Tutorial: Mengonfigurasi SAP SuccessFactors ke provisi pengguna Active Directory

Tujuan tutorial ini adalah untuk menunjukkan langkah-langkah yang perlu Anda lakukan untuk memprovisikan pengguna dari SuccessFactors Employee Central ke Active Directory (AD) dan MICROSOFT Entra ID, dengan write-back opsional alamat email ke SuccessFactors.

Catatan

Gunakan tutorial ini jika pengguna yang ingin Anda provisikan dari SuccessFactors memerlukan akun AD lokal dan secara opsional akun Microsoft Entra. Jika pengguna dari SuccessFactors hanya memerlukan akun Microsoft Entra (pengguna khusus cloud), lihat tutorial tentang mengonfigurasi SAP SuccessFactors ke provisi pengguna MICROSOFT Entra ID .

Video berikut ini memberikan gambaran umum singkat tentang langkah-langkah yang terlibat saat merencanakan integrasi provisi Anda dengan SAP SuccessFactors.

Gambaran Umum

Layanan provisi pengguna Microsoft Entra terintegrasi dengan Pusat Karyawan SuccessFactors untuk mengelola siklus hidup identitas pengguna.

Alur kerja provisi pengguna SuccessFactors yang didukung oleh layanan provisi pengguna Microsoft Entra memungkinkan otomatisasi sumber daya manusia dan skenario manajemen siklus hidup identitas berikut:

• Mempekerjakan karyawan baru - Saat karyawan baru ditambahkan ke SuccessFactors, akun pengguna secara otomatis dibuat di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra, dengan tulis balik alamat email ke SuccessFactors.

• Pembaruan atribut dan profil karyawan - Saat catatan karyawan diperbarui di SuccessFactors (seperti nama, judul, atau manajer), akun pengguna mereka akan diperbarui secara otomatis di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

• Penghentian karyawan - Saat karyawan dihentikan di SuccessFactors, akun pengguna mereka secara otomatis dinonaktifkan di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

• Perekrutan ulang karyawan - Saat karyawan di-rehired di SuccessFactors, akun lama mereka dapat diaktifkan kembali atau disediakan kembali secara otomatis (tergantung preferensi Anda) ke Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

Paling cocok untuk siapakah solusi penyediaan pengguna ini?

Solusi provisi pengguna SuccessFactors ke Direktori Aktif ini sangat cocok untuk:

• Organisasi yang menginginkan solusi berbasis awan untuk provisi pengguna SuccessFactors

• Organisasi yang memerlukan provisi pengguna langsung dari SuccessFactors ke Direktori Aktif

• Organisasi yang mewajibkan pengguna diprovisikan menggunakan data yang diperoleh dari Pusat Karyawan (EC) SuccessFactors

• Organisasi yang mengharuskan pengguna yang bergabung, pindah, dan keluar disinkronkan ke satu atau beberapa Forest Direktori Aktif, Domain, dan OU hanya berdasarkan informasi perubahan yang terdeteksi dalam Pusat Karyawan (EC) SuccessFactors

• Organisasi menggunakan Microsoft 365 untuk email

Arsitektur Solusi

Bagian ini menjelaskan arsitektur solusi provisi pengguna end-to-end untuk lingkungan hibrid umum. Ada dua aliran terkait:

• Aliran Data SDM Otoritatif – dari SuccessFactors ke Active Directory lokal: Dalam peristiwa pekerja alur ini (seperti Karyawan Baru, Transfer, Penghentian) pertama kali terjadi di Pusat Karyawan SuccessFactors cloud dan kemudian data peristiwa mengalir ke Active Directory lokal melalui ID Microsoft Entra dan Agen Penyediaan. Bergantung peristiwa tersebut, hal ini dapat menyebabkan operasi buat/perbarui/aktifkan/nonaktifkan dalam AD.

• Alur Tulis Balik Email - dari Active Directory lokal ke SuccessFactors: Setelah pembuatan akun selesai di Direktori Aktif, itu disinkronkan dengan ID Microsoft Entra melalui Microsoft Entra Koneksi Sync dan atribut email dapat ditulis kembali ke SuccessFactors.

