Udostępnij za pośrednictwem


Konfigurowanie rozwiązania SAP SuccessFactors do udostępniania użytkowników w Microsoft Entra

Celem tego artykułu jest pokazanie kroków, które należy wykonać w celu aprowizacji danych pracowników z systemu SuccessFactors Employee Central do Microsoft Entra ID, z opcjonalnym zapisem zwrotnym adresu e-mail do SuccessFactors.

Uwaga

Użyj tego artykułu, jeśli użytkownicy, których chcesz aprowizować z rozwiązania SuccessFactors, są użytkownikami tylko w chmurze, którzy nie potrzebują lokalnego konta usługi AD. Jeśli użytkownicy wymagają tylko lokalnego konta Active Directory lub konta Active Directory i Microsoft Entra, zapoznaj się z artykułem na temat konfiguracji rozwiązania SAP SuccessFactors do Active Directory prowizjonowania użytkowników.

Poniższy film wideo zawiera krótkie omówienie kroków związanych z planowaniem integracji aprowizacji z rozwiązaniem SAP SuccessFactors.

Omówienie

Usługa aprowizacji użytkowników Microsoft Entra integruje się z usługą SuccessFactors Employee Central w celu zarządzania cyklem życia tożsamości użytkowników.

Przepływy pracy aprowizacji użytkowników rozwiązania SuccessFactors obsługiwane przez usługę aprowizacji użytkowników Microsoft Entra umożliwiają automatyzację następujących scenariuszy zarządzania zasobami ludzkimi oraz cyklem życia tożsamości:

  • Zatrudnianie nowych pracowników — kiedy nowy pracownik zostaje dodany do systemu SuccessFactors, konto użytkownika jest automatycznie tworzone w Microsoft Entra ID, a opcjonalnie także w Microsoft 365 oraz innych aplikacjach SaaS obsługiwanych przez Microsoft Entra ID, z przekazywaniem zwrotnym adresu e-mail do SuccessFactors.

  • Aktualizacje atrybutów i profilu pracownika — po zaktualizowaniu rekordu pracownika w SuccessFactors (takich jak jego/jej imię, stanowisko lub menedżer), konto użytkownika jest automatycznie aktualizowane w Microsoft Entra ID oraz opcjonalnie w Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez Microsoft Entra ID.

  • Rozwiązanie umowy z pracownikiem — Gdy pracownik zostanie zwolniony w systemie SuccessFactors, jego konto użytkownika jest automatycznie wyłączane w Microsoft Entra ID, a opcjonalnie również w Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez Microsoft Entra ID.

  • Ponowne zatrudnienie pracownika — gdy pracownik zostanie ponownie zatrudniony w rozwiązaniu SuccessFactors, jego stare konto może zostać automatycznie ponownie aktywowane lub ponownie zaprovisionowane (w zależności od preferencji) w Microsoft Entra ID oraz opcjonalnie w platformie Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez system Microsoft Entra ID.

Dla kogo najlepiej nadaje się to rozwiązanie aprowizacji użytkowników?

To rozwiązanie SuccessFactors do Microsoft Entra do zarządzania dostępem użytkowników jest idealnie dopasowane dla:

  • Organizacje, które potrzebują gotowego rozwiązania opartego na chmurze do aprowizacji użytkowników SuccessFactors, w tym te, które wypełniają SuccessFactors z SAP HCM za pomocą pakietu SAP Integration Suite.

  • Organizacje, które wdrażają Microsoft Entra do aprowizacji użytkowników z aplikacjami źródłowymi i docelowymi SAP, używając Microsoft Entra do konfigurowania tożsamości pracowników, aby mogli zalogować się do jednej lub więcej aplikacji SAP, takich jak SAP ECC lub SAP S/4HANA, a opcjonalnie także do aplikacji innych niż SAP

  • Organizacje, które wymagają bezpośredniego aprowizowania użytkowników z systemu SuccessFactors do Microsoft Entra ID, ale nie wymagają, aby ci użytkownicy znajdowali się również w usłudze Active Directory systemu Windows Server.

