Tutoriel : Configurer l’écriture différée des attributs de Microsoft Entra ID sur SAP SuccessFactors

  • Article

L’objectif de ce tutoriel est d’illustrer les étapes de l’écriture différée des attributs de Microsoft Entra ID sur SAP SuccessFactors Employee Central.

Vue d’ensemble

Vous pouvez configurer l’application SAP SuccessFactors Writeback pour écrire des attributs spécifiques vers SAP SuccessFactors Employee Central à partir de Microsoft Entra ID. L’application d’approvisionnement SuccessFactors Writeback permet d’attribuer des valeurs aux attributs Employee Central suivants :

  • Adresse e-mail professionnelle
  • Nom d’utilisateur
  • Numéro de téléphone professionnel (y compris l’indicatif du pays, l’indicatif régional, le numéro et le poste)
  • Indicateur principal du numéro de téléphone professionnel
  • Numéro de téléphone portable (y compris l’indicatif du pays, l’indicatif régional et le numéro)
  • Indicateur principal du numéro de téléphone portable
  • Attributs utilisateur custom01-custom15
  • Attribut loginMethod

Notes

Cette application n’a aucune dépendance vis-à-vis des applications d’intégration d’approvisionnement des utilisateurs entrants de SuccessFactors. Vous pouvez la configurer indépendamment de l’application de provisionnement SuccessFactors vers AD local ou SuccessFactors vers Microsoft Entra ID.

Reportez-vous à la section des scénarios d’écriture différée du guide de référence d’intégration SAP SuccessFactors pour plus d’informations sur les scénarios pris en charge, les problèmes connus et les limites.

À qui cette solution d’attribution d’utilisateurs convient-elle le mieux ?

Cette solution de provisionnement d’utilisateurs SuccessFactors Writeback est idéale pour :

  • Les organisations qui utilisent Microsoft 365 et qui souhaitent écrire en différé vers SuccessFactors Employee Central des attributs faisant autorité gérés par le service informatique (par exemple, l’adresse e-mail, le numéro de téléphone ou le nom d’utilisateur).

Configuration de SuccessFactors pour l’intégration

Tous les connecteurs d’approvisionnement SuccessFactors nécessitent les informations d’identification d’un compte SuccessFactors avec les autorisations appropriées pour appeler les API OData Employee Central. Cette section décrit les étapes permettant de créer le compte de service dans SuccessFactors et d’accorder les autorisations appropriées.

Créer/identifier un compte d’utilisateur d’API dans SuccessFactors

Collaborez avec votre équipe d’administration SuccessFactors ou votre partenaire d’implémentation pour créer ou identifier un compte d’utilisateur dans SuccessFactors qui sera utilisé pour appeler les API OData. Les informations d’identification du nom d’utilisateur et du mot de passe de ce compte seront requises lors de la configuration des applications de provisionnement dans Microsoft Entra ID.

Créer un rôle d’autorisations d’API

  1. Connectez-vous à SAP SuccessFactors avec un compte d’utilisateur qui a accès au centre d’administration.

  2. Recherchez Manage Permission Roles (Gérer les rôles d’autorisations), puis sélectionnez Manage Permission Roles dans les résultats de la recherche.

    Gérer les rôles d’autorisations

  3. Dans la liste Permission Role (Rôle d’autorisation), cliquez sur Create New (Créer).

    Créer un rôle d’autorisation

  4. Ajoutez un nom de rôle et une description pour le nouveau rôle d’autorisation. Le nom et la description doivent indiquer que le rôle est destiné aux autorisations d’utilisation des API.

    Détail du rôle d’autorisation

  5. Sous Permission settings (Paramètres d’autorisation), cliquez sur Permission... , faites défiler la liste des autorisations, puis cliquez sur Manage Integration Tools (Gérer les outils d’intégration). Cochez la case Allow Admin to Access to OData API through Basic Authentication (Autoriser l’administrateur à accéder à l’API OData via l’authentification de base).

    Gérer les outils d’intégration

  6. Faites défiler la liste dans la même zone et sélectionnez Employee Central API. Ajoutez des autorisations comme indiqué ci-dessous pour lire à l’aide de l’API ODATA et modifier à l’aide de l’API ODATA. Sélectionnez l’option de modification si vous envisagez d’utiliser le même compte pour le scénario d’écriture différée vers SuccessFactors.

