チュートリアル:Microsoft Entra ID から SAP SuccessFactors への属性の書き戻しを構成する

  • [アーティクル]

このチュートリアルは、Microsoft Entra ID から SAP SuccessFactors Employee Central に属性を書き戻すための手順を説明することを目的としています。

概要

Microsoft Entra ID から SAP SuccessFactors Employee Central に特定の属性が書き込まれるように、SAP SuccessFactors Writeback アプリを構成することができます。 SuccessFactors 書き戻しプロビジョニング アプリでは、次の Employee Central 属性に対する値の割り当てがサポートされています。

  • 勤務先の電子メール
  • ユーザー名
  • 勤務先の電話番号 (国番号、市外局番、番号、内線番号を含む)
  • 勤務先電話番号のプライマリ フラグ
  • 携帯電話番号 (国番号、市外局番、番号、内線番号を含む)
  • 携帯電話のプライマリ フラグ
  • ユーザーの custom01 - custom15 属性
  • loginMethod 属性

注意

このアプリには、SuccessFactors 受信ユーザー プロビジョニング統合アプリに対する依存関係はありません。 SuccessFactors からオンプレミス AD プロビジョニング アプリまたは SuccessFactors から Microsoft Entra ID プロビジョニング アプリとは関係なく、構成することができます。

サポートされているシナリオ、既知の問題、制限事項の詳細については、SAP SuccessFactors 統合リファレンス ガイドの「書き戻しのシナリオ」セクションを参照してください。

このユーザー プロビジョニング ソリューションが最適な場合

この SuccessFactors Writeback ユーザー プロビジョニング ソリューションは、次の場合に最適です:

  • IT によって管理される信頼できる属性 (メール アドレス、電話番号、ユーザー名など) を SuccessFactors Employee Central に書き戻す必要のある、Microsoft 365 を使用している組織。

統合のための SuccessFactors の構成

すべての SuccessFactors プロビジョニング コネクタでは、Employee Central OData API を呼び出すための適切なアクセス許可を持つ SuccessFactors アカウントの資格情報が必要です。 このセクションでは、SuccessFactors でサービス アカウントを作成し、適切なアクセス許可を付与する手順を説明します。

SuccessFactors で API ユーザー アカウントを作成または識別する

SuccessFactors 管理チームまたは実装パートナーと協力して、OData API の呼び出しに使用される SuccessFactors のユーザー アカウントを作成または識別します。 Microsoft Entra ID でプロビジョニング アプリを構成する場合、このアカウントのユーザー名とパスワードの資格情報が必要になります。

API アクセス許可ロールを作成する

  1. Admin Center にアクセスできるユーザーアカウントで SAP SuccessFactors にログインします。

  2. "Manage Permission Roles" を検索し、検索結果から [Manage Permission Roles](アクセス許可ロールの管理) を選択します。

    アクセス許可ロールを管理する

  3. [Permission Role List](アクセス許可ロール一覧) で、 [Create New](新規作成) をクリックします。

    アクセス許可ロールの新規作成

  4. 新しいアクセス許可ロールの [Role Name](ロール名)[Description](説明) を追加します。 名前と説明では、このロールが API 使用アクセス許可されていることを示す必要があります。

    アクセス許可のロールの詳細

  5. [Permission settings](アクセス許可の設定) で、 [Permission](アクセス許可) をクリックし、アクセス許可一覧を下にスクロールして [Manage Integration Tools](統合ツールの管理) をクリックします。 [Allow Admin to Access to OData API through Basic Authentication](管理者が Websites Basic 認証を介して OData API にアクセスできるようにする) チェックボックスを有効にします。

    統合ツールの管理

  6. 同じボックス内を下にスクロールし、 [Employee Central API] を選択します。 次に示すように、ODATA API を使用して読み取り、ODATA API を使用して編集するためのアクセス許可を追加します。 SuccessFactors への書き戻しシナリオに同じアカウントを使用する場合は、編集オプションを選択します。

