Esercitazione: Configurare il writeback degli attributi da Microsoft Entra ID a SAP SuccessFactors

Questa esercitazione descrive i passaggi per scrivere attributi da Microsoft Entra ID a SAP SuccessFactors Employee Central.

Panoramica

È possibile configurare l'app di writeback SAP SuccessFactors per scrivere attributi specifici da Microsoft Entra ID a SAP SuccessFactors Employee Central. L'app di provisioning Writeback di SuccessFactors supporta l'assegnazione di valori agli attributi di Employee Central seguenti:

• Indirizzo di posta elettronica aziendale
• Username
• Numero di telefono aziendale (comprensivo di codice paese, prefisso, numero e interno)
• Flag principale numero di telefono aziendale
• Numero di telefono cellulare (comprensivo di codice paese, prefisso, numero)
• Flag principale telefono cellulare
• Attributi utente custom01-custom15
• Attributo loginMethod

Nota

Questa app non ha alcuna dipendenza dalle app di integrazione del provisioning utenti in ingresso di SuccessFactors. È possibile configurarla indipendentemente da SuccessFactors all'app di provisioning DI AD locale o da SuccessFactors all'app di provisioning di Microsoft Entra ID .

Per altre informazioni sugli scenari supportati, sui problemi noti e sulle limitazioni, vedere la sezione Degli scenari di writeback della guida di riferimento all'integrazione di SAP SuccessFactors.

Per chi è più adatta questa soluzione di provisioning utenti?

Questa soluzione di provisioning utenti Writeback di SuccessFactors è idealmente la più appropriata per:

• Le organizzazioni che usano Microsoft 365 e vogliono eseguire il writeback degli attributi autorevoli gestiti dall'IT (ad esempio indirizzo di posta elettronica, telefono, nome utente) in SuccessFactors Employee Central.

Configurazione di SuccessFactors per l'integrazione

Tutti i connettori per il provisioning di SuccessFactors richiedono le credenziali di un account SuccessFactors con le autorizzazioni appropriate per richiamare le API OData di Employee Central. Questa sezione descrive la procedura da eseguire per creare l'account del servizio in SuccessFactors e concedere le autorizzazioni appropriate.

• Creare/identificare l'account utente dell'API in SuccessFactors
• Creare un ruolo delle autorizzazioni API
• Creare un gruppo di autorizzazioni per l'utente dell'API
• Concedere il ruolo delle autorizzazioni al gruppo di autorizzazioni

Creare/identificare l'account utente dell'API in SuccessFactors

Collaborare con il team di amministrazione di SuccessFactors o con il partner responsabile dell'implementazione per creare o identificare un account utente in SuccessFactors che verrà usato per richiamare le API OData. Le credenziali di nome utente e password di questo account saranno necessarie durante la configurazione delle app di provisioning in Microsoft Entra ID.

Creare un ruolo delle autorizzazioni API

1. Accedere a SAP SuccessFactors con un account utente che ha accesso all'Interfaccia di amministrazione.

2. Cercare Manage Permission Roles (Gestisci ruoli autorizzazione), quindi selezionare Manage Permission Roles dai risultati della ricerca.

   

3. In Permission Role List (Elenco ruoli autorizzazioni) fare clic su Create New (Crea nuovo).

   

4. In Role Name e Description aggiungere rispettivamente un nome e una descrizione per il nuovo ruolo di autorizzazioni. Il nome e la descrizione devono indicare che il ruolo riguarda le autorizzazioni di utilizzo dell'API.

   

5. In Permission settings (Impostazioni autorizzazione) fare clic su Permission (Autorizzazione), quindi scorrere l'elenco delle autorizzazioni verso il basso e fare clic su Manage Integration Tools (Gestione strumenti di integrazione). Selezionare la casella Allow Admin to Access to OData API through Basic Authentication (Consenti all'amministratore di accedere all'API OData tramite l'autenticazione di base).

