教學課程：將 SAP SuccessFactors 設定為 Active Directory 使用者布建

發行項
01/25/2024

本教學課程旨在說明您需要執行的步驟，以將使用者從 SuccessFactors Employee Central 布建到 Active Directory （AD）和 Microsoft Entra ID，並選擇性地將電子郵件地址回寫至 SuccessFactors。

注意

如果您想要從 SuccessFactors 布建的使用者需要內部部署 AD 帳戶和選擇性的 Microsoft Entra 帳戶，請使用本教學課程。如果 SuccessFactors 中的使用者只需要 Microsoft Entra 帳戶（僅限雲端使用者），請參閱將 SAP SuccessFactors 設定為 Microsoft Entra ID 使用者布建的教學課程。

下列影片提供規劃與 SAP SuccessFactors 布建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者布建服務會與 SuccessFactors Employee Central 整合，以管理使用者的身分識別生命週期。

Microsoft Entra 使用者布建服務支援的 SuccessFactors 使用者布建工作流程，可自動化下列人力資源和身分識別生命週期管理案例：

雇用新員工 - 將新員工 新增至 SuccessFactors 時，會自動在 Active Directory、Microsoft Entra ID 和 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式中建立使用者帳戶，並將電子郵件地址回寫至 SuccessFactors。
員工屬性和設定檔更新 - 在 SuccessFactors 中更新員工記錄時（例如其名稱、職稱或經理），其使用者帳戶將會在 Active Directory、Microsoft Entra ID，以及 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式中自動更新。
員工終止 - 當員工在 SuccessFactors 中終止時，其使用者帳戶會自動停用 Active Directory、Microsoft Entra ID，以及 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。
員工重新雇用 - 在 SuccessFactors 中重新連任員工時，其舊帳戶可以自動重新啟用或重新布建（視您的喜好設定而定）至 Active Directory、Microsoft Entra ID，以及選擇性地由 Microsoft Entra ID 支援的 Microsoft 365 和其他 SaaS 應用程式。

神秘這個使用者布建解決方案最適合嗎？

此 SuccessFactors 至 Active Directory 使用者布建解決方案最適合：

想要針對 SuccessFactors 使用者布建預先建置雲端式解決方案的組織
需要將使用者從 SuccessFactors 直接布建到 Active Directory 的組織
要求使用者使用 SuccessFactors 員工中心取得的資料來布建的組織（EC）
需要加入、移動及離開使用者的組織，僅根據 SuccessFactors Employee Central 中偵測到的變更資訊，將使用者同步至一或多個 Active Directory 樹系、網域和 OU
使用 Microsoft 365 進行電子郵件的組織

解決方案架構

本節說明常見混合式環境的端對端使用者布建解決方案架構。有兩個相關的流程：

授權 HR 資料流程 – 從 SuccessFactors 到內部部署的 Active Directory： 在此流程背景工作事件中，第一次發生在雲端 SuccessFactors Employee Central 中，然後事件資料會透過 Microsoft Entra ID 和布建代理程式流入內部部署的 Active Directory。視事件而定，它可能會導致在 AD 中建立/更新/啟用/停用作業。
電子郵件回寫流程 – 從內部部署的 Active Directory到 SuccessFactors： 一旦帳戶在 Active Directory 中建立完成，它就會透過 Microsoft Entra 連線 Sync 與電子郵件屬性同步處理至 SuccessFactors。

端對端使用者資料流程

HR 小組會在 SuccessFactors 員工中心中執行背景工作交易（Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations）
Microsoft Entra 布建服務會從 SuccessFactors EC 執行身分識別的排程同步處理，並識別需要處理的變更，以便與內部部署的 Active Directory同步處理。
Microsoft Entra 布建服務會叫用內部部署 Microsoft Entra 連線布建代理程式，其中包含 AD 帳戶建立/更新/啟用/停用作業的要求承載。
Microsoft Entra 連線布建代理程式會使用服務帳戶來新增/更新 AD 帳戶資料。
Microsoft Entra 連線同步引擎會執行差異同步處理，以在 AD 中提取更新。
Active Directory 更新會與 Microsoft Entra ID 同步。
如果已設定 SuccessFactors 回寫應用程式，它會根據所使用的相符屬性，將電子郵件屬性寫回 SuccessFactors。

