Tutorial: Configurar write-back de atributos do Microsoft Entra ID para SAP SuccessFactors

  • Artigo

O objetivo deste tutorial é mostrar as etapas para write-back de atributos do Microsoft Entra ID para o SAP SuccessFactors Employee Central.

Descrição geral

Você pode configurar o aplicativo SAP SuccessFactors Writeback para gravar atributos específicos do Microsoft Entra ID para o SAP SuccessFactors Employee Central. O aplicativo de provisionamento de write-back SuccessFactors oferece suporte à atribuição de valores aos seguintes atributos do Employee Central:

  • E-mail de Trabalho
  • Username
  • Número de telefone comercial (incluindo indicativo do país, indicativo de área, número e extensão)
  • Sinalizador principal do número de telefone comercial
  • Número de telemóvel (incluindo indicativo do país, indicativo de área, número)
  • Bandeira principal do telefone celular
  • Atributos custom01-custom15 do usuário
  • atributo loginMethod

Nota

Este aplicativo não tem nenhuma dependência dos aplicativos de integração de provisionamento de usuário de entrada SuccessFactors. Você pode configurá-lo independentemente de SuccessFactors para o aplicativo de provisionamento do AD local ou SuccessFactors para o aplicativo de provisionamento do Microsoft Entra ID.

Consulte a seção Cenários de write-back do guia de referência de integração do SAP SuccessFactors para obter mais detalhes sobre os cenários suportados, problemas conhecidos e limitações.

Para quem essa solução de provisionamento de usuários é mais adequada?

Esta solução de provisionamento de usuário SuccessFactors Writeback é ideal para:

  • Organizações que usam o Microsoft 365 que desejam reescrever atributos autoritativos gerenciados pela TI (como endereço de email, telefone, nome de usuário) de volta ao SuccessFactors Employee Central.

Configurando SuccessFactors para a integração

Todos os conectores de provisionamento SuccessFactors exigem credenciais de uma conta SuccessFactors com as permissões certas para invocar as APIs OData do Employee Central. Esta seção descreve as etapas para criar a conta de serviço em SuccessFactors e conceder permissões apropriadas.

Criar/identificar conta de usuário da API no SuccessFactors

Trabalhe com sua equipe de administração ou parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors que será usada para invocar as APIs OData. As credenciais de nome de usuário e senha dessa conta serão necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

  1. Faça login no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de administração.

  2. Pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

    Gerenciar funções de permissão

  3. Na Lista de Funções de Permissão, clique em Criar Novo.

    Criar nova função de permissão

  4. Adicione um Nome e Descrição da Função para a nova função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

    Detalhes da função de permissão

  5. Em Configurações de permissão, clique em Permissão..., role a lista de permissões para baixo e clique em Gerenciar Ferramentas de Integração. Marque a caixa Permitir que o administrador acesse a API OData por meio da Autenticação Básica.

    Gerenciar ferramentas de integração

  6. Role para baixo na mesma caixa e selecione Employee Central API. Adicione permissões como mostrado abaixo para ler usando a API ODATA e editar usando a API ODATA. Selecione a opção de edição se você planeja usar a mesma conta para o cenário de write-back para SuccessFactors.

    Permissões de leitura de gravação

  7. Clique em Concluído. Clique em Guardar Alterações.

Criar um grupo de permissões para o usuário da API

  1. No Centro de Administração SuccessFactors, procure Gerenciar Grupos de Permissões e selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

    Gerenciar grupos de permissões

  2. Na janela Gerenciar Grupos de Permissão, clique em Criar Novo.

    Adicionar novo grupo

  3. Adicione um Nome de Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários da API.

    Nome do grupo de permissões

  4. Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso Pool de pessoas e inserir o nome de usuário da conta da API que será usada para a integração.

    Adicionar membros de grupo

  5. Clique em Concluído para concluir a criação do Grupo de Permissões.

Conceder função de permissão ao grupo de permissões

  1. No Centro de Administração do SuccessFactors, procure Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

  2. Na Lista de Funções de Permissão, selecione a função que você criou para permissões de uso da API.

  3. Em Conceder esta função a..., clique em Adicionar... botão.

  4. Selecione Grupo de Permissões... no menu suspenso e, em seguida, clique em Selecionar... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.