  

Alur data pengguna akhir

1. Tim SDM melakukan transaksi pekerja (Karyawan yang Bergabung/Pindah/Keluar atau Perekrutan Karyawan Baru/Transfer/Penghentian) di Pusat Karyawan SuccessFactors
2. Layanan provisi Microsoft Entra menjalankan sinkronisasi identitas terjadwal dari SuccessFactors EC dan mengidentifikasi perubahan yang perlu diproses untuk sinkronisasi dengan Active Directory lokal.
3. Layanan provisi Microsoft Entra memanggil Microsoft Entra Koneksi Provisioning Agent lokal dengan payload permintaan yang berisi operasi buat/perbarui/aktifkan/nonaktifkan akun AD.
4. Microsoft Entra Koneksi Provisioning Agent menggunakan akun layanan untuk menambahkan/memperbarui data akun AD.
5. Mesin Microsoft Entra Koneksi Sync menjalankan sinkronisasi delta untuk menarik pembaruan di AD.
6. Pembaruan Direktori Aktif disinkronkan dengan ID Microsoft Entra.
7. Jika aplikasi SuccessFactors Writeback dikonfigurasi, aplikasi ini akan menulis balik atribut email ke SuccessFactors, berdasarkan atribut pencocokan yang digunakan.

Merencanakan penyebaran Anda

Mengonfigurasi provisi pengguna berbasis SDM cloud dari SuccessFactors ke AD memerlukan perencanaan yang cukup besar yang mencakup berbagai aspek seperti:

• Penyiapan agen provisi Microsoft Entra Koneksi
• Jumlah aplikasi provisi pengguna SuccessFactors ke AD yang akan diterapkan
• Pencocokan ID, Pemetaan atribut, transformasi, dan filter pencakupan

Silakan lihat rencana penyebaran SDM cloud untuk panduan komprehensif seputar topik-topik ini. Silakan lihat referensi integrasi SAP SuccessFactors untuk mempelajari tentang entitas yang didukung, detail pemrosesan, dan cara menyesuaikan integrasi untuk skenario SDM yang berbeda.

Mengonfigurasi SuccessFactors untuk integrasi

Persyaratan umum dari semua konektor provisi SuccessFactors yaitu konektor-konektor tersebut memerlukan informasi masuk akun SuccessFactors dengan izin yang tepat untuk memanggil SuccessFactors OData API. Bagian ini menjelaskan langkah-langkah untuk membuat akun layanan di SuccessFactors dan memberikan izin yang sesuai.

• Membuat/mengidentifikasi akun pengguna API di SuccessFactors
• Membuat peran izin API
• Membuat Izin Grup untuk pengguna API
• Memberikan Peran Izin kepada Izin Grup

Membuat/mengidentifikasi akun pengguna API di SuccessFactors

Bekerja dengan tim admin SuccessFactors atau mitra implementasi Anda untuk membuat atau mengidentifikasi akun pengguna di SuccessFactors yang akan digunakan untuk memanggil API OData. Kredensial nama pengguna dan kata sandi akun ini akan diperlukan saat mengonfigurasi aplikasi provisi di ID Microsoft Entra.

Membuat peran izin API

1. Masuk ke SAP SuccessFactors dengan akun pengguna yang memiliki akses ke Pusat Admin.

2. Cari Mengelola Peran Izin, lalu pilih Kelola Peran Izin dari hasil pencarian.

3. Dari Daftar Peran Izin, klik Buat Baru.

   

4. Tambahkan Nama Peran dan Deskripsi untuk peran izin baru. Nama dan deskripsi harus menunjukkan bahwa peran tersebut adalah untuk izin penggunaan API.

   

5. Di bawah Izin Pengaturan, klik Izin..., lalu gulir ke bawah daftar izin dan klik Kelola Alat Integrasi. Centang kotak untuk Izinkan Admin mengakses OData API melalui Otentikasi Dasar.

   

6. Gulir ke bawah dalam kotak yang sama dan pilih Pusat Karyawan API. Tambahkan izin seperti yang ditunjukkan di bawah ini untuk membaca dan mengedit menggunakan ODATA API. Pilih opsi edit jika Anda berencana menggunakan akun yang sama untuk skenario Tulis balik ke SuccessFactors.

   

7. Dalam kotak izin yang sama, buka Izin Pengguna -> Data Karyawan dan tinjau atribut yang dapat akun layanan baca dari penyewa SuccessFactors. Misalnya, untuk mengambil atribut Nama Pengguna dari SuccessFactors, pastikan bahwa izin "Tampilan" diberikan untuk atribut ini. Demikian pula, tinjau setiap atribut untuk izin tampilan.

