教學課程：將 SAP SuccessFactors 設定為Microsoft Entra 使用者布建

本教學課程的目的是要說明您需要執行的步驟，以將背景工作數據從 SuccessFactors Employee Central 布建到 Microsoft Entra ID，並將電子郵件地址選擇性回寫至 SuccessFactors。

注意

如果您想要從 SuccessFactors 布建的使用者是不需要內部部署 AD 帳戶的僅限雲端使用者，請使用本教學課程。 如果使用者只需要內部部署 AD 帳戶或 AD 和 Microsoft Entra 帳戶，請參閱將 SAP SuccessFactors 設定為 Active Directory 使用者布建的教學課程。

下列影片提供規劃與 SAP SuccessFactors 布建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者布建服務 會與 SuccessFactors Employee Central 整合，以管理使用者的身分識別生命週期。

Microsoft Entra 使用者布建服務所支援的 SuccessFactors 使用者布建工作流程，可自動化下列人力資源和身分識別生命週期管理案例：

• 僱用新員工 - 當新員工 新增至 SuccessFactors 時，使用者帳戶會自動在 Microsoft Entra ID 中建立，並選擇性地Microsoft 365 和其他由 entra ID Microsoft 支援的 SaaS 應用程式，並將電子郵件地址回寫至 SuccessFactors。

• 員工屬性和配置檔更新 - 在 SuccessFactors 中更新員工記錄時（例如其名稱、職稱或經理），其使用者帳戶會自動更新Microsoft Entra ID，並選擇性地Microsoft 365 和其他 Microsoft Entra ID 所支援的 SaaS 應用程式。

• 員工終止 - 當員工在 SuccessFactors 中終止時，其用戶帳戶會在 Microsoft Entra 標識符中自動停用，並選擇性地Microsoft 365 和其他由 entra ID Microsoft 支援的其他 SaaS 應用程式。

• 員工重新僱用 - 在 SuccessFactors 中重新獲聘員工時，其舊帳戶可以自動重新啟用或重新佈建（視您的喜好而定），以Microsoft Entra 標識符，並選擇性地Microsoft 365 和其他 Microsoft Entra ID 所支援的 SaaS 應用程式。

此使用者布建解決方案最適合誰？

此 SuccessFactors 可Microsoft Entra 使用者布建解決方案最適合：

• 想要針對 SuccessFactors 使用者布建預先建置的雲端式解決方案的組織，包括使用 SAP Integration Suite 從 SAP HCM 填入 SuccessFactors 的組織

• 將 部署 Microsoft Entra 以使用 SAP 來源和目標應用程式佈建用戶的組織，使用 Microsoft Entra 來設定背景工作角色的身分識別，以便他們能夠登入一或多個 SAP 應用程式，例如 SAP ECC 或 SAP S/4HANA，以及選擇性地非 SAP 應用程式

• 需要將使用者從 SuccessFactors 直接佈建至 Microsoft Entra ID，但不需要這些使用者也位於 Windows Server Active Directory 中的組織

• 要求使用者使用 SuccessFactors 員工中心取得 的數據來布建的組織（EC）

• 使用 Microsoft 365 電子郵件的組織

解決方案架構

本節說明僅限雲端使用者的端對端使用者布建解決方案架構。 有兩個相關的流程：

• 授權 HR 數據流 – 從 SuccessFactors 到Microsoft Entra 標識符： 在此流程背景工作事件中，第一次發生在雲端 SuccessFactors Employee Central 中，然後事件數據流向 Microsoft Entra ID。 視事件而定，它可能會導致在 entra 識別符Microsoft建立/更新/啟用/停用作業。

• 電子郵件回寫流程 – 從 Microsoft Entra 標識符到 SuccessFactors： 一旦帳戶建立完成Microsoft Entra ID，就可以將電子郵件屬性值或 Microsoft Entra ID 中產生的 UPN 寫回至 SuccessFactors。

  