規劃您的部署

設定從 SuccessFactors 到 AD 的雲端 HR 驅動使用者布建，需要相當多的規劃涵蓋不同層面，例如：

設定 Microsoft Entra 連線布建代理程式
要部署之 AD 使用者布建應用程式的 SuccessFactors 數目
比對識別碼、屬性對應、轉換和範圍篩選

如需這些主題的完整指導方針，請參閱雲端 HR 部署計畫。請參閱 SAP SuccessFactors 整合參考，以瞭解支援的實體、處理詳細資料，以及如何針對不同的 HR 案例自訂整合。

設定整合的 SuccessFactors

所有 SuccessFactors 布建連接器的常見需求是，它們需要具有正確許可權來叫用 SuccessFactors OData API 的 SuccessFactors 帳號憑證。本節說明在 SuccessFactors 中建立服務帳戶並授與適當許可權的步驟。

在 SuccessFactors 中建立/識別 API 使用者帳戶
建立 API 許可權角色
建立 API 使用者的許可權群組
將許可權角色授與許可權群組

在 SuccessFactors 中建立/識別 API 使用者帳戶

請與您的 SuccessFactors 系統管理小組或實作合作夥伴合作，在 SuccessFactors 中建立或識別將用來叫用 OData API 的使用者帳戶。在 Microsoft Entra 識別碼中設定布建應用程式時，將需要此帳戶的使用者名稱和密碼認證。

建立 API 許可權角色

使用可存取管理員中心的使用者帳戶登入 SAP SuccessFactors。
搜尋 [ 管理許可權角色 ]，然後從搜尋結果中選取 [ 管理許可權角色 ]。
從 [許可權角色清單] 中，按一下 [ 新建 ]。
新增新許可權角色的角色名稱和 描述。名稱和描述應該指出角色適用于 API 使用許可權。
在 [許可權設定] 底下，按一下 [ 許可權... ]，然後向下捲動許可權清單，然後按一下 [ 管理整合工具 ]。核取 [ 允許透過基本驗證 存取 OData API 管理員] 方塊。
在相同的方塊中向下捲動，然後選取 [員工中心 API ]。新增許可權，如下所示，以使用 ODATA API 讀取並使用 ODATA API 進行編輯。如果您打算針對 Writeback to SuccessFactors 案例使用相同的帳戶，請選取編輯選項。
在相同的許可權方塊中，移至 [使用者許可權 - > 員工資料 ]，並檢閱服務帳戶可從 SuccessFactors 租使用者讀取的屬性。例如，若要從 SuccessFactors 擷 取 Username 屬性，請確定已為此屬性授與「檢視」許可權。同樣地，請檢閱每個屬性以取得檢視許可權。

注意

如需此布建應用程式所擷取之屬性的完整清單，請參閱 SuccessFactors 屬性參考
按一下 [ 完成 ]。按一下 [儲存變更] 。

建立 API 使用者的許可權群組

在 SuccessFactors 管理員中心，搜尋 [管理許可權群組 ]，然後從搜尋結果中選取 [ 管理許可權群組 ]。
從 [管理許可權群組] 視窗中，按一下 [ 新建 ]。
新增新群組的組名。組名應該指出群組適用于 API 使用者。
將成員新增至群組。例如，您可以從 [人員集區] 下拉式功能表中選取 [使用者 名稱]，然後輸入將用於整合的 API 帳戶使用者名稱。
按一下 [完成 ] 以完成建立許可權群組。

