分享方式:


教學課程:設定從 SAP SuccessFactors 到 Active Directory 的使用者佈建

本教學課程的目標是要說明將使用者從 SuccessFactors 員工中心佈建到 Active Directory (AD) 和 Microsoft Entra ID 所需的步驟,以及將電子郵件地址回寫至 SuccessFactors 的選用功能。

注意

如果您想要從 SuccessFactors 佈建的使用者需要內部部署 AD 帳戶和 Microsoft Entra 帳戶 (選擇性),請使用本教學課程。 如果 SuccessFactors 的使用者只需要 Microsoft Entra 帳戶 (僅限雲端的使用者),則請參閱關於如何設定 SAP SuccessFactors 至 Microsoft Entra ID 使用者佈建的教學課程。

下列影片提供規劃與 SAP SuccessFactors 佈建整合時相關步驟的快速概觀。

概觀

整合 Microsoft Entra 使用者佈建服務SuccessFactors 員工中心,以管理使用者的身分識別生命週期。

Microsoft Entra 使用者佈建服務支援的 SuccessFactors 使用者佈建工作流程,可讓下列人力資源和身分識別生命週期管理案例的自動化:

  • 雇用新員工 - 當新員工新增至 SuccessFactors 時,會在 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動建立使用者帳戶,並將電子郵件地址回寫至 SuccessFactors。

  • 員工屬性和設定檔更新 - 在 SuccessFactors 中更新員工記錄時(例如姓名、職稱或經理),會在 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動更新員工的使用者帳戶。

  • 員工離職 - 在 SuccessFactors 中將員工設定為離職時,會在 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 自動停用員工的使用者帳戶。

  • 重新雇用員工:在 SuccessFactors 中重新雇用員工時,系統會自動重新啟用其舊帳戶或將其重新佈建 (取決於您的喜好設定) 至 Active Directory、Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式

誰最適合使用此使用者佈建解決方案?

此 SuccessFactors 至 Active Directory 使用者佈建解決方案最適合下列對象:

  • 想要針對 SuccessFactors 使用者佈建預先建置的雲端解決方案的組織,包括使用 SAP Integration Suite 從 SAP HCM 填入 SuccessFactors 的組織

  • 部署 Microsoft Entra 以使用 SAP 來源和目標應用程式使用者佈建的組織,使用 Microsoft Entra 來設定人員的身分識別,讓他們能夠登入一或多個 SAP 應用程式,例如 SAP ECC 或 SAP S/4HANA,以及非 SAP 應用程式 (選擇性)

  • 需要將使用者從 SuccessFactors 直接佈建到 Active Directory 的組織,讓使用者可以存取 Windows Server Active Directory 整合式應用程式,以及 Microsoft Entra ID 整合式應用程式

  • 需要使用從 SuccessFactors 員工中心 (EC) 取得的資料來佈建使用者的組織

  • 需要僅根據在 SuccessFactors 員工中心 (EC) 中偵測到的變更資訊來聯結、移動及保留使用者,使其同步至一或多個 Active Directory 樹系、網域和 OU 的組織

  • 使用 Microsoft 365 來收發電子郵件的組織

解決方案架構

本節針對常見的混合式環境,說明端對端使用者佈建方案架構。 有兩個相關的流程:

  • 授權 HR 資料流程 – 從 SuccessFactors 到內部部署 Active Directory:在此流程中,人員事件 (例如新雇用、調動、解雇) 會先發生在雲端 SuccessFactors 員工中心,然後事件資料會透過 Microsoft Entra ID 和佈建代理程式流入內部部署 Active Directory。 視事件而定,它可能會在 AD 中產生建立/更新/啟用/停用作業。

  • 電子郵件回寫流程 – 從內部部署 Active Directory 到 SuccessFactors: 一旦帳戶在 Active Directory 中完成建立帳戶之後,會透過 Microsoft Entra Connect 同步與 Microsoft Entra ID 進行同步處理,並將電子郵件屬性寫回 SuccessFactors。

