancien compte peut être automatiquement réactivé ou reprovisionné (selon ce que vous préférez) dans Microsoft Entra ID, et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

À qui cette solution d’attribution d’utilisateurs convient-elle le mieux ?

Cette solution de provisionnement des utilisateurs SuccessFactors dans Microsoft Entra est idéale pour :

• Les organisations qui souhaitent une solution cloud prédéfinie pour le provisionnement d’utilisateurs SuccessFactors.

• Les organisations qui ont besoin d’un provisionnement direct des utilisateurs de SuccessFactors dans Microsoft Entra ID

• Les organisations qui imposent le provisionnement d’utilisateurs avec des données provenant de SuccessFactors Employee Central (EC).

• Organisations utilisant Microsoft 365 pour la messagerie

Architecture de la solution

Cette section décrit l’architecture de la solution de provisionnement d’utilisateurs de bout en bout pour les utilisateurs du cloud uniquement. Il existe deux flux connexes :

• Flux de données RH faisant autorité – à partir de SuccessFactors vers Microsoft Entra ID : dans ce flux, les événements des employés (comme les nouvelles embauches, les transferts, les fins de contrat) se produisent d’abord dans le cloud SuccessFactors Employee Central, puis les données d’événement vont dans Microsoft Entra ID. Selon l’événement, cela peut entraîner des opérations de création/mise à jour/activation/désactivation dans Microsoft Entra ID.

• Flux de réécriture des e-mails : à partir de Microsoft Entra ID vers SuccessFactors : une fois la création du compte terminée dans Microsoft Entra ID, la valeur de l’attribut email ou l’UPN générés dans Microsoft Entra ID peuvent être réécrits dans SuccessFactors.

  

Flux de données utilisateur de bout en bout

1. L’équipe RH effectue des transactions sur les employés (entrants/changements de poste/sortants ou recrutements/transferts/arrêts) dans SuccessFactors Employee Central
2. Le service de provisionnement Microsoft Entra exécute des synchronisations planifiées des identités à partir de SuccessFactors EC et identifie les changements à traiter pour la synchronisation dans Microsoft Entra ID.
3. Le service de provisionnement Microsoft Entra détermine le changement et appelle l’opération de création/mise à jour/activation/désactivation pour l’utilisateur dans Microsoft Entra ID.
4. Si l’application SuccessFactors Writeback est configurée, l’adresse e-mail de l’utilisateur est récupérée à partir de Microsoft Entra ID.
5. Le service de provisionnement Microsoft Entra réécrit l’attribut email dans SuccessFactors, en fonction de l’attribut correspondant utilisé.

Planification de votre déploiement

La configuration du provisionnement d’utilisateurs piloté par Cloud RH à partir de SuccessFactors dans Microsoft Entra ID nécessite une planification minutieuse couvrant différents aspects comme :

• Détermination de l’ID correspondant
• Mappage d’attributs
• Transformation d’attributs
• Filtres d’étendue

Pour obtenir des instructions complètes sur ces sujets, consultez le plan de déploiement cloud des RH. Reportez-vous à la référence sur l’intégration de SAP SuccessFactors pour en savoir plus sur les entités prises en charge, sur le traitement des détails et sur la personnalisation de l’intégration pour différents scénarios de ressources humaines.

Configuration de SuccessFactors pour l’intégration

L’une des exigences communes de tous les connecteurs de provisionnement SuccessFactors est qu’ils nécessitent les informations d’identification d’un compte SuccessFactors avec les autorisations appropriées pour appeler les API OData SuccessFactors. Cette section décrit les étapes permettant de créer le compte de service dans SuccessFactors et d’accorder les autorisations appropriées.

• Créer/identifier un compte d’utilisateur d’API dans SuccessFactors
• Créer un rôle d’autorisations d’API
• Créer un groupe d’autorisations pour l’utilisateur des API
• Accorder le rôle d’autorisation au groupe d’autorisations

Créer/identifier un compte d’utilisateur d’API dans SuccessFactors

Collaborez avec votre équipe d’administration SuccessFactors ou votre partenaire d’implémentation pour créer ou identifier un compte d’utilisateur dans SuccessFactors qui sera utilisé pour appeler les API OData. Les informations d’identification du nom d’utilisateur et du mot de passe de ce compte seront requises lors de la configuration des applications de provisionnement dans Microsoft Entra ID.

