Konfigurera SAP SuccessFactors till Microsoft Entra-användaretablering

Målet med den här artikeln är att visa de steg du behöver utföra för att etablera arbetsdata från SuccessFactors Employee Central till Microsoft Entra ID, med valfri tillbakaskrivning av e-postadress till SuccessFactors.

Anteckning

Använd den här artikeln om de användare som du vill etablera från SuccessFactors är molnbaserade användare som inte behöver ett lokalt AD-konto. Om användarna bara behöver ett lokalt AD-konto eller både AD- och Microsoft Entra-konto kan du läsa artikeln om konfigurera SAP SuccessFactors till Active Directory användaretablering.

Följande video ger en snabb översikt över de steg som ingår när du planerar din etableringsintegrering med SAP SuccessFactors.

Översikt

Microsoft Entra-tjänsten för användaretablering integreras med SuccessFactors Employee Central för att hantera användarnas identitetslivscykel.

SuccessFactors-arbetsflöden för användaretablering som stöds av Microsoft Entra-tjänsten för användaretablering möjliggör automatisering av följande scenarier för hantering av mänskliga resurser och identitetslivscykel:

• Anställa nya anställda – När en ny anställd läggs till i SuccessFactors skapas ett användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID, med tillbakaskrivning av e-postadressen till SuccessFactors.

• Uppdateringar av anställdas attribut och profil – När en anställds post uppdateras i SuccessFactors (till exempel deras namn, titel eller chef) uppdateras användarkontot automatiskt Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

• Uppsägningar av anställda – När en anställd avslutas i SuccessFactors inaktiveras deras användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

• Återanställningar – När en anställd återanställs i SuccessFactors kan deras gamla konto automatiskt återaktiveras eller återetableras (beroende på vad du föredrar) i Microsoft Entra ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra ID.

För vem är den här användarprovisioneringslösningen mest lämplig?

Denna SuccessFactors till Microsoft Entra-användaretableringslösning passar utmärkt för:

• Organisationer som vill ha en fördefinierad, molnbaserad lösning för SuccessFactors-användaretablering, inklusive organisationer som fyller SuccessFactors från SAP HCM med hjälp av SAP Integration Suite

• Organisationer som utplacerar Microsoft Entra för användarförsörjning med SAP-käll- och målappar, med hjälp av Microsoft Entra för att konfigurera identiteter för medarbetare så att de kan logga in på ett eller flera SAP-program, till exempel SAP ECC eller SAP S/4HANA, och eventuellt icke-SAP-program.

• Organisationer som kräver direkt användaretablering från SuccessFactors till Microsoft Entra-ID men inte kräver att dessa användare också finns i Windows Server Active Directory

• Organisationer som kräver att användare tilldelas utifrån data från SuccessFactors Employee Central (EC)

• Organisationer som använder Microsoft 365 för e-post

Lösningsarkitektur

I det här avsnittet beskrivs lösningsarkitekturen för slutanvändaretablering för användare som endast är molnbaserade. Det finns två relaterade flöden:

• Auktoritativ HR-Dataflöde – från SuccessFactors till Microsoft Entra-ID: I det här flödet sker arbetshändelser (till exempel nyanställda, överföringar, uppsägningar) först i molnet SuccessFactors Employee Central och sedan flödar händelsedata till Microsoft Entra-ID. Beroende på händelsen kan det leda till åtgärder för att skapa/uppdatera/aktivera/inaktivera i Microsoft Entra-ID.

• E-poståterskrivningsflöde – från Microsoft Entra-ID till SuccessFactors: När kontot har skapats i Microsoft Entra-ID kan värdet för e-postattributet eller UPN som genereras i Microsoft Entra-ID skrivas tillbaka till SuccessFactors.

  

Slutanvändardataflöde

1. HR-teamet utför arbetstransaktioner (Nyanställda/Förflyttningar/Avslutningar eller Nyanställningar/Överföringar/Uppsägningar) i SuccessFactors Employee Central.
2. Microsoft Entra-etableringstjänsten kör schemalagda synkroniseringar av identiteter från SuccessFactors EC och identifierar ändringar som måste bearbetas för synkronisering med Microsoft Entra-ID.
3. Microsoft Entra-etableringstjänsten fastställer ändringen och anropar åtgärden skapa/uppdatera/aktivera/inaktivera för användaren i Microsoft Entra ID.
4. Om tillbakaskrivningsappen SuccessFactors har konfigurerats hämtas användarens e-postadress från Microsoft Entra-ID.
5. Microsoft Entra-etableringstjänsten skriver tillbaka e-postattributet till SuccessFactors baserat på det matchande attributet som används.