    読み取りと書き込みのアクセス許可

  7. [Done]\(終了) をクリックします。 [変更を保存] をクリックします。

API ユーザーのアクセス許可グループを作成する

  1. SuccessFactors Admin Center で、"Manage Permission Groups" を検索し、検索結果から [Manage Permission Groups](アクセス許可グループの管理) を選択します。

    アクセス許可グループの管理

  2. [Manage Permission Groups](アクセス許可グループの管理) ウィンドウで、 [Create New](新規作成) をクリックします。

    新しいグループの追加

  3. 新しいグループのグループ名を追加します。 グループ名は、グループが API ユーザー用であることを示す必要があります。

    アクセス許可グループ名

  4. グループにメンバーを追加します。 たとえば、[People Pool](ユーザー プール) ドロップダウン メニューから [Username](ユーザー名) を選択し、統合に使用する API アカウントのユーザー名を入力します。

    グループ メンバーの追加

  5. [Done](完了) をクリックして、アクセス許可グループの作成を完了します。

許可グループに許可ロールを付与する

  1. SuccessFactors Admin Center で、"Manage Permission Roles" を検索し、検索結果から [Manage Permission Roles](アクセス許可ロールの管理) を選択します。

  2. [Permission Role List](アクセス許可ロール一覧) から、API 使用アクセス許可用に作成したロールを選択します。

  3. [Grant this role to] (このロールに付与するアクセス許可) で、[Add] (追加) ボタンをクリックします。

  4. ドロップダウン メニューから [Permission Group](アクセス許可グループ) を選択し、 [Select](選択) をクリックして [Groups](グループ) ウィンドウを開き、先ほど作成したグループを検索して選択します。

    アクセス許可グループの追加

  5. アクセス許可グループに対するアクセス許可ロールの付与を確認します。

    アクセス許可ロールおよびグループの詳細

  6. [変更を保存] をクリックします。

SuccessFactors Writeback の準備

SuccessFactors Writeback プロビジョニング アプリでは、Employee Central でメール アドレスと電話番号を設定するために、特定の "コード" の値が使用されます。 これらの "コード" の値は、属性マッピング テーブルの定数値として設定され、SuccessFactors のインスタンスごとに異なります。 このセクションでは、これらの "コード" 値をキャプチャする手順について説明します。

注意

このセクションの手順を完了するには、SuccessFactors 管理者に協力を要請してください。

メール アドレスと電話番号の候補リストの名前を識別する

SAP SuccessFactors では、"候補リスト" は、ユーザーが選択できるオプションの構成可能なセットです。 さまざまな種類のメール アドレスと電話番号 (例: 勤務先、個人、その他) は、候補リストを使用して表されます。 この手順では、メール アドレスと電話番号の値を格納するために、SuccessFactors テナントで構成されている候補リストを識別します。

  1. SuccessFactors Admin Center で、"Manage business configuration" (勤務先の構成の管理) を検索します。

    勤務先の構成の管理

  2. [HRIS Elements](HRIS 要素)[emailInfo] を選択し、 [email-type] フィールドの [Details](詳細) をクリックします。

    メール アドレス情報の取得

  3. [email-type] の詳細ページで、このフィールドに関連付けられている候補リストの名前を書き留めます。 既定では、ecEmailType です。 ただし、テナントによって異なる場合があります。

    メール アドレスの候補リストの識別

  4. [HRIS Elements](HRIS 要素)[phoneInfo] を選択し、 [phone-type] フィールドの [Details](詳細) をクリックします。

    電話情報の取得

  5. [phone-type] の詳細ページで、このフィールドに関連付けられている候補リストの名前を書き留めます。 既定では、ecPhoneType です。 ただし、テナントによって異なる場合があります。