Créer un rôle d’autorisations d’API

1. Connectez-vous à SAP SuccessFactors avec un compte d’utilisateur qui a accès au centre d’administration.

2. Recherchez Manage Permission Roles (Gérer les rôles d’autorisations), puis sélectionnez Manage Permission Roles dans les résultats de la recherche.

3. Dans la liste Permission Role (Rôle d’autorisation), cliquez sur Create New (Créer).

   

4. Ajoutez un nom de rôle et une description pour le nouveau rôle d’autorisation. Le nom et la description doivent indiquer que le rôle est destiné aux autorisations d’utilisation des API.

   

5. Sous Permission settings (Paramètres d’autorisation), cliquez sur Permission... , faites défiler la liste des autorisations, puis cliquez sur Manage Integration Tools (Gérer les outils d’intégration). Cochez la case Allow Admin to Access to OData API through Basic Authentication (Autoriser l’administrateur à accéder à l’API OData via l’authentification de base).

   

6. Faites défiler la liste dans la même zone et sélectionnez Employee Central API. Ajoutez des autorisations comme indiqué ci-dessous pour lire à l’aide de l’API ODATA et modifier à l’aide de l’API ODATA. Sélectionnez l’option de modification si vous envisagez d’utiliser le même compte pour le scénario de réécriture vers SuccessFactors.

   

7. Dans la même zone d’autorisations, accédez à User Permissions (Autorisations utilisateur) -> Employee Data (Données des employés) et passez en revue les attributs que le compte de service peut lire à partir du locataire SuccessFactors. Par exemple, pour récupérer l’attribut Username à partir de SuccessFactors, vérifiez que l’autorisation « Affichage » est accordée pour cet attribut. Examinez de la même façon chaque attribut pour vérifier si l’autorisation Affichage est accordée.

   

   Notes

   Pour obtenir la liste complète des attributs récupérés par cette application de provisionnement, consultez Référence des attributs SuccessFactors

8. Cliquez sur Done (Terminé). Cliquez sur Enregistrer les modifications.

Créer un groupe d’autorisations pour l’utilisateur des API

1. Dans le centre d’administration SuccessFactors, recherchez Manage Permission Groups (Gérer les groupes d’autorisations), puis sélectionnez Manage Permission Groups dans les résultats de la recherche.

   

2. Dans la fenêtre Manage Permission Groups, cliquez sur Create New.

   

3. Ajoutez un nom pour le nouveau groupe. Ce nom doit indiquer que le groupe est destiné aux utilisateurs des API.

   

4. Ajoutez des membres au groupe. Par exemple, vous pouvez sélectionner Username dans le menu déroulant People Pool, puis entrer le nom d’utilisateur du compte d’API qui sera utilisé pour l’intégration.

   

5. Cliquez sur Done pour terminer la création du groupe d’autorisations.

Accorder le rôle d’autorisation au groupe d’autorisations

1. Dans le centre d’administration SuccessFactors, recherchez Manage Permission Roles, puis sélectionnez Manage Permission Roles dans les résultats de la recherche.
2. Dans la liste Permission Role List (Liste des rôles d’autorisations), sélectionnez le rôle que vous avez créé pour les autorisations d’utilisation des API.
3. Sous Grant this role to... (Attribuer ce rôle à), cliquez sur le bouton Add... (Ajouter).
4. Sélectionnez Permission Group... (Groupe d’autorisations) dans le menu déroulant, puis cliquez sur Select... (Sélectionner) pour ouvrir la fenêtre Groups afin de rechercher et sélectionner le groupe créé ci-dessus.

   

5. Passez en revue l’octroi de rôle d’autorisation au groupe d’autorisations.

   

6. Cliquez sur Enregistrer les modifications.

Configuration du provisionnement des utilisateurs SuccessFactors dans Microsoft Entra ID

Cette section décrit les étapes du provisionnement de comptes d’utilisateur SuccessFactors dans Microsoft Entra ID.

• Ajouter l’application du connecteur de provisionnement et configurer la connectivité à SuccessFactors.
• Configurer les mappages d'attributs
• Activer et lancer l'approvisionnement des utilisateurs

Première partie : Ajouter l’application du connecteur de provisionnement et configurer la connectivité à SuccessFactors

Pour configurer SuccessFactors pour le provisionnement Microsoft Entra :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

3. Recherchez Approvisionnement des utilisateurs SuccessFactors vers Microsoft Entra et ajoutez cette application à partir de la galerie.