Planera distributionen

För att konfigurera molnbaserad HR-driven användaretablering från SuccessFactors till Microsoft Entra ID krävs omfattande planering som omfattar olika aspekter som:

• Fastställa matchande ID
• Mappning av attribut
• Attributtransformeringen
• Filtreringsomfång

Vänligen se den molnbaserade HR-distributionsplanen för omfattande riktlinjer kring dessa ämnen. Se integreringsreferensen för SAP SuccessFactors för att lära dig mer om de entiteter som stöds, bearbetningsinformation och hur du anpassar integreringen för olika HR-scenarier.

Konfigurera SuccessFactors för integreringen

Ett vanligt krav för alla SuccessFactors-etableringsanslutningar är att de kräver autentiseringsuppgifter för ett SuccessFactors-konto med rätt behörigheter för att anropa SuccessFactors OData-API:er. I det här avsnittet beskrivs steg för att skapa tjänstkontot i SuccessFactors och bevilja lämpliga behörigheter.

• Skapa/identifiera API-användarkonto i SuccessFactors
• Skapa en API-behörighetsroll
• Skapa en behörighetsgrupp för API-användaren
• Tilldela behörighetsrollen till behörighetsgruppen

Skapa/identifiera API-användarkonto i SuccessFactors

Arbeta med ditt SuccessFactors-administratörsteam eller implementeringspartner för att skapa eller identifiera ett användarkonto i SuccessFactors för att anropa OData-API:erna. Autentiseringsuppgifterna för användarnamn och lösenord för det här kontot krävs när du konfigurerar etableringsapparna i Microsoft Entra-ID.

Skapa en API-behörighetsroll

1. Logga in på SAP SuccessFactors med ett användarkonto som har åtkomst till administrationscentret.

2. Sök efter Hantera behörighetsroller och välj sedan Hantera behörighetsroller i sökresultaten.

3. Från listan över behörighetsroller väljer du Skapa ny.

   

4. Lägg till ett rollnamn och en beskrivning för den nya behörighetsrollen. Namnet och beskrivningen bör indikera att rollen är för API-användningsbehörigheter.

5. Under Behörighetsinställningar väljer du Behörighet...och bläddrar sedan nedåt i behörighetslistan och väljer Hantera integrationsverktyg. Markera kryssrutan Tillåt administratör att komma åt OData API via grundläggande autentisering.

   

6. Rulla nedåt i samma ruta och välj Employee Central API. Lägg till behörigheter som visas nedan för att läsa med ODATA API och redigera med ODATA API. Välj redigeringsalternativet om du planerar att använda samma konto för scenariot Writeback to SuccessFactors .

   

7. I samma behörighetsruta går du till Användarbehörigheter –> Personaldata och granskar de attribut som tjänstkontot kan läsa från SuccessFactors-klientorganisationen. Om du till exempel vill hämta attributet Användarnamn från SuccessFactors kontrollerar du att behörigheten "Visa" har beviljats för det här attributet. Granska på samma sätt varje attribut för visningsbehörighet.

   

   Anteckning

   För en fullständig lista över attribut som hämtas av denna provisioneringsapp, hänvisa till SuccessFactors-attributreferens

8. Välj Färdig. Välj Spara ändringar.

Skapa en behörighetsgrupp för API-användaren

1. I administrationscentret för SuccessFactors söker du efter Hantera behörighetsgrupper och väljer sedan Hantera behörighetsgrupper i sökresultaten.

   

2. I fönstret Hantera behörighetsgrupper väljer du Skapa ny.

   

3. Lägg till ett gruppnamn för den nya gruppen. Gruppnamnet bör ange att gruppen är för API-användare.

   

4. Lägg till medlemmar i gruppen. Du kan till exempel välja Användarnamn från den nedrullningsbara menyn Personpool och sedan ange användarnamnet för det API-konto som används för integreringen.

