Compartilhar via

Configurar a regravação de atributos da Identidade do Microsoft Entra para o SAP SuccessFactors

O objetivo deste artigo é mostrar as etapas para re-escrever atributos do Microsoft Entra ID no SAP SuccessFactors Employee Central.

Visão geral

Você pode configurar o aplicativo de write-back do SAP SuccessFactors para gravar atributos específicos do Microsoft Entra ID para o SAP SuccessFactors Employee Central. O aplicativo de provisionamento de write-back do SuccessFactors dá suporte à atribuição de valores aos seguintes atributos do Employee Central:

  • Email comercial
  • Nome de Usuário
  • Número de telefone comercial (incluindo código do país, código de área, número e ramal)
  • Sinalizador principal de número de telefone comercial
  • Número de celular (incluindo código do país, código de área e número)
  • Sinalizador principal de telefone celular
  • Atributos do usuário custom01-custom15
  • Atributo loginMethod

Observação

Esse aplicativo não tem nenhuma dependência dos aplicativos de integração para provisionamento de usuários de entrada do SuccessFactors. Você pode configurá-lo independentemente do SuccessFactors para o aplicativo de provisionamento do AD local ou SuccessFactors para o aplicativo de provisionamento de ID do Microsoft Entra .

Consulte a seção cenários de write-back do guia de referência de integração do SAP SuccessFactors para obter mais detalhes sobre os cenários com suporte, problemas conhecidos e limitações.

Para quem é mais recomendada essa solução de provisionamento de usuário?

Essa solução de provisionamento de usuário de Write-back do SuccessFactors é ideal para:

  • As organizações que usam o Microsoft 365 que desejam fazer write-back de atributos autoritativos gerenciados pela TI (como endereço de email, nome de usuário e telefone) no SuccessFactors Employee Central.

Configurar o SuccessFactors para a integração

Todos os conectores de provisionamento do SuccessFactors exigem credenciais de uma conta do SuccessFactors com as permissões certas para invocar as APIs de OData do Employee Central. Esta seção descreve as etapas para criar a conta de serviço no SuccessFactors e conceder as permissões apropriadas.

Criar/identificar a conta de usuário de API no SuccessFactors

Trabalhe com a equipe de administradores ou o parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors para invocar as APIs do OData. As credenciais de nome de usuário e senha dessa conta são necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

  1. Faça logon no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de Administração.

  2. Pesquise por Gerenciar Funções de Permissão e, em seguida, selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

    Gerenciar funções de permissão

  3. Na Lista de Funções de Permissão, selecione Criar Novo.

    Criar nova função de permissão

  4. Adicione um nome de função e uma descrição para a nova função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

  5. Em Configurações de permissão, selecione Permissão..., role para baixo na lista de permissões e selecione Gerenciar Ferramentas de Integração. Marque a caixa para permitir que o administrador acesse a API OData por meio da Autenticação Básica.

    Gerenciar ferramentas de integração

  6. Role para baixo na mesma caixa e selecione API Central do Funcionário. Adicione permissões conforme mostrado abaixo para ler usando a API do ODATA e editar usando a API do ODATA. Selecione a opção Editar se você planejar usar a mesma conta para o cenário de write-back para SuccessFactors.

    Permissões de leitura e gravação

  7. Selecione Concluído. Selecione Salvar Alterações.

Criar um Grupo de Permissões para o usuário da API

  1. No SuccessFactors Admin Center, procure por Gerenciar Grupos de Permissões e, em seguida, selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

    Gerenciar grupos de permissões

  2. Na janela Gerenciar Grupos de Permissões, selecione Criar Novo.

    Adicionar novo grupo

  3. Adicione um Nome do Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários de API.

    Nome do grupo de permissões

  4. Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso da Lista de Pessoas e, em seguida, inserir o nome de usuário da conta da API que é usada para a integração.

    Adicionar membros do grupo

  5. Selecione Concluído para concluir a criação do Grupo de Permissões.

Conceder a Função de Permissão ao Grupo de Permissões

  1. No SuccessFactors Admin Center, pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
  2. Na Lista de Funções de Permissão, selecione a função que você criou para permissões de uso de API.
  3. Em Conceder essa função a..., selecione Adicionar... Botão.
  4. Selecione Grupo de Permissões... no menu suspenso e, em seguida, selecione Selecionar... para abrir a janela Grupos, onde será possível pesquisar e selecionar o grupo criado acima.
  5. Examine a concessão da Função de Permissão ao Grupo de Permissões.
  6. Selecione Salvar Alterações.