    Adicionar grupo de permissões

  5. Analise a concessão da Função de Permissão ao Grupo de Permissões.

    Função de permissão e detalhes do grupo

  6. Clique em Guardar Alterações.

Preparando-se para o write-back do SuccessFactors

O aplicativo de provisionamento SuccessFactors Writeback usa determinados valores de código para definir e-mails e números de telefone no Employee Central. Esses valores de código são definidos como valores constantes na tabela de mapeamento de atributos e são diferentes para cada instância de SuccessFactors. Esta seção fornece etapas para capturar esses valores de código .

Nota

Envolva seu administrador SuccessFactors para concluir as etapas nesta seção.

Identificar nomes da lista de opções de e-mail e número de telefone

No SAP SuccessFactors, uma lista de opções é um conjunto configurável de opções a partir do qual um usuário pode fazer uma seleção. Os diferentes tipos de e-mail e número de telefone (como comercial, pessoal e outros) são representados usando uma lista de opções. Nesta etapa, identificaremos as listas de opções configuradas em seu locatário SuccessFactors para armazenar valores de e-mail e número de telefone.

  1. No Centro de Administração SuccessFactors, procure Gerenciar configuração de negócios.

    Gerenciar configuração de negócios

  2. Em Elementos HRIS, selecione emailInfo e clique no campo Detalhes para o tipo de e-mail.

    Obter informações de e-mail

  3. Na página de detalhes do tipo de e-mail, anote o nome da lista de opções associada a este campo. Por padrão, é ecEmailType. No entanto, pode ser diferente no seu inquilino.

    Identificar lista de opções de e-mail

  4. Em Elementos HRIS, selecione phoneInfo e clique no campo Detalhes para o tipo de telefone.

    Obter informações do telefone

  5. Na página de detalhes do tipo de telefone, anote o nome da lista de opções associada a este campo. Por padrão, é ecPhoneType. No entanto, pode ser diferente no seu inquilino.

    Identificar lista de seleção de telefone

Recuperar valor constante para emailType

  1. No Centro de Administração SuccessFactors, pesquise e abra o Centro de Listas de Opções.

  2. Use o nome da lista de opções de e-mail capturada da seção anterior (como ecEmailType) para localizar a lista de opções de e-mail.

    Encontrar lista de opções de tipo de e-mail

  3. Abra a lista de opções de e-mail ativa.

    Abrir lista de opções de tipo de e-mail ativo

  4. Na página da lista de opções de tipo de e-mail, selecione o tipo de email comercial .

    Selecione o tipo de e-mail comercial

  5. Anote o ID da opção associado ao e-mail comercial. Este é o código que usaremos com emailType na tabela de mapeamento de atributos.

    Obter código de tipo de e-mail

    Nota

    Solte o caractere de vírgula quando copiar sobre o valor. Por exemplo, se o valor de ID de opção for 8.448, defina o emailType no Microsoft Entra ID para o número constante 8448 (sem o caractere vírgula).

Recuperar valor constante para phoneType

  1. No Centro de Administração SuccessFactors, pesquise e abra o Centro de Listas de Opções.

  2. Use o nome da lista de opções de telefone capturada da seção anterior para encontrar a lista de opções de telefone.

    Encontrar lista de opções de tipo de telefone

  3. Abra a lista de opções de telefone ativa.

    Abrir lista de opções de tipo de telefone ativo

  4. Na página da lista de opções de tipo de telefone, revise os diferentes tipos de telefone listados em Valores da lista de opções.

    Rever os tipos de telefone

  5. Anote o ID de opção associado ao telefone comercial. Este é o código que usaremos com businessPhoneType na tabela de mapeamento de atributos.

    Obter código telefónico comercial

  6. Anote o ID da opção associado ao telefone celular. Este é o código que usaremos com cellPhoneType na tabela de mapeamento de atributos.

    Obter código de telefone celular

    Nota

    Solte o caractere de vírgula quando copiar sobre o valor. Por exemplo, se o valor de ID de opção for 10.606, defina cellPhoneTypeno Microsoft Entra ID para o número constante 10606 (sem o caractere vírgula).

Configurando o aplicativo de write-back SuccessFactors

Esta seção fornece etapas para:

Parte 1: Adicionar o aplicativo do conector de provisionamento e configurar a conectividade com SuccessFactors

Para configurar o SuccessFactors Writeback:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

  3. Pesquise por SuccessFactors Writeback e adicione esse aplicativo da galeria.

  4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for exibida, selecione Provisionamento

  5. Alterar o modo de provisionamentopara automático

  6. Preencha a seção Credenciais de administrador da seguinte maneira:

    • Nome de usuário Admin – Digite o nome de usuário da conta de usuário da API SuccessFactors, com o ID da empresa anexado. Tem o formato: username@companyID

    • Senha de administrador – Digite a senha da conta de usuário da API SuccessFactors.