   

6. Scorrere verso il basso nello stesso riquadro e selezionare Employee Central API (API Employee Central). Aggiungere le autorizzazioni di lettura e modifica dell'API ODATA, come illustrato di seguito. Selezionare l'opzione di modifica se si prevede di usare lo stesso account per lo scenario di writeback in SuccessFactors.

   

7. Fare clic su Done (Fine). Fare clic su Save Changes (Salva modifiche).

Creare un gruppo di autorizzazioni per l'utente dell'API

1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Groups (Gestisci gruppi di autorizzazioni), quindi selezionare Manage Permission Groups dai risultati della ricerca.

   

2. Nella finestra Manage Permission Groups fare clic su Create New (Crea nuovo).

   

3. Aggiungere un nome per il nuovo gruppo. Il nome del gruppo deve indicare che il gruppo è riservato agli utenti dell'API.

   

4. Aggiungere membri al gruppo. Ad esempio, si potrebbe selezionare Username (Nome utente) dal menu a discesa People Pool (Pool utenti) e quindi immettere il nome utente dell'account API che verrà usato per l'integrazione.

   

5. Fare clic su Done (Fine) per completare la creazione del gruppo di autorizzazioni.

Concedere il ruolo delle autorizzazioni al gruppo di autorizzazioni

1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Roles (Gestisci ruoli autorizzazioni), quindi selezionare Manage Permission Roles dai risultati della ricerca.

2. In Permission Role List (Elenco ruoli autorizzazioni) selezionare il ruolo creato per le autorizzazioni di utilizzo dell'API.

3. In Concedi questo ruolo a... fai clic su Aggiungi... Pulsante.

4. Selezionare Permission Group (Gruppo di autorizzazioni) dal menu a discesa, quindi fare clic su Select (Seleziona) per aprire la finestra Groups (Gruppi) per cercare e selezionare il gruppo creato in precedenza.

   

5. Verificare la concessione del ruolo delle autorizzazioni al gruppo di autorizzazioni.

   

6. Fare clic su Save Changes (Salva modifiche).

Preparazione dell'app Writeback di SuccessFactors

L'app di provisioning Writeback di SuccessFactors usa determinati valori di codice per impostare gli indirizzi di posta elettronica e i numeri di telefono in Employee Central. Questi valori di codice sono impostati come valori costanti nella tabella di mapping degli attributi e sono diversi per ogni istanza di SuccessFactors. Questa sezione illustra la procedura per acquisire questi valori di codice.

Nota

Coinvolgere l'amministratore di SuccessFactors per completare la procedura.

Identificare i nomi degli elenchi a discesa di indirizzi di posta elettronica e numeri di telefono

In SAP SuccessFactors un elenco a discesa è un set di opzioni configurabile da cui un utente può effettuare una selezione. I diversi tipi di e-mail e numero di telefono (ad esempio, affari, personali e altri) sono rappresentati usando un elenco a discesa. In questo passaggio si identificheranno gli elenchi a discesa configurati nel tenant di SuccessFactors per archiviare i valori di indirizzi di posta elettronica e numeri di telefono.

1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Business Configuration (Gestione configurazione aziendale).

   

2. In HRIS Elements (Elementi HRIS) selezionare emailInfo e fare clic su Details (Dettagli) per il campo email-type.

   

3. Nella pagina dei dettagli di email-type prendere nota del nome dell'elenco a discesa associato a questo campo. Per impostazione predefinita, il nome è ecEmailType. Nel proprio tenant potrebbe tuttavia essere diverso.

   

4. In HRIS Elements (Elementi HRIS) selezionare phoneInfo e fare clic su Details (Dettagli) per il campo phone-type.

   

5. Nella pagina dei dettagli di phone-type prendere nota del nome dell'elenco a discesa associato a questo campo. Per impostazione predefinita, il nome è ecPhoneType. Nel proprio tenant potrebbe tuttavia essere diverso.