   

5. Välj Klar för att slutföra skapandet av behörighetsgruppen.

Bevilja behörighetsrollen till behörighetsgruppen

1. I Administrationscenter för SuccessFactors, söker du efter Hantera behörighetsroller och väljer sedan Hantera behörighetsroller i sökresultaten.
2. I listan Över behörighetsroller väljer du den roll som du skapade för API-användningsbehörigheter.
3. Vid Bevilja den här rollen till..., välj Lägg till... knappen.
4. Välj behörighetsgrupp... från den nedrullningsbara menyn och välj sedan Välj... för att öppna fönstret Grupper för att söka och välja gruppen som skapades ovan.
5. Granska behörighetsrollens tilldelning till behörighetsgruppen.
6. Välj Spara ändringar.

Konfigurera användaretablering från SuccessFactors till Microsoft Entra-ID

Det här avsnittet innehåller steg för etablering av användarkonton från SuccessFactors till Microsoft Entra ID.

• Lägg till tilldelningsappen och konfigurera anslutning till SuccessFactors
• Konfigurera attributmappningar
• Aktivera och starta användaretablering

Del 1: Lägg till etableringsappen och konfigurera anslutningen till SuccessFactors

Så här konfigurerar du SuccessFactors till Microsoft Entra-etablering:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Entra ID>Enterprise-appar>Nytt program.

3. Sök efter SuccessFactors till Microsoft Entra-användaretablering och lägg till appen från galleriet.

4. När appen har lagts till och skärmen med appinformation visas väljer du Etablering

5. Ändra etableringslägetläge till Automatiskt

6. Slutför avsnittet Administratörsautentiseringsuppgifter på följande sätt:

   • Administratörsanvändarnamn – Ange användarnamnet för SuccessFactors API-användarkontot med företags-ID:t bifogat. Det har formatet: username@companyID

   • Administratörslösenord – Ange lösenordet för SuccessFactors API-användarkontot.

   • Klient-URL – Ange namnet på slutpunkten för SuccessFactors OData API-tjänster. Ange endast värdnamnet för servern utan http eller https. Det här värdet bör se ut så här: api-server-name.successfactors.com.

   • E-postavisering – Ange din e-postadress och markera kryssrutan "skicka e-post om ett fel inträffar".

   Anteckning

   Microsoft Entra-etableringstjänsten skickar ett e-postmeddelande om etableringsjobbet hamnar i karantäntillstånd.

   • Välj knappen Testa anslutning. Om anslutningstestet lyckas väljer du knappen Spara längst upp. Om det misslyckas kontrollerar du att SuccessFactors-autentiseringsuppgifterna och URL:en är giltiga.

   • När autentiseringsuppgifterna har sparats visar avsnittet Mappningar standardmappningen Synkronisera successFactors-användare till Microsoft Entra-ID

Del 2: Konfigurera attributmappningar

I det här avsnittet konfigurerar du hur användardata flödar från SuccessFactors till Microsoft Entra-ID.

1. På fliken Etablering under Mappningarväljer du Synkronisera SuccessFactors-användare till Microsoft Entra-ID.

2. I fältet Omfång för källobjekt kan du välja vilka uppsättningar användare i SuccessFactors som ska finnas i omfånget för etablering till Microsoft Entra-ID genom att definiera en uppsättning attributbaserade filter. Standardomfånget är "alla användare i SuccessFactors". Exempelfilter:

   • Exempel: Omfång för användare med personIdExternal mellan 1000000 och 2000000 (exklusive 2000000)

     • Attribut: personIdExternal

     • Operatör: REGEX-matchning

     • Värde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exempel: Endast anställda och inte kontingentanställda

     • Attribut: AnställdID

     • Operator: ÄR INTE NULL

   Tips

   När du konfigurerar etableringsappen för första gången måste du testa och verifiera attributmappningarna och -uttrycken för att se till att det ger dig önskat resultat. Microsoft rekommenderar att du använder omfångsfilter under Källobjektomfång för att testa dina mappningar med några testanvändare från SuccessFactors. När du har verifierat att mappningarna fungerar kan du antingen ta bort filtret eller gradvis expandera det så att det omfattar fler användare.

   Varning

   Standardbeteendet för etableringsmotorn är att inaktivera/ta bort användare som inte omfattas. Detta kanske inte är önskvärt i din SuccessFactors till Microsoft Entra-integrering. Om du vill åsidosätta det här standardbeteendet läser du artikeln Hoppa över borttagning av användarkonton som inte omfattas

3. I fältet Målobjektåtgärder kan du globalt filtrera vilka åtgärder som utförs i Microsoft Entra-ID. Skapa och uppdatera är vanligast.

