Tutorial: Configurar o SAP SuccessFactors para provisionamento de usuários do Ative Directory

O objetivo deste tutorial é mostrar as etapas que você precisa executar para provisionar usuários do SuccessFactors Employee Central para o Ative Directory (AD) e o Microsoft Entra ID, com write-back opcional do endereço de e-mail para SuccessFactors.

Nota

Use este tutorial se os usuários que você deseja provisionar do SuccessFactors precisarem de uma conta do AD local e, opcionalmente, uma conta do Microsoft Entra. Se os usuários do SuccessFactors precisarem apenas da conta do Microsoft Entra (usuários somente na nuvem), consulte o tutorial sobre como configurar o SAP SuccessFactors para o provisionamento de usuários do Microsoft Entra ID .

O vídeo a seguir fornece uma visão geral rápida das etapas envolvidas ao planejar sua integração de provisionamento com o SAP SuccessFactors.

Descrição geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se ao SuccessFactors Employee Central para gerenciar o ciclo de vida da identidade dos usuários.

Os fluxos de trabalho de provisionamento de usuário SuccessFactors suportados pelo serviço de provisionamento de usuário do Microsoft Entra permitem a automação dos seguintes cenários de gerenciamento do ciclo de vida de recursos humanos e identidade:

• Contratação de novos funcionários - Quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID, com write-back do endereço de email para SuccessFactors.

• Atualizações de atributos e perfis de funcionários - Quando um registro de funcionário é atualizado no SuccessFactors (como nome, título ou gerente), sua conta de usuário será atualizada automaticamente no Ative Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.

• Rescisões de funcionários - Quando um funcionário é encerrado no SuccessFactors, sua conta de usuário é automaticamente desabilitada no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

• Recontratações de funcionários - Quando um funcionário é recontratado no SuccessFactors, sua conta antiga pode ser automaticamente reativada ou reprovisionada (dependendo da sua preferência) para o Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

Para quem essa solução de provisionamento de usuários é mais adequada?

Esta solução de provisionamento de usuários SuccessFactors to Ative Directory é ideal para:

• Organizações que desejam uma solução pré-criada e baseada em nuvem para provisionamento de usuários do SuccessFactors

• Organizações que exigem provisionamento direto de usuários do SuccessFactors para o Ative Directory

• Organizações que exigem que os usuários sejam provisionados usando dados obtidos da SuccessFactors Employee Central (EC)

• Organizações que exigem ingressar, mover e deixar que os usuários sejam sincronizados com uma ou mais Florestas, Domínios e UOs do Ative Directory com base apenas nas informações de alteração detetadas no SuccessFactors Employee Central (EC)

• Organizações que usam o Microsoft 365 para email

Arquitetura da Solução

Esta seção descreve a arquitetura da solução de provisionamento de usuário de ponta a ponta para ambientes híbridos comuns. Existem dois fluxos relacionados:

• Fluxo de dados de RH autoritativo – de SuccessFactors ao Ative Directory local: neste fluxo, os eventos de trabalho (como Novas contratações, transferências, terminações) ocorrem primeiro na nuvem SuccessFactors Employee Central e, em seguida, os dados do evento fluem para o Ative Directory local por meio do Microsoft Entra ID e do Agente de Provisionamento. Dependendo do evento, pode levar a criar/atualizar/ativar/desativar operações no AD.

• Fluxo de write-back de e-mail – do Ative Directory local para SuccessFactors: Quando a criação da conta estiver concluída no Ative Directory, ela será sincronizada com o ID do Microsoft Entra por meio do Microsoft Entra Connect Sync e o atributo de email poderá ser gravado de volta no SuccessFactors.

  

Fluxo de dados do usuário de ponta a ponta

1. A equipa de RH realiza transações de trabalhadores (Marceneiros/Movers/Leavers ou New Hires/Transfers/Scitions) na SuccessFactors Employee Central
2. O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades do SuccessFactors EC e identifica as alterações que precisam ser processadas para sincronização com o Ative Directory local.
3. O serviço de provisionamento do Microsoft Entra invoca o Agente de Provisionamento do Microsoft Entra Connect local com uma carga útil de solicitação contendo operações de criação/atualização/habilitação/desabilitação da conta do AD.
4. O Agente de Provisionamento do Microsoft Entra Connect usa uma conta de serviço para adicionar/atualizar dados da conta do AD.
5. O mecanismo de sincronização do Microsoft Entra Connect executa a sincronização delta para obter atualizações no AD.
6. As atualizações do Ative Directory são sincronizadas com o Microsoft Entra ID.
7. Se o aplicativo SuccessFactors Writeback estiver configurado, ele gravará novamente o atributo de email em SuccessFactors, com base no atributo de correspondência usado.

