教學課程：將 SAP SuccessFactors 設定為 Microsoft Entra 使用者布建

本教學課程旨在說明您需要執行的步驟，以將背景工作數據從 SuccessFactors Employee Central 布建到 Microsoft Entra ID，並選擇性地將電子郵件地址回寫至 SuccessFactors。

注意

如果您想要從 SuccessFactors 布建的使用者是不需要內部部署 AD 帳戶的僅限雲端使用者，請使用本教學課程。 如果使用者只需要內部部署 AD 帳戶或 AD 和 Microsoft Entra 帳戶，請參閱將 SAP SuccessFactors 設定為 Active Directory 使用者布建的教學課程。

下列影片提供規劃與 SAP SuccessFactors 布建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者布建服務會與 SuccessFactors Employee Central 整合，以管理使用者的身分識別生命週期。

Microsoft Entra 使用者布建服務支援的 SuccessFactors 使用者布建工作流程，可自動化下列人力資源和身分識別生命週期管理案例：

• 僱用新員工 - 將新員工新增至 SuccessFactors 時，會自動在 Microsoft Entra 標識符中建立使用者帳戶，並選擇性地建立 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式，並將電子郵件地址回寫至 SuccessFactors。

• 員工屬性和配置檔更新 - 在 SuccessFactors 中更新員工記錄時（例如其名稱、職稱或經理），其使用者帳戶將自動更新 Microsoft Entra ID，並選擇性地更新 Microsoft 365 和其他 Microsoft Entra ID 所支援的 SaaS 應用程式。

• 員工終止 - 當員工在 SuccessFactors 中終止時，其用戶帳戶會在 Microsoft Entra ID 中自動停用，並選擇性地停用 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。

• 員工重新連任 - 在 SuccessFactors 中重新連任員工時，其舊帳戶可以自動重新啟用或重新佈建（視您的喜好而定）至 Microsoft Entra ID，以及選擇性地由 Microsoft Entra ID 支援的 Microsoft 365 和其他 SaaS 應用程式。

神秘 這個使用者布建解決方案最適合嗎？

這個 SuccessFactors to Microsoft Entra 使用者布建解決方案最適合：

• 想要針對 SuccessFactors 使用者布建預先建置雲端式解決方案的組織

• 需要將使用者從 SuccessFactors 直接佈建到 Microsoft Entra 識別碼的組織

• 要求使用者使用 SuccessFactors 員工中心取得 的數據來布建的組織（EC）

• 使用 Microsoft 365 進行電子郵件的組織

解決方案架構

本節說明僅限雲端使用者的端對端使用者布建解決方案架構。 有兩個相關的流程：

• 授權 HR 數據流 – 從 SuccessFactors 到 Microsoft Entra 標識符： 在此流程背景工作事件中，首先會在雲端 SuccessFactors Employee Central 中發生，然後事件數據流向 Microsoft Entra ID。 視事件而定，它可能會導致在 Microsoft Entra ID 中建立/更新/啟用/停用作業。

• 電子郵件回寫流程 – 從 Microsoft Entra 標識符到 SuccessFactors： 在 Microsoft Entra 標識符中完成帳戶建立之後，就可以將 Microsoft Entra ID 中產生的電子郵件屬性值或 UPN 寫回至 SuccessFactors。

  

端對端用戶數據流

1. HR 小組會在 SuccessFactors 員工中心中執行背景工作交易 （Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations）
2. Microsoft Entra 布建服務會從 SuccessFactors EC 執行身分識別的排程同步處理，並識別需要處理的變更，以便與 Microsoft Entra 標識符同步處理。
3. Microsoft Entra 布建服務會決定變更，並在 Microsoft Entra ID 中叫用使用者的建立/更新/啟用/停用作業。
4. 如果已設定 SuccessFactors 回寫應用程式，則會從 Microsoft Entra ID 擷取使用者的電子郵件位址。
5. Microsoft Entra 布建服務會根據所使用的相符屬性，將電子郵件屬性寫回 SuccessFactors。

