Configurar o SAP SuccessFactors para provisionamento de usuários do Ative Directory

O objetivo deste artigo é mostrar as etapas que você precisa executar para provisionar usuários do SuccessFactors Employee Central para o Ative Directory (AD) e o Microsoft Entra ID, com write-back opcional do endereço de email para SuccessFactors.

Nota

Use este artigo se os usuários que você deseja provisionar do SuccessFactors precisarem de uma conta do AD local e, opcionalmente, uma conta do Microsoft Entra. Se os utilizadores do SuccessFactors precisarem apenas da conta do Microsoft Entra (utilizadores somente na nuvem), consulte o artigo sobre configurar o SAP SuccessFactors para o Microsoft Entra ID na provisão de utilizadores.

O vídeo a seguir fornece uma visão geral rápida das etapas envolvidas ao planejar sua integração de provisionamento com o SAP SuccessFactors.

Descrição geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se ao SuccessFactors Employee Central para gerenciar o ciclo de vida da identidade dos usuários.

Os fluxos de trabalho de provisionamento de usuário SuccessFactors suportados pelo serviço de provisionamento de usuário do Microsoft Entra permitem a automação dos seguintes cenários de gerenciamento do ciclo de vida de recursos humanos e identidade:

• Contratação de novos funcionários - Quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID, com write-back do endereço de email para SuccessFactors.

• Atualizações de atributos e perfis de funcionários - Quando um registro de funcionário é atualizado no SuccessFactors (como nome, título ou gerente), sua conta de usuário é atualizada automaticamente no Ative Directory, no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.

• Rescisões de funcionários - Quando um funcionário é encerrado no SuccessFactors, sua conta de usuário é automaticamente desabilitada no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

• Recontratações de Funcionários - Quando um funcionário é recontratado no SuccessFactors, a sua conta antiga pode ser automaticamente reativada ou reprovisionada (dependendo da sua preferência) para o Active Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

Para quem essa solução de provisionamento de usuários é mais adequada?

Esta solução de provisionamento de usuários SuccessFactors to Ative Directory é ideal para:

• Organizações que desejam uma solução pré-criada baseada em nuvem para provisionamento de usuários do SuccessFactors, incluindo organizações que estão preenchendo o SuccessFactors do SAP HCM usando o SAP Integration Suite

• Organizações que estão implantando o Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP, usando o Microsoft Entra para configurar identidades para trabalhadores para que eles possam entrar em um ou mais aplicativos SAP, como SAP ECC ou SAP S/4HANA, e, opcionalmente, aplicativos não SAP

• Organizações que exigem provisionamento direto de usuários do SuccessFactors para o Ative Directory para que os usuários possam acessar aplicativos integrados ao Ative Directory do Windows Server e aplicativos integrados ao Microsoft Entra ID

• Organizações que exigem que os usuários sejam provisionados usando dados obtidos da SuccessFactors Employee Central (EC)

• Organizações que exigem que os utilizadores que ingressam, mudam ou saem sejam sincronizados com uma ou mais Florestas, Domínios e UOs do Active Directory com base apenas nas informações de alteração detectadas no SuccessFactors Employee Central (EC)

• Organizações que usam o Microsoft 365 para email

Arquitetura da Solução

Esta seção descreve a arquitetura da solução de provisionamento de usuário de ponta a ponta para ambientes híbridos comuns. Existem dois fluxos relacionados:

• Fluxo de dados de RH autoritativo – de SuccessFactors ao Ative Directory local: nesse fluxo, os eventos de trabalho (como Novas contratações, transferências, terminações) ocorrem primeiro na nuvem SuccessFactors Employee Central e, em seguida, os dados do evento fluem para o Ative Directory local por meio do Microsoft Entra ID e do Agente de Provisionamento. Dependendo do evento, pode resultar em operações de criação, atualização, habilitação ou desativação no AD.

• Fluxo de retorno de e-mail – do Active Directory local para o SuccessFactors: Quando a criação da conta é concluída no Active Directory, ela é sincronizada com a ID do Microsoft Entra por meio do Microsoft Entra Connect Sync, e o atributo de email pode ser escrito novamente no SuccessFactors.

