教學課程:設定從 SAP SuccessFactors 到 Active Directory 的使用者佈建
本教學課程的目標是要說明將使用者從 SuccessFactors 員工中心佈建到 Active Directory (AD) 和 Microsoft Entra ID 所需的步驟,以及將電子郵件地址回寫至 SuccessFactors 的選用功能。
注意
如果您想要從 SuccessFactors 佈建的使用者需要內部部署 AD 帳戶和 Microsoft Entra 帳戶 (選擇性),請使用本教學課程。 如果 SuccessFactors 的使用者只需要 Microsoft Entra 帳戶 (僅限雲端的使用者),則請參閱關於如何設定 SAP SuccessFactors 至 Microsoft Entra ID 使用者佈建的教學課程。
下列影片提供規劃與 SAP SuccessFactors 佈建整合時相關步驟的快速概觀。
概觀
整合 Microsoft Entra 使用者佈建服務 與 SuccessFactors 員工中心,以管理使用者的身分識別生命週期。
Microsoft Entra 使用者佈建服務支援的 SuccessFactors 使用者佈建工作流程,可讓下列人力資源和身分識別生命週期管理案例的自動化:
雇用新員工 - 當新員工新增至 SuccessFactors 時,會在 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動建立使用者帳戶,並將電子郵件地址回寫至 SuccessFactors。
員工屬性和設定檔更新 - 在 SuccessFactors 中更新員工記錄時(例如姓名、職稱或經理),會在 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動更新員工的使用者帳戶。
員工離職 - 在 SuccessFactors 中將員工設定為離職時,會在 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 自動停用員工的使用者帳戶。
重新雇用員工:在 SuccessFactors 中重新雇用員工時,系統會自動重新啟用其舊帳戶或將其重新佈建 (取決於您的喜好設定) 至 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式。
誰最適合使用此使用者佈建解決方案?
此 SuccessFactors 至 Active Directory 使用者佈建解決方案最適合下列對象:
想要針對 SuccessFactors 使用者佈建預先建置的雲端解決方案的組織,包括使用 SAP Integration Suite 從 SAP HCM 填入 SuccessFactors 的組織
將 部署 Microsoft Entra 以使用 SAP 來源和目標應用程式使用者佈建的組織,使用 Microsoft Entra 來設定人員的身分識別,讓他們能夠登入一或多個 SAP 應用程式,例如 SAP ECC 或 SAP S/4HANA,以及非 SAP 應用程式 (選擇性)
需要將使用者從 SuccessFactors 直接佈建到 Active Directory 的組織,讓使用者可以存取 Windows Server Active Directory 整合式應用程式,以及 Microsoft Entra ID 整合式應用程式
需要使用從 SuccessFactors 員工中心 (EC) 取得的資料來佈建使用者的組織
需要僅根據在 SuccessFactors 員工中心 (EC) 中偵測到的變更資訊來聯結、移動及保留使用者,使其同步至一或多個 Active Directory 樹系、網域和 OU 的組織
使用 Microsoft 365 來收發電子郵件的組織
解決方案架構
本節針對常見的混合式環境,說明端對端使用者佈建方案架構。 有兩個相關的流程:
授權 HR 資料流程 – 從 SuccessFactors 到內部部署 Active Directory:在此流程中,人員事件 (例如新雇用、調動、解雇) 會先發生在雲端 SuccessFactors 員工中心,然後事件資料會透過 Microsoft Entra ID 和佈建代理程式流入內部部署 Active Directory。 視事件而定,它可能會在 AD 中產生建立/更新/啟用/停用作業。