    Autorisations de lecture-écriture

  7. Cliquez sur Done (Terminé). Cliquez sur Enregistrer les modifications.

Créer un groupe d’autorisations pour l’utilisateur des API

  1. Dans le centre d’administration SuccessFactors, recherchez Manage Permission Groups (Gérer les groupes d’autorisations), puis sélectionnez Manage Permission Groups dans les résultats de la recherche.

    Gérer les groupes d’autorisations

  2. Dans la fenêtre Manage Permission Groups, cliquez sur Create New.

    Ajouter un nouveau groupe

  3. Ajoutez un nom pour le nouveau groupe. Ce nom doit indiquer que le groupe est destiné aux utilisateurs des API.

    Nom du groupe d’autorisations

  4. Ajoutez des membres au groupe. Par exemple, vous pouvez sélectionner Username dans le menu déroulant People Pool, puis entrer le nom d’utilisateur du compte d’API qui sera utilisé pour l’intégration.

    Ajouter des membres à un groupe

  5. Cliquez sur Done pour terminer la création du groupe d’autorisations.

Accorder le rôle d’autorisation au groupe d’autorisations

  1. Dans le centre d’administration SuccessFactors, recherchez Manage Permission Roles, puis sélectionnez Manage Permission Roles dans les résultats de la recherche.

  2. Dans la liste Permission Role List (Liste des rôles d’autorisations), sélectionnez le rôle que vous avez créé pour les autorisations d’utilisation des API.

  3. Sous Grant this role to... (Attribuer ce rôle à), cliquez sur le Bouton Add... (Ajouter).

  4. Sélectionnez Permission Group... (Groupe d’autorisations) dans le menu déroulant, puis cliquez sur Select... (Sélectionner) pour ouvrir la fenêtre Groups afin de rechercher et sélectionner le groupe créé ci-dessus.

    Ajouter un groupe d’autorisations

  5. Passez en revue l’octroi de rôle d’autorisation au groupe d’autorisations.

    Détails du rôle et du groupe d’autorisations

  6. Cliquez sur Enregistrer les modifications.

Préparation de SuccessFactors Writeback

L’application d’approvisionnement SuccessFactors Writeback utilise certaines valeurs de code pour définir les adresses email et les numéros de téléphone dans Employee Central. Ces valeurs de code sont définies comme des valeurs constantes dans la table de mappage d’attributs et sont différentes pour chaque instance SuccessFactors. Cette section décrit les étapes à suivre pour capturer ces valeurs de code.

Notes

Veuillez impliquer votre administrateur SuccessFactors pour effectuer les étapes décrites dans cette section.

Identifier les noms de liste déroulante d’adresses e-mail et de numéros de téléphone

Dans SAP SuccessFactors, une liste déroulante est un ensemble configurable d’options parmi lesquelles un utilisateur peut effectuer une sélection. Les différents types d’adresse e-mail et de numéro de téléphone (par exemple, professionnel, personnel, autre) sont représentés à l’aide d’une liste déroulante. Dans cette étape, nous allons identifier les listes déroulantes configurées dans votre locataire SuccessFactors pour stocker les valeurs d’adresse e-mail et de numéro de téléphone.

  1. Dans le centre d’administration SuccessFactors, recherchez Gérer la configuration d’entreprise.

    Gérer la configuration d’entreprise

  2. Sous Éléments HRIS, sélectionnez emailInfo, puis cliquez sur Détails pour le champ email-type.

    Obtenir les informations d’e-mail

  3. Dans la page de détails d’email-type, notez le nom de la liste déroulante associée à ce champ. Par défaut, il s’agit de ecEmailType. Toutefois, il peut être différent dans votre locataire.

    Identifier la liste déroulante d’e-mails

  4. Sous Éléments HRIS, sélectionnez phoneInfo, puis cliquez sur Détails pour le champ phone-type.

    Obtenir les informations téléphoniques

  5. Dans la page de détails de phone-type, notez le nom de la liste déroulante associée à ce champ. Par défaut, il s’agit de ecPhoneType. Toutefois, il peut être différent dans votre locataire.

    Identifier la liste déroulante d’e-mails

Récupérer la valeur constante pour emailType

  1. Dans le centre d’administration SuccessFactors, recherchez et ouvrez Centre de liste déroulante.

  2. Utilisez le nom de la liste déroulante des adresses e-mail capturées dans la section précédente (par exemple, ecEmailType) pour trouver la liste déroulante des adresses e-mail.

