Tutorial: Configurar o write-back de atributos do Microsoft Entra ID para o SAP SuccessFactors

  • Artigo

O objetivo deste tutorial é mostrar as etapas para fazer write-back de atributos do Microsoft Entra ID para o SAP SuccessFactors Employee Central.

Visão geral

Você pode configurar o aplicativo de write-back do SAP SuccessFactors para gravar atributos específicos do Microsoft Entra ID para o SAP SuccessFactors Employee Central. O aplicativo de provisionamento de write-back do SuccessFactors dá suporte à atribuição de valores aos seguintes atributos do Employee Central:

  • Email comercial
  • Nome de Usuário
  • Número de telefone comercial (incluindo código do país, código de área, número e ramal)
  • Sinalizador principal de número de telefone comercial
  • Número de celular (incluindo código do país, código de área e número)
  • Sinalizador principal de telefone celular
  • Atributos do usuário custom01-custom15
  • Atributo loginMethod

Observação

Este aplicativo não tem nenhuma dependência dos aplicativos de integração de provisionamento de usuário de entrada do SuccessFactors. Você pode configurá-lo de maneira independente do aplicativo de provisionamento do SuccessFactors para o AD local e do aplicativo de provisionamento do SuccessFactors para o Microsoft Entra ID.

Consulte a seção Cenários de write-back do guia de referência de integração do SAP SuccessFactors para obter mais detalhes sobre os cenários com suporte, problemas conhecidos e limitações.

Para quem é mais recomendada essa solução de provisionamento de usuário?

Essa solução de provisionamento de usuário de Write-back do SuccessFactors é ideal para:

  • As organizações que usam o Microsoft 365 que desejam fazer write-back de atributos autoritativos gerenciados pela TI (como endereço de email, nome de usuário e telefone) no SuccessFactors Employee Central.

Configurar o SuccessFactors para a integração

Todos os conectores de provisionamento do SuccessFactors exigem credenciais de uma conta do SuccessFactors com as permissões certas para invocar as APIs de OData do Employee Central. Esta seção descreve as etapas para criar a conta de serviço no SuccessFactors e conceder as permissões apropriadas.

Criar/identificar a conta de usuário de API no SuccessFactors

Trabalhe com a equipe de administradores ou o parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors que será usada para invocar as APIs do OData. As credenciais de nome de usuário e senha dessa conta serão necessárias quando você configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

  1. Faça logon no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de Administração.

  2. Pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

    Gerenciar Funções de Permissão

  3. Na Lista de Funções de Permissão, clique em Criar.

    Criar Função de Permissão

  4. Adicione um Nome de Função e uma Descrição para a função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

    Detalhe da função de permissão

  5. Em Configurações de permissão, clique em Permissão... e role para baixo até a lista de permissões e clique em Gerenciar Ferramentas de Integração. Marque a caixa de seleção para Permitir que o Administrador Acesse a API do OData por meio da Autenticação Básica.

    Gerenciar ferramentas de integração

  6. Role para baixo na mesma caixa e selecione API do Employee Central. Adicione permissões conforme mostrado abaixo para ler usando a API do ODATA e editar usando a API do ODATA. Selecione a opção Editar se você planejar usar a mesma conta para o cenário de write-back para SuccessFactors.

    Permissões de leitura/gravação

  7. Clique em Concluído. Clique em Salvar Alterações.

Criar um Grupo de Permissões para o usuário da API

  1. No Centro de Administração do SuccessFactors, pesquise Gerenciar Grupos de Permissões e selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

    Gerenciar grupos de permissões

  2. Na janela Gerenciar Grupos de Permissões, clique em Criar.

    Adicione grupo novo

  3. Adicione um Nome do Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários de API.

    Nome do grupo de permissões

  4. Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso Pool de Pessoas e inserir o nome de usuário da conta de API que será usada para a integração.

    Adicionar membros do grupo

  5. Clique em Concluído para concluir a criação do Grupo de Permissões.

Conceder a Função de Permissão ao Grupo de Permissões

  1. No Centro de Administração do SuccessFactors, pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

  2. Na Lista da Função de Permissão, selecione a função que você criou para permissões de uso de API.

  3. Em Conceder essa função a..., clique no botão Adicionar....

  4. Selecione Grupo de Permissões... no menu suspenso e clique em Selecionar... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.

