Oktatóanyag: AZ SAP SuccessFactors konfigurálása az Active Directory-felhasználók üzembe helyezéséhez

  • Cikk

Az oktatóanyag célja, hogy bemutassuk azokat a lépéseket, amelyekre a SuccessFactors Employee Centralból az Active Directoryba (AD) és a Microsoft Entra ID-be történő felhasználók kiépítéséhez szükséges lépések szükségesek, az e-mail-cím nem kötelező visszaírásával a SuccessFactors szolgáltatásba.

Feljegyzés

Ezt az oktatóanyagot akkor használja, ha a SuccessFactors szolgáltatásból kiépíteni kívánt felhasználóknak helyszíni AD-fiókra és opcionálisan Microsoft Entra-fiókra van szükségük. Ha a SuccessFactors felhasználóinak csak Microsoft Entra-fiókra (csak felhőalapú felhasználóknak) van szükségük, tekintse meg az SAP SuccessFactors microsoft Entra-azonosítós felhasználókiépítésre való konfigurálásával kapcsolatos oktatóanyagot.

Az alábbi videó gyors áttekintést nyújt az SAP SuccessFactors szolgáltatással való üzembe helyezési integráció megtervezésének lépéseiről.

Áttekintés

A Microsoft Entra felhasználói kiépítési szolgáltatása integrálható a SuccessFactors Employee Centrallal a felhasználók identitás-életciklusának kezelése érdekében.

A Microsoft Entra felhasználókiépítési szolgáltatás által támogatott SuccessFactors felhasználókiépítési munkafolyamatok lehetővé teszik az alábbi emberi erőforrások és identitás életciklus-kezelési forgatókönyvek automatizálását:

  • Új alkalmazottak felvétele – Amikor új alkalmazottat ad hozzá a SuccessFactorshoz, a rendszer automatikusan létrehoz egy felhasználói fiókot az Active Directoryban, a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365- és egyéb SaaS-alkalmazásokban, az e-mail-címnek a SuccessFactorsbe való visszaírásával.

  • Alkalmazotti attribútumok és profilfrissítések – Ha egy alkalmazott rekordja frissül a SuccessFactorsban (például a nevük, a címük vagy a felettesük), a felhasználói fiók automatikusan frissül az Active Directoryban, a Microsoft Entra-azonosítóban, valamint opcionálisan a Microsoft 365-ben és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.

  • Alkalmazotti felmondások – Ha egy alkalmazott a SuccessFactors szolgáltatásban megszűnik, a felhasználói fiókja automatikusan le lesz tiltva az Active Directoryban, a Microsoft Entra-azonosítóban, valamint opcionálisan a Microsoft 365-ben és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.

  • Alkalmazotti rehires – Ha egy alkalmazott újra meg van hiredve a SuccessFactors alkalmazásban, a régi fiókja automatikusan újraaktiválható vagy újra kiépíthető (az Ön igényeinek megfelelően) az Active Directoryba, a Microsoft Entra ID-be, illetve opcionálisan a Microsoft 365-be és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokba.

Kiknek ideális ez a felhasználói kiépítési megoldás?

Ez a SuccessFactors to Active Directory felhasználói kiépítési megoldás ideális a következőkhöz:

  • Azok a szervezetek, amelyek előre elkészített, felhőalapú megoldást szeretnének a SuccessFactors felhasználói kiépítéséhez

  • Azok a szervezetek, amelyek közvetlen felhasználókiépítést igényelnek a SuccessFactorsből az Active Directoryba

  • Azok a szervezetek, amelyek megkövetelik a felhasználók kiépítését a SuccessFactors Employee Centraltól (EC) beszerzett adatok alapján

  • Azok a szervezetek, amelyekhez csatlakozásra, áthelyezésre és a felhasználók szinkronizálására van szükség egy vagy több Active Directory-erdőhöz, tartományhoz és szervezeti egységhez csak a SuccessFactors Employee Central (EC) alkalmazásban észlelt változásadatok alapján