  • Organizacje, które wymagają przydzielania użytkowników przy użyciu danych uzyskanych z usługi SuccessFactors Employee Central (EC)

  • Organizacje korzystające z platformy Microsoft 365 na potrzeby poczty e-mail

Architektura rozwiązania

W tej sekcji opisano architekturę rozwiązania do aprowizacji użytkowników końcowych dla użytkowników korzystających tylko z chmury. Istnieją dwa powiązane przepływy:

  • Główny przepływ danych zasobów ludzkich — od SuccessFactors do Microsoft Entra ID: zdarzenia pracownicze (takie jak nowi pracownicy, transfery, zakończenia) najpierw występują w chmurowym centrum pracowników SuccessFactors, a następnie dane zdarzeń przepływają do Microsoft Entra ID. W zależności od zdarzenia może to prowadzić do tworzenia/aktualizowania/włączania/wyłączania operacji w identyfikatorze Entra firmy Microsoft.

  • Przepływ zapisywania zwrotnego wiadomości e-mail – z Microsoft Entra ID do SuccessFactors: Po zakończeniu tworzenia konta w Microsoft Entra ID, wartość atrybutu e-mail lub UPN wygenerowana w Microsoft Entra ID może zostać zapisana z powrotem do SuccessFactors.

    Omówienie

Przepływ danych użytkownika końcowego

  1. Zespół HR wykonuje transakcje pracownicze (Nowi pracownicy/Przeniesienia/Odejścia) w SuccessFactors Employee Central.
  2. Usługa aprowizacji Microsoft Entra uruchamia zaplanowane synchronizacje tożsamości z usługi SuccessFactors EC i identyfikuje zmiany, które wymagają przetworzenia do synchronizacji z Microsoft Entra ID.
  3. Usługa aprowizacji Microsoft Entra określa zmianę i wywołuje operację utworzenia/aktualizacji/włączenia/wyłączenia dla użytkownika w usłudze Microsoft Entra ID.
  4. Jeśli aplikacja SuccessFactors Writeback jest skonfigurowana, adres e-mail użytkownika jest pobierany z Microsoft Entra ID.
  5. Usługa aprowizacji Microsoft Entra zapisuje atrybut adresu e-mail z powrotem do SuccessFactors na podstawie używanego atrybutu dopasowania.

Planowanie wdrożenia

Konfigurowanie aprowizacji użytkowników opartych na usłudze Cloud HR z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft wymaga znacznego planowania obejmującego różne aspekty, takie jak:

  • Określanie zgodnego identyfikatora
  • Mapowanie atrybutów
  • Przekształcanie atrybutów
  • Filtry określania zakresu

Zapoznaj się z planem wdrażania działu kadr w chmurze, aby uzyskać kompleksowe wskazówki dotyczące tych tematów. Zapoznaj się z dokumentacją SAP SuccessFactors, aby dowiedzieć się więcej o obsługiwanych jednostkach, szczegółach przetwarzania i sposobie dostosowywania integracji dla różnych scenariuszy HR.

Konfigurowanie rozwiązania SuccessFactors na potrzeby integracji

Typowym wymaganiem wszystkich łączników aprowizacji SuccessFactors jest konieczność użycia poświadczeń konta SuccessFactors z odpowiednimi uprawnieniami, aby wywołać interfejsy API OData SuccessFactors. W tej sekcji opisano kroki tworzenia konta usługi w rozwiązaniu SuccessFactors i udzielania odpowiednich uprawnień.

Tworzenie/identyfikowanie konta użytkownika interfejsu API w rozwiązaniu SuccessFactors

We współpracy z zespołem administracyjnym rozwiązania SuccessFactors lub partnerem implementacji utwórz lub zidentyfikuj konto użytkownika w rozwiązaniu SuccessFactors w celu wywołania interfejsów API OData. Podczas konfigurowania aplikacji aprowizacji w usłudze Microsoft Entra ID wymagane są poświadczenia nazwy użytkownika i hasła tego konta.

Utwórz rolę uprawnień API

  1. Zaloguj się do rozwiązania SAP SuccessFactors przy użyciu konta użytkownika, które ma dostęp do Centrum administracyjnego.

