Oktatóanyag: AZ SAP SuccessFactors konfigurálása a Microsoft Entra felhasználói kiépítéséhez
Ennek az oktatóanyagnak a célja, hogy bemutassa azokat a lépéseket, amelyekre szüksége van ahhoz, hogy a SuccessFactors Employee Centralból a Microsoft Entra-azonosítóba építse a feldolgozói adatokat, és opcionálisan írja vissza az e-mail-címet a SuccessFactors-be.
Feljegyzés
Ezt az oktatóanyagot akkor használhatja, ha a SuccessFactors szolgáltatásból kiépíteni kívánt felhasználók csak felhőalapú felhasználók, akiknek nincs szükségük helyszíni AD-fiókra. Ha a felhasználóknak csak helyszíni AD-fiókra vagy AD- és Microsoft Entra-fiókra van szükségük, tekintse meg az SAP SuccessFactors Active Directory-felhasználók üzembe helyezésének konfigurálásával kapcsolatos oktatóanyagot.
Az alábbi videó gyors áttekintést nyújt az SAP SuccessFactors szolgáltatással való üzembe helyezési integráció megtervezésének lépéseiről.
Áttekintés
A Microsoft Entra felhasználói kiépítési szolgáltatása integrálható a SuccessFactors Employee Centrallal a felhasználók identitás-életciklusának kezelése érdekében.
A Microsoft Entra felhasználókiépítési szolgáltatás által támogatott SuccessFactors felhasználókiépítési munkafolyamatok lehetővé teszik az alábbi emberi erőforrások és identitás életciklus-kezelési forgatókönyvek automatizálását:
Új alkalmazottak felvétele – Ha új alkalmazottat ad hozzá a SuccessFactorshoz, a rendszer automatikusan létrehoz egy felhasználói fiókot a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365- és egyéb SaaS-alkalmazásokat, az e-mail-címnek a SuccessFactorsba való visszaírásával.
Alkalmazotti attribútumok és profilfrissítések – Ha egy alkalmazotti rekord frissül a SuccessFactorsban (például a nevük, a címük vagy a felettesük), a felhasználói fiók automatikusan frissíti a Microsoft Entra-azonosítót, és opcionálisan a Microsoft 365-öt és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokat.
Alkalmazottak megszűnése – Ha egy alkalmazott a SuccessFactors szolgáltatásban megszűnik, a felhasználói fiókja automatikusan le lesz tiltva a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft 365 és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.
Alkalmazotti rehires – Ha egy alkalmazott újra meg van hiredve a SuccessFactorsban, a régi fiókja automatikusan újraaktiválható vagy újra kiépíthető (az Ön igényeinek megfelelően) a Microsoft Entra-azonosítóra, és opcionálisan a Microsoft 365-re és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokra.
Kiknek ideális ez a felhasználói kiépítési megoldás?
Ez a SuccessFactors to Microsoft Entra felhasználói kiépítési megoldás ideális a következőkhöz:
Azok a szervezetek, amelyek előre elkészített, felhőalapú megoldást szeretnének a SuccessFactors felhasználói kiépítéséhez, beleértve azokat a szervezeteket is, amelyek az SAP HCM-ből az SAP Integration Suite használatával előugró SuccessFactors-eket használnak
Azok a szervezetek, amelyek a Microsoft Entrát telepítik a felhasználók sap-forrás- és célalkalmazásokkal való üzembe helyezéséhez, a Microsoft Entra használatával identitásokat állíthatnak be a dolgozók számára, hogy bejelentkezhessenek egy vagy több SAP-alkalmazásba, például az SAP ECC-be vagy az SAP S/4HANA-ba, valamint opcionálisan nem SAP-alkalmazásokba
Azok a szervezetek, amelyek közvetlen felhasználói kiépítést igényelnek a SuccessFactorstól a Microsoft Entra-azonosítóig, de nem követelik meg, hogy ezek a felhasználók is a Windows Server Active Directoryban legyenek
Azok a szervezetek, amelyek megkövetelik a felhasználók kiépítését a SuccessFactors Employee Centraltól (EC) beszerzett adatok alapján
A Microsoft 365-öt e-mailben használó szervezetek
Megoldásarchitektúra
Ez a szakasz a végfelhasználói kiépítési megoldás architektúrát ismerteti a kizárólag felhőalapú felhasználók számára. Két kapcsolódó folyamat létezik:
Mérvadó HR-Adatfolyam – a SuccessFactorstól a Microsoft Entra-azonosítóig: Ebben a folyamatban a feldolgozói események (például új alkalmazottak, átadások, leállások) először a felhő SuccessFactors Employee Centralban fordulnak elő, majd az eseményadatok a Microsoft Entra-azonosítóba kerülnek. Az eseménytől függően előfordulhat, hogy a Microsoft Entra ID-ban műveletek hozhatók létre/frissíthetők/engedélyezhetők/tilthatók le.
