教學課程:將 SAP SuccessFactors 設定為 Active Directory 使用者布建
本教學課程旨在說明您需要執行的步驟,以將使用者從 SuccessFactors Employee Central 布建到 Active Directory (AD) 和 Microsoft Entra ID,並選擇性地將電子郵件地址回寫至 SuccessFactors。
注意
如果您想要從 SuccessFactors 布建的使用者需要內部部署 AD 帳戶和選擇性的 Microsoft Entra 帳戶,請使用本教學課程。 如果 SuccessFactors 中的使用者只需要 Microsoft Entra 帳戶(僅限雲端使用者),請參閱將 SAP SuccessFactors 設定為 Microsoft Entra ID 使用者布建的教學課程。
下列影片提供規劃與 SAP SuccessFactors 布建整合時相關步驟的快速概觀。
概觀
Microsoft Entra 使用者布建服務會與 SuccessFactors Employee Central 整合,以管理使用者的身分識別生命週期。
Microsoft Entra 使用者布建服務支援的 SuccessFactors 使用者布建工作流程,可自動化下列人力資源和身分識別生命週期管理案例:
僱用新員工 - 將新員工 新增至 SuccessFactors 時,會自動在 Active Directory、Microsoft Entra ID 和 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式中建立用戶帳戶,並將電子郵件位址回寫至 SuccessFactors。
員工屬性和配置檔更新 - 在 SuccessFactors 中更新員工記錄時(例如其名稱、職稱或經理),其用戶帳戶會在 Active Directory、Microsoft Entra ID 和 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式中自動更新。
員工終止 - 當員工在 SuccessFactors 中終止時,其使用者帳戶會自動停用 Active Directory、Microsoft Entra ID,以及 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。
員工重新僱用 - 在 SuccessFactors 中重新連任員工時,其舊帳戶可以自動重新啟用或重新佈建(視您的喜好設定而定)至 Active Directory、Microsoft Entra ID,以及選擇性地由 Microsoft Entra ID 支援的 Microsoft 365 和其他 SaaS 應用程式。
神秘 這個使用者布建解決方案最適合嗎?
此 SuccessFactors 至 Active Directory 使用者布建解決方案最適合:
想要針對 SuccessFactors 使用者布建預先建置雲端式解決方案的組織
需要將使用者從 SuccessFactors 直接布建到 Active Directory 的組織
要求使用者使用 SuccessFactors 員工中心取得 的數據來布建的組織(EC)
需要加入、移動及離開用戶的組織,僅根據 SuccessFactors Employee Central 中 偵測到的變更資訊,將使用者同步至一或多個 Active Directory 樹系、網域和 OU
使用 Microsoft 365 進行電子郵件的組織
解決方案架構
本節說明常見混合式環境的端對端使用者布建解決方案架構。 有兩個相關的流程:
授權 HR 數據流 – 從 SuccessFactors 到 內部部署的 Active Directory:在此流程背景工作事件中,第一次發生在雲端 SuccessFactors Employee Central 中,然後事件數據會透過 Microsoft Entra ID 和布建代理程式流入 內部部署的 Active Directory。 視事件而定,它可能會導致在 AD 中建立/更新/啟用/停用作業。
電子郵件回寫流程 – 從 內部部署的 Active Directory 到 SuccessFactors:一旦帳戶在 Active Directory 中建立完成,它就會透過 Microsoft Entra 連線 Sync 與電子郵件屬性同步處理至 SuccessFactors。