  

Fluxo de dados do usuário de ponta a ponta

1. A equipa de RH realiza transações de trabalhadores (Novas Admissões, Transferências, Desligamentos) no SuccessFactors Employee Central.
2. O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades do SuccessFactors EC e identifica as alterações que precisam ser processadas para sincronização com o Ative Directory local.
3. O serviço de provisionamento do Microsoft Entra invoca o Agente de Provisionamento do Microsoft Entra Connect local com uma carga útil de solicitação contendo operações de criação/atualização/habilitação/desabilitação da conta do AD.
4. O Agente de Provisionamento do Microsoft Entra Connect usa uma conta de serviço para adicionar/atualizar dados da conta do AD.
5. O mecanismo de sincronização do Microsoft Entra Connect executa a sincronização delta para obter atualizações no AD.
6. As atualizações do Ative Directory são sincronizadas com o Microsoft Entra ID.
7. Se a aplicação SuccessFactors Writeback estiver configurada, grava de volta o atributo de email em SuccessFactors, com base no atributo de correspondência usado.

Planeamento da implementação

Configurar o provisionamento de usuários orientado pelo Cloud HR de SuccessFactors para AD requer um planejamento considerável que abranja diferentes aspetos, tais como:

• Configuração do agente de provisionamento do Microsoft Entra Connect
• Número de aplicativos de provisionamento de usuário SuccessFactors para AD a serem implantados
• ID correspondente, mapeamento de atributos, transformação e filtros de escopo

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes sobre esses tópicos. Consulte a referência de integração do SAP SuccessFactors para saber mais sobre as entidades suportadas, detalhes de processamento e como personalizar a integração para diferentes cenários de RH.

Configurando SuccessFactors para a integração

Um requisito comum de todos os conectores de provisionamento SuccessFactors é que eles exijam credenciais de uma conta SuccessFactors com as permissões certas para invocar as APIs OData SuccessFactors. Esta seção descreve as etapas para criar a conta de serviço em SuccessFactors e conceder permissões apropriadas.

• Criar/identificar conta de usuário da API no SuccessFactors
• Criar uma função de permissões de API
• Criar um grupo de permissões para o usuário da API
• Conceder função de permissão ao grupo de permissões

Criar/identificar conta de usuário da API no SuccessFactors

Trabalhe com sua equipe de administração ou parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors para invocar as APIs OData. As credenciais de nome de usuário e senha dessa conta são necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

1. Faça login no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de administração.

2. Pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

3. Na Lista de Papéis de Permissão, selecione Criar Novo.

   

4. Adicione um Nome da Função e uma Descrição para a nova função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

5. Em Configurações de permissão, selecione Permissão... e, em seguida, role a lista de permissões para baixo e selecione Gerenciar Ferramentas de Integração. Marque a caixa Permitir que o administrador acesse a API OData por meio da Autenticação Básica.

   

6. Role para baixo na mesma caixa e selecione Employee Central API. Adicione permissões como mostrado abaixo para ler usando a API ODATA e editar usando a API ODATA. Selecione a opção de edição se você planeja usar a mesma conta para o cenário Writeback to SuccessFactors.

   

7. Na mesma caixa de permissões, vá para Permissões de Utilizador -> Dados do Empregado e reveja os atributos que a conta de serviço pode aceder na instância do SuccessFactors. Por exemplo, para recuperar o atributo Username de SuccessFactors, verifique se a permissão "View" é concedida para esse atributo. Da mesma forma, revise cada atributo para obter permissão de exibição.

   

   Nota

   Para obter a lista completa de atributos recuperados por este aplicativo de provisionamento, consulte SuccessFactors Attribute Reference

8. Selecione Concluído. Selecione Guardar Alterações.

Criar um grupo de permissões para o usuário da API

1. No Centro de Administração SuccessFactors, procure Gerenciar Grupos de Permissões e selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

   

2. Na janela Gerir Grupos de Permissões, selecione Criar Novo.

   

3. Adicione um Nome de Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários da API.

   

4. Adicione membros ao grupo. Por exemplo, pode selecionar "Nome de utilizador" no menu suspenso Pool de Pessoas e, em seguida, inserir o nome de utilizador da conta da API utilizada para a integração.

   

5. Selecione Concluída para terminar de criar o Grupo de Permissões.

Atribuir Papel de Permissão ao Grupo de Permissão

1. No Centro de Administração do SuccessFactors, procure Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
2. Na Lista de Regras de Permissão, selecione a regra que criou para permissões de uso da API.
3. Em Conceder esta função a..., selecione o botão Adicionar...
4. Selecionar Grupo de Permissão... no menu suspenso, depois selecione Selecionar... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.
5. Revise a concessão da Função de Autorização ao Grupo de Permissões.
6. Selecione Guardar Alterações.

Configurando o provisionamento de usuários de SuccessFactors para o Ative Directory

Esta seção fornece etapas para o provisionamento de conta de usuário de SuccessFactors para cada domínio do Ative Directory dentro do escopo de sua integração.