  2. Wyszukaj pozycję Zarządzaj rolami uprawnień, a następnie wybierz pozycję Zarządzaj rolami uprawnień w wynikach wyszukiwania. Zarządzanie rolami uprawnień

  3. Z listy ról uprawnień wybierz Utwórz Nowy.

    Utwórz nową rolę uprawnień

  4. Dodaj nazwę roli i opis nowej roli uprawnień. Nazwa i opis powinny wskazywać, że rola dotyczy uprawnień dotyczących korzystania z API.

  5. W obszarze Ustawienia uprawnień wybierz pozycję Uprawnienia..., a następnie przewiń listę tych ustawień i wybierz pozycję Zarządzaj narzędziami integracji. Zaznacz pole wyboru Zezwalaj administratorowi na dostęp do interfejsu API OData za pomocą uwierzytelniania podstawowego.

    Zarządzanie narzędziami integracji

  6. Przewiń w dół w tym samym polu i wybierz API Employee Central. Dodaj uprawnienia, jak pokazano poniżej, aby odczytywać przy użyciu interfejsu API ODATA i edytować przy użyciu interfejsu API ODATA. Wybierz opcję edycji, jeśli planujesz użyć tego samego konta dla scenariusza Writeback to SuccessFactors.

    Uprawnienia do odczytu zapisu

  7. W tym samym polu uprawnień przejdź do Uprawnienia Użytkownika —> Dane Pracowników i przejrzyj atrybuty, które konto usługi może odczytać z dzierżawy SuccessFactors. Aby na przykład pobrać atrybut Username z SuccessFactors, upewnij się, że dla tego atrybutu zostanie przyznane uprawnienie "Wyświetl". Podobnie przejrzyj każdy atrybut, aby uzyskać uprawnienia do wyświetlania.

    Uprawnienia dotyczące danych pracowników

    Uwaga

    Aby uzyskać pełną listę atrybutów pobranych przez tę aplikację aprowizacji, zapoznaj się z dokumentacją atrybutów SuccessFactors

  8. Wybierz pozycję Gotowe. Wybierz Zapisz zmiany.

Tworzenie grupy uprawnień dla użytkownika interfejsu API

  1. W Centrum administracyjnym SuccessFactors wyszukaj pozycję Zarządzaj grupami uprawnień, a następnie wybierz pozycję Zarządzaj grupami uprawnień w wynikach wyszukiwania.

    Zarządzanie grupami uprawnień

  2. W oknie Zarządzanie grupami uprawnień wybierz pozycję Utwórz nowy.

    Dodawanie nowej grupy

  3. Dodaj nazwę grupy dla nowej grupy. Nazwa grupy powinna wskazywać, że grupa jest dla użytkowników interfejsu API.

    Nazwa grupy uprawnień

  4. Dodaj członków do grupy. Możesz na przykład wybrać opcję Nazwa użytkownika z menu rozwijanego People Pool, a następnie wprowadzić nazwę użytkownika konta API używanego do integracji.

    Dodaj członków grupy

  5. Wybierz pozycję Gotowe, aby zakończyć tworzenie grupy uprawnień.

Przydzielenie roli uprawnień do grupy uprawnień

  1. W Centrum administracyjnym rozwiązania SuccessFactors wyszukaj Zarządzaj rolami uprawnień, a następnie wybierz Zarządzaj rolami uprawnień z wyników wyszukiwania.
  2. Z listy ról uprawnień wybierz rolę utworzoną dla uprawnień użycia interfejsu API.
  3. Pod Przyznaj tę rolę do..., wybierz przycisk Dodaj...
  4. Wybierz pozycję Grupa uprawnień... z menu rozwijanego, a następnie wybierz pozycję Wybierz..., aby otworzyć okno Grupy, aby wyszukać i wybrać grupę utworzoną powyżej.
  5. Zapoznaj się z udzielaniem roli uprawnień grupie uprawnień.
  6. Wybierz Zapisz zmiany.

Konfigurowanie aprowizacji użytkowników z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft

Ta sekcja zawiera kroki aprowizacji kont użytkowników z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft.

Część 1: Dodanie aplikacji łącznika provisioningowego i konfiguracja połączenia z SuccessFactors

Aby skonfigurować SuccessFactors do aprowizacji z Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.