4. Une fois l’application ajoutée et l’écran de détails de l’application affiché, sélectionnez Approvisionnement

5. Définissez Moded’approvisionnement sur Automatique

6. Fermez la section Informations d’identification de l’administrateur, comme suit :

   • Nom de l’utilisateur administrateur : entrez le nom d’utilisateur du compte d’utilisateur de l’API SuccessFactors, accompagné de l’ID d’entreprise. Il a le format suivant : username@companyID

   • Mot de passe d’administrateur : entrez le mot de passe du compte d’utilisateur de l’API SuccessFactors.

   • URL du locataire : entrez le nom du point de terminaison des services de l’API OData SuccessFactors. Entrez uniquement le nom d’hôte du serveur, sans http ou https. Cette valeur doit ressembler à ceci : nom_serveur_API.successfactors.com.

   • E-mail de notification : entrez votre adresse e-mail et activez la case à cocher « Envoyer un e-mail en cas de défaillance ».

   Remarque

   Le service de provisionnement Microsoft Entra envoie une notification par courrier électronique si la tâche de provisionnement passe en quarantaine.

   • Cliquez sur le bouton Tester la connexion. Si le test de connexion réussit, cliquez sur le bouton Enregistrer en haut. En cas d’échec, vérifiez que les informations d’identification et l’URL SuccessFactors sont valides.

   

   • Une fois les informations d’identification enregistrées, la section Mappages affiche le mappage par défaut Synchroniser les utilisateurs SuccessFactors dans Microsoft Entra ID

Deuxième partie : Configuration des mappages d’attributs

Dans cette section, vous allez configurer le flux des données utilisateur de SuccessFactors vers Microsoft Entra ID.

1. Sous l’onglet Provisionnement, sous Mappages, cliquez sur Synchroniser les utilisateurs SuccessFactors dans Microsoft Entra ID.

2. Dans le champ Étendue de l’objet source, vous pouvez sélectionner les ensembles d’utilisateurs de SuccessFactors qui doivent être dans l’étendue de provisionnement dans Microsoft Entra ID, en définissant des filtres basés sur les attributs. L’étendue par défaut est « tous les utilisateurs de SuccessFactors ». Exemples de filtres :

   • Exemple : Étendue pour les utilisateurs avec un personIdExternal compris entre 1000000 et 2000000 (2000000 exclus)

     • Attribut : personIdExternal

     • Opérateur : REGEX Match

     • Valeur : (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exemple : Uniquement les employés et non les employés occasionnels

     • Attribut : EmployeeID

     • Opérateur : IS NOT NULL

   Conseil

   Lors de la configuration initiale de l'application d'approvisionnement, vous devez tester et vérifier vos mappages d'attributs et expressions pour être sûr d'obtenir le résultat souhaité. Microsoft vous recommande d’utiliser les filtres d’étendue disponibles sous Portée de l’objet source pour tester vos mappages dans SuccessFactors avec quelques utilisateurs test. Après avoir vérifié que les mappages fonctionnent, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.

   Attention

   Par défaut, le moteur de provisionnement désactive/supprime les utilisateurs qui sortent de l’étendue. Ce n’est peut-être pas ce que vous voulez dans votre intégration de SuccessFactors à Microsoft Entra. Pour remplacer ce comportement par défaut, consultez l’article Ignorer la suppression des comptes d’utilisateurs qui sortent de l’étendue.

3. Dans le champ Actions de l'objet cible, vous pouvez filtrer globalement les actions exécutées dans Microsoft Entra ID. Les actions Créer et Mettre à jour sont les plus courantes.

4. Dans la section Mappages d’attributs, vous pouvez définir la manière dont les différents attributs SuccessFactors sont mappés aux attributs Microsoft Entra.

   Remarque

   Pour obtenir la liste complète des attributs SuccessFactors pris en charge par l’application, consultez la Référence des attributs SuccessFactors.

