Configurar o SAP SuccessFactors para o provisionamento de usuário do Active Directory

O objetivo deste artigo é mostrar as etapas que você precisa executar para provisionar usuários do SuccessFactors Employee Central para o Active Directory (AD) e o Microsoft Entra ID, com write-back opcional do endereço de email para SuccessFactors.

Observação

Use este artigo se os usuários que você deseja provisionar do SuccessFactors precisarem de uma conta do AD local e, opcionalmente, de uma conta do Microsoft Entra. Se os usuários do SuccessFactors precisarem apenas da conta do Microsoft Entra (usuários somente na nuvem), consulte o artigo sobre como configurar o SAP SuccessFactors para o provisionamento de usuário do Microsoft Entra ID.

O vídeo a seguir fornece uma visão geral rápida das etapas envolvidas ao planejar sua integração de provisionamento com o SAP SuccessFactors.

Visão geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se ao SuccessFactors Employee Central para gerenciar o ciclo de vida de identidade dos usuários.

Os fluxos de trabalho de provisionamento de usuários do SuccessFactors com suporte pelo serviço de provisionamento de usuários Microsoft Entra habilitam a automação dos seguintes cenários de recursos humanos e gerenciamento do ciclo de vida da identidade:

• Contratação de novos funcionários – quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Active Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID, com write-back do endereço de email para SuccessFactors.

• Atualizações de perfil e atributo de funcionário – quando um registro de funcionário é atualizado no SuccessFactors (como seu nome, título ou gerente), sua conta de usuário é atualizada automaticamente no Active Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.

• Terminações de funcionários – quando um funcionário é encerrado no SuccessFactors, sua conta de usuário é desabilitada automaticamente no Active Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com a ID do Microsoft Entra.

• Recontratação de Funcionários – Quando um funcionário é recontratado no sistema SuccessFactors, sua conta antiga pode ser reativada ou reprovisionada automaticamente, conforme sua preferência, para o Active Directory, o Microsoft Entra ID e, opcionalmente, o Microsoft 365 e outros aplicativos SaaS que têm suporte do Microsoft Entra ID.

Para quem é mais recomendada essa solução de provisionamento de usuário?

Essa solução de provisionamento de usuário do SuccessFactors para o Active Directory é ideal para:

• Organizações que desejam uma solução predefinida e baseada na nuvem para o provisionamento de usuários do SuccessFactors, incluindo organizações que estão preenchendo o SuccessFactors a partir do SAP HCM usando o SAP Integration Suite

• Organizações que estão implantando o Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP, usando o Microsoft Entra para configurar identidades para que os trabalhadores possam entrar em um ou mais aplicativos SAP, como SAP ECC ou SAP S/4HANA, e, opcionalmente, aplicativos não SAP.

• Organizações que exigem o provisionamento direto de usuários do SuccessFactors para o Active Directory permitem que os usuários acessem aplicativos integrados ao Windows Server Active Directory e aos aplicativos integrados ao Microsoft Entra ID.

• Organizações que exigem que os usuários sejam provisionados usando dados obtidos do SuccessFactors Employee Central (EC)

• Organizações que exigem ingresso, movimentação e saída de usuários para serem sincronizadas com uma ou mais Florestas, Domínios e UOs do Active Directory com base apenas nas informações de alteração detectadas no SuccessFactors Employee Central (EC)

• Organizações que usam o Microsoft 365 para email

Arquitetura da solução

Esta seção descreve a arquitetura da solução de provisionamento do usuário de ponta a ponta para ambientes híbridos comuns. Há dois fluxos relacionados:

• Fluxo de dados de RH autoritativo – do SuccessFactors ao Active Directory local: Neste fluxo de eventos de trabalho (como Novas Contratações, Transferências, Terminações) primeiro ocorrem na nuvem SuccessFactors Employee Central e, em seguida, os dados do evento fluem para o Active Directory local por meio da ID do Microsoft Entra e do Agente de Provisionamento. Dependendo do evento, pode levar a operações de criar/atualizar/habilitar/desabilitar no AD.

• Fluxo de retroalimentação de email – do Active Directory local para o SuccessFactors: Depois que a criação da conta for concluída no Active Directory, ela será sincronizada com a Identidade Microsoft Entra por meio da Sincronização do Microsoft Entra Connect e o atributo de email poderá ser gravado no SuccessFactors.