Preparando-se para o Write-back do SuccessFactors

O aplicativo de provisionamento Writeback SuccessFactors usa determinados valores de código para definir e-mail e números de telefone no Employee Central. Esses valores de código são definidos como valores constantes na tabela de mapeamento de atributos e são diferentes para cada instância do SuccessFactors. Esta seção fornece etapas para capturar esses valores de código .

Observação

Envolva o Administrador do SuccessFactors para concluir as etapas nesta seção.

Identificar os nomes na lista de seleção de Email e Número de telefone

No SAP SuccessFactors, uma lista de seleção é um conjunto configurável de opções das quais um usuário pode fazer uma seleção. Os diferentes tipos de email e número de telefone (por exemplo, comercial, pessoal e outros) são representados usando uma lista de seleção. Nesta etapa, identificamos as listas de seleção configuradas em sua instância SuccessFactors para armazenar valores de email e número de telefone.

  1. No SuccessFactors Admin Center, procure por Gerenciar Configuração de Negócios.

    Gerenciar a configuração de negócios

  2. Em Elementos HRIS, selecione emailInfo e selecione os Detalhes do campo tipo email .

    Obter informações de email

  3. Na página de detalhes do tipo de email, anote o nome da lista de seleção associada a este campo. Por padrão, é ecEmailType. No entanto, ele pode ser diferente em seu locatário.

    Identificar lista de seleção de email

  4. Em Elementos HRIS, selecione phoneInfo e selecione os Detalhes do campo tipo telefone .

    Obter informações do telefone

  5. Na página de detalhes do tipo de telefone , anote o nome da lista de seleção associada a esse campo. Por padrão, é ecPhoneType. No entanto, ele pode ser diferente em seu locatário.

    Identificar lista de seleção de telefone

Recuperar valor constante para emailType

  1. No SuccessFactors Admin Center, pesquise e abra o Picklist Center.

  2. Use o nome da lista de seleção de email capturado na seção anterior (por exemplo, ecEmailType) para localizar a lista de seleção de email.

    Encontrar lista de seleção do tipo de e-mail

  3. Abra a lista de seleção de email ativa.

    Abrir lista de seleção de tipo de email ativo

  4. Na página de lista de seleção de tipos de email, selecione o tipo de email Business .

    Selecionar tipo de email comercial

  5. Anote o ID da opção associado ao email comercial. Esse é o código que usamos com emailType na tabela de mapeamento de atributos.

    Obter código de tipo de email

    Observação

    Remova o caractere de vírgula ao copiar o valor. Por exemplo, se o valor da ID da opção for 8,448, defina o emailType no Microsoft Entra ID para o número constante 8448 (sem o caractere de vírgula).

Recuperar valor constante para phoneType

  1. No SuccessFactors Admin Center, pesquise e abra o Picklist Center.

  2. Use o nome da lista de seleção de telefone capturado na seção anterior para localizar a lista de seleção de telefone.

    Localizar lista de seleção de tipos de telefone

  3. Abra a lista de seleção de telefone ativa.

    Abrir a lista de seleção de tipos de telefone ativos

  4. Na página de lista de seleção de tipos de telefone, examine os diferentes tipos de telefone listados em Valores de Lista de Seleção.

    Examinar tipos de telefone

  5. Anote o ID da opção associado ao telefone Comercial. Esse é o código que usamos com businessPhoneType na tabela de mapeamento de atributos.

    Obter código de telefone comercial

  6. Anote o ID da opção associado ao celular. Esse é o código que usamos com cellPhoneType na tabela de mapeamento de atributos.

    Obter código do celular

    Observação

    Remova o caractere de vírgula ao copiar o valor. Por exemplo, se o valor da ID da Opção for 10.606, defina o cellPhoneType no Microsoft Entra ID como o constante número 10606 (sem o caractere de vírgula).

Configurando o Aplicativo de Write-back do SuccessFactors

Esta seção fornece as etapas para

Parte 1: Adicionar o aplicativo de conector de provisionamento e configurar a conectividade com o SuccessFactors

Para configurar o Write-back do SuccessFactors:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.