端對端用戶數據流
- HR 小組會在 SuccessFactors Employee Central 中執行背景工作交易(Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations)。
- Microsoft Entra 布建服務會從 SuccessFactors EC 執行身分識別的排程同步處理,並識別需要處理的變更,以便與 內部部署的 Active Directory 同步處理。
- Microsoft Entra 布建服務會使用包含 AD 帳戶建立/更新/啟用/停用作業的要求承載,叫用內部部署 Microsoft Entra 連線 布建代理程式。
- Microsoft Entra 連線 布建代理程式會使用服務帳戶來新增/更新 AD 帳戶數據。
- Microsoft Entra 連線 同步處理引擎會執行差異同步,以提取 AD 中的更新。
- Active Directory 更新會與 Microsoft Entra ID 同步。
- 如果已設定 SuccessFactors 回寫應用程式,它會根據所使用的相符屬性,將電子郵件屬性寫回 SuccessFactors。
規劃您的部署
設定從 SuccessFactors 到 AD 的雲端 HR 驅動使用者布建,需要相當多的規劃涵蓋不同層面,例如:
- 設定 Microsoft Entra 連線 布建代理程式
- 要部署之 AD 使用者布建應用程式的 SuccessFactors 數目
- 比對標識碼、屬性對應、轉換和範圍篩選
如需這些主題的完整指導方針, 請參閱雲端 HR 部署計劃 。 請參閱 SAP SuccessFactors 整合參考 ,以瞭解支援的實體、處理詳細數據,以及如何針對不同的 HR 案例自定義整合。
設定整合的 SuccessFactors
所有 SuccessFactors 布建連接器的常見需求是,它們需要具有正確許可權來叫用 SuccessFactors OData API 的 SuccessFactors 帳戶認證。 本節說明在 SuccessFactors 中建立服務帳戶並授與適當許可權的步驟。
在 SuccessFactors 中建立/識別 API 用戶帳戶
請與您的 SuccessFactors 系統管理小組或實作合作夥伴合作,在 SuccessFactors 中建立或識別用戶帳戶,以叫用 OData API。 在 Microsoft Entra 識別符中設定布建應用程式時,需要此帳戶的使用者名稱和密碼認證。
建立 API 許可權角色
使用可存取 管理員 中心的用戶帳戶登入 SAP SuccessFactors。
搜尋 [ 管理許可權角色],然後從搜尋結果中選取 [ 管理許可權角色 ]。
從 [許可權角色清單] 中,按兩下 [ 新建]。
新增新許可權角色的角色名稱和描述。 名稱和描述應該指出角色適用於 API 使用許可權。
在 [許可權設定] 底下,按兩下 [ 許可權...],然後向下卷動許可權清單,然後按兩下 [ 管理整合工具]。 核取 [允許 管理員 透過基本身份驗證存取 OData API] 的方塊。
在相同的方塊中向下捲動,然後選取 [員工中心 API]。 新增許可權,如下所示,以使用 ODATA API 讀取並使用 ODATA API 進行編輯。 如果您打算針對 Writeback to SuccessFactors 案例使用相同的帳戶,請選取編輯選項。
在相同的許可權方塊中,移至 [用戶許可權 -> 員工數據 ],並檢閱服務帳戶可從 SuccessFactors 租使用者讀取的屬性。 例如,若要從 SuccessFactors 擷 取 Username 屬性,請確定已為此屬性授與 「檢視」許可權。 同樣地,請檢閱每個屬性以取得檢視許可權。
注意
如需此布建應用程式所擷取之屬性的完整清單,請參閱 SuccessFactors 屬性參考
按兩下 [ 完成]。 按一下 [儲存變更] 。
建立 API 使用者的許可權群組
- 在 SuccessFactors 管理員 Center 中,搜尋 [管理許可權群組],然後從搜尋結果中選取 [管理許可權群組]。
- 從 [管理許可權群組] 視窗中,按兩下 [ 新建]。
- 新增新群組的組名。 組名應該指出群組適用於 API 使用者。
- 將成員新增至群組。 例如,您可以從 [人員 集區] 下拉功能表中選取 [用戶名稱],然後輸入將用於整合的 API 帳戶用戶名稱。
