Руководство по настройке SAP SuccessFactors в подготовке пользователей Microsoft Entra

Цель этого руководства — показать шаги, которые необходимо выполнить для подготовки рабочих данных из SuccessFactors Employee Central в идентификатор Microsoft Entra ID, при необходимости записи обратного адреса электронной почты в SuccessFactors.

Примечание.

Используйте этот учебник, если вам необходимо подготовить из SuccessFactors только облачных пользователей, которым не требуется локальная учетная запись AD. Если пользователям требуется только локальная учетная запись AD или учетная запись AD и учетная запись Microsoft Entra, см. руководство по настройке SAP SuccessFactors для подготовки пользователей Active Directory .

В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции подготовки с SAP SuccessFactors.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с SuccessFactors Employee Central для управления жизненным циклом удостоверений пользователей.

Рабочие процессы подготовки пользователей SuccessFactors, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Нанимать новых сотрудников . При добавлении нового сотрудника в SuccessFactors учетная запись пользователя автоматически создается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra, с обратной записью адреса электронной почты в SuccessFactors.

• Обновления атрибутов и профилей сотрудников . При обновлении записи сотрудника в SuccessFactors (например, имя, название или менеджер) их учетная запись пользователя автоматически обновляется идентификатором Microsoft Entra и при необходимости Microsoft 365 и другими приложениями SaaS, поддерживаемыми идентификатором Microsoft Entra.

• Завершение работы сотрудников. При завершении работы сотрудника в SuccessFactors их учетная запись пользователя автоматически отключается в идентификаторе Microsoft Entra и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• При повторном выборе сотрудников в SuccessFactors их старая учетная запись может быть автоматически активирована или повторно подготовлена (в зависимости от вашего предпочтения) идентификатору Microsoft Entra ID и при необходимости Microsoft 365 и другим приложениям SaaS, поддерживаемым идентификатором Microsoft Entra ID.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение для подготовки пользователей Microsoft Entra в SuccessFactors идеально подходит для:

• Организации, которые хотят предварительно созданного облачного решения для подготовки пользователей SuccessFactors, включая организации, заполняющие SuccessFactors из SAP HCM с помощью SAP Integration Suite

• Организации, которые будут развертывать Microsoft Entra для подготовки пользователей с помощью источника и целевых приложений SAP, с помощью Microsoft Entra для настройки удостоверений для работников, чтобы они могли войти в одно или несколько приложений SAP, таких как SAP ECC или SAP S/4HANA, а также необязательно приложения, отличные от SAP.

• Организации, которым требуется прямая подготовка пользователей из SuccessFactors в идентификатор Microsoft Entra, но не требуют, чтобы эти пользователи также были в Windows Server Active Directory

• организаций, которые выполняют подготовку пользователей на основе данных, полученных из SuccessFactors Employee Central (EC);

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки только облачных пользователей. Имеется два связанных потока:

• Авторитетные Поток данных кадров — от SuccessFactors до идентификатора Microsoft Entra ID: в этом потоке рабочие события (например, новые сотрудники, передачи, завершения) сначала происходят в cloud SuccessFactors Employee Central, а затем данные событий передаются в идентификатор Microsoft Entra ID. В зависимости от события может привести к созданию, обновлению и отключению операций в идентификаторе Microsoft Entra.

• Поток обратной записи электронной почты — от идентификатора Microsoft Entra до SuccessFactors: после завершения создания учетной записи в идентификаторе Microsoft Entra значение атрибута электронной почты или имя участника-пользователя, созданное в идентификаторе Microsoft Entra, можно записать обратно в SuccessFactors.

  

Полноценный поток данных пользователей

1. Команда отдела кадров выполняет рабочие транзакции (Joiners/Movers/Leavers или New Hires/Transfers/Terminations) в SuccessFactors Employee Central.
2. Служба подготовки Microsoft Entra выполняет запланированные синхронизации удостоверений из EC SuccessFactors и определяет изменения, которые необходимо обрабатывать для синхронизации с идентификатором Microsoft Entra.
3. Служба подготовки Microsoft Entra определяет изменение и вызывает операцию create/update/enable/disable для пользователя в идентификаторе Microsoft Entra.
4. Если приложение SuccessFactors Writeback настроено, адрес электронной почты пользователя извлекается из идентификатора Microsoft Entra.
5. Служба подготовки Microsoft Entra записывает атрибут электронной почты в SuccessFactors на основе используемого атрибута сопоставления.

Планирование развертывания

Настройка подготовки пользователей на основе облачных кадров из SuccessFactors в идентификатор Microsoft Entra ID требует значительного планирования, охватывающего различные аспекты, такие как:

• определение идентификатора сопоставления;
• Сопоставление атрибутов
• преобразование атрибутов;
• Фильтры области

Подробные рекомендации по этим темам см. в плане развертывания облачных служб управления персоналом. Сведения о поддерживаемых сущностях, обработке и настройке интеграции для различных сценариев управления персоналом см. в Справочнике по интеграции SAP SuccessFactors.