  • A Microsoft 365-öt e-mailben használó szervezetek

Megoldásarchitektúra

Ez a szakasz a gyakori hibrid környezetek végfelhasználói kiépítési megoldásarchitektúráit ismerteti. Két kapcsolódó folyamat létezik:

  • Mérvadó HR-Adatfolyam – a SuccessFactorstól a helyi Active Directory ig: Ebben a folyamatban a feldolgozói események (például új alkalmazottak, átadások, leállások) először a felhőben, a SuccessFactors Employee Centralban történnek, majd az eseményadatok a Microsoft Entra-azonosítón és a kiépítési ügynökön keresztül áramlanak helyi Active Directory. Az eseménytől függően az AD-beli műveletek létrehozásához/frissítéséhez/engedélyezéséhez/letiltásához vezethet.

  • E-mail visszaírási folyamat – a helyi Active Directory-tól a SuccessFactorsig: Miután a fiók létrehozása befejeződött az Active Directoryban, szinkronizálva lesz a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás Szinkronizálás és e-mail attribútum visszaírható a SuccessFactors szolgáltatásba.

    Áttekintés

Végfelhasználói adatfolyam

  1. A HR-csapat feldolgozói tranzakciókat hajt végre (Joiners/Movers/Leavers vagy New Hires/Transfers/Terminations) a SuccessFactors Employee Centralban.
  2. A Microsoft Entra kiépítési szolgáltatás ütemezett identitásszinkronizálásokat futtat a SuccessFactors EC-ből, és azonosítja azokat a módosításokat, amelyeket fel kell dolgoznunk a helyi Active Directory való szinkronizáláshoz.
  3. A Microsoft Entra kiépítési szolgáltatás meghívja a helyszíni Microsoft Entra Csatlakozás kiépítési ügynököt egy olyan hasznos adatkéréssel, amely az AD-fiók létrehozási/frissítési/engedélyezési/letiltási műveleteit tartalmazza.
  4. A Microsoft Entra Csatlakozás kiépítési ügynök szolgáltatásfiókot használ az AD-fiók adatainak hozzáadásához/frissítéséhez.
  5. A Microsoft Entra Csatlakozás Sync motor delta syncet futtat az AD-frissítések lekéréséhez.
  6. Az Active Directory-frissítések szinkronizálva vannak a Microsoft Entra-azonosítóval.
  7. Ha a SuccessFactors Writeback alkalmazás konfigurálva van, a használt attribútum alapján visszaírja a SuccessFactors e-mail attribútumát.

Tervezés és üzembe helyezés

A Felhő HR-alapú felhasználók SuccessFactors-ből AD-be történő kiépítésének konfigurálása jelentős tervezést igényel, amely különböző szempontokat fed le, például:

  • A Microsoft Entra Csatlakozás kiépítési ügynök beállítása
  • Az üzembe helyezendő AD-felhasználókiépítési alkalmazások sikerfaktorainak száma
  • Egyező azonosító, attribútumleképezés, átalakítás és hatókörkezelési szűrők

A témakörökre vonatkozó átfogó irányelvekért tekintse meg a felhőbeli HR üzembehelyezési tervét . Tekintse meg az SAP SuccessFactors integrációs hivatkozását a támogatott entitások megismeréséhez, a részletek feldolgozásához és a különböző HR-forgatókönyvek integrációjának testreszabásához.

SuccessFactors konfigurálása az integrációhoz

A SuccessFactors kiépítési összekötőinek gyakori követelménye, hogy egy SuccessFactors-fiók hitelesítő adataira van szükségük, amelyek megfelelő engedélyekkel rendelkeznek a SuccessFactors OData API-k meghívásához. Ez a szakasz a szolgáltatásfiók SuccessFactorsban való létrehozásának és a megfelelő engedélyek megadásának lépéseit ismerteti.

