この記事の目的は、Microsoft Entra ID から SAP SuccessFactors Employee Central に属性を書き戻す手順を示することです。
概要
Microsoft Entra ID から SAP SuccessFactors Employee Central に特定の属性が書き込まれるように、SAP SuccessFactors Writeback アプリを構成することができます。 SuccessFactors 書き戻しプロビジョニング アプリでは、次の Employee Central 属性に対する値の割り当てがサポートされています。
- 勤務先の電子メール
- ユーザー名
- 勤務先の電話番号 (国番号、市外局番、番号、内線番号を含む)
- 勤務先電話番号のプライマリ フラグ
- 携帯電話番号 (国番号、市外局番、番号、内線番号を含む)
- 携帯電話のプライマリ フラグ
- ユーザーの custom01 - custom15 属性
- loginMethod 属性
注意
このアプリは、SuccessFactors 受信ユーザー プロビジョニング統合アプリに依存しません。 SuccessFactors からオンプレミスの AD プロビジョニング アプリ、または SuccessFactors から Microsoft Entra ID プロビジョニング アプリに関係なく構成できます。
サポートされているシナリオ、既知の問題、制限事項の詳細については、SAP SuccessFactors 統合リファレンス ガイドの 「書き戻 しシナリオ」セクションを参照してください。
このユーザー プロビジョニング ソリューションが最適な場合
この SuccessFactors Writeback ユーザー プロビジョニング ソリューションは、次の場合に最適です:
- IT によって管理される信頼できる属性 (メール アドレス、電話番号、ユーザー名など) を SuccessFactors Employee Central に書き戻す必要のある、Microsoft 365 を使用している組織。
統合のための SuccessFactors の構成
すべての SuccessFactors プロビジョニング コネクタでは、Employee Central OData API を呼び出すための適切なアクセス許可を持つ SuccessFactors アカウントの資格情報が必要です。 このセクションでは、SuccessFactors でサービス アカウントを作成し、適切なアクセス許可を付与する手順を説明します。
- SuccessFactors で API ユーザー アカウントを作成/識別する
- API アクセス許可ロールを作成する
- API ユーザーのアクセス許可グループを作成する
- アクセス許可グループにアクセス許可ロールを付与する
SuccessFactors で API ユーザー アカウントを作成または識別する
SuccessFactors 管理チームまたは実装パートナーと協力して、OData API を呼び出すために SuccessFactors のユーザー アカウントを作成または識別します。 Microsoft Entra ID でプロビジョニング アプリを構成する場合、このアカウントのユーザー名とパスワードの資格情報が必要になります。
API アクセス許可ロールを作成する
Admin Center にアクセスできるユーザーアカウントで SAP SuccessFactors にログインします。
[ アクセス許可ロールの管理] を検索し、検索結果から [ アクセス許可ロールの管理 ] を選択します。
アクセス許可ロールの一覧で、[ 新規作成] を選択します。
新しいアクセス許可 ロールのロール名 と 説明 を追加します。 名前と説明では、このロールが API 使用アクセス許可されていることを示す必要があります。
[アクセス許可の設定] で [ アクセス許可...] を選択し、アクセス許可の一覧を下にスクロールし、[ 統合ツールの管理] を選択します。 [ 管理者が基本認証を使用して OData API にアクセスできるようにする] チェック ボックスをオンにします。
同じボックスを下にスクロールし、[ Employee Central API] を選択します。 次に示すように、ODATA API を使用して読み取り、ODATA API を使用して編集するためのアクセス許可を追加します。 SuccessFactors への書き戻しシナリオに同じアカウントを使用する場合は、編集オプションを選択します。
[ 完了] を選択します。 [ 変更の保存] を選択します。
API ユーザーのアクセス許可グループを作成する
SuccessFactors 管理センターで、[ アクセス許可グループの管理] を検索し、検索結果から [アクセス許可グループの管理 ] を選択します。
[アクセス許可グループの管理] ウィンドウで、[ 新規作成] を選択します。
新しいグループのグループ名を追加します。 グループ名は、グループが API ユーザー用であることを示す必要があります。
グループにメンバーを追加します。 たとえば、[ユーザー プール] ドロップダウン メニューから [ユーザー名 ] を選択し、統合に使用する API アカウントのユーザー名を入力できます。
[ 完了] を 選択して、アクセス許可グループの作成を完了します。
許可グループに許可ロールを付与する
- SuccessFactors 管理センターで、[ アクセス許可ロールの管理] を検索し、検索結果から [ アクセス許可ロールの管理 ] を選択します。