    • URL do locatário – Insira o nome do ponto de extremidade dos serviços da API OData SuccessFactors. Digite apenas o nome do host do servidor sem http ou https. Esse valor deve ser parecido com: api4.successfactors.com.

    • E-mail de notificação – Digite seu endereço de e-mail e marque a caixa de seleção "enviar e-mail se ocorrer uma falha".

    Nota

    O serviço de provisionamento do Microsoft Entra envia uma notificação por email se o trabalho de provisionamento entrar em um estado de quarentena .

    • Clique no botão Testar conexão . Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique se as credenciais e a URL do SuccessFactors são válidas.

    Portal do Azure

    • Depois que as credenciais forem salvas com êxito, a seção Mapeamentos exibirá o mapeamento padrão. Atualize a página, se os mapeamentos de atributos não estiverem visíveis.

Parte 2: Configurar mapeamentos de atributos

Nesta seção, você configurará como os dados do usuário fluem de SuccessFactors para o Ative Directory.

  1. Na guia Provisionamento, em Mapeamentos, clique em Provisionar usuários do Microsoft Entra.

  2. No campo Escopo do objeto de origem, você pode selecionar quais conjuntos de usuários no Microsoft Entra ID devem ser considerados para write-back, definindo um conjunto de filtros baseados em atributos. O escopo padrão é "todos os usuários no Microsoft Entra ID".

    Gorjeta

    Ao configurar o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar seus mapeamentos e expressões de atributos para garantir que ele esteja fornecendo o resultado desejado. A Microsoft recomenda usar os filtros de escopo em Escopo do objeto de origem para testar seus mapeamentos com alguns usuários de teste do Microsoft Entra ID. Depois de verificar se os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  3. O campo Ações do Objeto de Destino suporta apenas a operação Atualizar .

  4. Na tabela de mapeamento na seção Mapeamentos de atributos, você pode mapear os seguintes atributos do Microsoft Entra para SuccessFactors. A tabela abaixo fornece orientação sobre como mapear os atributos de write-back.

    # Atributo Microsoft Entra Atributo SuccessFactors Observações
    1 Identificação do empregado personIdExternal Por padrão, esse atributo é o identificador correspondente. Em vez de employeeId, você pode usar qualquer outro atributo do Microsoft Entra que possa armazenar o valor igual a personIdExternal em SuccessFactors.
    2 correio Correio eletrónico Mapeie a origem do atributo de e-mail. Para fins de teste, você pode mapear userPrincipalName para email.
    3 8448 Tipo de email Esse valor constante é o valor de ID SuccessFactors associado ao e-mail comercial. Atualize esse valor para corresponder ao seu ambiente SuccessFactors. Consulte a seção Recuperar valor constante para emailType para obter as etapas para definir esse valor.
    4 verdadeiro emailIsPrimary Use esse atributo para definir o e-mail comercial como principal em SuccessFactors. Se o e-mail comercial não for primário, defina esse sinalizador como false.
    5 userPrincipalName [custom01 – custom15] Usando Add New Mapping, você pode, opcionalmente, escrever userPrincipalName ou qualquer atributo Microsoft Entra em um atributo personalizado disponível no objeto User SuccessFactors.
    6 Em Prem SamAccountName nome de utilizador Usando Adicionar Novo Mapeamento, você pode, opcionalmente, mapear samAccountName local para o atributo username SuccessFactors. Use o Microsoft Entra Connect Sync: extensões de diretório para sincronizar samAccountName com o Microsoft Entra ID. Ele aparecerá na lista suspensa de origem como extension_yourTenantGUID_samAccountName
    7 SSO loginMétodo Se o locatário SuccessFactors estiver configurado para SSO parcial, usando Add New Mapping, você pode, opcionalmente, definir loginMethod como um valor constante de "SSO" ou "PWD".
    8 telephoneNumber número de telefone comercial Use este mapeamento para fluir o número de telefone do Microsoft Entra ID para o número de telefone comercial / profissional da SuccessFactors.
    9 10605 businessPhoneType Esse valor constante é o valor de ID SuccessFactors associado ao telefone comercial. Atualize esse valor para corresponder ao seu ambiente SuccessFactors. Consulte a seção Recuperar valor constante para phoneType para obter as etapas para definir esse valor.
    10 verdadeiro businessPhoneIsPrimary Use esse atributo para definir o sinalizador principal para o número de telefone comercial. Os valores válidos são true ou false.
    11 telemóvel número de telemóvel Use este mapeamento para fluir o número de telefone do Microsoft Entra ID para o número de telefone comercial / profissional da SuccessFactors.
    12 10606 Tipo de telemóvel Esse valor constante é o valor de ID SuccessFactors associado ao telefone celular. Atualize esse valor para corresponder ao seu ambiente SuccessFactors. Consulte a seção Recuperar valor constante para phoneType para obter as etapas para definir esse valor.
    13 false celularIsPrimary Use este atributo para definir o sinalizador principal para o número de telefone celular. Os valores válidos são true ou false.
    14 [extensãoAttribute1-15] ID de Utilizador Use esse mapeamento para garantir que o registro ativo em SuccessFactors seja atualizado quando houver vários registros de emprego para o mesmo usuário. Para obter mais detalhes, consulte Ativando write-back com UserID

