Tutorial: Configurar o write-back de atributos do Microsoft Entra ID para o SAP SuccessFactors
O objetivo deste tutorial é mostrar as etapas para fazer write-back de atributos do Microsoft Entra ID para o SAP SuccessFactors Employee Central.
Visão geral
Você pode configurar o aplicativo de write-back do SAP SuccessFactors para gravar atributos específicos do Microsoft Entra ID para o SAP SuccessFactors Employee Central. O aplicativo de provisionamento de write-back do SuccessFactors dá suporte à atribuição de valores aos seguintes atributos do Employee Central:
- Email comercial
- Nome de Usuário
- Número de telefone comercial (incluindo código do país, código de área, número e ramal)
- Sinalizador principal de número de telefone comercial
- Número de celular (incluindo código do país, código de área e número)
- Sinalizador principal de telefone celular
- Atributos do usuário custom01-custom15
- Atributo loginMethod
Observação
Este aplicativo não tem nenhuma dependência dos aplicativos de integração de provisionamento de usuário de entrada do SuccessFactors. Você pode configurá-lo de maneira independente do aplicativo de provisionamento do SuccessFactors para o AD local e do aplicativo de provisionamento do SuccessFactors para o Microsoft Entra ID.
Consulte a seção Cenários de write-back do guia de referência de integração do SAP SuccessFactors para obter mais detalhes sobre os cenários com suporte, problemas conhecidos e limitações.
Para quem é mais recomendada essa solução de provisionamento de usuário?
Essa solução de provisionamento de usuário de Write-back do SuccessFactors é ideal para:
- As organizações que usam o Microsoft 365 que desejam fazer write-back de atributos autoritativos gerenciados pela TI (como endereço de email, nome de usuário e telefone) no SuccessFactors Employee Central.
Configurar o SuccessFactors para a integração
Todos os conectores de provisionamento do SuccessFactors exigem credenciais de uma conta do SuccessFactors com as permissões certas para invocar as APIs de OData do Employee Central. Esta seção descreve as etapas para criar a conta de serviço no SuccessFactors e conceder as permissões apropriadas.
- Criar/identificar a conta de usuário de API no SuccessFactors
- Criar uma função de permissões de API
- Criar um Grupo de Permissões para o usuário da API
- Conceder a Função de Permissão ao Grupo de Permissões
Criar/identificar a conta de usuário de API no SuccessFactors
Trabalhe com a equipe de administradores ou o parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors para invocar as APIs do OData. As credenciais de nome de usuário e senha dessa conta são necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.
Criar uma função de permissões de API
Faça logon no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de Administração.
Pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
Na Lista de Funções de Permissão, clique em Criar.
Adicione um Nome de Função e uma Descrição para a função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.
Em Configurações de permissão, clique em Permissão... e role para baixo até a lista de permissões e clique em Gerenciar Ferramentas de Integração. Marque a caixa de seleção para Permitir que o Administrador Acesse a API do OData por meio da Autenticação Básica.
Role para baixo na mesma caixa e selecione API do Employee Central. Adicione permissões conforme mostrado abaixo para ler usando a API do ODATA e editar usando a API do ODATA. Selecione a opção Editar se você planejar usar a mesma conta para o cenário de write-back para SuccessFactors.
Clique em Concluído. Clique em Salvar Alterações.
Criar um Grupo de Permissões para o usuário da API
No Centro de Administração do SuccessFactors, pesquise Gerenciar Grupos de Permissões e selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.
Na janela Gerenciar Grupos de Permissões, clique em Criar.
Adicione um Nome do Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários de API.
Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso Pool de Pessoas e inserir o nome de usuário da conta de API que será usada para a integração.
Clique em Concluído para concluir a criação do Grupo de Permissões.
Conceder a Função de Permissão ao Grupo de Permissões
No Centro de Administração do SuccessFactors, pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
Na Lista da Função de Permissão, selecione a função que você criou para permissões de uso de API.
Em Conceder essa função a..., clique no botão Adicionar....
Selecione Grupo de Permissões... no menu suspenso e clique em Selecionar... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.
Examine a concessão da Função de Permissão ao Grupo de Permissões.