- アクセス許可ロールの一覧から、API の使用アクセス許可用に作成したロールを選択します。
- 「このロールを付与...」で、「追加...」ボタンを選択します。
- ドロップダウン メニューから [アクセス許可グループ...] を選択し、[ 選択]... を選択して [グループ] ウィンドウを開き、上で作成したグループを検索して選択します。
- アクセス許可グループに対するアクセス許可ロールの付与を確認します。
- [ 変更の保存] を選択します。
SuccessFactors Writeback の準備
SuccessFactors ライトバック プロビジョニング アプリは、Employee Central で電子メールと電話番号を設定するために特定の コード 値を使用します。 これらの コード 値は、属性マッピング テーブルで定数値として設定され、SuccessFactors インスタンスごとに異なります。 このセクションでは、これらの コード 値をキャプチャする手順について説明します。
注意
このセクションの手順を完了するには、SuccessFactors 管理者に協力を要請してください。
メール アドレスと電話番号の候補リストの名前を識別する
SAP SuccessFactors では、 選択リスト は、ユーザーが選択できる構成可能なオプションのセットです。 さまざまな種類のメール アドレスと電話番号 (例: 勤務先、個人、その他) は、候補リストを使用して表されます。 この手順では、電子メールと電話番号の値を格納するように SuccessFactors テナントで構成されている候補リストを特定します。
SuccessFactors 管理センターで、[ ビジネス構成の管理] を検索します。
HRIS 要素で emailInfo を選択し、電子メールタイプフィールドの詳細を選択します。
電子メールの種類の詳細ページで、このフィールドに関連付けられている候補リストの名前をメモします。 既定では ecEmailType です。 ただし、テナントによって異なる場合があります。
HRIS 要素で、phoneInfo を選択し、電話タイプ フィールドの詳細を選択します。
電話の種類の詳細ページで、このフィールドに関連付けられている候補リストの名前をメモします。 既定では ecPhoneType です。 ただし、テナントによって異なる場合があります。
emailType の定数値を取得する
SuccessFactors 管理センターで、 候補リスト センターを検索して開きます。
前のセクションで取得したメール アドレスの候補リストの名前 (例: ecEmailType) を使用して、メール アドレスの候補リストを見つけます。
アクティブなメール アドレスの候補リストを開きます。
[電子メールの種類] 候補リスト ページで、[Business email type]\( ビジネス 電子メールの種類\) を選択します。
ビジネス メールに関連付けられているオプション ID をメモします。 これは、属性マッピング テーブルの emailType で使用するコードです。
注意
値をコピーするときは、コンマ文字を削除してください。 たとえば、 オプション ID の 値が 8,448 の場合は、Microsoft Entra ID の emailType を定数番号 8448 (コンマ文字なし) に設定します。
phoneType の定数値を取得する
SuccessFactors 管理センターで、 候補リスト センターを検索して開きます。
前のセクションで取得した電話の候補リストの名前を使用して、電話の候補リストを見つけます。
アクティブな電話の候補リストを開きます。
電話の種類の候補リスト ページで、[候補リストの値] に一覧表示されているさまざまな電話の種類 を確認します。
ビジネス用電話に関連付けられているオプション ID をメモしておきます。 これは、属性マッピング テーブルの businessPhoneType で使用するコードです。
携帯電話に関連付けられているオプション ID をメモします。 これは、属性マッピング テーブルの cellPhoneType で使用するコードです。
注意
値をコピーするときは、コンマ文字を削除してください。 たとえば、 オプション ID の値が 10,606 の場合は、Microsoft Entra ID の cellPhoneType を定数番号 10606 (コンマ文字なし) に設定します。
SuccessFactors Writeback アプリの構成
このセクションでは、次のステップについて説明します
パート 1: プロビジョニング コネクタ アプリを追加して、SuccessFactors への接続の構成をする
SuccessFactors ライトバックを構成するには:
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>エンタープライズアプリ>新しいアプリケーションを参照してください。
SuccessFactors ライトバックを検索し、ギャラリーからそのアプリを追加します。
アプリが追加され、アプリの詳細画面が表示されたら、[プロビジョニング] を選択します
プロビジョニングモードを自動に変更する
次のように、[ 管理者資格情報] セクションに入力します。
管理者ユーザー名 – SuccessFactors API ユーザー アカウントのユーザー名を入力し、会社 ID を追加します。 次の形式があります: username@companyID