  

Fluxo de dados do usuário de ponta a ponta

1. A equipe de RH realiza transações de trabalho (adições/transferências/saídas ou novas contratações/transferências/demissões) no SuccessFactors Employee Central.
2. O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades no SuccessFactors EC e identifica as alterações que precisam ser processadas para sincronização com o Active Directory local.
3. O serviço de provisionamento do Microsoft Entra invoca o agente de provisionamento do Microsoft Entra Connect com um payload de solicitação que contém operações de criação/atualização/habilitação/desabilitação da conta do AD.
4. O agente de provisionamento do Microsoft Entra Connect usa uma conta de serviço para adicionar dados da conta do AD.
5. O mecanismo de sincronização do Microsoft Entra Connect executa uma sincronização delta para efetuar pull das atualizações no AD.
6. As atualizações do Active Directory são sincronizadas com o Microsoft Entra ID.
7. Se o aplicativo de write-back SuccessFactors estiver configurado, ele gravará de volta o atributo de email para SuccessFactors, com base no atributo correspondente usado.

Planejamento da implantação

A configuração do provisionamento de usuário controlado pelo RH na Nuvem do SuccessFactors para o AD exige um planejamento considerável que aborda diferentes aspectos como:

• Configuração do agente de provisionamento do Microsoft Entra Connect
• Número de aplicativos de provisionamento de usuário do SuccessFactors para o AD a serem implantados
• Fazer a correspondência de ID, mapeamento de atributos, filtros de transformação e escopo

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes sobre esses tópicos. Consulte a referência de integração do SAP SuccessFactors para saber mais sobre as entidades com suporte, detalhes de processamento e como personalizar a integração para diferentes cenários de RH.

Configurar o SuccessFactors para a integração

Um requisito comum de todos os conectores de provisionamento do SuccessFactors é que eles exigem credenciais de uma conta do SuccessFactors com as permissões certas para invocar as APIs do OData do SuccessFactors. Esta seção descreve as etapas para criar a conta de serviço no SuccessFactors e conceder as permissões apropriadas.

• Criar/identificar a conta de usuário da API no SuccessFactors
• Criar uma função de permissões de API
• Criar um grupo de permissões para o usuário da API
• Atribuir Papel de Permissão ao Grupo de Permissão

Criar/identificar a conta de usuário de API no SuccessFactors

Trabalhe com a equipe de administradores ou o parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors para invocar as APIs do OData. As credenciais de nome de usuário e senha dessa conta são necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

1. Faça logon no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de Administração.

2. Pesquise por Gerenciar Funções de Permissão e, em seguida, selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

3. Na Lista de Funções de Permissão, selecione Criar Novo.

   

4. Adicione um nome de função e uma descrição para a nova função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

5. Em Configurações de permissão, selecione Permissão..., role para baixo na lista de permissões e selecione Gerenciar Ferramentas de Integração. Marque a caixa para permitir que o administrador acesse a API OData por meio da Autenticação Básica.

   

6. Role para baixo na mesma caixa e selecione API Central do Funcionário. Adicione permissões conforme mostrado abaixo para ler usando a API do ODATA e editar usando a API do ODATA. Selecione a opção Editar se você planejar usar a mesma conta para o cenário de Write-back para SuccessFactors.

   

7. Na mesma caixa de permissões, vá para Permissões de Usuário –> Dados do Funcionário e examine os atributos que a conta de serviço pode ler da instância SuccessFactors. Por exemplo, para recuperar o atributo Username do SuccessFactors, verifique se a permissão "View" é concedida para esse atributo. Da mesma forma, examine cada atributo para obter a permissão de exibição.

   

   Observação

   Para obter a lista completa de atributos recuperados por este aplicativo de provisionamento, consulte a Referência de Atributo SuccessFactors

8. Selecione Concluído. Selecione Salvar Alterações.

Criar um Grupo de Permissões para o usuário da API

1. No SuccessFactors Admin Center, procure por Gerenciar Grupos de Permissões, e então selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

   

2. Na janela Gerenciar Grupos de Permissões, selecione Criar Novo.

   

3. Adicione um Nome do Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários de API.

   

4. Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso do Grupo de Pessoas e, em seguida, inserir o nome de usuário da conta de API usada para a integração.

   

5. Selecione Concluído para concluir a criação do Grupo de Permissões.

Conceder a Função de Permissão ao Grupo de Permissões

1. No SuccessFactors Admin Center, pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
2. Na Lista de Funções de Permissão, selecione a função que você criou para permissões de uso de API.
3. Em Conceder essa função a..., selecione o botão Adicionar...
4. Selecione Grupo de Permissões... no menu suspenso e, em seguida, selecione... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.
5. Examine a concessão da Função de Permissão ao Grupo de Permissões.
6. Selecione Salvar Alterações.

Configurar o provisionamento de usuário do SuccessFactors para o Active Directory

Esta seção fornece as etapas para o provisionamento da conta de usuário do SuccessFactors para cada domínio do Active Directory no escopo de sua integração.