Настройка SuccessFactors для интеграции

Общим требованием для всех соединителей подготовки SuccessFactors являются учетные данные SuccessFactors с соответствующими разрешениями для вызова API-интерфейсов SuccessFactors OData. В этом разделе описана процедура создания учетной записи службы в SuccessFactors и предоставления соответствующих разрешений.

• Создание или определение учетной записи пользователя API в SuccessFactors
• Создание роли разрешений для API
• Создание группы разрешений для пользователя API
• Предоставление роли разрешений группе разрешений

Создание или определение учетной записи пользователя API в SuccessFactors

Обратитесь к команде администратора SuccessFactors или партнеру по реализации, чтобы создать или определить учетную запись пользователя в SuccessFactors, чтобы вызвать API OData. Учетные данные пользователя и пароля этой учетной записи необходимы при настройке приложений подготовки в идентификаторе Microsoft Entra.

Создание роли разрешений для API

1. Войдите в SAP SuccessFactors с учетной записью пользователя, имеющего доступ к центру администрирования.

2. Введите в строке поиска Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).

3. В списке ролей разрешений щелкните Create New (Создать).

   

4. Заполните поля Role Name (Имя роли) и Description (Описание) для новой роли разрешений. Имя и описание должны указывать на то, что роль предназначена для разрешений на использование API.

   

5. В разделе Permission settings (Параметры разрешений) щелкните Permission... (Разрешение...), затем прокрутите список разрешений вниз и щелкните Manage Integration Tools (Управление инструментами интеграции). Установите флажок Allow Admin to Access to OData API through Basic Authentication (Разрешить администратору доступ к API-интерфейсу OData с использованием обычной проверки подлинности).

   

6. Прокрутите вниз в том же поле и выберите Employee Central API (API-интерфейс Employee Central). Добавьте разрешения на чтение и изменение с помощью API-интерфейса OData, как показано ниже. Параметр изменения следует выбирать, если вы планируете использовать ту же учетную запись и для сценария обратной записи в SuccessFactors.

   

7. В том же окне разрешений перейдите к пункту User Permissions -> Employee Data (Разрешения пользователей -> Данные о сотрудниках) и проверьте атрибуты, которые учетная запись службы может считывать из арендатора SuccessFactors. Например, чтобы получить из SuccessFactors атрибут Username (Имя пользователя), убедитесь, что для этого атрибута предоставлено разрешение View (Просмотр). Аналогичным образом проверьте каждый атрибут для разрешения на просмотр.

   

   Примечание.

   Полный список атрибутов, полученных этим приложением подготовки, см. в справочнике по атрибутам SuccessFactors.

8. Нажмите кнопку Готово. Щелкните Сохранить изменения.

Создание группы разрешений для пользователя API

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Groups (Управление группами разрешений), а затем среди результатов поиска выберите Manage Permission Groups (Управление группами разрешений).

   

2. В окне Manage permission groups (Управление группами разрешений) щелкните Create New (Создать).

   

3. Добавьте имя новой группы в поле Group Name (Имя группы). Это имя должно указывать на то, что группа предназначена для пользователей API.

   

4. Добавьте членов в группу. Например, в раскрывающемся меню People Pool (Пул пользователей) можно выбрать Username (Имя пользователя), а затем ввести имя пользователя учетной записи API, которая будет использоваться для интеграции.

   

5. Щелкните Done (Готово), чтобы завершить создание группы разрешений.

Предоставление роли разрешений группе разрешений

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).
2. В разделе Permission Role List (Список ролей разрешений) выберите роль, созданную для разрешений на использование API.
3. В разделе Grant this role to... (Предоставить эту роль...) нажмите кнопку Add... (Добавить...).
4. В раскрывающемся меню выберите Permission Group... (Группа разрешений...), а затем щелкните Select... (Выбрать...), чтобы открыть окно Groups (Группы) для поиска и выбора созданной ранее группы.

   

5. Просмотрите роль разрешений, предоставленную группе разрешений.

   

6. Щелкните Сохранить изменения.

Настройка подготовки пользователей из SuccessFactors в идентификатор Microsoft Entra

В этом разделе приведены шаги по подготовке учетных записей пользователей из SuccessFactors в идентификатор Microsoft Entra ID.

• Добавление приложения соединителя подготовки и настройка возможности подключения к SuccessFactors
• Настройка сопоставлений атрибутов
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения соединителя подготовки и настройка подключения к SuccessFactors

Чтобы настроить SuccessFactors для подготовки Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

3. Найдите SuccessFactors в подготовку пользователей Microsoft Entra и добавьте это приложение из коллекции.

4. После добавления приложения и отображения экрана сведений о приложений выберите Подготовка.

5. Для параметра Режим подготовки к работе выберите значение Авто.

6. В разделе Учетные данные администратора заполните поля следующим образом.

   • Имя пользователя администратора. Введите имя пользователя учетной записи API SuccessFactors, добавив к нему идентификатор компании. Формат: имя_пользователя@идентификатор_компании.

   • Пароль администратора. Введите пароль учетной записи пользователя API SuccessFactors.

   • URL-адрес клиента. Введите имя конечной точки служб API-интерфейса OData для SuccessFactors. Вводить следует только имя узла сервера без http или https. Это значение должно выглядеть так: api-server-name.successfactors.com.

   • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

   Примечание.

   Служба подготовки Microsoft Entra отправляет уведомление по электронной почте, если задание подготовки переходит в состояние карантина .

   • Нажмите кнопку Проверить подключение. Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи дополнительно проверьте правильность учетных данных и URL-адреса SuccessFactors.

   

   • После успешного сохранения учетных данных в разделе "Сопоставления" отображается сопоставление "Синхронизация пользователей SuccessFactors" по умолчанию с идентификатором Microsoft Entra

Часть 2. Настройка сопоставлений атрибутов

В этом разделе описано, как пользовательские данные передаются из SuccessFactors в идентификатор Microsoft Entra.

1. На вкладке "Подготовка" в разделе "Сопоставления" щелкните "Синхронизировать пользователей SuccessFactors" с идентификатором Microsoft Entra.

2. В поле области исходного объекта можно выбрать наборы пользователей в SuccessFactors, которые должны быть в области подготовки к идентификатору Microsoft Entra, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в SuccessFactors". Примеры фильтров

   • Пример Охват пользователей с personIdExternal в диапазоне от 1000000 до 2000000 (не включая 2000000)

     • Атрибут: personIdExternal

     • Оператор: REGEX Match

     • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])

   • Пример: только сотрудники, а не временные работники

     • Атрибут: EmployeeID

     • Оператор: IS NOT NULL

   Совет

   При первом настройке приложения подготовки необходимо протестировать и проверить сопоставления атрибутов и выражения, чтобы убедиться, что он дает нужный результат. Корпорация Майкрософт рекомендует использовать фильтры области в разделе Область исходного объекта для проверки сопоставлений с несколькими тестовыми пользователями из SuccessFactors. Убедившись, что сопоставления работают, можно удалить фильтр или постепенно развернуть его, чтобы включить больше пользователей.

   Внимание

   Поведение по умолчанию обработчика подготовки заключается в том, чтобы отключить или удалить неподходящих пользователей. Это может оказаться нежелательным в интеграции SuccessFactors с Microsoft Entra. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

3. В поле "Действия целевого объекта" можно глобально отфильтровать действия, выполняемые в идентификаторе Microsoft Entra. Самыми распространенными являются создание и обновление.

4. В разделе "Сопоставления атрибутов" можно определить, как отдельные атрибуты SuccessFactors сопоставляют с атрибутами Microsoft Entra.

   Примечание.

   Полный список атрибутов SuccessFactors, поддерживаемых приложением, см. в справочнике по атрибутам SuccessFactors.

5. Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Direct — записывает значение атрибута SuccessFactors в атрибут Microsoft Entra без изменений.

     • Константа — запись статического, константного строкового значения в атрибут Microsoft Entra

     • Выражение — позволяет записывать настраиваемое значение в атрибут Microsoft Entra на основе одного или нескольких атрибутов SuccessFactors. Дополнительные сведения см. в статье о выражениях.

   • Исходный атрибут — атрибут пользователя из SuccessFactors.

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление записывает это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в идентификаторе Microsoft Entra.

   • Сопоставление объектов с помощью этого атрибута — следует ли использовать это сопоставление для уникального идентификации пользователей между SuccessFactors и идентификатором Microsoft Entra. Обычно это значение устанавливается в поле идентификатора рабочей роли для SuccessFactors, которое обычно сопоставляется с одним из атрибутов идентификатора сотрудника в идентификаторе Microsoft Entra ID.

   • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применить это сопоставление

     • Всегда — применить это сопоставление как при создании, так и при обновлении пользователей

     • Только при создании — применить это сопоставление только при создании пользователей

6. Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".

После завершения настройки сопоставления атрибутов можно включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений подготовки SuccessFactors можно включить службу подготовки.

Совет

По умолчанию при включении службы подготовки она инициализирует операции подготовки для всех пользователей в области. При наличии ошибок в сопоставлении или проблем с данными SuccessFactors задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуется настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

1. На вкладке Подготовка установите для параметра Состояние подготовки значение Вкл.

2. Нажмите кнопку Сохранить.

3. Эта операция запускает начальную синхронизацию, которая может занять переменное количество часов в зависимости от количества пользователей в клиенте SuccessFactors. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.

4. В любое время проверьте вкладку "Подготовка" в Центре администрирования Entra, чтобы узнать, какие действия выполнила служба подготовки. Журналы подготовки перечисляют все отдельные события синхронизации, выполняемые службой подготовки, например, которые пользователи считываются из SuccessFactors, а затем добавляются или обновляются до идентификатора Microsoft Entra.

5. После завершения начальной синхронизации он записывает сводный отчет аудита на вкладке подготовки , как показано ниже.

   

Следующие шаги

• Сведения о поддерживаемых атрибутах SuccessFactors для входящей подготовки
• Сведения о настройке обратной записи электронной почты в SuccessFactors
• Сведения о просмотре журналов и получении отчетов о действиях по подготовке
• Узнайте, как интегрировать другие приложения SaaS с идентификатором Microsoft Entra