Mengonfigurasi SAP SuccessFactors untuk penyediaan pengguna Active Directory

Tujuan dari artikel ini adalah untuk menunjukkan langkah-langkah yang perlu Anda lakukan untuk menyediakan pengguna dari SuccessFactors Employee Central ke Active Directory (AD) dan Microsoft Entra ID, dengan opsi menulis kembali alamat email ke SuccessFactors.

Catatan

Gunakan artikel ini jika pengguna yang ingin Anda provisikan dari SuccessFactors memerlukan akun AD lokal dan secara opsional akun Microsoft Entra. Jika pengguna dari SuccessFactors hanya memerlukan akun Microsoft Entra (pengguna khusus cloud), lihat artikel tentang mengonfigurasi SAP SuccessFactors ke provisi pengguna MICROSOFT Entra ID .

Video berikut ini memberikan gambaran umum singkat tentang langkah-langkah yang terlibat saat merencanakan integrasi provisi Anda dengan SAP SuccessFactors.

Gambaran Umum

Layanan provisi pengguna Microsoft Entra terintegrasi dengan Pusat Karyawan SuccessFactors untuk mengelola siklus hidup identitas pengguna.

Alur kerja provisi pengguna SuccessFactors yang didukung oleh layanan provisi pengguna Microsoft Entra memungkinkan otomatisasi sumber daya manusia dan skenario manajemen siklus hidup identitas berikut:

• Mempekerjakan karyawan baru - Saat karyawan baru ditambahkan ke SuccessFactors, akun pengguna secara otomatis dibuat di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra, dengan tulis balik alamat email ke SuccessFactors.

• Pembaruan atribut dan profil karyawan - Saat rekaman karyawan diperbarui di SuccessFactors (seperti nama, judul, atau manajer mereka), akun pengguna mereka secara otomatis diperbarui di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

• Penghentian karyawan - Saat karyawan dihentikan di SuccessFactors, akun pengguna mereka secara otomatis dinonaktifkan di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

• Perekrutan ulang karyawan - Saat karyawan di-rehired di SuccessFactors, akun lama mereka dapat diaktifkan kembali atau disediakan kembali secara otomatis (tergantung preferensi Anda) ke Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

Paling cocok untuk siapakah solusi penyediaan pengguna ini?

Solusi provisi pengguna SuccessFactors ke Direktori Aktif ini sangat cocok untuk:

• Organisasi yang menginginkan solusi berbasis cloud bawaan untuk provisi pengguna SuccessFactors, termasuk organisasi yang mengisi SuccessFactors dari SAP HCM menggunakan SAP Integration Suite

• Organisasi yang menyebarkan Microsoft Entra untuk provisi pengguna dengan aplikasi sumber dan target SAP, menggunakan Microsoft Entra untuk menyiapkan identitas untuk pekerja sehingga mereka dapat masuk ke satu atau beberapa aplikasi SAP, seperti SAP ECC atau SAP S/4HANA, dan secara opsional aplikasi non-SAP

• Organisasi yang memerlukan provisi pengguna langsung dari SuccessFactors ke Direktori Aktif sehingga pengguna dapat mengakses aplikasi terintegrasi Windows Server Active Directory dan aplikasi terintegrasi ID Microsoft Entra

• Organisasi yang mengharuskan pengguna untuk diprovisikan menggunakan data yang diperoleh dari Pusat Karyawan SuccessFactors (EC)

• Organisasi yang mengharuskan pengguna yang bergabung, dipindahkan, dan meninggalkan disinkronkan ke satu atau beberapa Hutan Active Directory, Domain, dan OU hanya berdasarkan informasi perubahan yang terdeteksi di Pusat Karyawan SuccessFactors (EC)

• Organisasi menggunakan Microsoft 365 untuk email

Arsitektur Solusi

Bagian ini menjelaskan arsitektur solusi provisi pengguna end-to-end untuk lingkungan hibrid umum. Ada dua aliran terkait:

• Aliran Data SDM Otoritatif – dari SuccessFactors ke Direktori Aktif di tempat: Dalam alur ini, peristiwa pekerja (seperti Perekrutan Baru, Transfer, Penghentian) pertama kali terjadi di SuccessFactors Employee Central di cloud dan kemudian data peristiwa mengalir ke Direktori Aktif di tempat melalui Microsoft Entra ID dan Agen Provisioning. Bergantung peristiwa tersebut, hal ini dapat menyebabkan operasi buat/perbarui/aktifkan/nonaktifkan dalam AD.