    概觀

端對端使用者資料流程

  1. HR 小組在 SuccessFactors 員工中心內執行人員異動 (新進人員/異動人員/離職人員或新雇用/異動/解雇)。
  2. Microsoft Entra 佈建服務會執行排程好的 SuccessFactors EC 身分識別同步處理作業,並找出需要處理以便與內部部署 Active Directory 同步的變更。
  3. Microsoft Entra 佈建服務會使用包含 AD 帳戶建立/更新/啟用/停用作業的要求承載,來叫用內部部署的 Microsoft Entra Connect 佈建代理程式。
  4. Microsoft Entra Connect 佈建代理程式使用服務帳戶來新增/更新 AD 帳戶資料。
  5. Microsoft Entra Connect 同步引擎會執行差異同步來提取 AD 中的更新。
  6. Active Directory 會與 Microsoft Entra ID 同步更新。
  7. 如果SuccessFactors Writeback 應用程式已設定,則會根據使用的比對屬性,將電子郵件屬性回寫至 SuccessFactors。

規劃您的部署

設定從 SuccessFactors 到 AD 且由雲端 HR 驅動的使用者佈建,需要許多涵蓋不同層面的規劃,例如:

  • 設定 Microsoft Entra Connect 佈建代理程式
  • 要部署的 SuccessFactors 至 AD 使用者佈建應用程式數目
  • 比對識別碼、屬性對應、轉換和範圍篩選

如需有關這些主題的完整指導方針,請參閱雲端 HR 部署計劃。 請參閱 SAP SuccessFactors 整合參考以了解支援的實體、處理詳細資料,以及如何自訂不同 HR 案例的整合。

設定用於整合的 SuccessFactors

所有 SuccessFactors 佈建連接器大多需要具有適當權限的 SuccessFactors 帳戶認證,才能叫用 SuccessFactors OData API。 本節說明在 SuccessFactors 中建立服務帳戶,並授與適當權限的步驟。

在 SuccessFactors 中建立/識別 API 使用者帳戶

請與您的 SuccessFactors 系統管理員小組或實作夥伴合作,在 SuccessFactors 中建立或識別使用者帳戶,以叫用 OData API。 在 Microsoft Entra ID 中設定佈建應用程式時,需要用到此帳戶的使用者名稱和密碼認證。

建立 API 權限角色

  1. 使用可存取系統管理中心的使用者帳戶登入 SAP SuccessFactors。

  2. 搜尋 [管理權限角色],然後從搜尋結果中選取 [管理權限角色]管理權限角色

  3. 從 [權限角色] 清單中,按一下 [新建]

    建立新的權限角色

  4. 為新的權限角色新增角色名稱描述。 名稱和描述應該指出這是針對 API 使用權限設定的角色。

    權限角色詳細資料

  5. 在 [權限設定] 底下,按一下 [權限...],然後向下捲動權限清單,再按一下 [管理整合工具]。 核取 [允許系統管理員透過基本驗證存取 OData API] 方塊。

    管理整合工具

  6. 在相同的方塊中向下捲動,然後選取 [員工中心 API]。 如下所示,新增使用 ODATA API 讀取和使用 ODATA API 編輯的權限。 如果您打算在回寫到 SuccessFactors 的案例中使用相同帳戶,請選取編輯選項。

    讀取寫入權限

  7. 在相同的權限方塊中,前往 [使用者權限] -> [員工資料],然後檢閱服務帳戶可從 SuccessFactors 租用戶讀取的屬性。 例如,若要從 SuccessFactors 擷取 [使用者名稱] 屬性,請確保已針對此屬性授與 [檢視] 權限。 同樣地,請檢閱檢視權限的每個屬性。

    員工資料權限

    注意

    如需此佈建應用程式所擷取的屬性完整清單,請參閱 SuccessFactors 屬性參考

  8. 按一下 [完成]。 按一下 [儲存變更]

為 API 使用者建立權限群組

  1. 在 SuccessFactors 系統管理中心內,搜尋 [管理權限群組],然後從搜尋結果中選取 [管理權限群組]

    管理權限群組

  2. 從 [管理權限群組] 視窗中,按一下 [新建]