   

Recuperare il valore costante di emailType

1. Nell'interfaccia di amministrazione di SuccessFactors cercare e aprire Picklist Center (Centro elenchi a discesa).

2. Usare il nome dell'elenco a discesa di posta elettronica acquisito dalla sezione precedente (ad esempio ecEmailType) per trovare l'elenco di selezione del messaggio di posta elettronica.

   

3. Aprire l'elenco a discesa del tipo di indirizzo di posta elettronica Active (Attivo).

   

4. Nella pagina dell'elenco a discesa ecEmailType selezionare il tipo di indirizzo di posta elettronica Business (aziendale).

   

5. Prendere nota del valore di Option ID (ID opzione) associato all'indirizzo di posta elettronica Business. È il codice che verrà usato con emailType nella tabella di mapping degli attributi.

   

   Nota

   Quando si copia il valore, eliminare la virgola. Ad esempio, se il valore option ID è 8.448, impostare emailType in Microsoft Entra ID sul numero costante 8448 (senza il carattere virgola).

Recuperare il valore costante di phoneType

1. Nell'interfaccia di amministrazione di SuccessFactors cercare e aprire Picklist Center (Centro elenchi a discesa).

2. Per trovare l'elenco a discesa dei numeri di telefono, usare il nome acquisito nella sezione precedente.

   

3. Aprire l'elenco a discesa del tipo di numero di telefono Active (Attivo).

   

4. Nella pagina dell'elenco a discesa ecPhoneType esaminare i diversi tipi di numeri di telefono elencati in Picklist Values (Valori elenco a discesa).

   

5. Prendere nota del valore di Option ID (ID opzione) associato al numero di telefono Business. È il codice che verrà usato con businessPhoneType nella tabella di mapping degli attributi.

   

6. Prendere nota del valore di Option ID (ID opzione) associato al numero di telefono Cell (Cellulare). È il codice che verrà usato con cellPhoneType nella tabella di mapping degli attributi.

   

   Nota

   Quando si copia il valore, eliminare la virgola. Ad esempio, se il valore option ID è 10.606, impostare la cella Telefono Type in Microsoft Entra ID sul numero costante 10606 (senza il carattere virgola).

Configurazione dell'app Writeback di SuccessFactors

Questa sezione illustra la procedura per

• Aggiungere l'app connettore di provisioning e configurare la connettività a SuccessFactors
• Configurare i mapping degli attributi
• Abilitare e avviare il provisioning utenti

Parte 1: Aggiungere l'app connettore di provisioning e configurare la connettività a SuccessFactors

Per configurare l'app Writeback di SuccessFactors:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.

3. Cercare SuccessFactors Writeback (Writeback di SuccessFactors) e aggiungere tale applicazione dalla raccolta.

4. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning

5. Impostare Modalità diprovisioning su Automatico

6. Completare la sezione Credenziali amministratore come segue:

   • Nome utente amministratore: immettere il nome utente dell'account utente dell'API SuccessFactors, seguito dall'ID società. Ha il formato: username@companyID

   • Password amministratore: immettere la password dell'account utente dell'API SuccessFactors.

   • URL tenant: immettere il nome dell'endpoint di servizio dell'API OData di SuccessFactors. Immettere solo il nome host del server senza http o https. Il valore dovrebbe essere simile a api4.successfactors.com.

   • Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

   Nota

   Il servizio di provisioning Microsoft Entra invia una notifica tramite posta elettronica se il processo di provisioning entra in uno stato di quarantena .

   • Fare clic sul pulsante Test connessione. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. Se il test non riesce, verificare che le credenziali e l'URL di SuccessFactors siano validi.

   

   • Dopo il salvataggio delle credenziali, la sezione Mapping mostrerà il mapping predefinito. Se i mapping degli attributi non sono visibili, aggiornare la pagina.

Parte 2: Configurare i mapping degli attributi

In questa sezione verrà configurato il flusso dei dati utente da SuccessFactors ad Active Directory.