4. I avsnittet Attributmappningar kan du definiera hur enskilda SuccessFactors-attribut mappas till Microsoft Entra-attribut.

   Anteckning

   Den fullständiga listan över SuccessFactors-attribut som stöds av programmet finns i Referens för SuccessFactors-attribut

5. Välj en befintlig attributmappning för att uppdatera den eller välj Lägg till ny mappning längst ned på skärmen för att lägga till nya mappningar. En enskild attributmappning stöder följande egenskaper:

   • Mappningstyp

     • Direct – skriver värdet för attributet SuccessFactors till Microsoft Entra-attributet utan ändringar

     • Konstant – Skriva ett statiskt, konstant strängvärde till Microsoft Entra-attributet

     • Uttryck – Möjliggör att du kan skriva ett anpassat värde till ett Microsoft Entra-attribut baserat på ett eller flera SuccessFactors-attribut. Mer information finns i den här artikeln om uttryck.

   • Källattribut – användarattributet från SuccessFactors

   • Standardvärde – Valfritt. Om källattributet har ett tomt värde skriver mappningen det här värdet i stället. Den vanligaste konfigurationen är att lämna den tom.

   • Målattribut – användarattributet i Microsoft Entra-ID.

   • Matcha objekt med det här attributet – om den här mappningen ska användas för att unikt identifiera användare mellan SuccessFactors och Microsoft Entra-ID. Det här värdet anges vanligtvis i fältet Arbets-ID för SuccessFactors, som vanligtvis mappas till ett av medarbetar-ID-attributen i Microsoft Entra-ID.

   • Matchande prioritet – Flera matchande attribut kan anges. När det finns flera utvärderas de i den ordning som definieras av det här fältet. Så snart en matchning hittas utvärderas inga ytterligare matchande attribut.

   • Tillämpa den här mappningen

     • Always – Tillämpa den här mappningen på både åtgärder för att skapa och uppdatera användare

     • Endast under skapandet – Använd endast den här mappningen på åtgärder för att skapa användare

6. Spara mappningarna genom att välja Spara överst i avsnittet Attribute-Mapping.

När konfigurationen av attributmappningen är klar kan du nu aktivera och starta användaretableringstjänsten.

Aktivera och starta användaretablering

När konfigurationerna för SuccessFactors-etableringsappen har slutförts kan du aktivera etableringstjänsten.

Tips

Som standardinställning när du aktiverar etableringstjänsten initieras etableringsåtgärder för alla användare som är inom räckhåll. Om det finns fel i mappningen eller dataproblem med SuccessFactors kan konfigurationjobbet misslyckas och hamna i karantäntillståndet. För att undvika detta rekommenderar vi att du konfigurerar källobjektomfångsfiltret och testar attributmappningarna med några testanvändare innan du startar den fullständiga synkroniseringen för alla användare. När du har kontrollerat att mappningarna fungerar och ger dig önskat resultat kan du antingen ta bort filtret eller gradvis expandera det för att inkludera fler användare.

1. På fliken Etablering anger du Etableringsstatus till På.

2. Välj Spara.

3. Den här åtgärden startar den inledande synkroniseringen, vilket kan ta ett varierande antal timmar beroende på hur många användare som finns i SuccessFactors-klientorganisationen. Du kan kontrollera förloppsindikatorn för att spåra förloppet för synkroniseringscykeln.

4. När som helst kontrollerar du fliken Etablering i administrationscentret för Entra för att se vilka åtgärder etableringstjänsten har utfört. Etableringsloggarna visar en lista över alla enskilda synkroniseringshändelser som utförs av etableringstjänsten, till exempel vilka användare som läss ut från SuccessFactors och sedan läggs till eller uppdateras till Microsoft Entra-ID.

5. När den första synkroniseringen är klar skriver den en granskningssammanfattningsrapport på fliken Etablering enligt nedan.

   

Relaterat innehåll

• Läs mer om stödda attribut för SuccessFactors vid inkommande provisioning
• Lär dig hur du konfigurerar tillbakaskrivning av e-post till SuccessFactors
• Lär dig att granska loggar och hämta rapporter om provisioneringsaktivitet
• Lär dig hur du integrerar andra SaaS-program med Microsoft Entra-ID