• Alur Tulis Balik Email – dari Active Directory lokal ke SuccessFactors: Setelah pembuatan akun selesai di Direktori Aktif, pembuatan akun disinkronkan dengan ID Microsoft Entra melalui Sinkronisasi Microsoft Entra Connect dan atribut email dapat ditulis kembali ke SuccessFactors.

  

Alur data pengguna akhir

1. Tim SDM melakukan transaksi pekerja (Joiners/Movers/Leavers atau New Hires/Transfers/Terminations) di SuccessFactors Employee Central.
2. Layanan provisi Microsoft Entra menjalankan sinkronisasi identitas terjadwal dari SuccessFactors EC dan mengidentifikasi perubahan yang perlu diproses untuk sinkronisasi dengan Active Directory lokal.
3. Layanan provisi Microsoft Entra memanggil Microsoft Entra Connect Provisioning Agent lokal dengan payload permintaan yang berisi operasi buat/perbarui/aktifkan/nonaktifkan akun AD.
4. Microsoft Entra Connect Provisioning Agent menggunakan akun layanan untuk menambahkan/memperbarui data akun AD.
5. Mesin Sinkronisasi Microsoft Entra Connect menjalankan sinkronisasi delta untuk menarik pembaruan di AD.
6. Pembaruan Direktori Aktif disinkronkan dengan ID Microsoft Entra.
7. Jika aplikasi SuccessFactors Writeback dikonfigurasi, aplikasi tersebut menulis kembali atribut email ke SuccessFactors, berdasarkan atribut yang cocok yang digunakan.

Merencanakan penyebaran Anda

Mengonfigurasi provisi pengguna berbasis SDM cloud dari SuccessFactors ke AD memerlukan perencanaan yang cukup besar yang mencakup berbagai aspek seperti:

• Penyiapan agen provisi Microsoft Entra Connect
• Jumlah aplikasi provisi pengguna SuccessFactors ke AD yang akan diterapkan
• Pencocokan ID, Pemetaan atribut, transformasi, dan filter pencakupan

Silakan merujuk ke rencana penyebaran SDM cloud untuk panduan komprehensif mengenai topik-topik ini. Silakan lihat referensi integrasi SAP SuccessFactors untuk mempelajari tentang entitas yang didukung, detail pemrosesan, dan cara menyesuaikan integrasi untuk skenario SDM yang berbeda.

Mengonfigurasi SuccessFactors untuk integrasi

Persyaratan umum dari semua konektor provisi SuccessFactors yaitu konektor-konektor tersebut memerlukan informasi masuk akun SuccessFactors dengan izin yang tepat untuk memanggil SuccessFactors OData API. Bagian ini menjelaskan langkah-langkah untuk membuat akun layanan di SuccessFactors dan memberikan izin yang sesuai.

• Membuat/mengidentifikasi akun pengguna API di SuccessFactors
• Membuat peran izin API
• Membuat Grup Izin untuk pengguna API
• Memberikan Peran Izin ke Grup Izin

Membuat/mengidentifikasi akun pengguna API di SuccessFactors

Bekerja sama dengan tim admin SuccessFactors atau mitra implementasi Anda untuk membuat atau mengidentifikasi akun pengguna di SuccessFactors untuk memanggil API OData. Kredensial nama pengguna dan kata sandi akun ini diperlukan saat mengonfigurasi aplikasi provisi di ID Microsoft Entra.

Membuat peran izin API

1. Masuk ke SAP SuccessFactors dengan akun pengguna yang memiliki akses ke Pusat Admin.

2. Cari Kelola Peran Izin, lalu pilih Kelola Peran Izin dari hasil pencarian.

3. Dari Daftar Peran Izin, pilih Buat Baru.

   

4. Tambahkan Nama Peran dan Deskripsi untuk peran izin baru. Nama dan deskripsi harus menunjukkan bahwa peran tersebut adalah untuk izin penggunaan API.

5. Di bawah Pengaturan izin, pilih Izin... , lalu gulir ke bawah daftar izin dan pilih Kelola Alat Integrasi. Centang kotak untuk Izinkan Admin mengakses OData API melalui Autentikasi Dasar.

   

6. Gulir ke bawah dalam kotak yang sama dan pilih EMPLOYEE Central API. Tambahkan izin seperti yang ditunjukkan di bawah ini untuk membaca dan mengedit menggunakan ODATA API. Pilih opsi edit jika Anda berencana menggunakan akun yang sama untuk skenario Tulis balik ke SuccessFactors.