  5. Valide e revise seus mapeamentos de atributos.

    Mapeamento de atributos de write-back

  6. Clique em Salvar para salvar os mapeamentos. Em seguida, atualizaremos as expressões da API JSON Path para usar os códigos phoneType em sua instância SuccessFactors.

  7. Selecione Mostrar opções avançadas.

    Mostrar opções avançadas

  8. Clique em Editar lista de atributos para SuccessFactors.

    Nota

    Se a opção Editar lista de atributos para SuccessFactors não for exibida no portal do Azure, use a URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true para acessar a página.

  9. A coluna de expressão da API nesta exibição exibe as expressões de caminho JSON usadas pelo conector.

  10. Atualize as expressões JSON Path para telefone comercial e celular para usar o valor de ID (businessPhoneType e cellPhoneType) correspondente ao seu ambiente.

    Mudança de caminho JSON do telefone

  11. Clique em Salvar para salvar os mapeamentos.

Habilitar e iniciar o provisionamento de usuários

Depois que as configurações do aplicativo de provisionamento SuccessFactors forem concluídas, você poderá ativar o serviço de provisionamento.

Gorjeta

Por padrão, quando você ativa o serviço de provisionamento, ele inicia operações de provisionamento para todos os usuários no escopo. Se houver erros no mapeamento ou problemas de dados, o trabalho de provisionamento pode falhar e entrar no estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro Escopo do Objeto de Origem e testar os mapeamentos de atributos com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Depois de verificar se os mapeamentos funcionam e estão dando os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  1. Na guia Provisionamento, defina o Status de provisionamento como Ativado.

  2. Selecione Âmbito. Você pode selecionar uma das seguintes opções:

    • Sincronizar todos os usuários e grupos: Selecione esta opção se você planeja gravar de volta atributos mapeados de todos os usuários do ID do Microsoft Entra para SuccessFactors, sujeito às regras de escopo definidas em Mapeamentos -> Escopo do objeto de origem.
    • Sincronizar apenas usuários e grupos atribuídos: selecione esta opção se você planeja reescrever atributos mapeados somente de usuários que você atribuiu a este aplicativo na opção de menu Aplicativo ->Gerenciar ->Usuários e grupos. Esses usuários também estão sujeitos às regras de escopo definidas em Mapeamentos ->Escopo do objeto de origem.

    Selecionar escopo de write-back

    Nota

    Os aplicativos de provisionamento de write-back SuccessFactors criados após 12-Out-2022 suportam o recurso "atribuição de grupo". Se você criou o aplicativo antes de 12-Out-2022, ele só terá suporte para "atribuição de usuário". Para usar o recurso "atribuição de grupo", crie uma nova instância do aplicativo SuccessFactors Writeback e mova suas configurações de mapeamento existentes para esse aplicativo.

  3. Clique em Guardar.

  4. Essa operação iniciará a sincronização inicial, que pode levar um número variável de horas, dependendo de quantos usuários estão no locatário do Microsoft Entra e do escopo definido para a operação. Você pode verificar a barra de progresso para acompanhar o progresso do ciclo de sincronização.

  5. A qualquer momento, verifique a guia Logs de provisionamento no portal do Azure para ver quais ações o serviço de provisionamento executou. Os logs de provisionamento listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento.

  6. Quando a sincronização inicial for concluída, ele gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

    Barra de progresso de provisionamento

Próximos passos