- 按兩下 [完成 ] 以完成建立許可權群組。
將許可權角色授與許可權群組
- 在 SuccessFactors 管理員 Center 中,搜尋 [管理許可權角色],然後從搜尋結果中選取 [管理許可權角色]。
- 從 [ 許可權角色清單] 中,選取您為 API 使用許可權建立的角色。
- 在 [授與此角色...] 底下,按兩下 [新增...] 按鈕。
- 從下拉功能表中選取 [許可權群組... ],然後按兩下 [ 選取... ],開啟 [群組] 視窗以搜尋並選取上面建立的群組。
- 檢閱許可權角色授與許可權群組。
- 按一下 [儲存變更] 。
設定從 SuccessFactors 到 Active Directory 的使用者布建
本節提供從 SuccessFactors 到整合範圍內每個 Active Directory 網域的用戶帳戶布建步驟。
第 1 部分:新增布建連接器應用程式並下載布建代理程式
若要將 SuccessFactors 設定為 Active Directory 布建:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [新增應用程式]。
搜尋 SuccessFactors 至 Active Directory 使用者布建,並從資源庫新增該應用程式。
新增應用程式並顯示應用程式詳細資料畫面之後,選取 [ 布建]
將布 建模式 變更為 自動
按兩下顯示的資訊橫幅以下載布建代理程式。
第 2 部分:安裝和設定內部部署佈建代理程式(s)
若要布建至內部部署 Active Directory,布建代理程式必須安裝在具有所需 Active Directory 網域之網路存取權的已加入網域的伺服器上。
將下載的代理程式安裝程式傳送至伺服器主機,並遵循安裝代理程式一節中列出的步驟來完成代理程式設定。
第3部分:在布建應用程式中,設定SuccessFactors和Active Directory的連線能力
在此步驟中,我們會建立與 SuccessFactors 和 Active Directory 的連線。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
流覽至 Identity>Applications Enterprise 應用程式>> SuccessFactors 至第 1 部分建立的 Active Directory 使用者佈建應用程式
完成 [管理員 認證] 區段,如下所示:
管理員 用戶名稱 – 輸入 SuccessFactors API 使用者帳戶的使用者名稱,並附加公司識別碼。 其格式為: username@companyID
管理員 密碼 –輸入 SuccessFactors API 使用者帳戶的密碼。
租使用者 URL – 輸入 SuccessFactors OData API 服務端點的名稱。 只輸入不含 HTTP 或 HTTPs 的伺服器主機名。 此值看起來應該像:api-server-name.successfactors.com>。<
Active Directory 樹系 - Active Directory 網域的「名稱」,如向代理程序註冊。 使用下拉式清單選取要布建的目標網域。 此值通常是字串,例如: contoso.com
Active Directory 容器 - 輸入代理程式預設應該建立使用者帳戶的容器 DN。 範例: OU=Users,DC=contoso,DC=com
注意
只有在屬性對應中未設定 parentDistinguishedName 屬性時,才會對用戶帳戶建立進行這項設定。 此設定不會用於使用者搜尋或更新作業。 整個網域子樹落在搜尋作業的範圍內。
通知電子郵件 – 輸入您的電子郵件地址,然後核取 [發生失敗時傳送電子郵件] 複選框。
注意
如果布建作業進入 隔離 狀態,Microsoft Entra 布建服務就會傳送電子郵件通知。
按兩下 [測試 連線] 按鈕。 如果連線測試成功,請按兩下頂端的 [ 儲存 ] 按鈕。 如果失敗,請仔細檢查在代理程式設定上設定的 SuccessFactors 認證和 AD 認證是否有效。
成功儲存認證之後,[對應] 區段會顯示將 SuccessFactors Users 同步至內部部署 Active Directory 的預設對應
第 4 部分:設定屬性對應
在本節中,您將設定用戶數據從 SuccessFactors 流向 Active Directory 的方式。