Planeamento da implementação

Configurar o provisionamento de usuários orientado pelo Cloud HR do SuccessFactors para o AD requer um planejamento considerável que abranja diferentes aspetos, como:

• Configuração do agente de provisionamento do Microsoft Entra Connect
• Número de aplicativos de provisionamento de usuário SuccessFactors para AD a serem implantados
• ID correspondente, mapeamento de atributos, transformação e filtros de escopo

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes sobre esses tópicos. Consulte a referência de integração do SAP SuccessFactors para saber mais sobre as entidades suportadas, detalhes de processamento e como personalizar a integração para diferentes cenários de RH.

Configurando SuccessFactors para a integração

Um requisito comum de todos os conectores de provisionamento SuccessFactors é que eles exijam credenciais de uma conta SuccessFactors com as permissões certas para invocar as APIs OData SuccessFactors. Esta seção descreve as etapas para criar a conta de serviço em SuccessFactors e conceder permissões apropriadas.

• Criar/identificar conta de usuário da API no SuccessFactors
• Criar uma função de permissões de API
• Criar um grupo de permissões para o usuário da API
• Conceder função de permissão ao grupo de permissões

Criar/identificar conta de usuário da API no SuccessFactors

Trabalhe com sua equipe de administração ou parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors que será usada para invocar as APIs OData. As credenciais de nome de usuário e senha dessa conta serão necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

1. Faça login no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de administração.

2. Pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

3. Na Lista de Funções de Permissão, clique em Criar Novo.

   

4. Adicione um Nome e Descrição da Função para a nova função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

   

5. Em Configurações de permissão, clique em Permissão..., role a lista de permissões para baixo e clique em Gerenciar Ferramentas de Integração. Marque a caixa Permitir que o administrador acesse a API OData por meio da autenticação básica.

   

6. Role para baixo na mesma caixa e selecione Employee Central API. Adicione permissões como mostrado abaixo para ler usando a API ODATA e editar usando a API ODATA. Selecione a opção de edição se você planeja usar a mesma conta para o cenário Writeback to SuccessFactors.

   

7. Na mesma caixa de permissões, vá para Permissões de Usuário -> Dados do Funcionário e examine os atributos que a conta de serviço pode ler do locatário SuccessFactors. Por exemplo, para recuperar o atributo Username de SuccessFactors, verifique se a permissão "View" é concedida para esse atributo. Da mesma forma, revise cada atributo para obter permissão de exibição.

   

   Nota

   Para obter a lista completa de atributos recuperados por este aplicativo de provisionamento, consulte SuccessFactors Attribute Reference

8. Clique em Concluído. Clique em Guardar Alterações.

Criar um grupo de permissões para o usuário da API

1. No Centro de Administração SuccessFactors, procure Gerenciar Grupos de Permissões e selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

   

2. Na janela Gerenciar Grupos de Permissão, clique em Criar Novo.

   

3. Adicione um Nome de Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários da API.

   

4. Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso Pool de pessoas e inserir o nome de usuário da conta da API que será usada para a integração.

   

5. Clique em Concluído para concluir a criação do Grupo de Permissões.

Conceder função de permissão ao grupo de permissões

1. No Centro de Administração do SuccessFactors, procure Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
2. Na Lista de Funções de Permissão, selecione a função que você criou para permissões de uso da API.
3. Em Conceder esta função a..., clique no botão Adicionar...
4. Selecione Grupo de Permissões... no menu suspenso e, em seguida, clique em Selecionar... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.

   

5. Analise a concessão de Função de Permissão ao Grupo de Permissões.

   

6. Clique em Guardar Alterações.

Configurando o provisionamento de usuários de SuccessFactors para o Ative Directory

Esta seção fornece etapas para o provisionamento de conta de usuário de SuccessFactors para cada domínio do Ative Directory dentro do escopo de sua integração.