    Adicionar grupo de permissões

  5. Examine a concessão da Função de Permissão ao Grupo de Permissões.

    Detalhe de Função de Permissão e de Grupo

  6. Clique em Salvar Alterações.

Preparando-se para o Write-back do SuccessFactors

O aplicativo de provisionamento de Write-back do SuccessFactors usa determinados valores de código para definir o email e os números de telefone no Employee Central. Esses valores de código são definidos como valores constantes na tabela de mapeamento de atributos e são diferentes para cada instância do SuccessFactors. Esta seção fornece etapas para capturar esses valores de código.

Observação

Envolva o Administrador do SuccessFactors para concluir as etapas nesta seção.

Identificar os nomes na lista de seleção de Email e Número de telefone

No SAP SuccessFactors, uma lista de seleção é um conjunto configurável de opções entre as quais o usuário pode fazer uma seleção. Os diferentes tipos de email e número de telefone (por exemplo, comercial, pessoal e outros) são representados usando uma lista de seleção. Nesta etapa, identificaremos as listas de seleção configuradas em seu locatário do SuccessFactors para armazenar os valores de email e número de telefone.

  1. No Centro de Administração do SuccessFactors, pesquise Gerenciar configuração de negócios.

    Gerenciar configuração de negócios

  2. Em Elementos de HRIS, selecione emailInfo e clique nos Detalhes no campo tipo de email.

    Obter informações de email

  3. Na página de detalhes do tipo de email, anote o nome da lista de seleção associada ao campo. Por padrão, ele fica em ecEmailType. No entanto, ele pode ser diferente em seu locatário.

    Identificar lista de seleção de email

  4. Em Elementos de HRIS, selecione phoneInfo e clique nos Detalhes no campo tipo de telefone.

    Obter informações de telefone

  5. Na página de detalhes do tipo de telefone, anote o nome da lista de seleção associada ao campo. Por padrão, ele fica em ecPhoneType. No entanto, ele pode ser diferente em seu locatário.

    Identificar lista de seleção de telefone

Recuperar valor constante para emailType

  1. No Centro de Administração do SuccessFactors, pesquise Centro de Lista de Seleção e abra-o.

  2. Use o nome da lista de seleção de email capturado na seção anterior (por exemplo, ecEmailType) para localizar a lista de seleção de email.

    Localizar lista de seleção de tipo de email

  3. Abra a lista de seleção de email ativa.

    Abrir lista de seleção de tipo de email ativo

  4. Na página da lista de seleção de tipo de email, selecione o tipo de email Empresarial.

    Selecionar tipo de email empresarial

  5. Tome nota da ID da Opção associada ao email Empresarial. Este é o código que usaremos com emailType na tabela de mapeamento de atributos.

    Obter código de tipo de email

    Observação

    Remova o caractere de vírgula ao copiar o valor. Por exemplo, se o valor da ID da Opção for 8.448, defina o emailType no Microsoft Entra ID como o número constante 8448 (sem o caractere de ponto).

Recuperar valor constante para phoneType

  1. No Centro de Administração do SuccessFactors, pesquise Centro de Lista de Seleção e abra-o.

  2. Use o nome da lista de seleção de telefone capturado na seção anterior para localizar a lista de seleção de telefone.

    Localizar lista de seleção de tipo de telefone

  3. Abra a lista de seleção de telefone ativa.

    Abrir lista de seleção de tipo de telefone ativa

  4. Na página de lista de seleção de tipo de telefone, examine os diferentes tipos de telefone listados em Valores da Lista de Seleção.

    Examinar os tipos de telefone

  5. Tome nota da ID da Opção associada ao telefone Empresarial. Este é o código que usaremos com businessPhoneType na tabela de mapeamento de atributos.

    Obter código do telefone comercial

  6. Tome nota da ID da Opção associada ao telefone Celular. Este é o código que usaremos com cellPhoneType na tabela de mapeamento de atributos.

    Obter código de telefone celular

    Observação

    Remova o caractere de vírgula ao copiar o valor. Por exemplo, se o valor da ID da Opção for 10.606, defina o cellPhoneType no Microsoft Entra ID como o número constante 10606 (sem o caractere de ponto).