   

   Catatan

   Untuk daftar lengkap atribut yang diambil oleh aplikasi provisi ini, silakan merujuk ke Referensi Atribut SuccessFactors

8. Klik Selesai. Klik Simpan Perubahan.

Membuat Izin Grup untuk pengguna API

1. Di Pusat Admin SuccessFactors, cari Kelola Izin Grup, lalu pilih Kelola Izin Grup dari hasil pencarian.

   

2. Dari jendela Kelola Izin Grup, klik Buat Baru.

   

3. Tambahkan Nama Grup untuk grup baru. Nama grup harus menunjukkan bahwa grup adalah untuk pengguna API.

   

4. Tambahkan anggota ke grup. Misalnya, Anda dapat memilih Nama Pengguna dari menu drop-down Kumpulan Orang lalu memasukkan nama pengguna akun API yang akan digunakan untuk integrasi.

   

5. Klik Selesai untuk menyelesaikan pembuatan Izin Grup.

Memberikan Peran Izin kepada Izin Grup

1. Di Pusat Admin SuccessFactors, cari Kelola Izin Grup, lalu pilih Kelola Izin Grup dari hasil pencarian.
2. Dari Daftar Peran Izin, pilih peran yang Anda buat untuk izin penggunaan API.
3. Di bawah Berikan peran ini ke..., klik tombol Tambahkan... .
4. Pilih Izin Grup... dari menu turun-bawah, lalu klik Pilih... untuk membuka jendela Grup untuk mencari dan memilih grup yang dibuat di atas.

   

5. Ulasan Peran Izin yang diberikan kepada Izin Grup.

   

6. Klik Simpan Perubahan.

Mengonfigurasi provisi pengguna dari SuccessFactors ke Active Directory

Bagian ini menyediakan langkah untuk provisi akun pengguna dari SuccessFactors ke setiap domain Active Directory dalam cakupan integrasi Anda.

• Tambahkan aplikasi konektor penyediaan dan unduh Agen Penyediaan
• Menginstal dan mengonfigurasi Provisioning Agent lokal
• Mengonfigurasi konektivitas ke SuccessFactors dan Active Directory
• Mengonfigurasi pemetaan atribut
• Mengaktifkan dan meluncurkan provisi pengguna

Bagian 1: Menambahkan aplikasi konektor provisi dan mengunduh Provisioning Agent

Untuk mengonfigurasi SuccessFactors ke provisi Active Directory:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.

3. Cari SuccessFactors ke Provisi Pengguna Active Directory, dan tambahkan aplikasi tersebut dari galeri.

4. Setelah aplikasi ditambahkan dan layar detail aplikasi ditampilkan, pilih Provisi

5. Ubah ModeProvisi ke Otomatis

6. Klik pada spanduk informasi yang ditampilkan untuk mengunduh Agen Penyediaan.

   

Bagian 2: Menginstal dan mengonfigurasi Provisioning Agent lokal

Untuk memprovisi ke Active Directory lokal, Provisioning Agent harus diinstal pada server, yang bergabung dengan domain yang memiliki akses jaringan ke domain Active Directory yang diinginkan.

Transfer penginstal agen yang diunduh ke host server dan ikuti langkah yang tercantum di bagian instal agen untuk menyelesaikan konfigurasi agen.

Bagian 3: Di aplikasi provisi, konfigurasikan konektivitas ke SuccessFactors dan Active Directory

Dalam langkah ini, kami membangun konektivitas dengan SuccessFactors dan Active Directory.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi > Perusahaan Aplikasi>Identitas>SuccessFactors ke Aplikasi Provisi Pengguna Direktori Aktif yang dibuat di Bagian 1

3. Lengkapi bagian info masuk Admin sebagai berikut:

   • Nama Pengguna Admin - Masukkan nama akun pengguna SuccessFactors API, dengan ID perusahaan ditambahkan. Formatnya adalah: username@companyID

   • Kata sandi admin - Masukkan kata sandi akun pengguna SuccessFactors API.

   • URL Penyewa - Masukkan nama titik akhir layanan SuccessFactors OData API. Hanya masukkan nama host server tanpa http atau https. Nilai ini akan terlihat seperti: <api-server-name>.successfactors.com.