  3. Pesquise por SuccessFactors Writeback e adicione esse aplicativo por meio da galeria.

  4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for mostrada, selecione Provisionamento

  5. Alterar o modode provisionamento para Automático

  6. Conclua a seção Credenciais de Administrador da seguinte maneira:

    • Nome de usuário administrador – insira o nome de usuário da conta de usuário da API SuccessFactors, com a ID da empresa acrescentada. Ele tem o formato: username@companyID

    • Senha de administrador – Insira a senha da conta de usuário da API SuccessFactors.

    • Tenant URL – Insira o nome do endpoint dos serviços de API OData do SuccessFactors. Insira apenas o nome do host do servidor sem http ou https. Esse valor deve ser semelhante a api4.successfactors.com.

    • Email de notificação – Insira seu endereço de email e marque a caixa de seleção "enviar email se ocorrer falha".

    Observação

    O serviço de provisionamento do Microsoft Entra enviará um email de notificação se o trabalho de provisionamento entrar em um estado de quarentena.

    • Selecione o botão Testar Conexão . Se o teste de conexão for bem-sucedido, selecione o botão Salvar na parte superior. Se falhar, verifique novamente se as credenciais e a URL do SuccessFactors são válidas.

    • Depois que as credenciais são salvas com êxito, a seção Mapeamentos exibe o mapeamento padrão. Atualize a página caso os mapeamentos de atributos não estejam visíveis.

Parte 2: Configurar mapeamentos de atributos

Nesta seção, você vai configurar o fluxo dos dados do usuário do SuccessFactors para o Active Directory.

  1. Na guia Provisionamento em Mapeamentos, selecione Provisionar usuários do Microsoft Entra.

  2. No campo Escopo do Objeto de Origem, você pode selecionar quais conjuntos de usuários do Microsoft Entra ID devem ser considerados para escrita reversa, definindo diretamente um conjunto de filtros baseados em atributos. O escopo padrão é todos os usuários na ID do Microsoft Entra.

    Dica

    Quando estiver configurando o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar os mapeamentos de atributo e as expressões para verificar se ele está dando o resultado desejado. A Microsoft recomenda usar os filtros de escopo no Escopo do Objeto de Origem para testar seus mapeamentos com alguns usuários de teste do Microsoft Entra ID. Após ter verificado que os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  3. O campo Ações de Objeto de Destino só dá suporte à operação Atualização.

  4. Na tabela de mapeamento na seção Mapeamentos de atributos , você pode mapear os seguintes atributos do Microsoft Entra para SuccessFactors. A tabela a seguir fornece orientações sobre como mapear os atributos de write-back.

    # Atributo Microsoft Entra Atributo do SuccessFactors Comentários
    1 identificação do funcionário IDPessoaExterno Por padrão, esse atributo é o identificador correspondente. Em vez de employeeId, você pode usar qualquer outro atributo do Microsoft Entra que possa armazenar o valor igual a personIdExternal no SuccessFactors.
    2 correio E-mail Mapear a origem do atributo de email. Para fins de teste, você pode mapear userPrincipalName para email.
    3 8448 tipoDeEmail Esse valor constante é o valor da ID do SuccessFactors associada ao email empresarial. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Consulte a seção Recuperar o valor constante do emailType para obter etapas para definir esse valor.
    4 verdadeiro emailIsPrimary Use este atributo para definir o email empresarial como o principal no SuccessFactors. Se o email comercial não for primário, defina esse sinalizador como false.
    5 Nome Principal do Usuário [custom01 – custom15] Usando Adicionar Novo Mapeamento, você pode, opcionalmente, gravar userPrincipalName ou qualquer atributo do Microsoft Entra em um atributo personalizado disponível no objeto SuccessFactors User.
    6 SamAccountName local Nome de Usuário Usando Adicionar Novo Mapeamento, você pode, opcionalmente, mapear o atributo de nome de usuário samAccountName local para SuccessFactors. Utilize Sincronização do Microsoft Entra Connect: extensões de diretório para sincronizar o samAccountName com o Microsoft Entra ID. Isso aparece na lista suspensa de origem como extension_yourTenantGUID_samAccountName
    7 SSO (Autenticação Única) método de login Se o locatário SuccessFactors for configurado para SSO parcial, usando Adicionar Novo Mapeamento, você pode opcionalmente definir o método de login para um valor fixo de "SSO" ou "PWD".
    oito número de telefone Número de Telefone Comercial Use este mapeamento para transferir telephoneNumber da ID do Microsoft Entra para o número de telefone comercial/de trabalho do SuccessFactors.
    9 10605 Tipo de Telefone Comercial Esse valor constante é o valor da ID do SuccessFactors associada ao telefone comercial. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Consulte a seção Recuperar o valor constante do phoneType para obter etapas para definir esse valor.
    10 verdadeiro businessPhoneIsPrimary Use este atributo para definir o sinalizador primário para o número de telefone comercial. Os valores válidos são true ou false.
    11 Serviço Móvel númeroDeCelular Use este mapeamento para transferir telephoneNumber da ID do Microsoft Entra para o número de telefone comercial/de trabalho do SuccessFactors.
    12 10606 TipoDeCelular Esse valor constante é o valor da ID do SuccessFactors associada ao telefone celular. Atualize esse valor de maneira a corresponder ao seu ambiente do SuccessFactors. Consulte a seção Recuperar o valor constante do phoneType para obter etapas para definir esse valor.
    13 falso cellPhoneIsPrimary Use este atributo para definir o sinalizador primário para o número de telefone celular. Os valores válidos são true ou false.
    14 [extensionAttribute1-15] ID do usuário Use esse mapeamento para garantir que o registro ativo no SuccessFactors seja atualizado quando houver vários registros de emprego para o mesmo usuário. Para obter mais detalhes, consulte Habilitar write-back com UserID