Configurando o Aplicativo de Write-back do SuccessFactors

Esta seção fornece as etapas para

Parte 1: Adicionar o aplicativo de conector de provisionamento e configurar a conectividade com o SuccessFactors

Para configurar o Write-back do SuccessFactors:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

  3. Pesquise Write-back do SuccessFactors e adicione esse aplicativo da galeria.

  4. Após adicionar o aplicativo e a tela de detalhes do aplicativo for exibida, selecione Provisionamento

  5. Altere o Modo deProvisionamento para Automático

  6. Conclua a seção Credenciais de Administrador, conforme a seguir:

    • Nome de Usuário Administrador: insira o nome de usuário da conta de usuário da API do SuccessFactors, com a ID da empresa acrescentada. Ele tem o formato: nomedeusuario@IDdaempresa

    • Senha do administrador: insira a senha da conta de usuário da API do SuccessFactors.

    • URL do Locatário: insira o nome do ponto de extremidade de serviço da API do OData do SuccessFactors. Insira apenas o nome do host do servidor sem http ou https. Esse valor deve ser semelhante a api4.successfactors.com.

    • Email de Notificação – Digite seu endereço de email e marque a caixa de seleção “enviar email se ocorrer falha”.

    Observação

    O serviço de provisionamento do Microsoft Entra envia uma notificação por email quando o trabalho de provisionamento entra no estado de quarentena.

    • Clique no botão Conexão de Teste. Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique novamente se as credenciais e a URL do SuccessFactors são válidas.

    Portal do Azure

    • Após as credenciais serem salvas com êxito, a seção Mapeamentos exibirá o mapeamento padrão. Atualize a página se os mapeamentos de atributos não estiverem visíveis.

Parte 2: Configurar mapeamentos de atributos

Nesta seção, você vai configurar como o fluxo de dados do usuário flui do SuccessFactors para o Active Directory.

  1. Na guia Provisionamento em Mapeamentos, clique em Provisionar usuários do Microsoft Entra.

  2. No campo Escopo do Objeto de Origem, é possível selecionar quais conjuntos de usuários no Microsoft Entra ID devem ser considerados para write-back definindo um conjunto de filtros baseados em atributo. O escopo padrão é "todos os usuários no Microsoft Entra ID".

    Dica

    Quando você estiver configurando o aplicativo de provisionamento de aplicativo pela primeira vez, você precisará testar e verificar seus mapeamentos de atributo e expressões para certificar-se de que ele está dando a você o resultado desejado. A Microsoft recomenda o uso de filtros de escopo em Escopo do Objeto de Origem para testar seus mapeamentos com alguns usuários de teste do Microsoft Entra ID. Após ter verificado que os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  3. O campo Ações do Objeto de Destino dá suporte apenas à operação de Atualização.

  4. Na tabela de mapeamento na seção Mapeamentos de atributos, você pode mapear os atributos a seguir do Microsoft Entra para o SuccessFactors. A tabela a seguir fornece orientações sobre como mapear os atributos de write-back.

    # Atributo Microsoft Entra Atributo do SuccessFactors Comentários
    1 employeeId personIdExternal Por padrão, esse atributo é o identificador correspondente. Em vez de employeeId, você pode usar qualquer outro atributo do Microsoft Entra que possa armazenar o valor igual a personIdExternal no SuccessFactors.
    2 mail email Mapear a origem do atributo de email. Para fins de teste, você pode mapear userPrincipalName para email.
    3 8448 emailType Esse valor constante é o valor da ID do SuccessFactors associada ao email empresarial. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Confira a seção Recuperar o valor constante de emailType para obter as etapas para definir esse valor.
    4 true emailIsPrimary Use este atributo para definir o email empresarial como o principal no SuccessFactors. Se o email empresarial não for o principal, defina esse sinalizador como falso.
    5 userPrincipalName [custom01 – custom15] Usando Adicionar Novo Mapeamento, você pode gravar userPrincipalName ou qualquer atributo do Microsoft Entra como um atributo personalizado disponível no objeto de Usuário do SuccessFactors.
    6 SamAccountName local Nome de Usuário Usando Adicionar Novo Mapeamento, você pode mapear samAccountName local para o atributo de nome de usuário do SuccessFactors. Use Microsoft Entra Connect Sync: extensões de diretório para sincronizar samAccountName com o Microsoft Entra ID. Ele será exibido no menu suspenso de origem como extension_yourTenantGUID_samAccountName
    7 SSO loginMethod Se o locatário do SuccessFactors for configurado para SSO parcial, usando Adicionar Novo Mapeamento você poderá definir loginMethod como um valor constante de "SSO" ou "PWD".
    8 telephoneNumber businessPhoneNumber Use este mapeamento para transmitir o telephoneNumber do Microsoft Entra ID para o número de telefone comercial/de trabalho do SuccessFactors.
    9 10605 businessPhoneType Esse valor constante é o valor da ID do SuccessFactors associada ao telefone comercial. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Confira a seção Recuperar o valor constante de phoneType para obter as etapas para definir esse valor.
    10 true businessPhoneIsPrimary Use este atributo para definir o sinalizador primário para o número de telefone comercial. Os valores válidos são true ou false.
    11 Serviço Móvel cellPhoneNumber Use este mapeamento para transmitir o telephoneNumber do Microsoft Entra ID para o número de telefone comercial/de trabalho do SuccessFactors.
    12 10606 cellPhoneType Esse valor constante é o valor da ID do SuccessFactors associada ao telefone celular. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Confira a seção Recuperar o valor constante de phoneType para obter as etapas para definir esse valor.
    13 false cellPhoneIsPrimary Use este atributo para definir o sinalizador primário para o número de telefone celular. Os valores válidos são true ou false.
    14 [extensionAttribute1-15] userId Use esse mapeamento para garantir que o registro ativo no SuccessFactors seja atualizado quando houver vários registros de emprego para o mesmo usuário. Para obter mais detalhes, confira Como habilitar write-back com UserID