規劃您的部署

設定從 SuccessFactors 到 Microsoft Entra ID 的雲端 HR 驅動使用者布建，需要相當多的規劃涵蓋不同層面，例如：

• 判斷比對標識碼
• 屬性對應
• 屬性轉換
• 範圍篩選

如需這些主題的完整指導方針， 請參閱雲端 HR 部署計劃 。 請參閱 SAP SuccessFactors 整合參考 ，以瞭解支援的實體、處理詳細數據，以及如何針對不同的 HR 案例自定義整合。

設定整合的 SuccessFactors

所有 SuccessFactors 布建連接器的常見需求是，它們需要具有正確許可權來叫用 SuccessFactors OData API 的 SuccessFactors 帳戶認證。 本節說明在 SuccessFactors 中建立服務帳戶並授與適當許可權的步驟。

• 在 SuccessFactors 中建立/識別 API 用戶帳戶
• 建立 API 許可權角色
• 建立 API 使用者的許可權群組
• 將許可權角色授與許可權群組

在 SuccessFactors 中建立/識別 API 用戶帳戶

請與您的 SuccessFactors 系統管理小組或實作合作夥伴合作，在 SuccessFactors 中建立或識別將用來叫用 OData API 的用戶帳戶。 在 Microsoft Entra 識別碼中設定布建應用程式時，將需要此帳戶的使用者名稱和密碼認證。

建立 API 許可權角色

1. 使用可存取 管理員 中心的用戶帳戶登入 SAP SuccessFactors。

2. 搜尋 [ 管理許可權角色]，然後從搜尋結果中選取 [ 管理許可權角色 ]。

3. 從 [許可權角色清單] 中，按兩下 [ 新建]。

   

4. 新增新許可權角色的角色名稱和描述。 名稱和描述應該指出角色適用於 API 使用許可權。

   

5. 在 [許可權設定] 底下，按兩下 [ 許可權...]，然後向下卷動許可權清單，然後按兩下 [ 管理整合工具]。 核取 [允許 管理員 透過基本身份驗證存取 OData API] 的方塊。

   

6. 在相同的方塊中向下捲動，然後選取 [員工中心 API]。 新增許可權，如下所示，以使用 ODATA API 讀取並使用 ODATA API 進行編輯。 如果您打算針對 Writeback to SuccessFactors 案例使用相同的帳戶，請選取編輯選項。

   

7. 在相同的許可權方塊中，移至 [用戶許可權 -> 員工數據 ]，並檢閱服務帳戶可從 SuccessFactors 租使用者讀取的屬性。 例如，若要從 SuccessFactors 擷 取 Username 屬性，請確定已為此屬性授與 「檢視」許可權。 同樣地，請檢閱每個屬性以取得檢視許可權。

   

   注意

   如需此布建應用程式所擷取之屬性的完整清單，請參閱 SuccessFactors 屬性參考

8. 按兩下 [ 完成]。 按一下 [儲存變更] 。

建立 API 使用者的許可權群組

1. 在 SuccessFactors 管理員 Center 中，搜尋 [管理許可權群組]，然後從搜尋結果中選取 [管理許可權群組]。

   

2. 從 [管理許可權群組] 視窗中，按兩下 [ 新建]。

   

3. 新增新群組的組名。 組名應該指出群組適用於 API 使用者。

   

4. 將成員新增至群組。 例如，您可以從 [人員 集區] 下拉功能表中選取 [用戶名稱]，然後輸入將用於整合的 API 帳戶用戶名稱。

   

5. 按兩下 [完成 ] 以完成建立許可權群組。

將許可權角色授與許可權群組

1. 在 SuccessFactors 管理員 Center 中，搜尋 [管理許可權角色]，然後從搜尋結果中選取 [管理許可權角色]。
2. 從 [ 許可權角色清單] 中，選取您為 API 使用許可權建立的角色。
3. 在 [授與此角色...] 底下，按兩下 [新增...] 按鈕。
4. 從下拉功能表中選取 [許可權群組... ]，然後按兩下 [ 選取... ]，開啟 [群組] 視窗以搜尋並選取上面建立的群組。