   

7. Dalam kotak izin yang sama, buka Izin Pengguna -> Data Karyawan dan tinjau atribut yang dapat dibaca akun layanan dari penyewa SuccessFactors. Misalnya, untuk mengambil atribut Nama Pengguna dari SuccessFactors, pastikan bahwa izin "Lihat" diberikan untuk atribut ini. Demikian pula, tinjau setiap atribut untuk izin tampilan.

   

   Catatan

   Untuk daftar lengkap atribut yang dapat diakses oleh aplikasi provisi ini, lihat Referensi Atribut SuccessFactors

8. Pilih Selesai. Pilih Simpan Perubahan.

Membuat Izin Grup untuk pengguna API

1. Di Pusat Admin SuccessFactors, cari Kelola Grup Izin, lalu pilih Kelola Grup Izin dari hasil pencarian.

   

2. Dari jendela Kelola Grup Izin, pilih Buat Baru.

   

3. Tambahkan Nama Grup untuk grup baru. Nama grup harus menunjukkan bahwa grup adalah untuk pengguna API.

   

4. Tambahkan anggota ke grup. Misalnya, Anda dapat memilih Nama Pengguna dari menu drop-down Kumpulan Orang lalu memasukkan nama pengguna akun API yang digunakan untuk integrasi.

   

5. Pilih Selesai untuk menyelesaikan pembuatan Grup Izin.

Memberikan Peran Izin kepada Izin Grup

1. Di Pusat Admin SuccessFactors, cari Kelola Peran Izin, lalu pilih Kelola Peran Izin dari hasil pencarian.
2. Dari Daftar Peran Izin, pilih peran yang Anda buat untuk izin penggunaan API.
3. Di bawah Berikan peran ini ke..., pilih tombol Tambahkan... .
4. Pilih Grup Izin... dari menu drop-down, lalu pilih Pilih... untuk membuka jendela Grup untuk mencari dan memilih grup yang dibuat di atas.
5. Ulasan Peran Izin yang diberikan kepada Izin Grup.
6. Pilih Simpan Perubahan.

Mengonfigurasi provisi pengguna dari SuccessFactors ke Active Directory

Bagian ini menyediakan langkah untuk provisi akun pengguna dari SuccessFactors ke setiap domain Active Directory dalam cakupan integrasi Anda.

• Tambahkan aplikasi konektor provisi dan unduh Agen Provisi
• Menginstal dan mengonfigurasi Agen Provisi lokal
• Mengonfigurasi konektivitas ke SuccessFactors dan Direktori Aktif
• Mengonfigurasi pemetaan atribut
• Mengaktifkan dan meluncurkan penyediaan pengguna

Bagian 1: Menambahkan aplikasi konektor provisi dan mengunduh Provisioning Agent

Untuk mengonfigurasi provisioning Active Directory dengan SuccessFactors:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri ke Entra ID>Aplikasi Enterprise>Aplikasi baru.

3. Cari SuccessFactors ke Provisi Pengguna Direktori Aktif, dan tambahkan aplikasi tersebut dari galeri.

4. Setelah aplikasi ditambahkan dan layar detail aplikasi ditampilkan, pilih Provisioning

5. Mengubah ProvisiMode menjadi Otomatis

6. Pilih banner informasi yang ditampilkan untuk mengunduh Agen Provisi.

   

Bagian 2: Menginstal dan mengonfigurasi Provisioning Agent lokal

Untuk memprovisi ke Active Directory lokal, Provisioning Agent harus diinstal pada server, yang bergabung dengan domain yang memiliki akses jaringan ke domain Active Directory yang diinginkan.

Transfer alat penginstal agen yang diunduh ke host server dan ikuti langkah-langkah yang tercantum di bagian agen penginstalan untuk menyelesaikan konfigurasi agen.

Bagian 3: Di aplikasi provisi, konfigurasikan konektivitas ke SuccessFactors dan Active Directory

Dalam langkah ini, kami membangun konektivitas dengan SuccessFactors dan Active Directory.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Arahkan ke Entra ID>Aplikasi Perusahaan> Aplikasi Provisioning Pengguna SuccessFactors ke Active Directory yang dibuat di Bagian 1

3. Lengkapi bagian Info Masuk Admin sebagai berikut:

   • Nama Pengguna Admin – Masukkan nama pengguna akun pengguna SUCCESSFactors API, dengan ID perusahaan ditambahkan. Ini memiliki format: username@companyID

   • Kata sandi admin – Masukkan kata sandi akun pengguna SuccessFactors API.

   • URL Penyewa – Masukkan nama titik akhir layanan SUCCESSFactors OData API. Hanya masukkan nama host server tanpa http atau https. Nilai ini akan terlihat seperti: <api-server-name.successfactors.com>.