將許可權角色授與許可權群組

在 SuccessFactors 管理員 Center 中，搜尋 [管理許可權角色 ]，然後從搜尋結果中選取 [管理許可權角色 ]。
從 [ 許可權角色清單 ] 中，選取您為 API 使用許可權建立的角色。
在 [授與此角色... ] 底下 ，按一下 [ 新增...] 按鈕。
從下拉式功能表中選取 [許可權群組... ]，然後按一下 [ 選取... ]，開啟 [群組] 視窗以搜尋並選取上面建立的群組。
檢閱許可權角色授與許可權群組。
按一下 [儲存變更] 。

設定從 SuccessFactors 到 Active Directory 的使用者布建

本節提供從 SuccessFactors 到整合範圍內每個 Active Directory 網域的使用者帳戶布建步驟。

新增布建連接器應用程式並下載布建代理程式
安裝和設定內部部署布建代理程式（s）
設定 SuccessFactors 和 Active Directory 的連線
設定屬性對應
啟用和啟動使用者布建

第 1 部分：新增布建連接器應用程式並下載布建代理程式

若要將 SuccessFactors 設定為 Active Directory 布建：

以至少雲端應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [新增應用程式]。
搜尋 SuccessFactors 至 Active Directory 使用者布建 ，並從資源庫新增該應用程式。
新增應用程式並顯示應用程式詳細資料畫面之後，選取 [ 布建]
將布建模式變更為自動
按一下顯示的資訊橫幅以下載布建代理程式。

第 2 部分：安裝和設定內部部署布建代理程式（s）

若要布建至內部部署 Active Directory，布建代理程式必須安裝在具有所需 Active Directory 網域之網路存取權的已加入網域的伺服器上。

將下載的代理程式安裝程式傳送至伺服器主機，並遵循安裝代理程式一節中列出的步驟來完成代理程式設定。

第 3 部分：在布建應用程式中，設定 SuccessFactors 和 Active Directory 的連線能力

在此步驟中，我們會建立與 SuccessFactors 和 Active Directory 的連線。

以至少雲端應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 Identity > Applications Enterprise 應用程式 >> SuccessFactors 至第 1 部分建立的 Active Directory 使用者布建應用程式
完成 [管理員認證 ] 區段，如下所示：
- 管理員使用者 名稱 – 輸入 SuccessFactors API 使用者帳戶的使用者名稱，並附加公司識別碼。其格式為： username@companyID
- 管理員密碼 – 輸入 SuccessFactors API 使用者帳戶的密碼。
- 租使用者 URL – 輸入 SuccessFactors OData API 服務端點的名稱。只輸入不含 HTTP 或 HTTPs 的伺服器主機名稱。此值看起來應該像： api-server-name.successfactors.com > 。 <
- Active Directory 樹系 - Active Directory 網域的「名稱」，如向代理程式註冊。使用下拉式清單選取要布建的目標網域。此值通常是字串，例如： contoso.com
- Active Directory 容器 - 輸入代理程式預設應該建立使用者帳戶的容器 DN。範例： OU=Users，DC=contoso，DC=com
  
  注意
  
  只有在屬性對應中未設定 parentDistinguishedName 屬性時 ，才會對使用者帳戶建立進行這項設定。此設定不會用於使用者搜尋或更新作業。整個網域子樹落在搜尋作業的範圍內。
- 通知電子郵件 – 輸入您的電子郵件地址，然後核取 [發生失敗時傳送電子郵件] 核取方塊。
  
  注意
  
  如果布建作業進入隔離狀態，Microsoft Entra 布建服務就會傳送電子郵件通知。
- 按一下 [ 測試連線] 按鈕。如果連線測試成功，請按一下頂端的 [ 儲存 ] 按鈕。如果失敗，請仔細檢查在代理程式設定上設定的 SuccessFactors 認證和 AD 認證是否有效。
- 成功儲存認證之後，[ 對應 ] 區段會顯示將 SuccessFactors Users 同步處理至內部部署 Active Directory 的預設對應