端對端用戶數據流

1. HR 小組會在 SuccessFactors Employee Central 中執行背景工作交易（Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations）。
2. Microsoft Entra 布建服務會從 SuccessFactors EC 執行身分識別的排程同步處理，並識別需要處理的變更，以便與 Microsoft Entra ID 同步處理。
3. Microsoft Entra 布建服務會決定變更，並在 Microsoft Entra ID 中叫用使用者的建立/更新/啟用/停用作業。
4. 如果已設定 SuccessFactors 回寫應用程式，則會從 entra ID Microsoft擷取使用者的電子郵件位址。
5. Microsoft Entra 布建服務會根據所使用的相符屬性，將電子郵件屬性寫回 SuccessFactors。

規劃您的部署

設定從 SuccessFactors 到 Microsoft Entra ID 的雲端 HR 驅動使用者布建，需要相當多的規劃涵蓋不同層面，例如：

• 判斷比對標識碼
• 屬性對應
• 屬性轉換
• 範圍篩選

如需這些主題的完整指導方針， 請參閱雲端 HR 部署計劃 。 請參閱 SAP SuccessFactors 整合參考 ，以瞭解支援的實體、處理詳細數據，以及如何針對不同的 HR 案例自定義整合。

設定整合的 SuccessFactors

所有 SuccessFactors 布建連接器的常見需求是，它們需要具有正確許可權來叫用 SuccessFactors OData API 的 SuccessFactors 帳戶認證。 本節說明在 SuccessFactors 中建立服務帳戶並授與適當許可權的步驟。

• 在 SuccessFactors 中建立/識別 API 用戶帳戶
• 建立 API 許可權角色
• 建立 API 使用者的許可權群組
• 將許可權角色授與許可權群組

在 SuccessFactors 中建立/識別 API 用戶帳戶

請與您的 SuccessFactors 系統管理小組或實作合作夥伴合作，在 SuccessFactors 中建立或識別用戶帳戶，以叫用 OData API。 在 Entra ID Microsoft 中設定布建應用程式時，需要此帳戶的使用者名稱和密碼認證。

建立 API 許可權角色

1. 使用可存取系統管理中心的用戶帳戶登入 SAP SuccessFactors。

2. 搜尋 [ 管理許可權角色]，然後從搜尋結果中選取 [ 管理許可權角色 ]。

3. 從 [許可權角色清單] 中，按兩下 [ 新建]。

   

4. 新增新許可權角色的角色名稱和描述。 名稱和描述應該指出角色適用於 API 使用許可權。

   

5. 在 [許可權設定] 底下，按兩下 [ 許可權...]，然後向下卷動許可權清單，然後按兩下 [ 管理整合工具]。 核取 [ 允許系統管理員透過基本身份驗證存取 OData API] 方塊。

   

6. 在相同的方塊中向下捲動，然後選取 [員工中心 API]。 新增許可權，如下所示，以使用 ODATA API 讀取並使用 ODATA API 進行編輯。 如果您打算針對 Writeback to SuccessFactors 案例使用相同的帳戶，請選取編輯選項。

   

7. 在相同的許可權方塊中，移至 [用戶許可權 -> 員工數據 ]，並檢閱服務帳戶可從 SuccessFactors 租使用者讀取的屬性。 例如，若要從 SuccessFactors 擷 取 Username 屬性，請確定已為此屬性授與 「檢視」許可權。 同樣地，請檢閱每個屬性以取得檢視許可權。

   

   注意

   如需此布建應用程式所擷取之屬性的完整清單，請參閱 SuccessFactors 屬性參考

8. 按一下 [完成]。 按一下 [儲存變更] 。

建立 API 使用者的許可權群組

1. 在 SuccessFactors 系統管理中心中，搜尋 [管理許可權群組]，然後從搜尋結果中選取 [ 管理許可權群組 ]。

   

2. 從 [管理許可權群組] 視窗中，按兩下 [ 新建]。

   

3. 新增新群組的組名。 組名應該指出群組適用於 API 使用者。

   

4. 將成員新增至群組。 例如，您可以從 [人員集區] 下拉功能表中選取 [使用者 名稱]，然後輸入將用於整合的 API 帳戶用戶名稱。

   