  5. Valide e examine os mapeamentos de atributos.

    Mapeamentos de atributos de write-back

  6. Clique em Salvar para salvar os mapeamentos. Em seguida, atualizaremos as expressões da API de Caminho JSON para usar os códigos de phoneType em sua instância do SuccessFactors.

  7. Selecione Mostrar opções avançadas.

    Mostrar opções avançadas

  8. Clique em Editar lista de atributos do SuccessFactors.

    Observação

    Se a opção Editar lista de atributos para o SuccessFactors não aparecer no portal do Azure, use a URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true para acessar a página.

  9. A coluna Expressão da API nessa exibição mostra as expressões de Caminho JSON usadas pelo conector.

  10. Atualize as expressões de Caminho JSON do telefone comercial e do telefone celular para usar o valor da ID (businessPhoneType e cellPhoneType) correspondente ao seu ambiente.

    Alterar Caminho JSON do telefone

  11. Clique em Salvar para salvar os mapeamentos.

Habilitar e iniciar o provisionamento de usuário

Depois que as configurações do aplicativo de provisionamento do SuccessFactors tiverem sido concluídas, você poderá ativar o serviço de provisionamento.

Dica

Por padrão, quando você ativa o serviço de provisionamento, ele iniciará as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento, o trabalho de provisionamento poderá falhar e prosseguir para o estado de quarentena. Para evitar isso, como uma melhor prática, recomendamos configurar o filtro Escopo do Objeto de Origem e testar seus mapeamentos de atributos com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  1. Na guia Provisionamento, defina o Status de Provisionamento para Em.

  2. Selecione Escopo. É possível selecionar entre uma das seguintes opções:

    • Sincronizar todos os usuários e grupos: selecione essa opção se você planejar fazer write-back dos atributos mapeados de todos os usuários do Microsoft Entra ID para o SuccessFactors, sujeito às regras de escopo definidas em Mapeamentos - >Escopo do Objeto de Origem.
    • Sincronizar somente usuários e grupos atribuídos: selecione esta opção se você planejar fazer write-back dos atributos mapeados somente dos usuários que você atribuiu a esse aplicativo na opção de menu Aplicativo - >Gerenciar - >Usuários e grupos. Esses usuários também estão sujeitos às regras de escopo definidas em Mapeamentos - >Escopo do Objeto de Origem.

    Selecionar escopo de Write-back

    Observação

    Os aplicativos de provisionamento de Write-back dos SuccessFactors criados após 12 de outubro de 2022 dão suporte ao recurso de "atribuição de grupo". Se você criou o aplicativo antes de 12 de outubro de 2022, ele só terá suporte para "atribuição de usuário". Para usar o recurso "atribuição de grupo", crie uma nova instância do aplicativo de Write-back dos SuccessFactors e mova suas configurações de mapeamento existentes para este aplicativo.

  3. Clique em Save (Salvar).

  4. Essa operação dará início à sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Microsoft Entra e do escopo definido para a operação. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.

  5. A qualquer momento, verifique a guia Logs de provisionamento no portal do Azure para ver as ações executadas pelo serviço de provisionamento. Os logs de provisionamento listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento.

  6. Após a sincronização inicial ser concluída, um relatório de resumo de auditoria será gravado na guia Provisionamento conforme mostrado abaixo.

    Barra de progresso do provisionamento

Próximas etapas