    Trouver la liste déroulante de types d’e-mail

  3. Ouvrez la liste déroulante des adresses e-mail active.

    Ouvrir la liste déroulante de types d’e-mail active

  4. Sur la page de la liste déroulante des types d’e-mail, sélectionnez le type d’e-mail Professionnel.

    Sélectionner le type d’e-mail professionnel

  5. Notez l’ID d’option associé à l’e-mail professionnel. Il s’agit du code que nous allons utiliser avec emailType dans la table de mappage des attributs.

    Obtenir le code du type d’e-mail

    Notes

    Le cas échéant, supprimez la virgule (ici, symbole de groupement de chiffres) lorsque vous copiez la valeur. Par exemple, si la valeur ID d’option est 8,448, définissez emailType dans Microsoft Entra ID sur le nombre constant 8448 (sans virgule).

Récupérer la valeur constante pour phoneType

  1. Dans le centre d’administration SuccessFactors, recherchez et ouvrez Centre de liste déroulante.

  2. Utilisez le nom de la liste déroulante des numéros de téléphone capturé dans la section précédente pour trouver la liste déroulante des numéros de téléphone.

    Trouver la liste déroulante de types de numéros de téléphone

  3. Ouvrez la liste déroulante des numéros de téléphone active.

    Ouvrir la liste déroulante de types de numéro de téléphone active

  4. Sur la page de la liste déroulante des types de numéro de téléphone, passez en revue les différents types de numéros de téléphone listés sous Valeurs de liste déroulante.

    Consulter les types de numéros de téléphone

  5. Notez l’ID d’option associé au numéro de téléphone professionnel. Il s’agit du code que nous allons utiliser avec businessPhoneType dans la table de mappage des attributs.

    Obtenir le code du numéro de téléphone professionnel

  6. Notez l’ID d’option associé au numéro de téléphone portable. Il s’agit du code que nous allons utiliser avec cellPhoneType dans la table de mappage des attributs.

    Obtenir le code du numéro de téléphone mobile

    Notes

    Le cas échéant, supprimez la virgule (ici, symbole de groupement de chiffres) lorsque vous copiez la valeur. Par exemple, si la valeur ID d’option est 10,606, définissez cellPhoneType dans Microsoft Entra ID sur le nombre constant 10606 (sans virgule).

Configuration de l’application SuccessFactors Writeback

Cette section décrit les étapes à suivre pour

Première partie : Ajouter l’application du connecteur de provisionnement et configurer la connectivité à SuccessFactors

Pour configurer SuccessFactors Writeback

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

  3. Recherchez SuccessFactors Writeback et ajoutez cette application à partir de la galerie.

  4. Une fois l’application ajoutée et l’écran de détails de l’application affiché, sélectionnez Approvisionnement

  5. Définissez Moded’approvisionnement sur Automatique

  6. Fermez la section Informations d’identification de l’administrateur, comme suit :

    • Nom de l’utilisateur administrateur : entrez le nom d’utilisateur du compte d’utilisateur de l’API SuccessFactors, accompagné de l’ID d’entreprise. Il a le format suivant : username@companyID

    • Mot de passe d’administrateur : entrez le mot de passe du compte d’utilisateur de l’API SuccessFactors.

    • URL du locataire : entrez le nom du point de terminaison des services de l’API OData SuccessFactors. Entrez uniquement le nom d’hôte du serveur, sans http ou https. Cette valeur doit ressembler à ceci : api4.successfactors.com.

    • E-mail de notification : entrez votre adresse e-mail et activez la case à cocher « Envoyer un e-mail en cas de défaillance ».

    Remarque

    Le service de provisionnement Microsoft Entra envoie une notification par courrier électronique si la tâche de provisionnement passe en quarantaine.

    • Cliquez sur le bouton Tester la connexion. Si le test de connexion réussit, cliquez sur le bouton Enregistrer en haut. En cas d’échec, vérifiez que les informations d’identification et l’URL SuccessFactors sont valides.

    Portail Azure

    • Une fois les informations d’identification enregistrées, la section Mappages affiche le mappage par défaut. Actualisez la page si les mappages d’attributs ne sont pas visibles.

Deuxième partie : Configuration des mappages d’attributs

Dans cette section, vous allez configurer le flux des données utilisateur de SuccessFactors vers Active Directory.