• Adicionar o aplicativo conector de provisionamento e baixar o Agente de Provisionamento
• Instalar e configurar agentes de provisionamento locais
• Configurar a conectividade com SuccessFactors e Active Directory
• Configurar mapeamentos de atributo
• Habilitar e iniciar o provisionamento de usuário

Parte 1: Adicionar o aplicativo do conector de provisionamento e baixar o Agente de Provisionamento

Para configurar o SuccessFactors para o provisionamento do Active Directory:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.

3. Pesquise por SuccessFactors para Provisionamento de Usuários do Active Directory e adicione esse aplicativo a partir da galeria.

4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for mostrada, selecione Provisionamento

5. Alterar o modode provisionamento para Automático

6. Selecione o banner de informações exibido para baixar o Agente de Provisionamento.

   

Parte 2: Instalar e configurar Agentes de Provisionamento local

Para provisionar no Active Directory local, o agente de Provisionamento deverá ser instalado em um servidor conectado ao domínio que tenha acesso à rede para os domínios do Active Directory desejados.

Transfira o instalador do agente baixado para o host do servidor e siga as etapas listadas na seção do agente de instalação para concluir a configuração do agente.

Parte 3: No aplicativo de provisionamento, configure a conectividade com o SuccessFactors e o Active Directory

Nesta etapa, estabeleceremos a conectividade com o SuccessFactors e o Active Directory.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

2. Navegue até Entra ID>aplicativos empresariais> SuccessFactors para Aplicativo de Provisionamento de Usuários do Active Directory criado na Parte 1

3. Conclua a seção Credenciais de Administrador da seguinte maneira:

   • Nome de usuário administrador – insira o nome de usuário da conta de usuário da API SuccessFactors, com a ID da empresa acrescentada. Ele tem o formato: username@companyID

   • Senha de administrador – Insira a senha da conta de usuário da API SuccessFactors.

   • URL do cliente – Insira o nome da URL do endpoint dos serviços de API OData do SuccessFactors. Insira apenas o nome do host do servidor sem http ou https. Esse valor deve ser semelhante a: api-server-name.successfactors.com<>.

   • Floresta do Active Directory – O "Nome" do seu domínio do Active Directory, conforme registrado pelo agente. Use a lista suspensa para selecionar o domínio de destino para o provisionamento. Esse valor normalmente é uma cadeia de caracteres como: contoso.com

   • Contêiner do Active Directory – Insira o DN do contêiner em que o agente deve criar contas de usuário por padrão. Exemplo: OU=Users,DC=contoso,DC=com

     Observação

     Essa configuração só entrará em jogo para criações de conta de usuário se o atributo parentDistinguishedName não estiver configurado nos mapeamentos de atributo. Essa configuração não é usada para operações de pesquisa ou atualização do usuário. A subárvore de todo o domínio se enquadra no escopo da operação de pesquisa.

   • Email de notificação – Insira seu endereço de email e marque a caixa de seleção "enviar email se ocorrer falha".

     Observação

     O serviço de provisionamento do Microsoft Entra enviará uma notificação por email se o trabalho de provisionamento entrar em um estado de quarentena.

   • Selecione o botão Testar Conexão . Se o teste de conexão for bem-sucedido, selecione o botão Salvar na parte superior. Se ele falhar, verifique se as credenciais do SuccessFactors e as credenciais do AD configuradas na instalação do agente são válidas.

   • Depois que as credenciais são salvas com êxito, a seção Mapeamentos exibe o mapeamento padrão sincronizar usuários do SuccessFactors com o Active Directory local

Parte 4: Configurar mapeamentos de atributos

Nesta seção, você vai configurar o fluxo dos dados do usuário do SuccessFactors para o Active Directory.

1. Na guia Provisionamento em Mapeamentos, selecione Sincronizar Usuários SuccessFactors com o Active Directory On-Premises.