   

5. 檢閱許可權角色授與許可權群組。

   

6. 按一下 [儲存變更] 。

設定從 SuccessFactors 到 Microsoft Entra ID 的使用者布建

本節提供從 SuccessFactors 到 Microsoft Entra ID 的使用者帳戶布建步驟。

• 新增布建連接器應用程式，並設定 SuccessFactors 的連線能力
• 設定屬性對應
• 啟用和啟動使用者布建

第 1 部分：新增布建連接器應用程式，並設定 SuccessFactors 的連線

若要將 SuccessFactors 設定為 Microsoft Entra 布建：

1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別應用程式>企業應用程式>] [新增應用程式]。

3. 搜尋 SuccessFactors 至 Microsoft Entra 使用者布建，並從資源庫新增該應用程式。

4. 新增應用程式並顯示應用程式詳細資料畫面之後，選取 [ 布建]

5. 將布 建模式 變更為 自動

6. 完成 [管理員 認證] 區段，如下所示：

   • 管理員 Username – 輸入 SuccessFactors API 使用者帳戶的用戶名稱，並附加公司識別符。 其格式為： username@companyID

   • 管理員 密碼 –輸入 SuccessFactors API 使用者帳戶的密碼。

   • 租使用者 URL – 輸入 SuccessFactors OData API 服務端點的名稱。 只輸入不含 HTTP 或 HTTPs 的伺服器主機名。 此值看起來應該像： api-server-name.successfactors.com。

   • 通知電子郵件 – 輸入您的電子郵件地址，然後核取 [發生失敗時傳送電子郵件] 複選框。

   注意

   如果布建作業進入 隔離 狀態，Microsoft Entra 布建服務就會傳送電子郵件通知。

   • 按兩下 [測試 連線] 按鈕。 如果連線測試成功，請按兩下頂端的 [ 儲存 ] 按鈕。 如果失敗，請仔細檢查 SuccessFactors 認證和 URL 是否有效。

   

   • 成功儲存認證之後，[對應] 區段會顯示將 SuccessFactors Users 同步處理至 Microsoft Entra 標識符的預設對應

第2部分：設定屬性對應

在本節中，您將設定用戶數據如何從 SuccessFactors 流向 Microsoft Entra ID。

1. 在 [布建] 索引卷標的 [對應] 底下，按兩下 [將 SuccessFactors 使用者同步至 Microsoft Entra ID]。

2. 在 [ 來源物件範圍 ] 字段中，您可以藉由定義一組以屬性為基礎的篩選，來選取 SuccessFactors 中哪些使用者應該在布建至 Microsoft Entra ID 的範圍內。 默認範圍是「SuccessFactors 中的所有使用者」。 範例篩選：

   • 範例：在 1000000 到 2000000 之間的使用者範圍（不包括 200000000）

     • 屬性：personIdExternal

     • 運算子：REGEX 比對

     • 值： （1[0-9][0-9][0-9][0-9][0-9][0-9]）

   • 範例：僅限員工，而非分工

     • 屬性：EmployeeID

     • 運算子：IS NOT NULL

   提示

   當您第一次設定布建應用程式時，您必須測試並驗證屬性對應和表示式，以確保它提供您所需的結果。 Microsoft 建議使用 [來源物件範圍] 底下的範圍篩選，以使用 SuccessFactors 中的一些測試用戶來測試對應。 驗證對應是否正常運作之後，您可以移除篩選條件，或逐漸展開以包含更多使用者。

   警告

   布建引擎的預設行為是停用/刪除超出範圍的使用者。 這在您的 SuccessFactors 與 Microsoft Entra 整合中可能不理想。 若要覆寫此預設行為，請參閱略過刪除超出範圍的用戶帳戶一文