  5. Valide e examine os mapeamentos de atributos.

  6. Selecione Salvar para salvar os mapeamentos. Em seguida, atualizamos as expressões da API JSONPath para utilizar os códigos de tipo de telefone na sua instância do SuccessFactors.

  7. Selecione Mostrar opções avançadas.

  8. Selecione Editar lista de atributos para SuccessFactors.

    Observação

    Se a opção Editar lista de atributos para SuccessFactors não aparecer no Centro de administração do Entra, use a URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true para acessar a página.

  9. A coluna de expressão de API nesta visualização exibe as expressões de caminho JSON usadas pelo conector.

  10. Atualize as expressões de Caminho JSON para telefone comercial e celular para usar o valor de ID (businessPhoneType e cellPhoneType) correspondente ao seu ambiente.

    Alteração do caminho JSON do telefone

  11. Selecione Salvar para salvar os mapeamentos.

Habilitar e iniciar o provisionamento de usuário

Depois que as configurações do aplicativo de provisionamento do SuccessFactors forem concluídas, você poderá ativar o serviço de provisionamento.

Dica

Por padrão, quando você ativa o serviço de provisionamento, ele inicia as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento, o trabalho de provisionamento poderá falhar e prosseguir para o estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro escopo do objeto de origem e testar os mapeamentos de atributo com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  1. Na guia Provisionamento , defina o Status de Provisionamento como Ativado.

  2. Selecione Escopo. É possível selecionar entre uma das seguintes opções:

    • Sincronizar todos os usuários e grupos: selecione esta opção se você planeja gravar novamente atributos mapeados de todos os usuários do Microsoft Entra ID para o SuccessFactors, sujeitos às regras de escopo definidas em Mapeamentos, >.
    • Sincronizar somente usuários e grupos atribuídos: selecione essa opção se você planeja gravar atributos mapeados de volta somente de usuários atribuídos a esse aplicativo na opção de menuGerenciar>Usuários e Grupos do >. Esses usuários também estão sujeitos às regras de escopo definidas em Mapeamentos>Escopo do Objeto de Origem.

    Selecionar escopo de write-back

    Observação

    Os aplicativos de provisionamento de Write-back dos SuccessFactors criados após 12 de outubro de 2022 dão suporte ao recurso de "atribuição de grupo". Se você criou o aplicativo antes de 12 de outubro de 2022, ele só terá suporte para a “atribuição de usuário”. Para usar o recurso "atribuição de grupo", crie uma nova instância do aplicativo de Write-back dos SuccessFactors e mova suas configurações de mapeamento existentes para este aplicativo.

  3. Selecione Salvar.

  4. Essa operação dá início à sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Microsoft Entra e do escopo definido para a operação. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.

  5. A qualquer momento, verifique a guia Logs de provisionamento no Centro de administração do Entra para ver quais ações o serviço de provisionamento executou. Os logs de provisionamento listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento.

  6. Depois que a sincronização inicial for concluída, ela gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

    Barra de progresso de provisionamento

Conteúdo relacionado