5. 按兩下 [完成 ] 以完成建立許可權群組。

將許可權角色授與許可權群組

1. 在 SuccessFactors 系統管理中心中，搜尋 [管理許可權角色]，然後從搜尋結果中選取 [ 管理許可權角色 ]。
2. 從 [ 許可權角色清單] 中，選取您為 API 使用許可權建立的角色。
3. 在 [授與此角色...] 底下，按兩下 [新增...] 按鈕。
4. 從下拉功能表中選取 [許可權群組... ]，然後按兩下 [ 選取... ]，開啟 [群組] 視窗以搜尋並選取上面建立的群組。

   

5. 檢閱許可權角色授與許可權群組。

   

6. 按一下 [儲存變更] 。

將使用者布建從 SuccessFactors 設定為 Microsoft Entra 識別碼

本節提供從 SuccessFactors 到 Microsoft Entra 標識符的用戶帳戶布建步驟。

• 新增布建連接器應用程式，並設定 SuccessFactors 的連線能力
• 設定屬性對應
• 啟用和啟動使用者布建

第 1 部分：新增布建連接器應用程式，並設定 SuccessFactors 的連線

若要將 SuccessFactors 設定為Microsoft Entra 布建：

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。

3. 搜尋 SuccessFactors 以Microsoft Entra 使用者布建，並從資源庫新增該應用程式。

4. 新增應用程式並顯示應用程式詳細資料畫面之後，選取 [ 布建]

5. 將布建模式變更為自動

6. 完成 [管理員認證] 區段，如下所示：

   • 管理員使用者名稱 – 輸入 SuccessFactors API 使用者帳戶的使用者名稱，並附加公司識別碼。 其格式為： username@companyID

   • 管理員密碼 – 輸入 SuccessFactors API 使用者帳戶的密碼。

   • 租使用者 URL – 輸入 SuccessFactors OData API 服務端點的名稱。 只輸入不含 HTTP 或 HTTPs 的伺服器主機名。 此值看起來應該像： api-server-name.successfactors.com。

   • 通知電子郵件 – 輸入您的電子郵件地址，然後核取 [發生失敗時傳送電子郵件] 複選框。

   注意

   如果布建作業進入 隔離 狀態，Microsoft Entra 布建服務就會傳送電子郵件通知。

   • 按兩下 [ 測試連線] 按鈕。 如果連線測試成功，請按兩下頂端的 [ 儲存 ] 按鈕。 如果失敗，請仔細檢查 SuccessFactors 認證和 URL 是否有效。

   

   • 成功儲存認證之後，[對應] 區段會顯示 [同步處理 SuccessFactors 使用者至Microsoft Entra 標識符的默認對應

第2部分：設定屬性對應

在本節中，您將設定用戶數據從 SuccessFactors 流向Microsoft Entra 標識符的方式。

1. 在 [對應] 底下的 [布建] 索引標籤上，按兩下 [同步處理 SuccessFactors 使用者] 以Microsoft Entra 標識碼。

2. 在 [ 來源物件範圍 ] 字段中，您可以藉由定義一組屬性型篩選，選取 SuccessFactors 中哪些使用者應位於布建至 Microsoft Entra 標識符的範圍內。 默認範圍是「SuccessFactors 中的所有使用者」。 範例篩選：

   • 範例：在 1000000 到 2000000 之間的使用者範圍（不包括 200000000）

     • 屬性：personIdExternal

     • 運算子：REGEX 比對

     • 值： （1[0-9][0-9][0-9][0-9][0-9][0-9]）

   • 範例：僅限員工，而非分工

     • 屬性：EmployeeID

     • 運算子：IS NOT NULL

   提示

   當您第一次設定布建應用程式時，您必須測試並驗證屬性對應和表示式，以確保它提供您所需的結果。 Microsoft建議使用 [來源物件範圍] 底下的範圍篩選條件，透過 SuccessFactors 中的一些測試用戶來測試對應。 驗證對應是否正常運作之後，您可以移除篩選條件，或逐漸展開以包含更多使用者。