API-felhasználói fiók létrehozása/azonosítása a SuccessFactorsben

A SuccessFactors felügyeleti csapatával vagy a megvalósítási partnerével együttműködve hozzon létre vagy azonosítsa a successFactors felhasználói fiókját az OData API-k meghívásához. A fiók felhasználóneve és jelszavas hitelesítő adatai szükségesek a kiépítési alkalmazások Microsoft Entra-azonosítóban való konfigurálásához.

API-jogosultsági szerepkör létrehozása

  1. Jelentkezzen be az SAP SuccessFactors szolgáltatásba egy olyan felhasználói fiókkal, amely hozzáfér a Rendszergazda Központhoz.

  2. Keresse meg a Jogosultsági szerepkörök kezelése lehetőséget, majd válassza az Engedélyszerepkörök kezelése lehetőséget a keresési eredmények között. Engedélyszerepkörök kezelése

  3. A jogosultsági szerepkörök listájában kattintson az Új létrehozása gombra.

    Új engedélyszerepkör létrehozása

  4. Adjon hozzá egy szerepkörnevet és leírást az új engedélyszerepkörhöz. A névnek és a leírásnak azt kell jeleznie, hogy a szerepkör API-használati engedélyekhez tartozik.

    Engedélyszerepkör részletei

  5. Az Engedélybeállítások területen kattintson az Engedély... elemre, majd görgessen le az engedélylistán, és kattintson az Integrációs eszközök kezelése parancsra. Jelölje be az OData API-hoz való hozzáférés engedélyezése Rendszergazda egyszerű hitelesítéssel jelölőnégyzetet.

    Integrációs eszközök kezelése

  6. Görgessen le ugyanabban a mezőben, és válassza az Employee Central API lehetőséget. Adja hozzá az alábbi engedélyeket az ODATA API használatával való olvasáshoz és az ODATA API használatával végzett szerkesztéshez. Válassza a szerkesztési lehetőséget, ha ugyanazt a fiókot szeretné használni a Visszaírás a SuccessFactors forgatókönyvhöz.

    Írási engedélyek olvasása

  7. Ugyanebben az engedélymezőben lépjen a Felhasználói engedélyek –> Alkalmazotti adatok elemre, és tekintse át a szolgáltatásfiók által a SuccessFactors-bérlőből beolvasható attribútumokat. Ha például le szeretné kérni a Username attribútumot a SuccessFactorstól, győződjön meg arról, hogy a "Nézet" engedély meg van adva ehhez az attribútumhoz. Hasonlóképpen tekintse át az egyes attribútumokat a megtekintési engedélyhez.

    Alkalmazotti adatengedélyek

    Feljegyzés

    A kiépítési alkalmazás által lekért attribútumok teljes listájáért tekintse meg a SuccessFactors attribútumreferenciáját

  8. Kattintson a Kész gombra. Kattintson a Save Changes (Módosítások mentése) gombra.

Engedélycsoport létrehozása az API-felhasználó számára

  1. A SuccessFactors Rendszergazda Központban keresse meg az Engedélycsoportok kezelése lehetőséget, majd válassza az Engedélycsoportok kezelése lehetőséget a keresési eredmények között.

    Engedélycsoportok kezelése

  2. Az Engedélycsoportok kezelése ablakban kattintson az Új létrehozása gombra.

    Új csoport hozzáadása

  3. Adjon hozzá egy csoportnevet az új csoporthoz. A csoport nevének azt kell jeleznie, hogy a csoport API-felhasználók számára készült.

    Engedélycsoport neve

  4. Tagok hozzáadása a csoporthoz. Választhatja például a Felhasználónevet a Kapcsolatok Készlet legördülő menüből, majd megadhatja az integrációhoz használt API-fiók felhasználónevét.