• Adicione o aplicativo do conector de provisionamento e baixe o Agente de provisionamento
• Instalar e configurar o(s) agente(s) de provisionamento local
• Configurar a conectividade com SuccessFactors e Ative Directory
• Configurar mapeamentos de atributos
• Habilitar e iniciar o provisionamento de usuários

Parte 1: Adicionar o aplicativo do conector de provisionamento e baixar o Agente de Provisionamento

Para configurar SuccessFactors para provisionamento do Ative Directory:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

3. Procure SuccessFactors para o Provisionamento de Usuários do Ative Directory e adicione esse aplicativo da galeria.

4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for exibida, selecione Provisionamento

5. Alterar o modo de provisionamentopara automático

6. Clique no banner de informações exibido para baixar o Agente de Provisionamento.

   

Parte 2: Instalar e configurar o(s) agente(s) de provisionamento local

Para provisionar o Ative Directory localmente, o agente de provisionamento deve ser instalado em um servidor associado a um domínio que tenha acesso de rede ao(s) domínio(s) desejado(s) do Ative Directory.

Transfira o instalador do agente baixado para o host do servidor e siga as etapas listadas na seção do agente de instalação para concluir a configuração do agente.

Parte 3: No aplicativo de provisionamento, configure a conectividade com SuccessFactors e Ative Directory

Nesta etapa, estabelecemos conectividade com SuccessFactors e Ative Directory.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications> SuccessFactors to Ative Directory User Provisioning App criado na Parte 1

3. Preencha a seção Credenciais de administrador da seguinte maneira:

   • Nome de usuário Admin – Digite o nome de usuário da conta de usuário da API SuccessFactors, com o ID da empresa anexado. Tem o formato: username@companyID

   • Senha de administrador – Digite a senha da conta de usuário da API SuccessFactors.

   • URL do locatário – Insira o nome do ponto de extremidade dos serviços da API OData do SuccessFactors. Digite apenas o nome do host do servidor sem http ou https. Esse valor deve ser semelhante a: api-server-name.successfactors.com>.<

   • Floresta do Ative Directory - O "Nome" do seu domínio do Ative Directory, conforme registrado com o agente. Use a lista suspensa para selecionar o domínio de destino para provisionamento. Esse valor normalmente é uma cadeia de caracteres como: contoso.com

   • Contêiner do Ative Directory - Insira o DN do contêiner onde o agente deve criar contas de usuário por padrão. Exemplo: OU=Users,DC=contoso,DC=com

     Nota

     Essa configuração só entra em ação para criações de conta de usuário se o atributo parentDistinguishedName não estiver configurado nos mapeamentos de atributo. Essa configuração não é usada para pesquisa de usuário ou operações de atualização. Toda a subárvore de domínio se enquadra no escopo da operação de pesquisa.

   • E-mail de notificação – Digite seu endereço de e-mail e marque a caixa de seleção "enviar e-mail se ocorrer uma falha".

     Nota

     O serviço de provisionamento do Microsoft Entra envia uma notificação por email se o trabalho de provisionamento entrar em um estado de quarentena .

   • Clique no botão Testar conexão . Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique se as credenciais SuccessFactors e as credenciais do AD configuradas na configuração do agente são válidas.

     

   • Depois que as credenciais forem salvas com êxito, a seção Mapeamentos exibirá o mapeamento padrão Sincronizar usuários do SuccessFactors com o Ative Directory local

Parte 4: Configurar mapeamentos de atributos

Nesta seção, você configurará como os dados do usuário fluem de SuccessFactors para o Ative Directory.

1. Na guia Provisionamento, em Mapeamentos, clique em Sincronizar Usuários SuccessFactors com o Ative Directory Local.

2. No campo Escopo do objeto de origem, você pode selecionar quais conjuntos de usuários em SuccessFactors devem estar no escopo de provisionamento para AD, definindo um conjunto de filtros baseados em atributos. O escopo padrão é "todos os usuários em SuccessFactors". Exemplos de filtros:

   • Exemplo: Escopo para usuários com personIdExternal entre 1000000 e 2000000 (excluindo 2000000)

     • Atributo: personIdExternal

     • Operador: REGEX Match

     • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exemplo: Apenas empregados e não trabalhadores contingentes

     • Atributo: EmployeeID

     • Operador: NÃO É NULO

   Gorjeta

   Ao configurar o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar seus mapeamentos e expressões de atributos para garantir que ele esteja fornecendo o resultado desejado. A Microsoft recomenda usar os filtros de escopo em Escopo do objeto de origem para testar seus mapeamentos com alguns usuários de teste da SuccessFactors. Depois de verificar se os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

   Atenção

   O comportamento padrão do mecanismo de provisionamento é desabilitar/excluir usuários que saem do escopo. Isso pode não ser desejável em sua integração SuccessFactors to AD. Para substituir esse comportamento padrão, consulte o artigo Ignorar exclusão de contas de usuário que saem do escopo

3. No campo Ações do Objeto de Destino , você pode filtrar globalmente quais ações são executadas no Ative Directory. Criar e atualizar são mais comuns.