   • Hutan Direktori Aktif - "Nama" domain Direktori Aktif Anda, seperti yang terdaftar di agen. Gunakan menu tarik-turun untuk memilih domain target untuk provisi. Nilai ini biasanya merupakan string seperti: contoso.com

   • Kontainer Direktori Aktif - Masukkan DN kontainer tempat agen harus membuat akun pengguna secara default. Contoh: OU=Users,DC=contoso,DC=com

     Catatan

     Pengaturan ini hanya berlaku untuk pembuatan akun pengguna jika atribut parentDistinguishedName tidak dikonfigurasi dalam pemetaan atribut. Pengaturan ini tidak digunakan untuk operasi pencarian atau pembaruan pengguna. Seluruh sub pohon domain berada di dalam cakupan operasi pencarian.

   • Email Pemberitahuan – Masukkan alamat email Anda, dan centang kotak centang "kirim email jika kegagalan terjadi".

     Catatan

     Layanan provisi Microsoft Entra mengirim pemberitahuan email jika pekerjaan provisi masuk ke status karantina .

   • Pilih tombol Uji Koneksi. Jika pengujian koneksi berhasil, pilih tombol Simpan di bagian atas. Jika gagal, periksa kembali apakah info masuk SuccessFactors dan info masuk AD yang dikonfigurasi pada penyiapan agen valid.

   • Setelah kredensial berhasil disimpan, bagian Pemetaan menampilkan pemetaan default Menyinkronkan Pengguna SuccessFactors ke Direktori Aktif Lokal

Bagian 4: Mengonfigurasi pemetaan atribut

Di bagian ini, Anda mengonfigurasi bagaimana data pengguna mengalir dari SuccessFactors ke Direktori Aktif.

1. Pada tab Provisi di bawah Pemetaan, pilih Sinkronkan Pengguna SuccessFactors ke Direktori Aktif Lokal.

2. Di bidang Cakupan Objek Sumber , Anda dapat memilih set pengguna mana di SuccessFactors yang harus berada dalam cakupan provisi ke AD, dengan menentukan sekumpulan filter berbasis atribut. Cakupan default adalah semua pengguna di SuccessFactors. Contoh filter:

   • Contoh: Cakupan kepada pengguna dengan personIdExternal antara 1000000 dan 2000000 (tidak termasuk 2000000)

     • Atribut: personIdExternal

     • Operator: Pencocokan REGEX

     • Nilai: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Contoh: Hanya karyawan dan bukan pekerja kontingen

     • Atribut: EmployeeID

     • Operator: TIDAK NIHIL

   Petunjuk / Saran

   Saat mengonfigurasi aplikasi provisi untuk pertama kalinya, Anda perlu menguji dan memverifikasi pemetaan dan ekspresi atribut Anda untuk memastikan bahwa aplikasi tersebut memberi Anda hasil yang diinginkan. Microsoft merekomendasikan penggunaan filter cakupan di bawah Cakupan Objek Sumber untuk menguji pemetaan Anda dengan beberapa pengguna uji dari SuccessFactors. Setelah memverifikasi bahwa pemetaan berfungsi, Anda dapat menghapus filter atau memperluasnya secara bertahap untuk menyertakan lebih banyak pengguna.

   Perhatian

   Perilaku default dari mesin provisi adalah untuk menonaktifkan/menghapus pengguna yang keluar dari cakupan. Fungsi ini mungkin tidak diinginkan dalam integrasi SuccessFactors ke AD Anda. Untuk mengambil alih perilaku default ini, lihat artikel Melewati penghapusan akun pengguna yang keluar dari cakupan

3. Di bidang Tindakan Objek Target , Anda dapat memfilter tindakan apa yang dilakukan secara global di Direktori Aktif. Buat dan Perbarui adalah yang paling umum.

4. Di bagian Pemetaan atribut , Anda dapat menentukan bagaimana atribut SuccessFactors individual dipetakan ke atribut Direktori Aktif.

   Catatan

   Untuk daftar lengkap atribut SuccessFactors yang didukung oleh aplikasi, silakan lihat Referensi Atribut SuccessFactors

5. Pilih pemetaan atribut yang ada untuk memperbaruinya, atau pilih Tambahkan pemetaan baru di bagian bawah layar untuk menambahkan pemetaan baru. Pemetaan atribut individual mendukung properti ini:

   • Jenis Pemetaan

     • Langsung – Menulis nilai atribut SuccessFactors ke atribut AD, tanpa perubahan

     • Konstanta - Menulis nilai string statis dan konstanta ke atribut AD

     • Ekspresi – Memungkinkan Anda menulis nilai kustom ke atribut AD, berdasarkan satu atau beberapa atribut SuccessFactors. Untuk informasi selengkapnya, lihat artikel tentang ekspresi ini.