• Adicione o aplicativo do conector de provisionamento e baixe o Agente de provisionamento
• Instalar e configurar o(s) agente(s) de provisionamento local
• Configurar a conectividade com SuccessFactors e Ative Directory
• Configurar mapeamentos de atributos
• Habilitar e iniciar o provisionamento de usuários

Parte 1: Adicionar o aplicativo do conector de provisionamento e baixar o Agente de Provisionamento

Para configurar SuccessFactors para provisionamento do Ative Directory:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.

3. Procure por SuccessFactors para o Provisionamento de Utilizadores do Active Directory e adicione essa aplicação da galeria.

4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for exibida, selecione Provisionamento

5. Alterar o modo de provisionamentopara automático

6. Selecione o banner de informações exibido para baixar o Agente de Provisionamento.

   

Parte 2: Instalar e configurar o(s) agente(s) de provisionamento local

Para provisionar o Ative Directory localmente, o agente de provisionamento deve ser instalado em um servidor associado a um domínio que tenha acesso de rede ao(s) domínio(s) desejado(s) do Ative Directory.

Transfira o instalador do agente baixado para o host do servidor e siga as etapas listadas na seção do agente de instalação para concluir a configuração do agente.

Parte 3: No aplicativo de provisionamento, configure a conectividade com SuccessFactors e Ative Directory

Nesta etapa, estabelecemos conectividade com SuccessFactors e Ative Directory.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Entra ID>Enterprise apps> SuccessFactors to Active Directory aplicação de fornecimento de utilizadores criada na Parte 1

3. Preencha a seção Credenciais de administrador da seguinte maneira:

   • Nome de usuário Admin – Digite o nome de usuário da conta de usuário da API SuccessFactors, com o ID da empresa anexado. Tem o formato: username@companyID

   • Senha de administrador – Digite a senha da conta de usuário da API SuccessFactors.

   • URL do locatário – Introduza o nome do endpoint dos serviços de API OData do SuccessFactors. Digite apenas o nome do host do servidor sem http ou https. Esse valor deve se parecer com: <api-server-name>.successfactors.com.

   • Floresta do Active Directory - O "Nome" do seu domínio do Active Directory, como registado pelo agente. Utilize a lista suspensa para selecionar o domínio de destino para provisionamento. Esse valor normalmente é uma cadeia de caracteres como: contoso.com

   • Contêiner do Ative Directory - Insira o DN do contêiner onde o agente deve criar contas de usuário por padrão. Exemplo: OU=Users,DC=contoso,DC=com

     Nota

     Essa configuração só entra em ação para criações de conta de usuário se o atributo parentDistinguishedName não estiver configurado nos mapeamentos de atributo. Essa configuração não é usada para operações de pesquisa ou atualização do usuário. Toda a subárvore de domínio se enquadra no escopo da operação de pesquisa.

   • E-mail de notificação – Digite seu endereço de e-mail e marque a caixa de seleção "enviar e-mail se ocorrer uma falha".

     Nota

     O serviço de provisionamento do Microsoft Entra envia uma notificação por email se o trabalho de provisionamento entrar num estado de quarentena.

   • Selecione o botão Testar Ligação. Se o teste de conexão for bem-sucedido, selecione o botão Salvar na parte superior. Se falhar, verifique se as credenciais SuccessFactors e as credenciais do AD configuradas na configuração do agente são válidas.

   • Depois de as credenciais serem guardadas com sucesso, a seção Mapeamentos exibirá o mapeamento padrão Sincronizar usuários de SuccessFactors com o Active Directory no local

Parte 4: Configurar mapeamentos de atributos

Nesta seção, você configura como os dados do usuário fluem de SuccessFactors para o Ative Directory.

1. Na guia Provisionamento, em Mapeamentos, selecione Sincronizar utilizadores SuccessFactors com o Active Directory local.

2. No campo Escopo do objeto de origem, você pode selecionar quais conjuntos de usuários em SuccessFactors devem estar no escopo de provisionamento para AD, definindo um conjunto de filtros baseados em atributos. O escopo padrão é todos os usuários em SuccessFactors. Exemplos de filtros:

   • Exemplo: Escopo para usuários com personIdExternal entre 1000000 e 2000000 (excluindo 2000000)

     • Atributo: personIdExternal

     • Operador: REGEX Match

     • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exemplo: Apenas empregados e não trabalhadores contingentes

     • Atributo: EmployeeID

     • Operador: Não é nulo

   Gorjeta

   Ao configurar o aplicativo de provisionamento pela primeira vez, você precisa testar e verificar seus mapeamentos e expressões de atributos para garantir que ele esteja dando o resultado desejado. A Microsoft recomenda usar os filtros de escopo em Escopo do Objeto de Origem para testar os seus mapeamentos com alguns utilizadores de teste da SuccessFactors. Depois de verificar se os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

   Atenção

   O comportamento padrão do mecanismo de provisionamento é desabilitar/excluir usuários que saem do escopo. Isso pode não ser desejável em sua integração SuccessFactors to AD. Para substituir este comportamento padrão, consulte o artigo Saltar a eliminação de contas de utilizador que saem do âmbito

3. No campo Ações do Objeto de Destino , você pode filtrar globalmente quais ações são executadas no Ative Directory. Criar e atualizar são mais comuns.