   • Forest Direktori Aktif - "Nama" domain Direktori Aktif Anda, seperti yang terdaftar di agen. Gunakan menu tarik-turun untuk memilih domain target untuk provisi. Nilai ini biasanya merupakan string seperti: contoso.com

   • Kontainer Active Directory - Masukkan kontainer DN di mana agen harus membuat akun pengguna secara default. Contoh: OU=Users,DC=contoso,DC=com

     Catatan

     Pengaturan ini hanya efektif untuk pembuatan akun pengguna jika atribut parentDistinguishedName tidak dikonfigurasi dalam pemetaan atribut. Pengaturan ini tidak digunakan untuk operasi pencarian pengguna atau pembaruan. Seluruh sub pohon domain berada di dalam cakupan operasi pencarian.

   • Email Pemberitahuan – Masukkan alamat email Anda, dan centang kotak centang "kirim email jika terjadi kegagalan".

     Catatan

     Layanan provisi Microsoft Entra mengirim pemberitahuan email jika pekerjaan provisi masuk ke status karantina .

   • Klik tombol Uji Koneksi. Jika pengujian koneksi berhasil, klik tombol Simpan di bagian atas. Jika gagal, periksa kembali apakah info masuk SuccessFactors dan info masuk AD yang dikonfigurasi pada penyiapan agen valid.

     

   • Setelah info berhasil disimpan, bagian Pemetaan akan menampilkan pemetaan default Sinkronkan Pengguna SuccessFactors ke Active Directory Lokal

Bagian 4: Mengonfigurasi pemetaan atribut

Di bagian ini, Anda akan mengonfigurasi bagaimana data pengguna mengalir dari SuccessFactors ke Direktori Aktif.

1. Pada tab Provisi di bawah Pemetaan, klik Sinkronkan Pengguna SuccessFactors ke Active Directory Lokal.

2. Di bidang Cakupan Objek Sumber, Anda dapat memilih kumpulan pengguna mana di SuccessFactors yang harus ada dalam cakupan untuk provisi ke AD, dengan menentukan sekumpulan filter berbasis atribut. Cakupan default adalah "semua pengguna di SuccessFactors". Contoh filter:

   • Contoh: Cakupan kepada pengguna dengan personIdExternal antara 1000000 dan 2000000 (tidak termasuk 2000000)

     • Atribut: personIdExternal

     • Operator: REGEX Match

     • Nilai: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Contoh: Hanya karyawan dan bukan pekerja kontingen

     • Atribut: EmployeeID

     • Operator: TIDAK NIHIL

   Tip

   Saat mengonfigurasi aplikasi provisi untuk pertama kalinya, Anda harus menguji dan memverifikasi pemetaan serta ekspresi atribut untuk memastikan bahwa aplikasi ini memberi Anda hasil yang diinginkan. Microsoft merekomendasikan penggunaan filter cakupan di bawah Cakupan Objek Sumber untuk menguji pemetaan Anda dengan beberapa pengguna penguji dari SuccessFactors. Setelah memverifikasi bahwa pemetaan berfungsi, Anda dapat menghapus filter atau memperluasnya secara bertahap untuk menyertakan lebih banyak pengguna.

   Perhatian

   Perilaku default dari mesin provisi adalah untuk menonaktifkan/menghapus pengguna yang keluar dari cakupan. Fungsi ini mungkin tidak diinginkan dalam integrasi SuccessFactors ke AD Anda. Untuk menimpa perilaku default ini, lihat artikel Lewati penghapusan akun pengguna yang keluar dari cakupan

3. Di bidang Tindakan Objek Target, Anda dapat memfilter secara global tindakan apa yang dilakukan pada Direktori Aktif. Buat dan Perbarui adalah paling umum.

4. Di bagian Pemetaan atribut, Anda dapat menentukan bagaimana SuccessFactors individu memetakan atribut ke atribut Direktori Aktif.

   Catatan

   Untuk daftar lengkap atribut SuccessFactors yang didukung oleh aplikasi, silakan merujuk ke Referensi Atribut SuccessFactors

5. Klik pemetaan atribut yang ada untuk memperbaruinya, atau klik Tambahkan pemetaan baru di bagian bawah layar untuk menambahkan pemetaan baru. Pemetaan atribut individual mendukung properti ini:

   • Jenis Pemetaan

     • Langsung – Menulis nilai atribut SuccessFactors ke atribut AD, tanpa perubahan

     • Konstanta - Tulis nilai string statis dan konstan ke atribut AD

     • Ekspresi – Memungkinkan Anda menulis nilai kustom ke atribut AD, berdasarkan satu atau beberapa atribut SuccessFactors. Untuk informasi selengkapnya, lihat artikel ini tentang ekspresi.