E-mail visszaírási folyamat – a Microsoft Entra-azonosítótól a SuccessFactorsig: Miután a fiók létrehozása befejeződött a Microsoft Entra-azonosítóban, a Microsoft Entra ID-ban létrehozott e-mail attribútum értéke vagy UPN-jének visszaírható a SuccessFactorsbe.
Végfelhasználói adatfolyam
- A HR-csapat feldolgozói tranzakciókat hajt végre (Joiners/Movers/Leavers vagy New Hires/Transfers/Terminations) a SuccessFactors Employee Centralban.
- A Microsoft Entra kiépítési szolgáltatás ütemezett identitásszinkronizálásokat futtat a SuccessFactors EC-ből, és azonosítja azokat a módosításokat, amelyeket fel kell dolgozni a Microsoft Entra-azonosítóval való szinkronizáláshoz.
- A Microsoft Entra kiépítési szolgáltatás határozza meg a Microsoft Entra-azonosítóban lévő felhasználó létrehozási/frissítési/engedélyezési/letiltási műveletét, és meghívja azt.
- Ha a SuccessFactors Writeback alkalmazás konfigurálva van, a rendszer lekéri a felhasználó e-mail-címét a Microsoft Entra-azonosítóból.
- A Microsoft Entra kiépítési szolgáltatás a használt attribútum alapján visszaírja a SuccessFactors e-mail attribútumát.
Tervezés és üzembe helyezés
A Felhő HR-alapú felhasználókiépítésének a SuccessFactors-ből a Microsoft Entra ID-be való konfigurálásához jelentős tervezésre van szükség, amely különböző szempontokat fed le, például:
- Az egyező azonosító meghatározása
- Attribútumleképezés
- Attribútumátalakítás
- Hatókörszűrők
A témakörökre vonatkozó átfogó irányelvekért tekintse meg a felhőbeli HR üzembehelyezési tervét . Tekintse meg az SAP SuccessFactors integrációs hivatkozását a támogatott entitások megismeréséhez, a részletek feldolgozásához és a különböző HR-forgatókönyvek integrációjának testreszabásához.
SuccessFactors konfigurálása az integrációhoz
A SuccessFactors kiépítési összekötőinek gyakori követelménye, hogy egy SuccessFactors-fiók hitelesítő adataira van szükségük, amelyek megfelelő engedélyekkel rendelkeznek a SuccessFactors OData API-k meghívásához. Ez a szakasz a szolgáltatásfiók SuccessFactorsban való létrehozásának és a megfelelő engedélyek megadásának lépéseit ismerteti.
- API-felhasználói fiók létrehozása/azonosítása a SuccessFactorsben
- API-jogosultsági szerepkör létrehozása
- Engedélycsoport létrehozása az API-felhasználó számára
- Engedélyszerepkör megadása az engedélycsoportnak
API-felhasználói fiók létrehozása/azonosítása a SuccessFactorsben
A SuccessFactors felügyeleti csapatával vagy a megvalósítási partnerével együttműködve hozzon létre vagy azonosítsa a successFactors felhasználói fiókját az OData API-k meghívásához. A fiók felhasználóneve és jelszavas hitelesítő adatai szükségesek a kiépítési alkalmazások Microsoft Entra-azonosítóban való konfigurálásához.
API-jogosultsági szerepkör létrehozása
Jelentkezzen be az SAP SuccessFactors szolgáltatásba egy olyan felhasználói fiókkal, amely hozzáfér a Rendszergazda Központhoz.
Keresse meg a Jogosultsági szerepkörök kezelése lehetőséget, majd válassza az Engedélyszerepkörök kezelése lehetőséget a keresési eredmények között.
A jogosultsági szerepkörök listájában kattintson az Új létrehozása gombra.