    電話の候補リストの識別

emailType の定数値を取得する

  1. SuccessFactors Admin Center で Picklist Center を検索して開きます。

  2. 前のセクションで取得したメール アドレスの候補リストの名前 (例: ecEmailType) を使用して、メール アドレスの候補リストを見つけます。

    メール アドレスの種類の候補リストの検索

  3. アクティブなメール アドレスの候補リストを開きます。

    アクティブなメール アドレスの種類の候補リストを開く

  4. メール アドレスの種類の候補リスト ページで、メール アドレスの種類として [Business](勤務先) を選択します。

    勤務先のメール アドレスの種類の選択

  5. [Business](勤務先) メール アドレスに関連付けられている [Option ID](オプション ID) をメモしておきます。 これは、属性マッピング テーブルで emailType と共に使用するコードです。

    メール アドレスの種類のコードの取得

    注意

    値をコピーするときは、コンマ文字を削除してください。 たとえば、[オプション ID] の値が 8,448 の場合は、Microsoft Entra ID の [emailType] を定数 8448 (コンマ文字は含まれません) に設定します。

phoneType の定数値を取得する

  1. SuccessFactors Admin Center で Picklist Center を検索して開きます。

  2. 前のセクションで取得した電話の候補リストの名前を使用して、電話の候補リストを見つけます。

    電話の種類の候補リストの検索

  3. アクティブな電話の候補リストを開きます。

    アクティブな電話の種類の候補リストを開く

  4. 電話の種類の候補リストのページで、 [Picklist Values](候補リストの値) に表示されているさまざまな電話の種類を確認します。

    電話の種類の確認

  5. [Business](勤務先) 電話に関連付けられている [Option ID](オプション ID) をメモしておきます。 これは、属性マッピング テーブルで businessPhoneType と共に使用するコードです。

    勤務先の電話コードの取得

  6. [Cell](携帯) 電話に関連付けられている [Option ID](オプション ID) をメモしておきます。 これは、属性マッピング テーブルで cellPhoneType と共に使用するコードです。

    携帯電話コードの取得

    注意

    値をコピーするときは、コンマ文字を削除してください。 たとえば、[オプション ID] の値が 10,606 の場合は、Microsoft Entra ID の [cellPhoneType] を定数 10606 (コンマ文字は含まれません) に設定します。

SuccessFactors Writeback アプリの構成

このセクションでは、次のステップについて説明します

パート 1: プロビジョニング コネクタ アプリを追加して、SuccessFactors への接続の構成をする

SAP SuccessFactors 書き戻し:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。

  3. SuccessFactors Writeback を検索し、ギャラリーからそのアプリを追加します。

  4. アプリが追加され、アプリの詳細画面が表示されたら、 [プロビジョニング] を選択します

  5. [プロビジョニングモード][自動] に変更します

  6. 以下のように [管理者の資格情報] セクションを完了します。

    • 管理ユーザー名 - SuccessFactors API ユーザー アカウントのユーザー名に、会社 ID を追加して入力します。 形式は username@companyID です。

    • 管理パスワード - SuccessFactors API ユーザー アカウントのパスワードを入力します。

    • テナント URL - SuccessFactors OData API サービス エンドポイントの名前を入力します。 http または https なしでサーバーのホスト名のみを入力してください。 この値は次のようになります: api4.successfactors.com

    • メール通知 - メール アドレスを入力し、[send email if failure occurs](失敗した場合にメールを送信する) チェックボックスをオンにします。

    Note

    Microsoft Entra ID プロビジョニング サービスは、プロビジョニング ジョブが検疫状態になった場合にメール通知を送信します。

    • [接続のテスト] ボタンをクリックします。 接続テストが成功した場合、上部の [保存] ボタンをクリックします。 失敗した場合は、SuccessFactors 資格情報および URL が有効か再度確認します。

    Azure portal

    • 資格情報が正常に保存されると、 [マッピング] セクションに既定のマッピングが表示されます。 属性マッピングが表示されない場合は、ページを更新します。

パート 2: 属性マッピングの構成

このセクションでは、ユーザーデータが SuccessFactors から Active Directory Domain Services に流れる方法を構成します。