    Csoporttagok hozzáadása

  5. Kattintson a Kész gombra az engedélycsoport létrehozásának befejezéséhez.

Engedélyszerepkör megadása az engedélycsoportnak

  1. A SuccessFactors Rendszergazda Centerben keresse meg az Engedélyszerepkörök kezelése lehetőséget, majd válassza az Engedélyszerepkörök kezelése lehetőséget a keresési eredmények között.
  2. Az engedélyszerepkör-listából válassza ki az API-használati engedélyekhez létrehozott szerepkört.
  3. A Szerepkör megadása... csoportban kattintson a Hozzáadás... gombra.
  4. Válassza az Engedélycsoport lehetőséget... a legördülő menüben, majd a Kiválasztás gombra kattintva nyissa meg a Csoportok ablakot a kereséshez, és válassza ki a fent létrehozott csoportot.

    Engedélycsoport hozzáadása

  5. Tekintse át az engedélycsoport engedélyszerepkör-engedélyének megadását.

    Engedélyszerepkör és csoport részletei

  6. Kattintson a Save Changes (Módosítások mentése) gombra.

Felhasználó-kiépítés konfigurálása SuccessFactors-ből Active Directoryba

Ez a szakasz az integráció hatókörébe tartozó minden Active Directory-tartományba bemutatja a felhasználói fiókok kiépítésének lépéseit a SuccessFactorsből az egyes Active Directory-tartományokba.

1. rész: A kiépítési összekötő alkalmazás hozzáadása és a kiépítési ügynök letöltése

A SuccessFactors konfigurálása az Active Directory kiépítésére:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.

  3. Keresse meg a SuccessFactorst az Active Directory felhasználói kiépítésében, és adja hozzá az alkalmazást a katalógusból.

  4. Az alkalmazás hozzáadása és az alkalmazás részletei képernyő megjelenítése után válassza a Kiépítés lehetőséget

  5. A kiépítési mód módosítása automatikusra

  6. Kattintson a megjelenő információs szalagcímre a kiépítési ügynök letöltéséhez.

    Ügynök letöltése

2. rész: Helyszíni kiépítési ügynök(ek) telepítése és konfigurálása

Az Active Directory helyszíni üzembe helyezéséhez a kiépítési ügynököt olyan tartományhoz csatlakoztatott kiszolgálón kell telepíteni, amely hálózati hozzáféréssel rendelkezik a kívánt Active Directory-tartomány(ok)hoz.

Helyezze át a letöltött ügynök telepítőt a kiszolgáló gazdagépére, és kövesse a telepítési ügynök szakaszban felsorolt lépéseket az ügynök konfigurációjának befejezéséhez.

3. rész: A kiépítési alkalmazásban konfigurálja a SuccessFactors és az Active Directory kapcsolatát

Ebben a lépésben kapcsolatot létesítünk a SuccessFactors és az Active Directory használatával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> – SuccessFactors to Active Directory User Provisioning App created in Part 1

  3. Töltse ki a Rendszergazda hitelesítő adatok szakaszt az alábbiak szerint:

    • Rendszergazda Felhasználónév – Adja meg a SuccessFactors API felhasználói fiók felhasználónevét, hozzáfűzve a cégazonosítót. Formátuma: username@companyID

    • Rendszergazda jelszó – Adja meg a SuccessFactors API felhasználói fiók jelszavát.

    • Bérlő URL-címe – Adja meg a SuccessFactors OData API-szolgáltatások végpontjának nevét. Csak a kiszolgáló gazdanevét adja meg http vagy https nélkül. Ennek az értéknek a következőképpen kell kinéznie: api-server-name.successfactors.com>.<

    • Active Directory Forest – Az Active Directory-tartomány "neve" az ügynök által regisztrált módon. A legördülő menüben válassza ki a céltartományt a kiépítéshez. Ez az érték általában egy sztring, például: contoso.com

    • Active Directory-tároló – Adja meg azt a tárolóbeli DN-t, ahol az ügynöknek alapértelmezés szerint felhasználói fiókokat kell létrehoznia. Példa: OU=Users,DC=contoso,DC=com

      Feljegyzés

      Ez a beállítás csak akkor lép életbe a felhasználói fiókok létrehozásakor, ha a parentDistinguishedName attribútum nincs konfigurálva az attribútumleképezésekben. Ez a beállítás nem használható felhasználói keresési vagy frissítési műveletekhez. A teljes tartomány alfája a keresési művelet hatókörébe tartozik.