3. 在 [ 目標物件動作 ] 字段中，您可以全域篩選 Microsoft Entra ID 中執行的動作。 建立 和 更新 是最常見的。

4. 在 [ 屬性對應 ] 區段中，您可以定義個別 SuccessFactors 屬性如何對應至 Microsoft Entra 屬性。

   注意

   如需應用程式所支援 SuccessFactors 屬性的完整清單，請參閱 SuccessFactors 屬性參考

5. 按兩下現有的屬性對應來更新它，或按一下 畫面底部的[新增對應 ] 以新增對應。 個別屬性對應支援下列屬性：

   • 對應類型

     • Direct – 將 SuccessFactors 屬性的值寫入至 Microsoft Entra 屬性，且沒有任何變更

     • 常數 - 將靜態常數位符串值寫入 Microsoft Entra 屬性

     • 表達式 – 可讓您根據一或多個 SuccessFactors 屬性，將自定義值寫入 Microsoft Entra 屬性。 如需詳細資訊，請參閱本文的表達式。

   • 來源屬性 - SuccessFactors 的用戶屬性

   • 預設值 – 選擇性。 如果來源屬性有空值，對應將會改為寫入此值。 最常見的設定是將此設定保留空白。

   • 目標屬性 – Mirosoft Microsoft Entra ID 中的用戶屬性。

   • 使用此屬性 比對物件 – 是否應該使用此對應來唯一識別 SuccessFactors 與 Microsoft Entra 標識符之間的使用者。 此值通常會在 SuccessFactors 的 [背景工作識別符] 欄位上設定，這通常會對應至 Mirosoft Microsoft Entra ID 中的其中一個員工識別符屬性。

   • 比對優先順序 – 可以設定多個比對屬性。 當有多個時，會依照此欄位所定義的順序進行評估。 一旦找到相符專案，就不會評估任何進一步的相符屬性。

   • 套用此對應

     • 一律 – 在使用者建立和更新動作上套用此對應

     • 僅在建立 期間 - 只在使用者建立動作上套用此對應

6. 若要儲存對應，請按兩下 [屬性對應] 區段頂端的 [ 儲存 ]。

屬性對應組態完成後，您現在可以 啟用並啟動使用者布建服務。

啟用和啟動使用者布建

完成 SuccessFactors 布建應用程式設定之後，您就可以開啟布建服務。

提示

根據預設，當您開啟布建服務時，它會起始範圍中所有使用者的布建作業。 如果對應或 SuccessFactors 數據問題發生錯誤，則布建作業可能會失敗並進入隔離狀態。 若要避免這種情況，最佳做法是建議您先設定 來源物件範圍 篩選，並測試屬性對應與少數測試用戶，然後再啟動所有使用者的完整同步處理。 一旦確認對應正常運作，併為您提供所需的結果，您就可以移除篩選條件，或逐漸展開以包含更多使用者。

1. 在 [ 布建] 索引 標籤中，將 [ 布建狀態 ] 設定為 [ 開啟]。

2. 按一下 [檔案] 。

3. 此作業將會啟動初始同步處理，視 SuccessFactors 租使用者中的用戶數目而定，可能需要一些可變的時數。 您可以檢查進度列，以追蹤同步週期的進度。

4. 隨時檢查 Azure 入口網站 中的 [稽核記錄] 索引標籤，以查看布建服務已執行的動作。 稽核記錄會列出布建服務所執行的所有個別同步事件，例如要從 SuccessFactors 讀取哪些使用者，然後接著新增或更新至 Microsoft Entra ID。

5. 初始同步處理完成後，它會在 [布建] 索引標籤中撰寫稽核摘要報告，如下所示。

   

下一步

• 深入瞭解支持的輸入布建 SuccessFactors 屬性
• 瞭解如何設定電子郵件回寫至 SuccessFactors
• 瞭解如何檢閱記錄並取得布建活動的報告
• 瞭解如何設定 SuccessFactors 與 Microsoft Entra 識別碼之間的單一登錄
• 瞭解如何整合其他 SaaS 應用程式與 Microsoft Entra ID
• 瞭解如何匯出和匯入布建組態