電子郵件回寫流程 – 從內部部署 Active Directory 到 SuccessFactors: 一旦帳戶在 Active Directory 中完成建立帳戶之後,會透過 Microsoft Entra Connect 同步與 Microsoft Entra ID 進行同步處理,並將電子郵件屬性寫回 SuccessFactors。
端對端使用者資料流程
- HR 小組在 SuccessFactors 員工中心內執行人員異動 (新進人員/異動人員/離職人員或新雇用/異動/解雇)。
- Microsoft Entra 佈建服務會執行排程好的 SuccessFactors EC 身分識別同步處理作業,並找出需要處理以便與內部部署 Active Directory 同步的變更。
- Microsoft Entra 佈建服務會使用包含 AD 帳戶建立/更新/啟用/停用作業的要求承載,來叫用內部部署的 Microsoft Entra Connect 佈建代理程式。
- Microsoft Entra Connect 佈建代理程式使用服務帳戶來新增/更新 AD 帳戶資料。
- Microsoft Entra Connect 同步引擎會執行差異同步來提取 AD 中的更新。
- Active Directory 會與 Microsoft Entra ID 同步更新。
- 如果SuccessFactors Writeback 應用程式已設定,則會根據使用的比對屬性,將電子郵件屬性回寫至 SuccessFactors。
規劃您的部署
設定從 SuccessFactors 到 AD 且由雲端 HR 驅動的使用者佈建,需要許多涵蓋不同層面的規劃,例如:
- 設定 Microsoft Entra Connect 佈建代理程式
- 要部署的 SuccessFactors 至 AD 使用者佈建應用程式數目
- 比對識別碼、屬性對應、轉換和範圍篩選
如需有關這些主題的完整指導方針,請參閱雲端 HR 部署計劃。 請參閱 SAP SuccessFactors 整合參考以了解支援的實體、處理詳細資料,以及如何自訂不同 HR 案例的整合。
設定用於整合的 SuccessFactors
所有 SuccessFactors 佈建連接器大多需要具有適當權限的 SuccessFactors 帳戶認證,才能叫用 SuccessFactors OData API。 本節說明在 SuccessFactors 中建立服務帳戶,並授與適當權限的步驟。
在 SuccessFactors 中建立/識別 API 使用者帳戶
請與您的 SuccessFactors 系統管理員小組或實作夥伴合作,在 SuccessFactors 中建立或識別使用者帳戶,以叫用 OData API。 在 Microsoft Entra ID 中設定佈建應用程式時,需要用到此帳戶的使用者名稱和密碼認證。
建立 API 權限角色
使用可存取系統管理中心的使用者帳戶登入 SAP SuccessFactors。
搜尋 [管理權限角色],然後從搜尋結果中選取 [管理權限角色]。
從 [權限角色] 清單中,按一下 [新建]。
為新的權限角色新增角色名稱和描述。 名稱和描述應該指出這是針對 API 使用權限設定的角色。
在 [權限設定] 底下,按一下 [權限...],然後向下捲動權限清單,再按一下 [管理整合工具]。 核取 [允許系統管理員透過基本驗證存取 OData API] 方塊。
在相同的方塊中向下捲動,然後選取 [員工中心 API]。 如下所示,新增使用 ODATA API 讀取和使用 ODATA API 編輯的權限。 如果您打算在回寫到 SuccessFactors 的案例中使用相同帳戶,請選取編輯選項。
在相同的權限方塊中,前往 [使用者權限] -> [員工資料],然後檢閱服務帳戶可從 SuccessFactors 租用戶讀取的屬性。 例如,若要從 SuccessFactors 擷取 [使用者名稱] 屬性,請確保已針對此屬性授與 [檢視] 權限。 同樣地,請檢閱檢視權限的每個屬性。
注意
如需此佈建應用程式所擷取的屬性完整清單,請參閱 SuccessFactors 屬性參考
按一下 [完成]。 按一下 [儲存變更] 。
為 API 使用者建立權限群組
- 在 SuccessFactors 系統管理中心內,搜尋 [管理權限群組],然後從搜尋結果中選取 [管理權限群組]。
- 從 [管理權限群組] 視窗中,按一下 [新建]。
- 為新群組新增群組名稱。 群組名稱應指出這是 API 使用者的群組。
- 將成員新增至群組。 例如,您可以從 [人員集區] 下拉式功能表中選取 [使用者名稱],然後輸入將用於整合的 API 帳戶使用者名稱。