  1. Sous l’onglet Provisionnement sous Mappages, cliquez sur Provisionner des utilisateurs Microsoft Entra.

  2. Dans le champ Portée de l’objet source, vous pouvez sélectionner les ensembles d’utilisateurs Microsoft Entra ID qui doivent être pris en compte pour l’écriture différée, en définissant un ensemble de filtres d’attributs. La portée par défaut est « tous les utilisateurs dans Microsoft Entra ID ».

    Conseil

    Lors de la configuration initiale de l'application d'approvisionnement, vous devez tester et vérifier vos mappages d'attributs et expressions pour être sûr d'obtenir le résultat souhaité. Microsoft vous recommande d’utiliser les filtres de portée disponibles sous Portée de l’objet source pour tester vos mappages avec quelques utilisateurs test de Microsoft Entra ID. Après avoir vérifié que les mappages fonctionnent, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.

  3. Le champ Actions d’objet cible prend uniquement en charge l’opération Mise à jour.

  4. Dans la table de mappages, sous la section Mappages d’attributs, vous pouvez mapper les attributs Microsoft Entra suivants à SuccessFactors. Le tableau ci-dessous fournit des conseils sur la façon de mapper les attributs d’écriture différée.

    # Attribut Microsoft Entra Attribut SuccessFactors Notes
    1 employeeId personIdExternal Par défaut, cet attribut est l’identificateur correspondant. Au lieu d’employeeId, vous pouvez utiliser tout autre attribut Microsoft Entra capable de stocker la valeur égale à personIdExternal dans SuccessFactors.
    2 mail email Mappez la source de l’attribut « email ». À des fins de test, vous pouvez mapper userPrincipalName à email.
    3 8448 emailType Cette valeur constante est la valeur d’ID SuccessFactors associée à la messagerie professionnelle. Mettez à jour cette valeur pour qu’elle corresponde à votre environnement SuccessFactors. Consultez la section Récupérer la valeur constante pour emailType afin de connaître les étapes permettant de définir cette valeur.
    4 true emailIsPrimary Utilisez cet attribut pour définir la messagerie professionnelle comme messagerie principale dans SuccessFactors. Si la messagerie professionnelle n’est pas la messagerie principale, définissez cet indicateur sur « false ».
    5 userPrincipalName [custom01 – custom15] En utilisant Ajouter un nouveau mappage, vous pouvez éventuellement écrire userPrincipalName ou tout autre attribut Microsoft Entra dans un attribut personnalisé disponible dans l’objet Utilisateur SuccessFactors.
    6 On Prem SamAccountName username En utilisant Ajouter un nouveau mappage, vous pouvez éventuellement mapper l’attribut samAccountName local à l’attribut username de SuccessFactors. Utilisez Microsoft Entra Connect Sync : extensions d’annuaire pour synchroniser samAccountName avec Microsoft Entra ID. Il s’affiche dans la liste déroulante source sous la forme extension_yourTenantGUID_samAccountName
    7 SSO loginMethod Si le locataire SuccessFactors est configuré pour une SSO partielle, en utilisant Ajouter un nouveau mappage, vous pouvez éventuellement définir loginMethod sur une valeur constante « SSO » ou « PWD ».
    8 telephoneNumber businessPhoneNumber Utilisez ce mappage pour transmettre l’attribut telephoneNumber de Microsoft Entra ID au numéro de téléphone professionnel SuccessFactors.
    9 10605 businessPhoneType Cette valeur constante est la valeur d’ID SuccessFactors associée au téléphone professionnel. Mettez à jour cette valeur pour qu’elle corresponde à votre environnement SuccessFactors. Consultez la section Récupérer la valeur constante pour phoneType afin de connaître les étapes permettant de définir cette valeur.
    10 true businessPhoneIsPrimary Utilisez cet attribut pour définir le numéro de téléphone professionnel comme numéro principal. Les valeurs valides sont « true » ou « false ».
    11 mobile cellPhoneNumber Utilisez ce mappage pour transmettre l’attribut telephoneNumber de Microsoft Entra ID au numéro de téléphone professionnel SuccessFactors.
    12 10606 cellPhoneType Cette valeur constante est la valeur d’ID SuccessFactors associée au téléphone portable. Mettez à jour cette valeur pour qu’elle corresponde à votre environnement SuccessFactors. Consultez la section Récupérer la valeur constante pour phoneType afin de connaître les étapes permettant de définir cette valeur.
    13 false cellPhoneIsPrimary Utilisez cet attribut pour définir le numéro de téléphone portable comme numéro principal. Les valeurs valides sont « true » ou « false ».
    14 [extensionAttribute1-15] userId Utilisez ce mappage pour vous assurer que l’enregistrement actif dans SuccessFactors est mis à jour lorsqu’il y a plusieurs enregistrements d’emploi pour le même utilisateur. Pour plus d’informations, consultez Activation de l’écriture différée avec UserID.