  3. Wyszukaj SuccessFactors do aprowizacji użytkowników do Microsoft Entra i dodaj tę aplikację z galerii.

  4. Po dodaniu aplikacji i wyświetleniu ekranu szczegółów, wybierz pozycję Aprowizowanie

  5. Zmień tryb aprowizacji na automatyczny

  6. Wypełnij sekcję Poświadczenia administratora w następujący sposób:

    • Nazwa użytkownika administratora — wprowadź nazwę użytkownika interfejsu API SuccessFactors z dołączonym identyfikatorem firmy. Mają formę: username@companyID

    • Hasło administratora — wprowadź hasło konta użytkownika interfejsu API SuccessFactors.

    • Adres URL klienta — wprowadź nazwę punktu dostępu usług interfejsu API OData SuccessFactors. Wprowadź tylko nazwę hosta serwera bez protokołu HTTP lub https. Ta wartość powinna wyglądać następująco: api-server-name.successfactors.com.

    • Wiadomość e-mail z powiadomieniem — wprowadź swój adres e-mail i zaznacz pole wyboru "Wyślij wiadomość e-mail, jeśli wystąpi błąd".

    Uwaga

    Usługa aprowizacji Microsoft Entra wysyła powiadomienie e-mail, jeśli zadanie aprowizacji przejdzie w stan kwarantanny.

    • Wybierz przycisk Testuj połączenie. Jeśli test połączenia zakończy się pomyślnie, wybierz przycisk Zapisz u góry. Jeśli się nie powiedzie, sprawdź dokładnie, czy poświadczenia i adres URL SuccessFactors są prawidłowe.

    • Po pomyślnym zapisaniu poświadczeń, w sekcji Mapowania zostanie wyświetlone domyślne mapowanie Synchronizuj użytkowników SuccessFactors z identyfikatorem Entra firmy Microsoft.

Część 2. Konfigurowanie mapowań atrybutów

W tej sekcji skonfigurujesz sposób przepływu danych użytkownika z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft.

  1. Na karcie Aprowizacja w obszarze Mapowania wybierz pozycję Synchronizuj użytkowników successFactors z identyfikatorem Entra firmy Microsoft.

  2. W polu Zakres obiektu źródłowego można wybrać, które zestawy użytkowników w rozwiązaniach SuccessFactors powinny znajdować się w zakresie aprowizacji identyfikatora Entra firmy Microsoft, definiując zestaw filtrów opartych na atrybutach. Domyślny zakres to "wszyscy użytkownicy w rozwiązaniach SuccessFactors". Przykładowe filtry:

    • Przykład: Ogranicz do użytkowników z personIdExternal z zakresu od 1000000 do 2000000 (z wyłączeniem 2000000)

      • Atrybut: personIdZewnętrzny

      • Operator: Dopasowanie REGEX

      • Wartość: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Przykład: Tylko pracownicy, a nie warunkowi pracownicy

      • Atrybut: EmployeeID

      • Operator: NIE MA WARTOŚCI NULL

    Napiwek

    Podczas konfigurowania aplikacji prowizjonowania po raz pierwszy należy przetestować i zweryfikować mapowanie atrybutów i wyrażenie, aby się upewnić, że daje pożądany wynik. Firma Microsoft zaleca używanie filtrów określania zakresu w obszarze Zakres obiektu źródłowego w celu przetestowania mapowań przy użyciu kilku testowych użytkowników z rozwiązania SuccessFactors. Po sprawdzeniu, czy mapowania działają, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

    Uwaga

    Domyślnym zachowaniem aparatu aprowizacji jest wyłączenie/usunięcie użytkowników, którzy wykraczają poza zakres. Może to nie być pożądane w twojej integracji SuccessFactors z firmą Microsoft Entra. Aby zastąpić to zachowanie domyślne, zapoznaj się z artykułem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres

  3. W polu Akcje obiektu docelowego można globalnie filtrować akcje wykonywane w identyfikatorze Entra firmy Microsoft. Tworzenie i aktualizowanie są najczęstsze.

  4. W sekcji Mapowania atrybutów można zdefiniować sposób mapowania poszczególnych atrybutów SuccessFactors na atrybuty firmy Microsoft Entra.