管理者パスワード – SuccessFactors API ユーザー アカウントのパスワードを入力します。
テナント URL – SuccessFactors OData API サービス エンドポイントの名前を入力します。 http または https なしでサーバーのホスト名のみを入力してください。 この値は次のようになります:
api4.successfactors.com。通知メール – メール アドレスを入力し、[失敗した場合にメールを送信する] チェック ボックスをオンにします。
注意
プロビジョニング ジョブが 検疫 状態になった場合、Microsoft Entra プロビジョニング サービスは電子メール通知を送信します。
[ テスト接続 ] ボタンを選択します。 接続テストが成功した場合は、上部にある [保存] ボタンを選択します。 失敗した場合は、SuccessFactors 資格情報および URL が有効か再度確認します。
資格情報が正常に保存されると、[ マッピング ] セクションに既定のマッピングが表示されます。 属性マッピングが表示されない場合は、ページを更新します。
パート 2: 属性マッピングの構成
このセクションでは、ユーザー データが SuccessFactors から Active Directory に流れる方法を構成します。
[ マッピング] の [プロビジョニング] タブで、[ Microsoft Entra ユーザーのプロビジョニング] を選択します。
[ ソース オブジェクト スコープ] フィールドでは、属性ベースのフィルターのセットを定義することで、Microsoft Entra ID のどのユーザー セットをライトバックと見なすかを選択できます。 既定のスコープは、 Microsoft Entra ID のすべてのユーザーです。
ヒント
初めてプロビジョニング アプリを構成するときは、属性マッピングと式をテストして検証し、目的の結果が得られていることを確認する必要があります。 Microsoft では、 ソース オブジェクト スコープ のスコープ フィルターを使用して、Microsoft Entra ID のいくつかのテスト ユーザーでマッピングをテストすることをお勧めします。 マッピングが機能していることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。
[ターゲット オブジェクト アクション] フィールドでは、更新操作のみがサポートされます。
[ 属性マッピング ] セクションのマッピング テーブルで、次の Microsoft Entra 属性を SuccessFactors にマップできます。 次の表では、書き戻し属性をマップする方法に関するガイダンスを示します。
# Microsoft Entra 属性 SuccessFactors 属性 解説 1 従業員ID 外部ユーザーID 既定では、この属性は一致する識別子です。 employeeId の代わりに、SuccessFactors の personIdExternal に等しい値が格納されている可能性がある他の Microsoft Entra 属性を使うことができます。 2 郵便 Eメール メール属性ソースをマップします。 テストのため、userPrincipalName をメールにマップできます。 3 8448 メールタイプ この定数値は、勤務先のメールに関連付けられている SuccessFactors ID の値です。 SuccessFactors の環境に合わせてこの値を更新します。 この値を設定する手順については、「 emailType の定数値を取得 する」セクションを参照してください。 4 ほんとう メールは主要です SuccessFactors のプライマリとして勤務先のメールを設定するには、この属性を使用します。 ビジネス メールがプライマリでない場合は、このフラグを false に設定します。 5 ユーザープリンシパル名 [カスタム01 – カスタム15] 新しいマッピングの追加を使用すると、必要に応じて、SuccessFactors User オブジェクトで使用できるカスタム属性に userPrincipalName または任意の Microsoft Entra 属性を書き込むことができます。 6 オンプレミス SamAccountName ユーザー名 [新しいマッピングの追加] を使用すると、必要に応じてオンプレミスの samAccountName を SuccessFactors ユーザー名属性にマップできます。 Microsoft Entra Connect Sync: ディレクトリ拡張機能を使用して samAccountName を Microsoft Entra ID に同期します。 これはソース ドロップダウンにextension_yourTenantGUID_samAccountNameとして表示されます 7 SSO ログイン方法 SuccessFactors テナントが 部分 SSO 用にセットアップされている場合は、[新しいマッピングの追加] を使用して、必要に応じて loginMethod を定数値 "SSO" または "PWD" に設定できます。 8 電話番号 ビジネス電話番号 このマッピングを使用して、microsoft Entra ID から SuccessFactors のビジネス/勤務先電話番号に telephoneNumber をフローします。 9 10605 ビジネス用電話タイプ この定数値は、勤務先の電話に関連付けられている SuccessFactors ID の値です。 SuccessFactors の環境に合わせてこの値を更新します。 