2. No campo Escopo do Objeto de Origem , você pode selecionar quais conjuntos de usuários no SuccessFactors devem estar no escopo do provisionamento para o AD, definindo um conjunto de filtros baseados em atributo. O escopo padrão é todos os usuários no SuccessFactors. Filtros de exemplo:

   • Exemplo: o escopo para usuários com personIdExternal entre 1000000 e 2000000 (excluindo 2000000)

     • Atributo: personIdExternal

     • Operador: Coincidir EXREG

     • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exemplo: Apenas funcionários e trabalhadores não contingentes

     • Atributo: EmployeeID

     • Operador: IS NOT NULL

   Dica

   Quando estiver configurando o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar os mapeamentos de atributo e as expressões para verificar se ele está dando o resultado desejado. A Microsoft recomenda usar os filtros de escopo no Escopo do Objeto de Origem para testar seus mapeamentos com alguns usuários de teste do SuccessFactors. Após ter verificado que os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

   Cuidado

   O comportamento padrão do mecanismo de provisionamento é desabilitar/excluir usuários fora do escopo. Isso pode não ser desejável para sua integração do SuccessFactors ao AD. Para substituir esse comportamento padrão, consulte o artigo Ignorar a exclusão de contas de usuário que saem do escopo

3. No campo Ações de Objeto de Destino, você pode filtrar globalmente quais ações são executadas no Active Directory. Criar e atualizar são mais comuns.

4. Na seção Mapeamentos de atributos , você pode definir como os atributos individuais do SuccessFactors são mapeados para atributos do Active Directory.

   Observação

   Para obter a lista completa do atributo SuccessFactors compatível com o aplicativo, consulte a Referência de Atributo SuccessFactors

5. Selecione um mapeamento de atributo existente para atualizá-lo ou selecione Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual dá suporte para essas propriedades:

   • Tipo de mapeamento

     • Direct – Grava o valor do atributo SuccessFactors no atributo AD, sem alterações

     • Constante – Gravar um valor de cadeia de caracteres estático e constante no atributo AD

     • Expressão – Permite que você escreva um valor personalizado no atributo AD, com base em um ou mais atributos SuccessFactors. Para obter mais informações, consulte este artigo sobre expressões.

   • Atributo de origem – O atributo de usuário do SuccessFactors

   • Valor padrão – opcional. Se o atributo de origem tiver um valor vazio, o mapeamento irá gravar esse valor. A configuração mais comum é deixar em branco.

   • Atributo de destino – o atributo de usuário no Active Directory.

   • Corresponder objetos usando esse atributo – se esse mapeamento deve ou não ser usado para identificar exclusivamente os usuários entre o SuccessFactors e o Active Directory. Normalmente, esse valor é definido no campo ID do Trabalhador para o SuccessFactors, que geralmente é mapeado para um dos atributos da ID do Funcionário no Active Directory.

   • Precedência correspondente – vários atributos correspondentes podem ser definidos. Quando houver múltiplos, os atributos serão avaliados na ordem definida por esse campo. Assim que uma correspondência for encontrada, mais nenhum atributo correspondente será avaliado.

   • Aplicar este mapeamento

     • Always – Aplicar esse mapeamento em ações de criação e atualização do usuário

     • Somente durante a criação – Aplicar esse mapeamento somente em ações de criação do usuário

6. Para salvar seus mapeamentos, selecione Salvar na parte superior da seção Attribute-Mapping.

Depois que a configuração de mapeamento de atributo for concluída, você poderá testar o provisionamento para um único usuário usando o provisionamento sob demanda e, em seguida, habilitar e iniciar o serviço de provisionamento de usuário.

Habilitar e iniciar o provisionamento de usuário

Depois que as configurações do aplicativo de provisionamento SuccessFactors forem concluídas e você tiver verificado o provisionamento para um único usuário com provisionamento sob demanda, você poderá ativar o serviço de provisionamento.

Dica

Por padrão, quando você ativa o serviço de provisionamento, ele inicia as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados no mapeamento ou no SuccessFactors, o trabalho de provisionamento poderá falhar e prosseguir para o estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro escopo do objeto de origem e testar seus mapeamentos de atributo com alguns usuários de teste usando o provisionamento sob demanda antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

1. Vá para a folha Provisionamento e selecione Iniciar provisionamento.

2. Essa operação dá início à sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do SuccessFactors. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.

3. A qualquer momento, verifique a guia Provisionamento no Centro de administração do Entra para ver quais ações o serviço de provisionamento executou. Os logs de provisionamento listam todos os eventos de sincronização individuais realizados pelo serviço de provisionamento, tais como aqueles em que os usuários estão sendo lidos do SuccessFactors e, posteriormente adicionados ou atualizados no Active Directory.

4. Depois que a sincronização inicial for concluída, ela gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

   

Conteúdo relacionado

• Saiba mais sobre os atributos suportados do SuccessFactors para provisionamento de entrada
• Saiba como configurar o retorno de email para o SuccessFactors
• Saiba como revisar logs e obter relatórios sobre a atividade de provisionamento
• Saiba como configurar o logon único entre SuccessFactors e a ID do Microsoft Entra
• Saiba como integrar outros aplicativos SaaS à ID do Microsoft Entra
• Saiba como exportar e importar suas configurações de provisionamento