1. Nella scheda Provisioning in Mapping fare clic su Provisioning utenti di Microsoft Entra.

2. Nel campo Ambito oggetto di origine è possibile selezionare i set di utenti in Microsoft Entra ID da considerare per il writeback, definendo un set di filtri basati su attributi. L'ambito predefinito è "tutti gli utenti in Microsoft Entra ID".

   Suggerimento

   Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping degli attributi e le espressioni per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare i filtri di ambito in Ambito oggetto di origine per testare i mapping con alcuni utenti di test da Microsoft Entra ID. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

3. Il campo Azioni oggetto di destinazione supporta solo l'operazione di aggiornamento.

4. Nella tabella di mapping nella sezione Mapping degli attributi è possibile eseguire il mapping degli attributi di Microsoft Entra seguenti a SuccessFactors. La tabella seguente fornisce indicazioni su come eseguire il mapping degli attributi di writeback.

   #	Attributo Microsoft Entra	Attributo di SuccessFactors	Osservazioni:
   1	employeeId	personIdExternal	Per impostazione predefinita, questo attributo è l'identificatore corrispondente. Anziché employeeId è possibile usare qualsiasi altro attributo di Microsoft Entra che può archiviare il valore uguale a personIdExternal in SuccessFactors.
   2	mail	email	Eseguire il mapping dell'origine dell'attributo email. A scopo di test, è possibile eseguire il mapping di userPrincipalName a email.
   3	8448	emailType	Questo valore costante è il valore dell'ID SuccessFactors associato al tipo di indirizzo di posta elettronica aziendale. Aggiornare il valore in modo che corrisponda all'ambiente di SuccessFactors. Per la procedura da eseguire per impostare questo valore, vedere la sezione Recuperare il valore costante di emailType.
   4	true	emailIsPrimary	Usare questo attributo per impostare l'indirizzo di posta elettronica aziendale come primario in SuccessFactors. Se l'indirizzo di posta elettronica aziendale non è quello primario, impostare questo flag su false.
   5	userPrincipalName	[custom01 – custom15]	Usando Aggiungi nuovo mapping, è possibile scrivere facoltativamente userPrincipalName o qualsiasi attributo Microsoft Entra in un attributo personalizzato disponibile nell'oggetto User SuccessFactors.
   6	In Prem SamAccountName	username	Facoltativamente, usando Aggiungi nuovo mapping è possibile eseguire il mapping dell'attributo samAccountName locale all'attributo username di SuccessFactors. Usare Microsoft Entra Connessione Sync: estensioni della directory per sincronizzare samAccountName con Microsoft Entra ID. Verrà visualizzato nell'elenco a discesa di origine come extension_yourTenantGUID_samAccountName
   7	SSO	loginMethod	Se il tenant di SuccessFactors è configurato per il Single Sign-On parziale, usando Aggiungi nuovo mapping è possibile impostare loginMethod su un valore costante "SSO" o "PWD".
   8	telephoneNumber	businessPhoneNumber	Usare questo mapping per scorrere telephoneNumber da Microsoft Entra ID a SuccessFactors business/numero di telefono aziendale/ aziendale.
   9	10605	businessPhoneType	Questo valore costante è il valore dell'ID SuccessFactors associato al tipo di numero di telefono aziendale. Aggiornare il valore in modo che corrisponda all'ambiente di SuccessFactors. Per la procedura da eseguire per impostare questo valore, vedere la sezione Recuperare il valore costante di phoneType.
   10	true	businessPhoneIsPrimary	Usare questo attributo per impostare il flag primario per il numero di telefono aziendale. I valori validi sono true o false.
   11	per dispositivi mobili	cellPhoneNumber	Usare questo mapping per scorrere telephoneNumber da Microsoft Entra ID a SuccessFactors business/numero di telefono aziendale/ aziendale.
   12	10606	cellPhoneType	Questo valore costante è il valore dell'ID SuccessFactors associato al tipo di numero di telefono cellulare. Aggiornare il valore in modo che corrisponda all'ambiente di SuccessFactors. Per la procedura da eseguire per impostare questo valore, vedere la sezione Recuperare il valore costante di phoneType.
   13	false	cellPhoneIsPrimary	Usare questo attributo per impostare il flag primario per il numero di telefono cellulare. I valori validi sono true o false.
   14	[extensionAttribute1-15]	userId	Usare questo mapping per assicurarsi che il record attivo in SuccessFactors venga aggiornato quando sono presenti più record di impiego per lo stesso utente. Per altri dettagli, vedere Abilitazione del writeback con UserID