在 [布建] 索引卷標的 [對應] 底下,按兩下 [同步處理 SuccessFactors 使用者至內部部署 Active Directory]。
在 [ 來源物件範圍 ] 字段中,您可以藉由定義一組以屬性為基礎的篩選,來選取 SuccessFactors 中哪些使用者應該在布建至 AD 的範圍內。 默認範圍是 SuccessFactors 中的所有使用者。 範例篩選:
範例:在 1000000 到 2000000 之間的使用者範圍(不包括 200000000)
屬性:personIdExternal
運算子:REGEX 比對
值: (1[0-9][0-9][0-9][0-9][0-9][0-9])
範例:僅限員工,而非分工
屬性:EmployeeID
運算子:IS NOT NULL
提示
當您第一次設定布建應用程式時,您必須測試並驗證屬性對應和表示式,以確保它提供您所需的結果。 Microsoft 建議使用 [來源物件範圍] 底下的範圍篩選,以使用 SuccessFactors 中的一些測試用戶來測試對應。 驗證對應是否正常運作之後,您可以移除篩選條件,或逐漸展開以包含更多使用者。
在 [ 目標物件動作 ] 字段中,您可以全域篩選 Active Directory 上執行的動作。 建立 和 更新 是最常見的。
在 [ 屬性對應 ] 區段中,您可以定義個別 SuccessFactors 屬性如何對應至 Active Directory 屬性。
注意
如需應用程式所支援 SuccessFactors 屬性的完整清單,請參閱 SuccessFactors 屬性參考
按兩下現有的屬性對應來更新它,或按一下 畫面底部的[新增對應 ] 以新增對應。 個別屬性對應支援下列屬性:
對應類型
Direct – 將 SuccessFactors 屬性的值寫入 AD 屬性,但沒有任何變更
常數 - 將靜態常數位符串值寫入 AD 屬性
表達式 – 可讓您根據一或多個 SuccessFactors 屬性,將自定義值寫入 AD 屬性。 如需詳細資訊,請參閱本文的表達式。
來源屬性 - SuccessFactors 的用戶屬性
預設值 – 選擇性。 如果來源屬性有空值,對應將會改為寫入此值。 最常見的設定是將此設定保留空白。
目標屬性 – Active Directory 中的用戶屬性。
使用此屬性 比對物件 – 是否應該使用此對應來唯一識別 SuccessFactors 與 Active Directory 之間的使用者。 此值通常會在 SuccessFactors 的 [背景工作識別符] 欄位上設定,這通常會對應至 Active Directory 中的其中一個 [員工識別符] 屬性。
比對優先順序 – 可以設定多個比對屬性。 當有多個時,會依照此欄位所定義的順序進行評估。 一旦找到相符專案,就不會評估任何進一步的相符屬性。
套用此對應
一律 – 在使用者建立和更新動作上套用此對應
僅在建立 期間 - 只在使用者建立動作上套用此對應
若要儲存對應,請按兩下 [屬性對應] 區段頂端的 [ 儲存 ]。
屬性對應設定完成後,您可以使用隨選布建來測試單一使用者的布建,然後啟用並啟動使用者布建服務。
啟用和啟動使用者布建
完成 SuccessFactors 布建應用程式設定,且您已驗證布建單一使用者 隨選布建後,您可以開啟布建服務。
提示
根據預設,當您開啟布建服務時,它會起始範圍中所有使用者的布建作業。 如果對應或 SuccessFactors 數據問題發生錯誤,則布建作業可能會失敗並進入隔離狀態。 若要避免這種情況,最佳做法是,建議您先設定來源物件範圍篩選,並使用一些測試用戶測試屬性對應,再針對所有用戶啟動完整同步處理。 一旦確認對應正常運作,併為您提供所需的結果,您就可以移除篩選條件,或逐漸展開以包含更多使用者。
移至 [ 布建] 刀鋒視窗,然後按兩下 [開始布 建]。
此作業會啟動初始同步處理,視 SuccessFactors 租使用者中的用戶數目而定,可能需要一個可變的時數。 您可以檢查進度列,以追蹤同步週期的進度。
隨時檢查 Entra 系統管理中心的 [布 建] 索引標籤,以查看布建服務已執行的動作。 布建記錄會列出布建服務所執行的所有個別同步事件,例如要從 SuccessFactors 讀取哪些使用者,然後接著新增或更新至 Active Directory。
初始同步處理完成後,它會在 [布建] 索引標籤中寫入稽核摘要報告,如下所示。