    • Értesítési e-mail – Adja meg az e-mail-címét, és jelölje be az "E-mail küldése sikertelenség esetén" jelölőnégyzetet.

      Feljegyzés

      A Microsoft Entra kiépítési szolgáltatás e-mailben értesítést küld, ha a kiépítési feladat karanténba kerül.

    • Kattintson a Tesztelés Csatlakozás ion gombra. Ha a kapcsolati teszt sikeres, kattintson a felül található Mentés gombra. Ha nem sikerül, ellenőrizze, hogy a SuccessFactors hitelesítő adatai és az ügynök beállításához konfigurált AD-hitelesítő adatok érvényesek-e.

      Entra Felügyeleti központ

    • A hitelesítő adatok sikeres mentése után a Leképezések szakasz megjeleníti az alapértelmezett leképezést a SuccessFactors-felhasználók szinkronizálása a helyszíni Active Directoryba

4. rész: Attribútumleképezések konfigurálása

Ebben a szakaszban konfigurálja, hogy a felhasználói adatok hogyan áramlanak a SuccessFactorsből az Active Directoryba.

  1. A Leképezések alatti Kiépítés lapon kattintson a SuccessFactors-felhasználók szinkronizálása a helyszíni Active Directoryba elemre.

  2. A Forrásobjektum hatóköre mezőben az attribútumalapú szűrők definiálásával kiválaszthatja, hogy a SuccessFactorsban mely felhasználók legyenek hatókörben az AD-be való kiépítéshez. Az alapértelmezett hatókör a SuccessFactors összes felhasználója. Példaszűrők:

    • Példa: Hatókör a personIdExternal 1000000 és 2000000 között (a 2000000 kivételével)

      • Attribútum: personIdExternal

      • Operátor: REGEX-egyezés

      • Érték: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Példa: Csak alkalmazottak és nem függő munkavállalók

      • Attribútum: EmployeeID

      • Operátor: NEM NULL

    Tipp.

    Amikor első alkalommal konfigurálja a kiépítési alkalmazást, tesztelnie és ellenőriznie kell az attribútumleképezéseket és -kifejezéseket, hogy biztosan a kívánt eredményt adja. A Microsoft azt javasolja, hogy a Forrásobjektum hatóköre csoportban található hatókörszűrőkkel tesztelje a leképezéseket a SuccessFactors néhány tesztfelhasználójával. Miután ellenőrizte, hogy a leképezések működnek-e, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.

    Figyelemfelhívás

    A kiépítési motor alapértelmezett viselkedése a hatókörön kívül eső felhasználók letiltása/törlése. Ez nem feltétlenül kívánatos a SuccessFactors to AD-integrációban. Az alapértelmezett viselkedés felülbírálásához tekintse meg a hatókörön kívül eső felhasználói fiókok törlésének kihagyása című cikket

  3. A Célobjektum-műveletek mezőben globálisan szűrheti az Active Directoryban végrehajtott műveleteket. A létrehozás és a frissítés a leggyakoribb.

  4. Az Attribútumleképezések szakaszban megadhatja, hogy az egyes SuccessFactors attribútumok hogyan képezhetők le az Active Directory-attribútumokra.

    Feljegyzés

    Az alkalmazás által támogatott SuccessFactors attribútum teljes listájáért tekintse meg a SuccessFactors attribútumreferenciáját

  5. A frissítéshez kattintson egy meglévő attribútumleképezésre, vagy kattintson a képernyő alján található Új leképezés hozzáadása elemre az új leképezések hozzáadásához. Az egyes attribútumleképezések a következő tulajdonságokat támogatják:

    • Leképezés típusa

      • Közvetlen – A SuccessFactors attribútum értékét írja az AD attribútumba módosítás nélkül

      • Állandó – Statikus, állandó sztringérték írása az AD attribútumba

      • Kifejezés – Lehetővé teszi egyéni érték írását az AD-attribútumba egy vagy több SuccessFactors attribútum alapján. További információt a kifejezésekről szóló cikkben talál.