  1. [マッピング] の [プロビジョニング] タブで、[Microsoft Entra ユーザーのプロビジョニング] をクリックします。

  2. "ソース オブジェクト スコープ" フィールドでは、属性ベースのフィルター セットを定義して、書き戻しの対象となる Microsoft Entra ID のユーザー セットを選択できます。 既定のスコープは "Microsoft Entra ID 内のすべてのユーザー" です。

    ヒント

    初めてプロビジョニング アプリを構成するときは、属性マッピングと式をテストして検証し、目的の結果が得られていることを確認する必要があります。 Microsoft は、Microsoft Entra ID の少数のテスト ユーザーを使ってマッピングをテストするために [ソース オブジェクト スコープ] の下にあるスコープ フィルターを使うことをお勧めしています。 マッピングが機能していることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。

  3. ターゲットオブジェクトアクション フィールドでは、更新 操作のみがサポートされます。

  4. [属性マッピング] セクションのマッピング テーブルでは、次の Microsoft Entra 属性を SuccessFactors にマップできます。 次の表では、書き戻し属性をマップする方法に関するガイダンスを示します。

    # Microsoft Entra 属性 SuccessFactors 属性 解説
    1 employeeId personIdExternal 既定では、この属性は一致する識別子です。 employeeId の代わりに、SuccessFactors の personIdExternal に等しい値が格納されている可能性がある他の Microsoft Entra 属性を使うことができます。
    2 mail email メール属性ソースをマップします。 テストのため、userPrincipalName をメールにマップできます。
    3 8448 emailType この定数値は、勤務先のメールに関連付けられている SuccessFactors ID の値です。 SuccessFactors の環境に合わせてこの値を更新します。 この値を設定する手順については、「emailType の定数値を取得する」セクションを参照してください。
    4 true emailIsPrimary SuccessFactors のプライマリとして勤務先のメールを設定するには、この属性を使用します。 勤務先のメールがプライマリでない場合は、このフラグを false に設定します。
    5 userPrincipalName [custom01 – custom15] [新しいマッピングの追加] を使うと、必要に応じて、SuccessFactors の User オブジェクトで使用可能なカスタム属性に、userPrincipalName または任意の Microsoft Entra 属性を書き込むことができます。
    6 On Prem SamAccountName username [新しいマッピングの追加] を使用すると、必要に応じてオンプレミスの samAccountName を SuccessFactors の username 属性にマップできます。 samAccountName を Microsoft Entra ID に同期するには、Microsoft Entra Connect 同期: ディレクトリ拡張機能を使います。 これは、ソース ドロップダウンに extension_yourTenantGUID_samAccountName として表示されます。
    7 SSO loginMethod SuccessFactors テナントが部分的な SSO に対して設定されている場合、[新しいマッピングの追加] を使用すると、必要に応じて loginMethod を "SSO" または "PWD" の定数値に設定できます。
    8 telephoneNumber businessPhoneNumber telephoneNumber を Microsoft Entra ID から SuccessFactors の勤務先または職場の電話番号に転送するには、このマッピングを使います。
    9 10605 businessPhoneType この定数値は、勤務先の電話に関連付けられている SuccessFactors ID の値です。 SuccessFactors の環境に合わせてこの値を更新します。 この値を設定する手順については、「phoneType の定数値を取得する」セクションを参照してください。
    10 true businessPhoneIsPrimary 勤務先電話番号に対してプライマリ フラグを設定するには、この属性を使用します。 有効な値は true または false です。
    11 mobile cellPhoneNumber telephoneNumber を Microsoft Entra ID から SuccessFactors の勤務先または職場の電話番号に転送するには、このマッピングを使います。
    12 10606 cellPhoneType この定数値は、携帯電話に関連付けられている SuccessFactors ID の値です。 SuccessFactors の環境に合わせてこの値を更新します。 この値を設定する手順については、「phoneType の定数値を取得する」セクションを参照してください。
    13 false cellPhoneIsPrimary 携帯電話番号に対してプライマリ フラグを設定するには、この属性を使用します。 有効な値は true または false です。
    14 [extensionAttribute1-15] userId このマッピングを使用して、同じユーザーに対して複数の雇用記録がある場合に、SuccessFactors のアクティブ レコードが必ず更新されるようにします。 詳細については、UserID を使用した書き戻しの有効化に関するページを参照してください。