Adjon hozzá egy szerepkörnevet és leírást az új engedélyszerepkörhöz. A névnek és a leírásnak azt kell jeleznie, hogy a szerepkör API-használati engedélyekhez tartozik.
Az Engedélybeállítások területen kattintson az Engedély... elemre, majd görgessen le az engedélylistán, és kattintson az Integrációs eszközök kezelése parancsra. Jelölje be az OData API-hoz való hozzáférés engedélyezése Rendszergazda egyszerű hitelesítéssel jelölőnégyzetet.
Görgessen le ugyanabban a mezőben, és válassza az Employee Central API lehetőséget. Adja hozzá az alábbi engedélyeket az ODATA API használatával való olvasáshoz és az ODATA API használatával végzett szerkesztéshez. Válassza a szerkesztési lehetőséget, ha ugyanazt a fiókot szeretné használni a Visszaírás a SuccessFactors forgatókönyvhöz.
Ugyanebben az engedélymezőben lépjen a Felhasználói engedélyek –> Alkalmazotti adatok elemre, és tekintse át a szolgáltatásfiók által a SuccessFactors-bérlőből beolvasható attribútumokat. Ha például le szeretné kérni a Username attribútumot a SuccessFactorstól, győződjön meg arról, hogy a "Nézet" engedély meg van adva ehhez az attribútumhoz. Hasonlóképpen tekintse át az egyes attribútumokat a megtekintési engedélyhez.
Feljegyzés
A kiépítési alkalmazás által lekért attribútumok teljes listájáért tekintse meg a SuccessFactors attribútumreferenciáját
Kattintson a Kész gombra. Kattintson a Save Changes (Módosítások mentése) gombra.
Engedélycsoport létrehozása az API-felhasználó számára
- A SuccessFactors Rendszergazda Központban keresse meg az Engedélycsoportok kezelése lehetőséget, majd válassza az Engedélycsoportok kezelése lehetőséget a keresési eredmények között.
- Az Engedélycsoportok kezelése ablakban kattintson az Új létrehozása gombra.
- Adjon hozzá egy csoportnevet az új csoporthoz. A csoport nevének azt kell jeleznie, hogy a csoport API-felhasználók számára készült.
- Tagok hozzáadása a csoporthoz. Választhatja például a Felhasználónevet a Kapcsolatok Készlet legördülő menüből, majd megadhatja az integrációhoz használt API-fiók felhasználónevét.
- Kattintson a Kész gombra az engedélycsoport létrehozásának befejezéséhez.
Engedélyszerepkör megadása az engedélycsoportnak
- A SuccessFactors Rendszergazda Centerben keresse meg az Engedélyszerepkörök kezelése lehetőséget, majd válassza az Engedélyszerepkörök kezelése lehetőséget a keresési eredmények között.
- Az engedélyszerepkör-listából válassza ki az API-használati engedélyekhez létrehozott szerepkört.
- A Szerepkör megadása...csoportban kattintson a Hozzáadás... gombra.
- Válassza az Engedélycsoport lehetőséget... a legördülő menüben, majd a Kiválasztás gombra kattintva nyissa meg a Csoportok ablakot a kereséshez, és válassza ki a fent létrehozott csoportot.
- Tekintse át az engedélycsoport engedélyszerepkör-engedélyének megadását.
- Kattintson a Save Changes (Módosítások mentése) gombra.
Felhasználó-kiépítés konfigurálása SuccessFactors-ből Microsoft Entra-azonosítóba
Ez a szakasz a felhasználói fiókok kiépítésének lépéseit ismerteti a SuccessFactors és a Microsoft Entra ID között.
- A kiépítési összekötő alkalmazás hozzáadása és a SuccessFactors-kapcsolat konfigurálása
- Attribútumleképezések konfigurálása
- Felhasználói kiépítés engedélyezése és elindítása
1. rész: A kiépítési összekötő alkalmazás hozzáadása és a SuccessFactors-kapcsolatok konfigurálása
A SuccessFactors konfigurálása a Microsoft Entra kiépítésére:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
Keresse meg a SuccessFactorst a Microsoft Entra felhasználói kiépítésében, és adja hozzá az alkalmazást a katalógusból.