    • Forrásattribútum – A SuccessFactors felhasználói attribútuma

    • Alapértelmezett érték – Nem kötelező. Ha a forrásattribútum üres értékkel rendelkezik, a leképezés ehelyett ezt az értéket fogja írni. A leggyakoribb konfiguráció az, hogy ezt hagyja üresen.

    • Célattribútum – Az Active Directory felhasználói attribútuma.

    • Objektumok egyeztetése ezzel az attribútummal – Azt jelzi, hogy ezt a leképezést a SuccessFactors és az Active Directory közötti felhasználók egyedi azonosítására kell-e használni. Ez az érték általában a SuccessFactors munkavégzőazonosító mezőjében van beállítva, amely általában az Active Directory alkalmazotti azonosító attribútumainak egyikére van leképezve.

    • Egyező sorrend – Több egyező attribútum is beállítható. Ha több van, azokat a mező által meghatározott sorrendben értékeli ki a rendszer. Amint talál egyezést, a rendszer nem értékeli ki a további egyező attribútumokat.

    • A leképezés alkalmazása

      • Always – A leképezés alkalmazása a felhasználólétrehozási és a frissítési műveletekre is

      • Csak a létrehozás során – A leképezés alkalmazása csak a felhasználólétrehozási műveletekre

  6. A leképezések mentéséhez kattintson a Mentés gombra az Attribútum-leképezés szakasz tetején.

Miután az attribútumleképezési konfiguráció befejeződött, tesztelheti egyetlen felhasználó kiépítését igény szerinti kiépítéssel, majd engedélyezheti és elindíthatja a felhasználókiépítési szolgáltatást.

Felhasználói kiépítés engedélyezése és elindítása

Miután a SuccessFactors kiépítési alkalmazáskonfigurációi befejeződtek, és ellenőrizte az igény szerinti kiépítéssel rendelkező egyetlen felhasználó üzembe helyezését, bekapcsolhatja a kiépítési szolgáltatást.

Tipp.

A kiépítési szolgáltatás bekapcsolásakor alapértelmezés szerint az üzembe helyezési műveleteket kezdeményezi a hatókörben lévő összes felhasználó számára. Ha a leképezéssel vagy a SuccessFactors adatproblémákkal kapcsolatos hibák lépnek fel, előfordulhat, hogy a kiépítési feladat meghiúsul, és karanténba kerül. Ennek elkerülése érdekében ajánlott eljárásként javasoljuk, hogy konfigurálja a forrásobjektum-hatókör szűrőt, és tesztelje az attribútumleképezéseket néhány, igény szerinti kiépítést használó felhasználóval, mielőtt elindítja a teljes szinkronizálást az összes felhasználó számára. Miután ellenőrizte, hogy a leképezések működnek-e, és megadja-e a kívánt eredményt, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.

  1. Lépjen a Kiépítés panelre, és kattintson a Kiépítés indítása parancsra.

  2. Ez a művelet elindítja a kezdeti szinkronizálást, amely változó számú órát vehet igénybe attól függően, hogy hány felhasználó van a SuccessFactors bérlőben. A szinkronizálási ciklus előrehaladásának nyomon követéséhez ellenőrizze a folyamatjelző sávot.

  3. Az Entra Felügyeleti központban bármikor ellenőrizheti, hogy milyen műveleteket hajtott végre a kiépítési szolgáltatás. A kiépítési naplók felsorolják a kiépítési szolgáltatás által végrehajtott összes egyéni szinkronizálási eseményt, például hogy mely felhasználókat olvassák ki a SuccessFactorsből, majd hozzáadják vagy frissítik az Active Directoryban.

  4. Miután a kezdeti szinkronizálás befejeződött, egy naplózási összefoglaló jelentést ír a Kiépítés lapra, ahogy az alább látható.

    Kiépítési folyamatsáv

Következő lépések