4. Na seção Mapeamentos de atributos, você pode definir como os atributos SuccessFactors individuais são mapeados para os atributos do Ative Directory.

   Nota

   Para obter a lista completa do atributo SuccessFactors suportado pelo aplicativo, consulte SuccessFactors Attribute Reference

5. Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual suporta estas propriedades:

   • Tipo de mapeamento

     • Direct – Grava o valor do atributo SuccessFactors no atributo AD, sem alterações

     • Constante - Escreva um valor de cadeia de caracteres estático e constante no atributo AD

     • Expression – Permite escrever um valor personalizado no atributo AD, com base em um ou mais atributos SuccessFactors. Para obter mais informações, consulte este artigo sobre expressões.

   • Atributo Source - O atributo user de SuccessFactors

   • Valor padrão – Opcional. Se o atributo source tiver um valor vazio, o mapeamento gravará esse valor. A configuração mais comum é deixar isso em branco.

   • Atributo de destino – O atributo de usuário no Ative Directory.

   • Corresponder objetos usando esse atributo – Se esse mapeamento deve ou não ser usado para identificar usuários exclusivamente entre SuccessFactors e Ative Directory. Esse valor normalmente é definido no campo ID do trabalhador para SuccessFactors, que normalmente é mapeado para um dos atributos de ID do funcionário no Ative Directory.

   • Precedência correspondente – Vários atributos correspondentes podem ser definidos. Quando há vários, eles são avaliados na ordem definida por este campo. Assim que uma correspondência é encontrada, nenhum outro atributo correspondente é avaliado.

   • Aplicar este mapeamento

     • Sempre – Aplique este mapeamento nas ações de criação e atualização do usuário

     • Somente durante a criação - Aplique esse mapeamento somente em ações de criação de usuário

6. Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Mapeamento de Atributos.

Quando a configuração do mapeamento de atributos estiver concluída, você poderá testar o provisionamento para um único usuário usando o provisionamento sob demanda e, em seguida, habilitar e iniciar o serviço de provisionamento de usuário.

Habilitar e iniciar o provisionamento de usuários

Depois que as configurações do aplicativo de provisionamento SuccessFactors forem concluídas e você tiver verificado o provisionamento para um único usuário com provisionamento sob demanda, poderá ativar o serviço de provisionamento.

Gorjeta

Por padrão, quando você ativa o serviço de provisionamento, ele inicia operações de provisionamento para todos os usuários no escopo. Se houver erros no mapeamento ou problemas de dados SuccessFactors, o trabalho de provisionamento poderá falhar e entrar no estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro Escopo do Objeto de Origem e testar os mapeamentos de atributos com alguns usuários de teste usando o provisionamento sob demanda antes de iniciar a sincronização completa para todos os usuários. Depois de verificar se os mapeamentos funcionam e estão dando os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

1. Vá para a folha Provisionamento e clique em Iniciar provisionamento.

2. Essa operação iniciará a sincronização inicial, que pode levar um número variável de horas, dependendo de quantos usuários estão no locatário SuccessFactors. Você pode verificar a barra de progresso para acompanhar o progresso do ciclo de sincronização.

3. A qualquer momento, verifique a guia Logs de auditoria no portal do Azure para ver quais ações o serviço de provisionamento executou. Os logs de auditoria listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como quais usuários estão sendo lidos fora do SuccessFactors e, posteriormente, adicionados ou atualizados ao Ative Directory.

4. Quando a sincronização inicial for concluída, ele gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

   

Próximos passos

• Saiba mais sobre os atributos SuccessFactors suportados para provisionamento de entrada
• Saiba como configurar o write-back de e-mail para SuccessFactors
• Saiba como analisar os registos e obter relatórios sobre a atividade de aprovisionamento
• Saiba como configurar o logon único entre o SuccessFactors e o ID do Microsoft Entra
• Saiba como integrar outros aplicativos SaaS com o Microsoft Entra ID
• Saiba como exportar e importar suas configurações de provisionamento