5. Cliquez sur un mappage d’attributs existants à mettre à jour ou cliquez sur Ajouter un nouveau mappage en bas de l’écran pour ajouter de nouveaux mappages. Un mappage d’attribut individuel prend en charge les propriétés suivantes :

   • Type de mappage

     • Direct : inscrit la valeur de l’attribut SuccessFactors dans l’attribut Microsoft Entra, sans aucune modification

     • Constante : Écrire une valeur de chaîne constante et statique dans l'attribut Microsoft Entra

     • Expression : vous permet d’écrire une valeur personnalisée dans l’attribut Microsoft Entra, basée sur un ou plusieurs attributs SuccessFactors. Pour plus d’informations, consultez l’article sur les expressions.

   • Attribut source : l’attribut utilisateur dans SuccessFactors.

   • Valeur par défaut : facultatif. Si l’attribut source a une valeur vide, le mappage écrit cette valeur à la place. La configuration la plus courante consiste à laisser ce champ vide.

   • Attribut cible : l’attribut utilisateur dans Microsoft Entra ID.

   • Faire correspondre des objets à l’aide de cet attribut : indique ci ce mappage est utilisé ou pas pour identifier les utilisateurs de manière unique entre SuccessFactors et Microsoft Entra ID. Cette valeur est communément définie dans le champ ID Worker de SuccessFactors qui est généralement mappé avec l’un des attributs ID d’employé de Microsoft Entra ID.

   • Priorité des correspondances : plusieurs attributs de correspondance peuvent être définis. S’il en existe plusieurs, ils sont évalués dans l’ordre défini par ce champ. Dès qu’une correspondance est trouvée, aucun autre attribut correspondant n’est évalué.

   • Appliquer ce mappage

     • Toujours : applique ce mappage à la création de l’utilisateur et des actions de mise à jour.

     • Lors de la création uniquement : applique ce mappage uniquement aux actions de création d’utilisateur.

6. Pour enregistrer vos mappages, cliquez sur Enregistrer en haut de la section Mappage d’attributs.

Une fois vos mappages d'attributs configurés, vous pouvez activer et lancer le service d'approvisionnement d'utilisateurs.

Activer et lancer l'approvisionnement des utilisateurs

Une fois les configurations d’application d’approvisionnement SuccessFactors effectuées, vous pouvez activer le service d’approvisionnement.

Conseil

Par défaut, lorsque vous activez le service d'approvisionnement, il lance les opérations d'approvisionnement pour tous les utilisateurs concernés. En cas d’erreur de mappage ou de problème lié aux données SuccessFactors, le travail de provisionnement peut échouer et être mis en quarantaine. Pour éviter ce genre de problème, nous vous recommandons de configurer le filtre Portée de l’objet source et de tester vos mappages d’attributs sur quelques utilisateurs test avant de lancer la synchronisation complète de tous les utilisateurs. Après avoir vérifié que les mappages fonctionnent et qu'ils vous donnent les résultats souhaités, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.

1. Dans l’onglet Approvisionnement, définissez État d’approvisionnement sur Activé.

2. Cliquez sur Enregistrer.

3. Cette opération permet de lancer la synchronisation initiale, dont la durée dépendra du nombre d’utilisateurs du locataire SuccessFactors. Vous pouvez consulter la barre de progression pour suivre la progression du cycle de synchronisation.

4. À tout moment, consultez l’onglet Journaux d’audit dans le portail Azure pour connaître les actions effectuées par le service d’approvisionnement. Les journaux d’audit listent tous les événements de synchronisation individuels effectués par le service d’approvisionnement, tels que les utilisateurs lus dans SuccessFactors et par la suite ajoutés ou mis à jour dans Microsoft Entra ID.

5. Au terme de la synchronisation initiale, un rapport de synthèse d'audit est créé dans l'onglet Approvisionnement, comme illustré ci-dessous.

   

Étapes suivantes

• En savoir plus sur les attributs SuccessFactors pris en charge pour le provisionnement entrant
• Découvrez comment configurer la réécriture d’e-mail vers SuccessFactors
• Découvrez comment consulter les journaux d’activité et obtenir des rapports sur l’activité d’approvisionnement
• Découvrez comment configurer l'authentification unique entre SuccessFactors et Microsoft Entra ID
• Découvrez comment intégrer d'autres applications SaaS avec Microsoft Entra ID
• Découvrez comment exporter et importer vos configurations de provisionnement