Az alkalmazás hozzáadása és az alkalmazás részletei képernyő megjelenítése után válassza a Kiépítés lehetőséget
A kiépítési mód módosítása automatikusra
Töltse ki a Rendszergazda hitelesítő adatok szakaszt az alábbiak szerint:
Rendszergazda Felhasználónév – Adja meg a SuccessFactors API felhasználói fiók felhasználónevét, hozzáfűzve a cégazonosítót. Formátuma: username@companyID
Rendszergazda jelszó – Adja meg a SuccessFactors API felhasználói fiók jelszavát.
Bérlő URL-címe – Adja meg a SuccessFactors OData API-szolgáltatások végpontjának nevét. Csak a kiszolgáló gazdanevét adja meg http vagy https nélkül. Ennek az értéknek a következőképpen kell kinéznie: api-server-name.successfactors.com.
Értesítési e-mail – Adja meg az e-mail-címét, és jelölje be az "E-mail küldése sikertelenség esetén" jelölőnégyzetet.
Feljegyzés
A Microsoft Entra kiépítési szolgáltatás e-mailben értesítést küld, ha a kiépítési feladat karanténba kerül.
- Kattintson a Tesztelés Csatlakozás ion gombra. Ha a kapcsolati teszt sikeres, kattintson a felül található Mentés gombra. Ha nem sikerül, ellenőrizze, hogy a SuccessFactors hitelesítő adatai és URL-címe érvényes-e.
- A hitelesítő adatok sikeres mentése után a Leképezések szakasz megjeleníti az alapértelmezett leképezést a SuccessFactors-felhasználók szinkronizálása a Microsoft Entra-azonosítóhoz
2. rész: Attribútumleképezések konfigurálása
Ebben a szakaszban konfigurálja, hogy a felhasználói adatok hogyan áramlanak a SuccessFactorsból a Microsoft Entra-azonosítóba.
A Leképezések alatti Kiépítés lapon kattintson a SuccessFactors-felhasználók szinkronizálása a Microsoft Entra-azonosítóra.
A Forrásobjektum hatóköre mezőben megadhatja, hogy a SuccessFactors mely felhasználói csoportjai legyenek hatókörben a Microsoft Entra ID-nak való kiépítéshez, ha attribútumalapú szűrőket határoz meg. Az alapértelmezett hatókör a "SuccessFactors összes felhasználója". Példaszűrők:
Példa: Hatókör a personIdExternal 1000000 és 2000000 között (a 2000000 kivételével)
Attribútum: personIdExternal
Operátor: REGEX-egyezés
Érték: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Példa: Csak alkalmazottak és nem függő munkavállalók
Attribútum: EmployeeID
Operátor: NEM NULL
Tipp.
Amikor első alkalommal konfigurálja a kiépítési alkalmazást, tesztelnie és ellenőriznie kell az attribútumleképezéseket és -kifejezéseket, hogy biztosan a kívánt eredményt adja. A Microsoft azt javasolja, hogy a Forrásobjektum hatóköre csoportban található hatókörszűrőkkel tesztelje a leképezéseket a SuccessFactors néhány tesztfelhasználójával. Miután ellenőrizte, hogy a leképezések működnek-e, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is tartalmazzon.
Figyelemfelhívás
A kiépítési motor alapértelmezett viselkedése a hatókörön kívül eső felhasználók letiltása/törlése. Ez nem feltétlenül kívánatos a SuccessFactors és a Microsoft Entra integrációjában. Az alapértelmezett viselkedés felülbírálásához tekintse meg a hatókörön kívül eső felhasználói fiókok törlésének kihagyása című cikket
A Célobjektum-műveletek mezőben globálisan szűrheti, hogy milyen műveleteket hajtanak végre a Microsoft Entra ID-ban. A létrehozás és a frissítés a leggyakoribb.
Az Attribútumleképezések szakaszban megadhatja, hogy az egyes SuccessFactors attribútumok hogyan képezhetők le a Microsoft Entra attribútumokra.
Feljegyzés
Az alkalmazás által támogatott SuccessFactors attribútum teljes listájáért tekintse meg a SuccessFactors attribútumreferenciáját
A frissítéshez kattintson egy meglévő attribútumleképezésre, vagy kattintson a képernyő alján található Új leképezés hozzáadása elemre az új leképezések hozzáadásához. Az egyes attribútumleképezések a következő tulajdonságokat támogatják:
Leképezés típusa
Közvetlen – A SuccessFactors attribútum értékét írja a Microsoft Entra attribútumba módosítás nélkül
Állandó – Statikus, állandó sztringérték írása a Microsoft Entra attribútumba
Kifejezés – Lehetővé teszi egyéni érték írását a Microsoft Entra attribútumba egy vagy több SuccessFactors attribútum alapján. További információt a kifejezésekről szóló cikkben talál.