  5. Validez et vérifiez vos mappages d’attributs.

    Mappage d’attributs d’écriture différée

  6. Cliquez sur Enregistrer pour enregistrer les mappages. Ensuite, nous allons mettre à jour les expressions d’API du chemin JSON pour utiliser les codes phoneType dans votre instance SuccessFactors.

  7. Sélectionnez Afficher les options avancées.

    Afficher les options avancées

  8. Cliquez sur Modifier la liste des attributs de SuccessFactors.

    Notes

    Si l’option Modifier la liste des attributs de SuccessFactors ne s’affiche pas dans le portail Azure, utilisez l’URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true pour accéder à la page.

  9. La colonne Expression d’API de cette vue affiche les expressions de chemin JSON utilisées par le connecteur.

  10. Mettez à jour les expressions de chemin JSON pour le téléphone professionnel et le téléphone portable afin d’utiliser la valeur d’ID (businessPhoneType et cellPhoneType) correspondant à votre environnement.

    Changement du chemin JSON pour le numéro de téléphone

  11. Cliquez sur Enregistrer pour enregistrer les mappages.

Activer et lancer l'approvisionnement des utilisateurs

Une fois les configurations d’application d’approvisionnement SuccessFactors effectuées, vous pouvez activer le service d’approvisionnement.

Conseil

Par défaut, lorsque vous activez le service d'approvisionnement, il lance les opérations d'approvisionnement pour tous les utilisateurs concernés. En cas d’erreur de mappage ou de problème lié aux données, le travail d’approvisionnement peut échouer et être mis en quarantaine. Pour éviter ce genre de problème, nous vous recommandons de configurer le filtre Portée de l’objet source et de tester vos mappages d’attributs sur quelques utilisateurs test avant de lancer la synchronisation complète de tous les utilisateurs. Après avoir vérifié que les mappages fonctionnent et qu'ils vous donnent les résultats souhaités, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.

  1. Dans l’onglet Approvisionnement, définissez État d’approvisionnement sur Activé.

  2. Sélectionnez Étendue. Vous pouvez sélectionner l’une des options suivantes :

    • Synchroniser l’ensemble des utilisateurs et groupes : sélectionnez cette option si vous prévoyez d’écrire en différé des attributs mappés de tous les utilisateurs de Microsoft Entra ID vers SuccessFactors, selon les règles de portée définies sous Mappages ->Portée de l’objet source.
    • Synchroniser uniquement les utilisateurs et groupes assignés : Sélectionnez cette option si vous planifiez d’écrire en différé des attributs mappés des utilisateurs que vous avez assignés à cette application uniquement dans l’option de menu Application ->Gérer->Utilisateurs et groupes. Ces utilisateurs sont également soumis aux règles d’étendue définies sous Mappages ->Portée de l’objet source.

    Sélectionner l’étendue d’écriture différée

    Notes

    Les applications d’approvisionnement SuccessFactors Writeback créées après le 12 octobre 2022 prennent en charge la fonctionnalité « affectation de groupe ». Si vous avez créé l’application avant le 12 octobre 2022, elle assurera uniquement la prise en charge de l’affectation d’utilisateurs. Pour utiliser la fonctionnalité « affectation de groupe », créez une nouvelle instance de l’application SuccessFactors Writeback et déplacez vos configurations de mappage existantes vers cette application.

  3. Cliquez sur Enregistrer.

  4. Cette opération permet de lancer la synchronisation initiale, dont la durée dépendra du nombre d’utilisateurs du locataire Microsoft Entra et de la portée définie pour l’opération. Vous pouvez consulter la barre de progression pour suivre la progression du cycle de synchronisation.

  5. À tout moment, consultez l’onglet Journaux d’approvisionnement dans le portail Azure pour connaître les actions effectuées par le service d’approvisionnement. Les journaux d’approvisionnement répertorient tous les événements de synchronisation individuels effectués par le service d’approvisionnement.

  6. Au terme de la synchronisation initiale, un rapport de synthèse d'audit est créé dans l'onglet Approvisionnement, comme illustré ci-dessous.

    Barre de progression de l’approvisionnement

Étapes suivantes