5. Convalidare e rivedere i mapping degli attributi.

   

6. Fare clic su Salva per salvare i mapping. A questo punto occorre aggiornare le espressioni API JSON Path in modo che usino i codici phoneType nell'istanza di SuccessFactors.

7. Selezionare Mostra opzioni avanzate.

   

8. Selezionare Edit attribute list for SuccessFactors (Modifica elenco attributi per SuccessFactors).

   Nota

   Se l'opzione Edit attribute list for SuccessFactors non è visualizzata nel portale di Azure, usare l'URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true per accedere alla pagina.

9. La colonna Espressione API contiene le espressioni JSON Path usate dal connettore.

10. Aggiornare le espressioni JSON Path per il numero di telefono aziendale e il numero di telefono cellulare in modo che usino il valore ID (businessPhoneType e cellPhoneType) corrispondente all'ambiente.

    

11. Fare clic su Salva per salvare i mapping.

Abilitare e avviare il provisioning utenti

Dopo aver completato le configurazioni dell'app di provisioning di SuccessFactors, è possibile attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita quando si attiva il servizio di provisioning, verranno avviate le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti test prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

1. Nella scheda Provisioning impostare Stato provisioning su Attivato.

2. Selezionare Ambito. È possibile selezionare una delle opzioni seguenti:

   • Sincronizza tutti gli utenti e i gruppi: selezionare questa opzione se si prevede di eseguire il writeback degli attributi mappati di tutti gli utenti da Microsoft Entra ID a SuccessFactors, in base alle regole di ambito definite in Mapping ->Ambito oggetto di origine.
   • Sincronizza solo utenti e gruppi assegnati: selezionare questa opzione se si prevede di eseguire il writeback degli attributi mappati solo degli utenti assegnati a questa applicazione nell'opzione di menu Application ->Manage -Users and groups (Gestisci ->Utenti e gruppi). Questi utenti sono soggetti anche alle regole di ambito definite in Mapping ->Ambito oggetto di origine.

   

   Nota

   Le app di provisioning writeback di SuccessFactors create dopo il 12-ottobre 2022 supportano la funzionalità "assegnazione di gruppo". Se l'app è stata creata prima del 12 ottobre 2022, avrà solo il supporto per l'assegnazione di utenti. Per usare la funzionalità "assegnazione di gruppo", creare una nuova istanza dell'applicazione writeback SuccessFactors e spostare le configurazioni di mapping esistenti in questa app.

3. Fare clic su Salva.

4. Questa operazione avvierà la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Microsoft Entra e dell'ambito definito per l'operazione. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.

5. In qualsiasi momento è possibile controllare la scheda Log di provisioning nel portale di Azure per vedere quali azioni sono state eseguite dal servizio di provisioning. In questa scheda sono elencati tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning.

6. Al termine della sincronizzazione iniziale, verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.

   

Passaggi successivi

• Approfondimenti sulle informazioni di riferimento per l'integrazione di Microsoft Entra ID e SAP SuccessFactors
• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning
• Informazioni su come configurare l'accesso Single Sign-On tra SuccessFactors e Microsoft Entra ID
• Informazioni su come integrare altre applicazioni SaaS con Microsoft Entra ID
• Informazioni su come esportare e importare le configurazioni del provisioning