- 按一下 [完成] 即可完成建立權限群組。
將權限角色授與權限群組
- 在 SuccessFactors 系統管理中心內,搜尋 [管理權限角色],然後從搜尋結果中選取 [管理權限角色]。
- 從權限角色清單中,選取您為 API 使用權限建立的角色。
- 在 [將此角色授與...] 底下,按一下 [新增...] 按鈕。
- 從下拉式功能表中選取 [權限群組...],然後按一下 [選取...] 來開啟 [群組] 視窗,搜尋並選取上方建立的群組。
- 檢閱授與權限群組的權限角色。
- 按一下 [儲存變更] 。
設定從 SuccessFactors 至 Active Directory 的使用者佈建
本節提供將使用者帳戶從 SuccessFactors 佈建至整合範圍內每個 Active Directory 網域的步驟。
第 1 部分:新增佈建連接器應用程式和下載佈建代理程式
若要設定 SuccessFactors 至 Active Directory 的佈建:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。
搜尋 SuccessFactors 至 Active Directory 使用者佈建,並從資源庫新增該應用程式。
新增應用程式並顯示應用程式詳細資料畫面之後,請選取 [佈建]
將布建模式變更為自動
按一下顯示的資訊橫幅以下載布建代理程式。
第 2 部分:安裝並設定內部部署佈建代理程式
若要佈建至內部部署的 Active Directory,則必須在已加入網域並可透過網路存取所需 Active Directory 網域的伺服器上,安裝佈建代理程式。
將下載的代理程式安裝程式傳輸到伺服器主機,並遵循安裝代理程式一節中所列的步驟來完成代理程式設定。
第 3 部分:在佈建應用程式中,設定 SuccessFactors 和 Active Directory 的連線能力
在此步驟中,我們將建立 SuccessFactors 和 Active Directory 的連線能力。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[在第 1 部分建立的 SuccessFactors 至 Active Directory 使用者佈建應用程式]
完成 [系統管理員認證] 區段,如下所示:
系統管理員使用者名稱 – 輸入 SuccessFactors API 使用者帳戶的使用者名稱,並附上公司識別碼。 其格式為:username@companyID
系統管理員密碼 – 輸入 SuccessFactors API 使用者帳戶的密碼。
租用戶 URL – 輸入 SuccessFactors OData API 服務端點的名稱。 僅輸入不含 http 或 https 的伺服器主機名稱。 此值應如下所示:<api-server-name>.successfactors.com。
Active Directory 樹系 – 向代理程式註冊的 Active Directory 網域「名稱」。 請使用下拉式清單來選取用於佈建的目標網域。 此值通常是如下的字串:contoso.com
Active Directory 容器 - 輸入容器 DN,其中是代理程式預設應建立使用者帳戶的位置。 範例:OU=Users,DC=contoso,DC=com
注意
如果並未在屬性對應中設定 parentDistinguishedName 屬性,此設定僅適用於使用者帳戶建立。 此設定不適用於使用者搜尋或更新作業。 整個網域的子樹狀會落在搜尋作業的範圍中。
通知電子郵件 – 輸入您的電子郵件地址,然後勾選 [發生失敗時傳送電子郵件] 核取方塊。
注意
如果佈建作業進入 隔離 狀態,Microsoft Entra 佈建服務會傳送電子郵件通知。
按一下 [測試連線] 按鈕。 如果連線測試成功,請按一下頂端的 [儲存] 按鈕。 如果失敗,請仔細檢查代理程式上設定的 SuccessFactors 認證和 AD 認證是否有效。
順利儲存認證之後,[對應] 區段會顯示 [將 SuccessFactors 使用者同步至內部部署 Active Directory] 預設對應
第 4 部分:設定屬性對應
在本節中,您會設定使用者資料從 SuccessFactors 流向 Active Directory 的方式。
在 [佈建] 索引標籤的 [對應] 底下,按一下 [將 SuccessFactors 使用者同步至內部部署 Active Directory]。