4. Na seção Mapeamentos de atributos, você pode definir como os atributos SuccessFactors individuais são mapeados para os atributos do Ative Directory.

   Nota

   Para obter a lista completa do atributo SuccessFactors suportado pelo aplicativo, consulte SuccessFactors Attribute Reference

5. Selecione um mapeamento de atributo existente para atualizá-lo ou selecione Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual suporta estas propriedades:

   • Tipo de mapeamento

     • Direct – Grava o valor do atributo SuccessFactors no atributo AD, sem alterações

     • Constante - Escreva um valor de cadeia de caracteres estático e constante no atributo AD

     • Expression – Permite escrever um valor personalizado no atributo AD, com base em um ou mais atributos SuccessFactors. Para obter mais informações, consulte este artigo sobre expressões.

   • Atributo de Fonte - O atributo de usuário do SuccessFactors

   • Valor padrão – Opcional. Se o atributo source tiver um valor vazio, o mapeamento gravará esse valor. A configuração mais comum é deixar isso em branco.

   • Atributo de destino – O atributo de usuário no Ative Directory.

   • Corresponder objetos usando esse atributo – Se esse mapeamento deve ou não ser usado para identificar usuários exclusivamente entre SuccessFactors e Ative Directory. Esse valor normalmente é definido no campo ID do trabalhador para SuccessFactors, que normalmente é mapeado para um dos atributos de ID do funcionário no Ative Directory.

   • Precedência de correspondência – Podem ser definidos vários atributos de correspondência. Quando há vários, eles são avaliados na ordem definida por este campo. Assim que uma correspondência é encontrada, nenhum outro atributo correspondente é avaliado.

   • Aplicar este mapeamento

     • Sempre – Aplique este mapeamento nas ações de criação e atualização do usuário

     • Somente durante a criação - Aplique esse mapeamento somente em ações de criação de usuários

6. Para salvar seus mapeamentos, selecione Salvar na parte superior da seção Attribute-Mapping.

Quando a configuração do mapeamento de atributos estiver concluída, você poderá testar o provisionamento para um único usuário usando o provisionamento sob demanda e, em seguida, habilitar e iniciar o serviço de provisionamento de usuário.

Habilitar e iniciar o provisionamento de usuários

Quando as configurações do aplicativo de provisionamento SuccessFactors estiverem concluídas e você tiver verificado o provisionamento para um único usuário com provisionamento sob demanda, poderá ativar o serviço de provisionamento.

Gorjeta

Por padrão, quando você ativa o serviço de provisionamento, ele inicia as operações de provisionamento para todos os usuários no escopo. Se houver erros no mapeamento ou problemas de dados SuccessFactors, o trabalho de provisionamento poderá falhar e entrar no estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro Escopo do Objeto de Origem e testar os mapeamentos de atributos com alguns usuários de teste usando o provisionamento sob demanda antes de iniciar a sincronização completa para todos os usuários. Depois de verificar se os mapeamentos funcionam e estão dando os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

1. Vá para a folha Provisionamento e selecione Iniciar provisionamento.

2. Essa operação inicia a sincronização inicial, que pode levar um número variável de horas, dependendo de quantos usuários estão no locatário SuccessFactors. Você pode verificar a barra de progresso para acompanhar o progresso do ciclo de sincronização.

3. A qualquer momento, verifique a guia de Provisionamento no centro de administração do Entra para ver quais ações o serviço de provisionamento realizou. Os logs de provisionamento listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como quais usuários estão sendo lidos do SuccessFactors e, posteriormente, adicionados ou atualizados ao Ative Directory.

4. Quando a sincronização inicial é concluída, ele grava um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

   

Conteúdo relacionado

• Saiba mais sobre os atributos SuccessFactors suportados para provisionamento de entrada
• Saiba como configurar a regravação de e-mail para o SuccessFactors
• Saiba como analisar os registos e obter relatórios sobre a atividade de aprovisionamento
• Saiba como configurar o logon único entre o SuccessFactors e o ID do Microsoft Entra
• Saiba como integrar outros aplicativos SaaS com o Microsoft Entra ID
• Saiba como exportar e importar suas configurações de provisionamento