    Uwaga

    Aby uzyskać pełną listę atrybutów SuccessFactors obsługiwanych przez aplikację, zapoznaj się z dokumentacją atrybutów SuccessFactors

  5. Wybierz istniejące mapowanie atrybutów, aby go zaktualizować, lub wybierz Dodaj nowe mapowanie w dolnej części ekranu, aby dodać nowe mapowania. Pojedyncze mapowanie atrybutów obsługuje następujące właściwości:

    • Typ mapowania

      • Direct — zapisuje wartość atrybutu SuccessFactors do atrybutu Microsoft Entra bez zmian

      • Stała — zapisywanie statycznej, stałej wartości ciągu w atrybucie Microsoft Entra

      • Wyrażenie — umożliwia zapisanie niestandardowej wartości w atrybucie Entra firmy Microsoft w oparciu o jeden lub więcej atrybutów SuccessFactors. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wyrażeń.

    • Atrybut źródłowy — atrybut użytkownika z successFactors

    • Wartość domyślna — opcjonalnie. Jeśli atrybut źródłowy ma pustą wartość, mapowanie zapisuje tę wartość. Najbardziej typową konfiguracją jest pozostawienie tego pustego.

    • Atrybut docelowy — atrybut użytkownika w identyfikatorze Entra firmy Microsoft.

    • Dopasuj obiekty przy użyciu tego atrybutu — niezależnie od tego, czy to mapowanie powinno być używane do jednoznacznego identyfikowania użytkowników między SuccessFactors a Microsoft Entra ID. Ta wartość jest zazwyczaj ustawiana w polu Identyfikator pracownika dla SuccessFactors, które jest zazwyczaj mapowane na jeden z atrybutów identyfikatora pracownika w Microsoft Entra ID.

    • Priorytet dopasowania — można ustawić wiele pasujących atrybutów. Jeśli istnieje wiele, są one oceniane w kolejności zdefiniowanej przez to pole. Po znalezieniu dopasowania nie są oceniane żadne dalsze pasujące atrybuty.

    • Zastosuj to mapowanie

      • Zawsze — zastosuj to mapowanie zarówno w akcjach tworzenia użytkownika, jak i aktualizowania

      • Tylko podczas tworzenia — zastosuj to mapowanie tylko w akcjach tworzenia użytkownika

  6. Aby zapisać mapowania, wybierz Zapisz w górnej części sekcji Attribute-Mapping.

Po zakończeniu konfiguracji mapowania atrybutów możesz teraz włączyć i uruchomić usługę aprowizacji użytkowników.

Włącz i uruchom udostępnianie użytkowników

Po zakończeniu konfiguracji aplikacji aprowizacji SuccessFactors można włączyć usługę aprowizacji.

Napiwek

Domyślnie, po włączeniu usługi aprowizacji, zainicjuje ona operacje aprowizacji dla wszystkich użytkowników w obrębie. Jeśli występują błędy podczas mapowania lub problemy z danymi SuccessFactors, zadanie aprowizacji może zakończyć się niepowodzeniem i przejść do stanu kwarantanny. Aby tego uniknąć, zalecamy skonfigurowanie filtru Zakres obiektu źródłowego i przetestowanie mapowań atrybutów przy użyciu kilku użytkowników testowych przed uruchomieniem pełnej synchronizacji dla wszystkich użytkowników. Po sprawdzeniu, czy mapowania działają i dają żądane wyniki, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

  1. Na karcie Aprowizacja ustaw wartość Stan aprowizacji na .

  2. Wybierz Zapisz.

  3. Ta operacja rozpoczyna synchronizację początkową, co może potrwać zmienną liczbę godzin w zależności od liczby użytkowników w dzierżawie SuccessFactors. Możesz sprawdzić pasek postępu, aby śledzić postęp cyklu synchronizacji.

  4. W dowolnym momencie sprawdź kartę Aprowizacja w centrum administracyjnym firmy Entra, aby zobaczyć, jakie akcje wykonała usługa aprowizacji. Dzienniki aprowizacji wyświetlają listę wszystkich zdarzeń synchronizacji wykonywanych przez usługę aprowizacji, takich jak użytkownicy, którzy są odczytywani z rozwiązania SuccessFactors, a następnie dodawani lub aktualizowani do Microsoft Entra ID.

  5. Po zakończeniu synchronizacji początkowej zapisuje raport podsumowania audytu na karcie Provisioning, jak pokazano poniżej.

    Pasek postępu aprowizacji