   • Atribut sumber - Atribut pengguna dari SuccessFactors

   • Nilai default – Opsional. Jika atribut sumber nilainya kosong, pemetaan akan menuliskan nilai ini sebagai gantinya. Konfigurasi yang paling umum adalah membiarkannya kosong.

   • Atribut target – Atribut pengguna di Direktori Aktif.

   • Cocokkan objek menggunakan atribut ini – Apakah pemetaan ini harus digunakan untuk mengidentifikasi pengguna secara unik antara SuccessFactors dan Active Directory atau tidak. Nilai ini biasanya ditetapkan pada bidang ID Pekerja untuk SuccessFactors, yang biasanya dipetakan ke salah satu atribut ID Karyawan di Active Directory Domain Services.

   • Prioritas pencocokan – Beberapa atribut yang cocok dapat diatur. Ketika ada beberapa atribut, maka dievaluasi dalam urutan yang ditentukan oleh bidang ini. Segera setelah ditemukan kecocokan, tidak ada atribut pencocokan lebih lanjut yang dievaluasi.

   • Terapkan pemetaan ini

     • Selalu – Terapkan pemetaan ini pada tindakan pembuatan dan pembaruan pengguna

     • Hanya selama pembuatan - Terapkan pemetaan ini hanya pada tindakan pembuatan pengguna

6. Untuk menyimpan pemetaan Anda, pilih Simpan di bagian atas bagian Attribute-Mapping.

Setelah konfigurasi pemetaan atribut selesai, Anda dapat menguji provisi untuk satu pengguna menggunakan provisi sesuai permintaan lalu mengaktifkan dan meluncurkan layanan provisi pengguna.

Mengaktifkan dan meluncurkan provisi pengguna

Setelah konfigurasi aplikasi provisi SuccessFactors selesai dan Anda telah memverifikasi provisi untuk satu pengguna dengan provisi sesuai permintaan, Anda dapat mengaktifkan layanan provisi.

Petunjuk / Saran

Secara default saat Anda mengaktifkan layanan provisi, layanan ini memulai operasi provisi untuk semua pengguna dalam cakupan. Jika terdapat kesalahan dalam pemetaan atau masalah data SuccessFactors, maka pekerjaan provisi mungkin gagal dan masuk ke status karantina. Untuk menghindari hal ini, sebagai praktik terbaik, kami sarankan untuk mengonfigurasi filter Cakupan Objek Sumber dan menguji pemetaan atribut Anda dengan beberapa pengguna pengujian menggunakan provisi sesuai permintaan sebelum meluncurkan sinkronisasi penuh untuk semua pengguna. Setelah Anda memverifikasi bahwa pemetaan berfungsi dan memberi Anda hasil yang diinginkan, maka Anda dapat menghapus filter atau secara bertahap memperluasnya untuk menyertakan lebih banyak pengguna.

1. Buka bilah Provisi dan pilih Mulai provisi.

2. Operasi ini memulai sinkronisasi awal, yang dapat memakan waktu sejumlah jam variabel tergantung pada berapa banyak pengguna yang berada di penyewa SuccessFactors. Anda dapat memeriksa bilah kemajuan untuk melacak kemajuan siklus sinkronisasi.

3. Kapan saja, periksa tab Provisi di pusat admin Entra untuk melihat tindakan apa yang telah dilakukan layanan provisi. Log provisi mencantumkan semua peristiwa sinkronisasi individual yang dilakukan oleh layanan provisi, seperti pengguna mana yang dibaca dari SuccessFactors dan kemudian ditambahkan atau diperbarui ke Direktori Aktif.

4. Setelah sinkronisasi awal selesai, laporan ringkasan audit ditulis di tab Penyediaan, sebagaimana ditunjukkan di bawah ini.

   

Konten terkait

• Pelajari lebih lanjut tentang Atribut SuccessFactors yang didukung untuk penyediaan masuk
• Pelajari cara mengonfigurasi tulis balik email ke SuccessFactors
• Pelajari cara meninjau log dan mendapatkan laporan tentang aktivitas provisi
• Pelajari cara mengonfigurasi akses menyeluruh antara SuccessFactors dan ID Microsoft Entra
• Pelajari cara mengintegrasikan aplikasi SaaS lainnya dengan ID Microsoft Entra
• Pelajari cara mengekspor dan mengimpor konfigurasi provisi Anda