Forrásattribútum – A SuccessFactors felhasználói attribútuma
Alapértelmezett érték – Nem kötelező. Ha a forrásattribútum üres értékkel rendelkezik, a leképezés ehelyett ezt az értéket írja. A leggyakoribb konfiguráció az, hogy ezt hagyja üresen.
Célattribútum – A Microsoft Entra ID felhasználói attribútuma.
Az attribútumot használó objektumok egyeztetése – Azt jelzi, hogy ezt a leképezést kell-e használni a SuccessFactors és a Microsoft Entra ID közötti felhasználók egyedi azonosításához. Ez az érték általában a SuccessFactors munkavégzőazonosító mezőjében van beállítva, amely általában a Microsoft Entra ID egyik Alkalmazottazonosító attribútumához van leképezve.
Egyező sorrend – Több egyező attribútum is beállítható. Ha több van, azokat a mező által meghatározott sorrendben értékeli ki a rendszer. Amint talál egyezést, a rendszer nem értékeli ki a további egyező attribútumokat.
A leképezés alkalmazása
Always – A leképezés alkalmazása a felhasználólétrehozási és a frissítési műveletekre is
Csak a létrehozás során – A leképezés alkalmazása csak a felhasználólétrehozási műveletekre
A leképezések mentéséhez kattintson a Mentés gombra az Attribútum-leképezés szakasz tetején.
Az attribútumleképezési konfiguráció befejezése után engedélyezheti és elindíthatja a felhasználókiépítési szolgáltatást.
Felhasználói kiépítés engedélyezése és elindítása
A SuccessFactors kiépítési alkalmazáskonfigurációinak befejezése után bekapcsolhatja a kiépítési szolgáltatást.
Tipp.
A kiépítési szolgáltatás bekapcsolásakor alapértelmezés szerint az üzembe helyezési műveleteket kezdeményezi a hatókörben lévő összes felhasználó számára. Ha a leképezéssel vagy a SuccessFactors adatproblémákkal kapcsolatos hibák lépnek fel, előfordulhat, hogy a kiépítési feladat meghiúsul, és karanténba kerül. Ennek elkerülése érdekében ajánlott eljárásként javasoljuk, hogy konfigurálja a Forrásobjektum-hatókör szűrőt, és tesztelje az attribútumleképezéseket néhány tesztfelhasználóval, mielőtt elindítja a teljes szinkronizálást az összes felhasználó számára. Miután ellenőrizte, hogy a leképezések működnek-e, és megadja-e a kívánt eredményt, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.
A Kiépítés lapon állítsa be a kiépítés állapotát Be értékre.
Kattintson a Mentés gombra.
Ez a művelet elindítja a kezdeti szinkronizálást, amely változó számú órát vehet igénybe attól függően, hogy hány felhasználó van a SuccessFactors bérlőben. A szinkronizálási ciklus előrehaladásának nyomon követéséhez ellenőrizze a folyamatjelző sávot.
Az Entra Felügyeleti központban bármikor ellenőrizheti, hogy milyen műveleteket hajtott végre a kiépítési szolgáltatás. A kiépítési naplók felsorolják a kiépítési szolgáltatás által végrehajtott összes egyéni szinkronizálási eseményt, például hogy mely felhasználókat olvassa ki a SuccessFactors, majd hozzáadja vagy frissíti a Microsoft Entra-azonosítóra.
Miután a kezdeti szinkronizálás befejeződött, egy naplózási összefoglaló jelentést ír a Kiépítés lapra, ahogy az alább látható.
Következő lépések
- További információ a bejövő kiépítés támogatott SuccessFactors attribútumairól
- Megtudhatja, hogyan konfigurálhatja az e-mail-visszaírást a SuccessFactors szolgáltatásba
- Tudnivalók a naplók áttekintéséről és az átadási tevékenységekkel kapcsolatos jelentések lekéréséről
- Megtudhatja, hogyan integrálhat más SaaS-alkalmazásokat a Microsoft Entra-azonosítóval