在 [來源物件範圍] 欄位中,您可以透過定義一組以屬性為基礎的篩選,來選取 SuccessFactors 中的哪些使用者集合應該在佈建至 AD 的範圍內。 預設範圍是 SuccessFactors 中的所有使用者。 範例篩選:
範例:將範圍限定為 personIdExternal 介於 1000000 到 2000000 (不含 2000000) 之間的使用者
屬性:personIdExternal
運算子:REGEX Match
值:(1[0-9][0-9][0-9][0-9][0-9][0-9])
範例:僅員工和非約聘人員
屬性:EmployeeID
運算子:IS NOT NULL
提示
第一次設定佈建應用程式時,您將需要測試及確認屬性對應和運算式,以確保它提供您所需的結果。 Microsoft 建議您使用 [來源物件範圍] 底下的範圍篩選,利用幾個來自 SuccessFactors 的測試使用者來測試您的對應。 確認對應能夠運作之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。
警告
佈建引擎的預設行為是停用/刪除超出範圍的使用者。 這可能不適合您的 SuccessFactors 至 AD 整合。 若要覆寫此預設行為,請參閱略過刪除超出範圍的使用者帳戶一文
在 [目標物件動作] 欄位中,您可以全域篩選在 Active Directory 上執行的動作。 最常見的動作是 [建立] 和 [更新]。
在 [屬性對應] 區段中,您可以定義個別 SuccessFactors 屬性如何對應至 Active Directory 屬性。
注意
如需應用程式所支援的 SuccessFactors 屬性完整清單,請參閱 SuccessFactors 屬性參考
按一下現有的屬性對應以進行更新,或按一下畫面底端的 [新增新對應] 以新增新對應。 個別屬性對應支援下列屬性:
對應類型
直接 – 將 SuccessFactors 屬性的值原封不動地寫入至 AD 屬性
常數 – 將靜態的常數字串值寫入至 AD 屬性
運算式 – 可讓您根據一或多個 SuccessFactors 屬性,將自訂值寫入 AD 屬性。 如需詳細資訊,請參閱這篇有關運算式的文章。
來源屬性 - 來自 SuccessFactors 的使用者屬性
預設值 – 選用。 如果來源屬性具有空值,則對應將會改為寫入此值。 最常見的設定是將其保留空白。
目標屬性 - Active Directory 中的使用者屬性。
使用此屬性比對物件 – 是否應該將此對應用於唯一識別 SuccessFactors 與 Active Directory 之間的使用者。 此值通常設定於 SuccessFactors 的 [工作人員識別碼] 欄位上,通常對應到 Active Directory 的其中一個員工識別碼屬性。
比對優先順序 – 您可以設定多個比對屬性。 具有多個屬性時,系統會以此欄位定義的順序進行評估。 只要找到相符項目,便不會評估進一步比對屬性。
套用此對應
一律 – 將此對應套用於使用者建立和更新動作
僅限建立期間 - 僅將此對應套用於使用者建立動作
若要儲存您的對應,請按一下 [屬性對應] 區段頂端的 [儲存]。
當您的屬性對應設定完成後,您可使用隨選佈建來測試單一使用者的佈建,然後啟用並啟動使用者佈建服務。
啟用及啟動使用者佈建
在 SuccessFactors 佈建應用程式設定完成,且您已使用隨選佈建來驗證單一使用者的佈建後,即可開啟佈建服務。
提示
根據預設,當您開啟佈建服務時,它會為範圍中的所有使用者起始佈建作業。 如果有對應錯誤或 SuccessFactors 資料問題,則佈建作業可能失敗並進入隔離狀態。 為了避免這種情況,建議您設定 [來源物件範圍] 篩選,並使用隨選佈建來對一些測試使用者測試您的屬性對應,然後再針對所有使用者啟動完整同步。 確認對應能夠運作且提供您所需的結果之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。
移至 [佈建] 刀鋒視窗,然後按一下 [開始佈建]。
此作業會啟動初始同步,所需花費的時數會視 SuccessFactors 租用戶中的使用者人數而定。 您可以檢查進度列來追蹤同步週期的進度。
您可隨時檢查 Entra 系統管理中心中的 [佈建] 索引標籤,查看佈建服務執行了哪些動作。 佈建記錄會列出佈建服務執行的所有個別同步處理事件,例如從 SuccessFactors 外部讀取了哪些使用者,接著又新增到或更新到 Active Directory 中。
在初始同步完成之後,它會在 [佈建] 索引標籤中寫入稽核摘要報告,如下所示。