この値を設定する手順については、「 phoneType の定数値を取得 する」セクションを参照してください。 10 ほんとう 勤務先電話は主要です 勤務先電話番号に対してプライマリ フラグを設定するには、この属性を使用します。 有効な値は true または false です。 11 携帯電話 携帯電話番号 このマッピングを使用して、microsoft Entra ID から SuccessFactors のビジネス/勤務先電話番号に telephoneNumber をフローします。 12 10606 携帯電話タイプ この定数値は、携帯電話に関連付けられている SuccessFactors ID の値です。 SuccessFactors の環境に合わせてこの値を更新します。 この値を設定する手順については、「 phoneType の定数値を取得 する」セクションを参照してください。 13 偽り 携帯電話が主要 携帯電話番号に対してプライマリ フラグを設定するには、この属性を使用します。 有効な値は true または false です。 14 [extensionAttribute1-15] ユーザーID このマッピングを使用して、同じユーザーに対して複数の雇用記録がある場合に、SuccessFactors のアクティブ レコードが必ず更新されるようにします。 詳細については、UserID を使用した書き戻しの有効化を参照してください。 属性マッピングを検証して確認します。
[ 保存] を 選択してマッピングを保存します。 次に、SuccessFactors インスタンスで phoneType コードを使用するように JSON Path API 式を更新します。
[ 詳細オプションの表示] を選択します。
SuccessFactors の [属性リストの編集] を選択します。
注意
[SuccessFactors の属性リストの編集] オプションが Entra 管理センターに表示されない場合は、URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=trueを使用してページにアクセスします。
このビューの API 式 列には、コネクタで使用される JSON パス式が表示されます。
環境に対応する ID 値 (businessPhoneType と cellPhoneType ) を使用するように、ビジネス用電話と 携帯電話の JSON パス式を更新します。
[ 保存] を 選択してマッピングを保存します。
ユーザー プロビジョニングの有効化と起動
SuccessFactors プロビジョニング アプリの構成が完了すると、プロビジョニング サービスを有効にできます。
ヒント
既定では、プロビジョニング サービスを有効にすると、スコープ内のすべてのユーザーに対してプロビジョニング操作が開始されます。 マッピングのエラーまたはデータの問題がある場合、プロビジョニング ジョブが失敗し、検疫状態になる可能性があります。 これを回避するには、ベスト プラクティスとして、すべてのユーザーの完全同期を起動する前に、 ソース オブジェクト スコープ フィルターを構成し、少数のテスト ユーザーで属性マッピングをテストすることをお勧めします。 マッピングが機能し、目的の結果が得られていることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。
[ プロビジョニング ] タブで、[ プロビジョニングの状態] を [オン] に設定します。
[スコープ] を選択します。 以下のオプションのいずれかを選択できます。
- すべてのユーザーとグループを同期する: マッピング>Source オブジェクト スコープで定義されているスコープ規則に従って、Microsoft Entra ID から SuccessFactors にすべてのユーザーのマップされた属性を書き戻す場合は、このオプションを選択します。
- 割り当てられたユーザーとグループのみを同期する: >Manage>Users and groups メニュー オプションで、このアプリケーションに割り当てたユーザーのみのマップされた属性を書き戻す場合は、このオプションを選択します。 これらのユーザーには、 Mappings>Source オブジェクト スコープで定義されているスコープ規則も適用されます。
注意
2022 年 10 月 12 日以降に作成された SuccessFactors 書き戻しプロビジョニング アプリでは、"グループの割り当て" 機能がサポートされます。 2022 年 10 月 12 日より前にアプリを作成した場合、"ユーザー割り当て" のみがサポートされます。 "グループ割り当て" 機能を使用するには、SuccessFactors 書き戻しアプリの新しいインスタンスを作成し、既存のマッピング構成をこのアプリに移動します。
[保存] を選択します。
この操作を行うと初期同期が開始します。所要時間は、Microsoft Entra テナントのユーザー数と操作に対して定義されているスコープに応じて変わります。 進行状況バーをチェックして、同期サイクルの進行状況を追跡できます。
いつでも、Entra 管理センターの [ プロビジョニング ログ ] タブで、プロビジョニング サービスが実行したアクションを確認します。 プロビジョニング ログには、プロビジョニング サービスによって実行される個々の同期イベントがすべて一覧表示されます。
初期同期が完了すると、次に示すように、[ プロビジョニング ] タブに監査概要レポートが書き込まれます。