    Add new group

  3. 為新群組新增群組名稱。 群組名稱應指出這是 API 使用者的群組。

    權限群組名稱

  4. 將成員新增至群組。 例如,您可以從 [人員集區] 下拉式功能表中選取 [使用者名稱],然後輸入將用於整合的 API 帳戶使用者名稱。

    新增群組成員

  5. 按一下 [完成] 即可完成建立權限群組。

將權限角色授與權限群組

  1. 在 SuccessFactors 系統管理中心內,搜尋 [管理權限角色],然後從搜尋結果中選取 [管理權限角色]
  2. 權限角色清單中,選取您為 API 使用權限建立的角色。
  3. [將此角色授與...] 底下,按一下 [新增...] 按鈕。
  4. 從下拉式功能表中選取 [權限群組...],然後按一下 [選取...] 來開啟 [群組] 視窗,搜尋並選取上方建立的群組。

    新增權限群組

  5. 檢閱授與權限群組的權限角色。

    權限角色和群組詳細資料

  6. 按一下 [儲存變更]

設定從 SuccessFactors 至 Active Directory 的使用者佈建

本節提供將使用者帳戶從 SuccessFactors 佈建至整合範圍內每個 Active Directory 網域的步驟。

第 1 部分:新增佈建連接器應用程式和下載佈建代理程式

若要設定 SuccessFactors 至 Active Directory 的佈建:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]

  3. 搜尋 SuccessFactors 至 Active Directory 使用者佈建,並從資源庫新增該應用程式。

  4. 新增應用程式並顯示應用程式詳細資料畫面之後,請選取 [佈建]

  5. 將布模式變更為自動

  6. 按一下顯示的資訊橫幅以下載布建代理程式。

    布建代理程式信息的螢幕快照。

第 2 部分:安裝並設定內部部署佈建代理程式

若要佈建至內部部署的 Active Directory,則必須在已加入網域並可透過網路存取所需 Active Directory 網域的伺服器上,安裝佈建代理程式。

將下載的代理程式安裝程式傳輸到伺服器主機,並遵循安裝代理程式一節中所列的步驟來完成代理程式設定。

第 3 部分:在佈建應用程式中,設定 SuccessFactors 和 Active Directory 的連線能力

在此步驟中,我們將建立 SuccessFactors 和 Active Directory 的連線能力。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[在第 1 部分建立的 SuccessFactors 至 Active Directory 使用者佈建應用程式]

  3. 完成 [系統管理員認證] 區段,如下所示:

    • 系統管理員使用者名稱 – 輸入 SuccessFactors API 使用者帳戶的使用者名稱,並附上公司識別碼。 其格式為:username@companyID

    • 系統管理員密碼 – 輸入 SuccessFactors API 使用者帳戶的密碼。

    • 租用戶 URL – 輸入 SuccessFactors OData API 服務端點的名稱。 僅輸入不含 http 或 https 的伺服器主機名稱。 此值應如下所示:<api-server-name>.successfactors.com

    • Active Directory 樹系 – 向代理程式註冊的 Active Directory 網域「名稱」。 請使用下拉式清單來選取用於佈建的目標網域。 此值通常是如下的字串:contoso.com

    • Active Directory 容器 - 輸入容器 DN,其中是代理程式預設應建立使用者帳戶的位置。 範例:OU=Users,DC=contoso,DC=com

      注意

      如果並未在屬性對應中設定 parentDistinguishedName 屬性,此設定僅適用於使用者帳戶建立。 此設定不適用於使用者搜尋或更新作業。 整個網域的子樹狀會落在搜尋作業的範圍中。

    • 通知電子郵件 – 輸入您的電子郵件地址,然後勾選 [發生失敗時傳送電子郵件] 核取方塊。

      注意

      如果佈建作業進入 隔離 狀態,Microsoft Entra 佈建服務會傳送電子郵件通知。

    • 按一下 [測試連線] 按鈕。 如果連線測試成功,請按一下頂端的 [儲存] 按鈕。 如果失敗,請仔細檢查代理程式上設定的 SuccessFactors 認證和 AD 認證是否有效。

      Entra 系統管理中心

    • 順利儲存認證之後,[對應] 區段會顯示 [將 SuccessFactors 使用者同步至內部部署 Active Directory] 預設對應

第 4 部分:設定屬性對應

在本節中,您會設定使用者資料從 SuccessFactors 流向 Active Directory 的方式。

  1. 在 [佈建] 索引標籤的 [對應] 底下,按一下 [將 SuccessFactors 使用者同步至內部部署 Active Directory]

  2. 在 [來源物件範圍] 欄位中,您可以透過定義一組以屬性為基礎的篩選,來選取 SuccessFactors 中的哪些使用者集合應該在佈建至 AD 的範圍內。 預設範圍是 SuccessFactors 中的所有使用者。 範例篩選:

    • 範例:將範圍限定為 personIdExternal 介於 1000000 到 2000000 (不含 2000000) 之間的使用者

      • 屬性:personIdExternal

      • 運算子:REGEX Match

      • 值:(1[0-9][0-9][0-9][0-9][0-9][0-9])

    • 範例:僅員工和非約聘人員

      • 屬性:EmployeeID

      • 運算子:IS NOT NULL

    提示

    第一次設定佈建應用程式時,您將需要測試及確認屬性對應和運算式,以確保它提供您所需的結果。 Microsoft 建議您使用 [來源物件範圍] 底下的範圍篩選,利用幾個來自 SuccessFactors 的測試使用者來測試您的對應。 確認對應能夠運作之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。

    警告

    佈建引擎的預設行為是停用/刪除超出範圍的使用者。 這可能不適合您的 SuccessFactors 至 AD 整合。 若要覆寫此預設行為,請參閱略過刪除超出範圍的使用者帳戶一文

  3. 在 [目標物件動作] 欄位中,您可以全域篩選在 Active Directory 上執行的動作。 最常見的動作是 [建立] 和 [更新]

  4. 在 [屬性對應] 區段中,您可以定義個別 SuccessFactors 屬性如何對應至 Active Directory 屬性。

    注意

    如需應用程式所支援的 SuccessFactors 屬性完整清單,請參閱 SuccessFactors 屬性參考

  5. 按一下現有的屬性對應以進行更新,或按一下畫面底端的 [新增新對應] 以新增新對應。 個別屬性對應支援下列屬性:

    • 對應類型

    • 來源屬性 - 來自 SuccessFactors 的使用者屬性

    • 預設值 – 選用。 如果來源屬性具有空值,則對應將會改為寫入此值。 最常見的設定是將其保留空白。

    • 目標屬性 - Active Directory 中的使用者屬性。

    • 使用此屬性比對物件 – 是否應該將此對應用於唯一識別 SuccessFactors 與 Active Directory 之間的使用者。 此值通常設定於 SuccessFactors 的 [工作人員識別碼] 欄位上,通常對應到 Active Directory 的其中一個員工識別碼屬性。

    • 比對優先順序 – 您可以設定多個比對屬性。 具有多個屬性時,系統會以此欄位定義的順序進行評估。 只要找到相符項目,便不會評估進一步比對屬性。

    • 套用此對應

      • 一律 – 將此對應套用於使用者建立和更新動作

      • 僅限建立期間 - 僅將此對應套用於使用者建立動作

  6. 若要儲存您的對應,請按一下 [屬性對應] 區段頂端的 [儲存]

當您的屬性對應設定完成後,您可使用隨選佈建來測試單一使用者的佈建,然後啟用並啟動使用者佈建服務

啟用及啟動使用者佈建

在 SuccessFactors 佈建應用程式設定完成,且您已使用隨選佈建來驗證單一使用者的佈建後,即可開啟佈建服務。

提示

根據預設,當您開啟佈建服務時,它會為範圍中的所有使用者起始佈建作業。 如果有對應錯誤或 SuccessFactors 資料問題,則佈建作業可能失敗並進入隔離狀態。 為了避免這種情況,建議您設定 [來源物件範圍] 篩選,並使用隨選佈建來對一些測試使用者測試您的屬性對應,然後再針對所有使用者啟動完整同步。 確認對應能夠運作且提供您所需的結果之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。

  1. 移至 [佈建] 刀鋒視窗,然後按一下 [開始佈建]

  2. 此作業會啟動初始同步,所需花費的時數會視 SuccessFactors 租用戶中的使用者人數而定。 您可以檢查進度列來追蹤同步週期的進度。

  3. 您可隨時檢查 Entra 系統管理中心中的 [佈建] 索引標籤,查看佈建服務執行了哪些動作。 佈建記錄會列出佈建服務執行的所有個別同步處理事件,例如從 SuccessFactors 外部讀取了哪些使用者,接著又新增到或更新到 Active Directory 中。

  4. 在初始同步完成之後,它會在 [佈建] 索引標籤中寫入稽核摘要報告,如下所示。

    佈建進度列

下一步