Clique em Salvar Alterações.
Preparando-se para o Write-back do SuccessFactors
O aplicativo de provisionamento de Write-back do SuccessFactors usa determinados valores de código para definir o email e os números de telefone no Employee Central. Esses valores de código são definidos como valores constantes na tabela de mapeamento de atributos e são diferentes para cada instância do SuccessFactors. Esta seção fornece etapas para capturar esses valores de código.
Observação
Envolva o Administrador do SuccessFactors para concluir as etapas nesta seção.
Identificar os nomes na lista de seleção de Email e Número de telefone
No SAP SuccessFactors, uma lista de seleção é um conjunto configurável de opções entre as quais o usuário pode fazer uma seleção. Os diferentes tipos de email e número de telefone (por exemplo, comercial, pessoal e outros) são representados usando uma lista de seleção. Nesta etapa, identificaremos as listas de seleção configuradas no seu locatário do SuccessFactors para armazenar os valores de email e número de telefone.
No Centro de Administração do SuccessFactors, pesquise Gerenciar configuração de negócios.
Em Elementos de HRIS, selecione emailInfo e clique nos Detalhes no campo tipo de email.
Na página de detalhes do tipo de email, anote o nome da lista de seleção associada ao campo. Por padrão, ele fica em ecEmailType. No entanto, ele pode ser diferente em seu locatário.
Em Elementos de HRIS, selecione phoneInfo e clique nos Detalhes no campo tipo de telefone.
Na página de detalhes do tipo de telefone, anote o nome da lista de seleção associada ao campo. Por padrão, ele fica em ecPhoneType. No entanto, ele pode ser diferente em seu locatário.
Recuperar valor constante para emailType
No Centro de Administração do SuccessFactors, pesquise Centro de Lista de Seleção e abra-o.
Use o nome da lista de seleção de email capturado na seção anterior (por exemplo, ecEmailType) para localizar a lista de seleção de email.
Abra a lista de seleção de email ativa.
Na página da lista de seleção de tipo de email, selecione o tipo de email Empresarial.
Tome nota da ID da Opção associada ao email Empresarial. Este é o código que usaremos com emailType na tabela de mapeamento de atributos.
Observação
Remova o caractere de vírgula ao copiar o valor. Por exemplo, se o valor da ID da Opção for 8.448, defina o emailType no Microsoft Entra ID como o número constante 8448 (sem o caractere de ponto).
Recuperar valor constante para phoneType
No Centro de Administração do SuccessFactors, pesquise Centro de Lista de Seleção e abra-o.
Use o nome da lista de seleção de telefone capturado na seção anterior para localizar a lista de seleção de telefone.
Abra a lista de seleção de telefone ativa.
Na página de lista de seleção de tipo de telefone, examine os diferentes tipos de telefone listados em Valores da Lista de Seleção.
Tome nota da ID da Opção associada ao telefone Empresarial. Este é o código que usaremos com businessPhoneType na tabela de mapeamento de atributos.
Tome nota da ID da Opção associada ao telefone Celular. Este é o código que usaremos com cellPhoneType na tabela de mapeamento de atributos.
Observação
Remova o caractere de vírgula ao copiar o valor. Por exemplo, se o valor da ID da Opção for 10.606, defina o cellPhoneType no Microsoft Entra ID como o número constante 10606 (sem o caractere de ponto).
Configurando o Aplicativo de Write-back do SuccessFactors
Esta seção fornece as etapas para
- Adicionar o aplicativo de conector de provisionamento e configurar a conectividade com o SuccessFactors
- Configurar mapeamentos de atributos
- Habilitar e iniciar o provisionamento de usuário
Parte 1: Adicionar o aplicativo de conector de provisionamento e configurar a conectividade com o SuccessFactors
Para configurar o Write-back do SuccessFactors:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
Pesquise Write-back do SuccessFactors e adicione esse aplicativo da galeria.