  5. 属性マッピングを検証して確認します。

    書き戻し属性マッピング

  6. [保存] をクリックして、マッピングを保存します。 次に、SuccessFactors のインスタンスで phoneType コードを使用するように、JSON Path API 式を更新します。

  7. [詳細オプションの表示] を選択します。

    詳細オプションの表示

  8. [SuccessFactors の属性リストを編集します] をクリックします。

    注意

    [SuccessFactors の属性リストを編集します] オプションが Azure portal に表示されない場合は、URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true を使用してページにアクセスします。

  9. このビューの [API 式] 列には、コネクタによって使用される JSON パス式が表示されます。

  10. 環境に対応する ID 値 (businessPhoneTypecellPhoneType) を使用するように、勤務先電話と携帯電話の JSON パス式を更新します。

    電話の JSON パスの変更

  11. [保存] をクリックして、マッピングを保存します。

ユーザー プロビジョニングの有効化と起動

SuccessFactors プロビジョニング アプリの構成が完了すると、プロビジョニング サービスを有効にできます。

ヒント

既定では、プロビジョニング サービスを有効にすると、スコープ内のすべてのユーザーに対してプロビジョニング操作が開始されます。 マッピングのエラーまたはデータの問題がある場合、プロビジョニング ジョブが失敗し、検疫状態になる可能性があります。 これを避けるために、ベスト プラクティスとして、すべてのユーザーの完全同期を開始する前に、[ソース オブジェクト スコープ] フィルターを構成し、少数のテスト ユーザーで属性マッピングをテストすることをお勧めします。 マッピングが機能し、目的の結果が得られていることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。

  1. [プロビジョニング] タブで、 [プロビジョニングの状態][ON] に設定します。

  2. [スコープ] を選択します。 以下のオプションのいずれかを選択できます。

    • [すべてのユーザーとグループを同期する]: [マッピング] ->[ソース オブジェクト スコープ] で定義されているスコープ規則に従って、すべてのユーザーのマップされた属性を Microsoft Entra ID から SuccessFactors に書き戻すことを予定している場合は、このオプションを選びます。
    • [割り当てられたユーザーとグループのみを同期する]: [アプリケーション] ->[管理] ->[ユーザーとグループ] メニュー オプションで、このアプリケーションに割り当てたユーザーのみのマップされた属性を書き戻す予定の場合は、このオプションを選択します。 これらのユーザーは、[マッピング] ->[ソース オブジェクト スコープ] で定義されているスコープ規則の対象にもなります。

    書き戻しのスコープの選択

    注意

    2022 年 10 月 12 日以降に作成された SuccessFactors 書き戻しプロビジョニング アプリでは、"グループの割り当て" 機能がサポートされます。 2022 年 10 月 12 日より前にアプリを作成した場合、"ユーザー割り当て" のみがサポートされます。 "グループ割り当て" 機能を使用するには、SuccessFactors 書き戻しアプリの新しいインスタンスを作成し、既存のマッピング構成をこのアプリに移動します。

  3. [保存] をクリックします。

  4. この操作を行うと初期同期が開始します。所要時間は、Microsoft Entra テナントのユーザー数と操作に対して定義されているスコープに応じて変わります。 進行状況バーをチェックして、同期サイクルの進行状況を追跡できます。

  5. 好きなときに、Azure Portal の [プロビジョニング ログ] タブをチェックして、プロビジョニング サービスで実行されたアクションを確認します。 プロビジョニング ログには、プロビジョニング サービスによって実行される個々の同期イベントがすべて一覧表示されます。

  6. 最初の同期が完了すると、次に示すように、 [プロビジョニング] タブに監査概要レポートが書き込まれます。

    プロビジョニングの進行状況バー

次のステップ