   • Atribut sumber - Atribut pengguna dari SuccessFactors

   • Nilai default – Opsional. Jika atribut sumber nilainya kosong, pemetaan akan menuliskan nilai ini sebagai gantinya. Konfigurasi yang paling umum adalah membiarkannya kosong.

   • Atribut target – Atribut Pengguna di Active Directory.

   • Mencocokkan objek menggunakan atribut ini – Apakah pemetaan ini harus digunakan untuk mengidentifikasi pengguna antara SuccessFactors dan Layanan Domain Active Directory secara unik atau tidak. Nilai ini biasanya ditetapkan pada bidang ID Pekerja untuk SuccessFactors, yang biasanya dipetakan ke salah satu atribut ID Karyawan di Active Directory Domain Services.

   • Pencocokan diutamakan - Beberapa atribut yang cocok dapat diatur. Ketika ada beberapa atribut, maka dievaluasi dalam urutan yang ditentukan oleh bidang ini. Segera setelah ditemukan kecocokan, tidak ada atribut pencocokan lebih lanjut yang dievaluasi.

   • Terapkan pemetaan ini

     • Selalu – Terapkan pemetaan ini pada tindakan pembuatan dan pembaruan pengguna

     • Hanya selama pembuatan - Terapkan pemetaan ini hanya pada tindakan pembuatan pengguna

6. Untuk menyimpan pemetaan Anda, klik Simpan di bagian atas Atribut-Pemetaan Anda.

Setelah konfigurasi pemetaan atribut Anda selesai, Anda dapat menguji provisi untuk satu pengguna menggunakan provisi sesuai permintaan dan kemudian mengaktifkan dan meluncurkan layanan provisi pengguna.

Mengaktifkan dan meluncurkan provisi pengguna

Setelah konfigurasi aplikasi provisi SuccessFactors selesai dan Anda telah memverifikasi provisi untuk satu pengguna dengan provisi sesuai permintaan, Anda dapat mengaktifkan layanan provisi.

Tip

Secara default saat Anda mengaktifkan layanan provisi, layanan akan memulai operasi provisi untuk semua pengguna dalam cakupan. Jika terdapat kesalahan dalam pemetaan atau masalah data SuccessFactors, maka pekerjaan provisi mungkin gagal dan masuk ke status karantina. Untuk menghindari hal ini, sebagai praktik terbaik, kami sarankan untuk mengonfigurasi filter Cakupan Objek Sumber dan menguji pemetaan atribut Anda dengan beberapa pengguna penguji menggunakan provisi sesuai permintaan sebelum meluncurkan sinkronisasi penuh untuk semua pengguna. Setelah Anda memverifikasi bahwa pemetaan berfungsi dan memberi Anda hasil yang diinginkan, maka Anda dapat menghapus filter atau secara bertahap memperluasnya untuk menyertakan lebih banyak pengguna.

1. Buka bilah Penyediaan dan klik Mulai penyediaan.

2. Operasi ini akan memulai sinkronisasi awal, yang dapat memakan waktu beberapa jam bergantung pada berapa banyak pengguna yang berada di penyewa SuccessFactors. Anda dapat memeriksa bilah kemajuan untuk melacak kemajuan siklus sinkronisasi.

3. Sewaktu-waktu, periksa tab Log audit di portal Microsoft Azure untuk melihat tindakan yang telah dilakukan layanan provisi. Log audit mencantumkan semua peristiwa sinkronisasi individual yang dilakukan oleh layanan provisi, seperti pengguna yang dibacakan dari SuccessFactors dan kemudian ditambahkan atau diperbarui ke Active Directory.

4. Setelah sinkronisasi awal selesai, laporan ringkasan audit di tab Penyediaan akan ditulis, seperti yang ditunjukkan di bawah ini.

   

Langkah berikutnya

• Pelajari selengkapnya tentang Atribut SuccessFactors yang didukung untuk provisi masuk
• Pelajari cara mengonfigurasi tulis balik alamat email ke SuccessFactors
• Mempelajari cara mengulas log dan mendapatkan laporan tentang aktivitas provisi
• Pelajari cara mengonfigurasi akses menyeluruh antara SuccessFactors dan ID Microsoft Entra
• Pelajari cara mengintegrasikan aplikasi SaaS lainnya dengan ID Microsoft Entra
• Pelajari cara mengekspor dan mengimpor konfigurasi provisi Anda