Após adicionar o aplicativo e a tela de detalhes do aplicativo for exibida, selecione Provisionamento
Altere o Modo de Provisionamento para Automático
Conclua a seção Credenciais de Administrador, conforme a seguir:
Nome de Usuário Administrador: insira o nome de usuário da conta de usuário da API do SuccessFactors, com a ID da empresa acrescentada. Ele tem o formato: nomedeusuario@IDdaempresa
Senha do administrador: insira a senha da conta de usuário da API do SuccessFactors.
URL do Locatário: insira o nome do ponto de extremidade de serviço da API do OData do SuccessFactors. Insira apenas o nome do host do servidor sem http ou https. Esse valor deve ser semelhante a
api4.successfactors.com
.Email de Notificação – Digite seu endereço de email e marque a caixa de seleção “enviar email se ocorrer falha”.
Observação
O serviço de provisionamento do Microsoft Entra envia uma notificação por email quando o trabalho de provisionamento entra no estado de quarentena.
- Clique no botão Conexão de Teste. Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique novamente se as credenciais e a URL do SuccessFactors são válidas.
- Depois que as credenciais são salvas com êxito, a seção Mapeamentos exibe o mapeamento padrão. Atualize a página se os mapeamentos de atributos não estiverem visíveis.
Parte 2: Configurar mapeamentos de atributos
Nesta seção, você vai configurar o fluxo dos dados do usuário do SuccessFactors para o Active Directory.
Na guia Provisionamento em Mapeamentos, clique em Provisionar usuários do Microsoft Entra.
No campo Escopo do Objeto de Origem, é possível selecionar quais conjuntos de usuários no Microsoft Entra ID devem ser considerados para write-back definindo um conjunto de filtros baseados em atributo. O escopo padrão é todos os usuários no Microsoft Entra ID.
Dica
Quando estiver configurando o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar os mapeamentos de atributo e as expressões para verificar se ele está dando o resultado desejado. A Microsoft recomenda o uso de filtros de escopo em Escopo do Objeto de Origem para testar seus mapeamentos com alguns usuários de teste do Microsoft Entra ID. Após ter verificado que os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.
O campo Ações do Objeto de Destino dá suporte apenas à operação de Atualização.
Na tabela de mapeamento na seção Mapeamentos de atributos, você pode mapear os atributos a seguir do Microsoft Entra para o SuccessFactors. A tabela a seguir fornece orientações sobre como mapear os atributos de write-back.
# Atributo Microsoft Entra Atributo do SuccessFactors Comentários 1 employeeId personIdExternal Por padrão, esse atributo é o identificador correspondente. Em vez de employeeId, você pode usar qualquer outro atributo do Microsoft Entra que possa armazenar o valor igual a personIdExternal no SuccessFactors. 2 mail email Mapear a origem do atributo de email. Para fins de teste, você pode mapear userPrincipalName para email. 3 8448 emailType Esse valor constante é o valor da ID do SuccessFactors associada ao email empresarial. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Confira a seção Recuperar o valor constante de emailType para obter as etapas para definir esse valor. 4 true emailIsPrimary Use este atributo para definir o email empresarial como o principal no SuccessFactors. Se o email empresarial não for o principal, defina esse sinalizador como falso. 5 userPrincipalName [custom01 – custom15] Usando Adicionar Novo Mapeamento, você pode gravar userPrincipalName ou qualquer atributo do Microsoft Entra como um atributo personalizado disponível no objeto de Usuário do SuccessFactors. 6 SamAccountName local Nome de Usuário Usando Adicionar Novo Mapeamento, você pode mapear samAccountName local para o atributo de nome de usuário do SuccessFactors. Use Microsoft Entra Connect Sync: extensões de diretório para sincronizar samAccountName com o Microsoft Entra ID. Isso será exibido no menu suspenso de origem como extension_yourTenantGUID_samAccountName 7 SSO loginMethod Se o locatário do SuccessFactors for configurado para SSO parcial, usando Adicionar Novo Mapeamento você poderá definir loginMethod como um valor constante de "SSO" ou "PWD". 8 telephoneNumber businessPhoneNumber Use este mapeamento para transmitir o telephoneNumber do Microsoft Entra ID para o número de telefone comercial/de trabalho do SuccessFactors. 9 10605 businessPhoneType Esse valor constante é o valor da ID do SuccessFactors associada ao telefone comercial. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Confira a seção Recuperar o valor constante de phoneType para obter as etapas para definir esse valor. 10 true businessPhoneIsPrimary Use este atributo para definir o sinalizador primário para o número de telefone comercial. Os valores válidos são true ou false. 11 Serviço Móvel cellPhoneNumber Use este mapeamento para transmitir o telephoneNumber do Microsoft Entra ID para o número de telefone comercial/de trabalho do SuccessFactors. 12 10606 cellPhoneType Esse valor constante é o valor da ID do SuccessFactors associada ao telefone celular. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Confira a seção Recuperar o valor constante de phoneType para obter as etapas para definir esse valor. 13 false cellPhoneIsPrimary Use este atributo para definir o sinalizador primário para o número de telefone celular. Os valores válidos são true ou false. 14 [extensionAttribute1-15] userId Use esse mapeamento para garantir que o registro ativo no SuccessFactors seja atualizado quando houver vários registros de emprego para o mesmo usuário. Para obter mais detalhes, confira Como habilitar write-back com UserID Valide e examine os mapeamentos de atributos.