   警告

   布建引擎的預設行為是停用/刪除超出範圍的使用者。 這在 SuccessFactors 中可能無法Microsoft Entra 整合。 若要覆寫此預設行為，請參閱略過刪除超出範圍的用戶帳戶一文

3. 在 [ 目標物件動作 ] 字段中，您可以全域篩選Microsoft Entra 標識符中執行的動作。 建立 和 更新 是最常見的。

4. 在 [ 屬性對應 ] 區段中，您可以定義個別 SuccessFactors 屬性如何對應至 entra 屬性Microsoft。

   注意

   如需應用程式所支援 SuccessFactors 屬性的完整清單，請參閱 SuccessFactors 屬性參考

5. 按兩下現有的屬性對應來更新它，或按一下 畫面底部的[新增對應 ] 以新增對應。 個別屬性對應支援下列屬性：

   • 對應類型

     • Direct – 將 SuccessFactors 屬性的值寫入至 Microsoft Entra 屬性，且沒有任何變更

     • 常數 - 將靜態常數位符串值寫入至 entra 屬性Microsoft

     • 表達式 – 可讓您根據一或多個 SuccessFactors 屬性，將自定義值寫入至 Microsoft Entra 屬性。 如需詳細資訊，請參閱本文的表達式。

   • 來源屬性 - SuccessFactors 的用戶屬性

   • 預設值 – 選擇性。 如果來源屬性有空值，對應會改為寫入此值。 最常見的設定是將此設定保留空白。

   • 目標屬性 – Microsoft Entra ID 中的用戶屬性。

   • 比對使用此屬性 的物件 – 是否應該使用此對應來唯一識別 SuccessFactors 與 Microsoft Entra 識別符之間的使用者。 此值通常會在 SuccessFactors 的 [背景工作識別符] 欄位上設定，此欄位通常會對應至 Microsoft Entra ID 中的其中一個員工識別符屬性。

   • 比對優先順序 – 您可以設定多個比對屬性。 當有多個時，會依照此欄位所定義的順序進行評估。 只要找到相符項目，便不會評估進一步比對屬性。

   • 套用此對應

     • 一律 – 在使用者建立和更新動作上套用此對應

     • 僅在建立 期間 - 只在使用者建立動作上套用此對應

6. 若要儲存對應，請按兩下 [屬性對應] 區段頂端的 [ 儲存 ]。

屬性對應組態完成後，您現在可以 啟用並啟動使用者布建服務。

啟用和啟動使用者布建

完成 SuccessFactors 布建應用程式設定之後，您就可以開啟布建服務。

提示

根據預設，當您開啟布建服務時，它會起始範圍中所有使用者的布建作業。 如果對應或 SuccessFactors 數據問題發生錯誤，則布建作業可能會失敗並進入隔離狀態。 若要避免這種情況，最佳做法是建議您先設定 來源物件範圍 篩選，並測試屬性對應與少數測試用戶，然後再啟動所有使用者的完整同步處理。 一旦確認對應正常運作，併為您提供所需的結果，您就可以移除篩選條件，或逐漸展開以包含更多使用者。

1. 在 [ 布建] 索引 標籤中，將 [ 布建狀態 ] 設定為 [ 開啟]。

2. 按一下 [檔案] 。

3. 此作業會啟動初始同步處理，視 SuccessFactors 租使用者中的用戶數目而定，可能需要一個可變的時數。 您可以檢查進度列，以追蹤同步週期的進度。

4. 隨時檢查 Entra 系統管理中心的 [布 建] 索引標籤，以查看布建服務已執行的動作。 布建記錄會列出布建服務所執行的所有個別同步事件，例如要從 SuccessFactors 讀取哪些使用者，然後接著新增或更新為Microsoft Entra ID。

5. 初始同步處理完成後，它會在 [布建] 索引標籤中寫入稽核摘要報告，如下所示。

   

下一步

• 深入了解輸入佈建支援的 SuccessFactors 屬性
• 瞭解如何設定電子郵件回寫至 SuccessFactors
• 瞭解如何針對佈建活動檢閱記錄和取得報告
• 瞭解如何整合其他 SaaS 應用程式與 Microsoft Entra 識別碼