Clique em Salvar para salvar os mapeamentos. Em seguida, atualizaremos as expressões da API de caminho JSON para que elas usem os códigos de phoneType na sua instância do SuccessFactors.
Selecione Mostrar opções avançadas.
Clique em Editar lista de atributos do SuccessFactors.
Observação
Se a opção Editar a lista de atributos do SuccessFactors não for exibida no centro de administração do Entra, use a URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true para acessar a página.
A coluna Expressão da API nessa exibição mostra as expressões de Caminho JSON usadas pelo conector.
Atualize as expressões de Caminho JSON do telefone comercial e do telefone celular para usar o valor da ID (businessPhoneType e cellPhoneType) correspondente ao seu ambiente.
Clique em Salvar para salvar os mapeamentos.
Habilitar e iniciar o provisionamento de usuário
Depois que as configurações do aplicativo de provisionamento do SuccessFactors forem concluídas, você poderá ativar o serviço de provisionamento.
Dica
Por padrão, quando você ativa o serviço de provisionamento, ele inicia as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento, o trabalho de provisionamento poderá falhar e prosseguir para o estado de quarentena. Para evitar isso, como uma melhor prática, recomendamos configurar o filtro Escopo do Objeto de Origem e testar seus mapeamentos de atributos com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.
Na guia Provisionamento, defina o Status de Provisionamento para Em.
Selecione Escopo. É possível selecionar entre uma das seguintes opções:
- Sincronizar todos os usuários e grupos: selecione essa opção se você planejar fazer write-back dos atributos mapeados de todos os usuários do Microsoft Entra ID para o SuccessFactors, sujeito às regras de escopo definidas em Mapeamentos - >Escopo do Objeto de Origem.
- Sincronizar somente usuários e grupos atribuídos: selecione esta opção se você planejar fazer write-back dos atributos mapeados somente dos usuários que você atribuiu a esse aplicativo na opção de menu Aplicativo - >Gerenciar - >Usuários e grupos. Esses usuários também estão sujeitos às regras de escopo definidas em Mapeamentos - >Escopo do Objeto de Origem.
Observação
Os aplicativos de provisionamento de Write-back dos SuccessFactors criados após 12 de outubro de 2022 dão suporte ao recurso de "atribuição de grupo". Se você criou o aplicativo antes de 12 de outubro de 2022, ele só terá suporte para a “atribuição de usuário”. Para usar o recurso "atribuição de grupo", crie uma nova instância do aplicativo de Write-back dos SuccessFactors e mova suas configurações de mapeamento existentes para este aplicativo.
Clique em Save (Salvar).
Essa operação dá início à sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Microsoft Entra e do escopo definido para a operação. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.
A qualquer momento, verifique a guia Logs de provisionamento no centro de administração do Entra para ver as ações executadas pelo serviço de provisionamento. Os logs de provisionamento listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento.
Após a sincronização inicial ser concluída, um relatório de resumo de auditoria é gravado na guia Provisionamento conforme mostrado abaixo.