第 4 部分：設定屬性對應

在本節中，您將設定使用者資料從 SuccessFactors 流向 Active Directory 的方式。

在 [布建] 索引標籤的 [對應 ] 底下 ，按一下 [同步處理 SuccessFactors 使用者至內部部署 Active Directory ]。
在 [ 來源物件範圍 ] 欄位中，您可以藉由定義一組以屬性為基礎的篩選，來選取 SuccessFactors 中哪些使用者應該在布建至 AD 的範圍內。預設範圍是「SuccessFactors 中的所有使用者」。範例篩選：
- 範例：在 10000000 到 2000000 之間的使用者範圍（不包括 20000000）
  - 屬性：personIdExternal
  - 運算子：REGEX 比對
  - 值：（1[0-9][0-9][0-9][0-9][0-9][0-9]）
- 範例：僅限員工，而非分工
  - 屬性：EmployeeID
  - 運算子：IS NOT Null
提示

當您第一次設定布建應用程式時，您必須測試並驗證您的屬性對應和運算式，以確保它提供您所需的結果。 Microsoft 建議使用 [來源物件範圍 ] 底下的 範圍篩選，以使用 SuccessFactors 中的一些測試使用者來測試對應。驗證對應是否正常運作之後，您可以移除篩選準則，或逐漸展開以包含更多使用者。

警告

布建引擎的預設行為是停用/刪除超出範圍的使用者。這在您的 SuccessFactors 與 AD 整合中可能不理想。若要覆寫此預設行為，請參閱略過刪除超出範圍的使用者帳戶一文
在 [ 目標物件動作 ] 欄位中，您可以全域篩選 Active Directory 上執行的動作。建立和更新是最常見的。
在 [ 屬性對應 ] 區段中，您可以定義個別 SuccessFactors 屬性如何對應至 Active Directory 屬性。

注意

如需應用程式所支援 SuccessFactors 屬性的完整清單，請參閱 SuccessFactors 屬性參考
按一下現有的屬性對應來更新它，或按一下 畫面底部的 [新增對應 ] 以新增對應。個別屬性對應支援下列屬性：
- 對應類型
  - Direct – 將 SuccessFactors 屬性的值寫入 AD 屬性，但沒有任何變更
  - 常數 - 將靜態常數位符串值寫入 AD 屬性
  - 運算式 – 可讓您根據一或多個 SuccessFactors 屬性，將自訂值寫入 AD 屬性。如需詳細資訊，請參閱本文的運算式。
- 來源屬性 - SuccessFactors 的使用者屬性
- 預設值 – 選擇性。如果來源屬性有空值，對應將會改為寫入此值。最常見的設定是將此設定保留空白。
- 目標屬性 – Active Directory 中的使用者屬性。
- 使用此屬性 比對物件 – 是否應該使用此對應來唯一識別 SuccessFactors 與 Active Directory 之間的使用者。此值通常會在 SuccessFactors 的 [背景工作識別碼] 欄位上設定，這通常會對應至 Active Directory 中的其中一個 [員工識別碼] 屬性。
- 比對優先順序 – 可以設定多個比對屬性。當有多個時，會依照此欄位所定義的順序進行評估。一旦找到相符專案，就不會評估任何進一步的相符屬性。
- 套用此對應
  - 一律 – 在使用者建立和更新動作上套用此對應
  - 僅在建立 期間 - 只在使用者建立動作上套用此對應
若要儲存對應，請按一下 [屬性對應] 區段頂端的 [ 儲存 ]。

屬性對應設定完成後，您可以使用隨選布建來測試單一使用者的布建，然後啟用並啟動使用者布建服務。

啟用和啟動使用者布建

完成 SuccessFactors 布建應用程式設定，且您已驗證布建單一使用者隨選布建後，您可以開啟布建服務。

提示

根據預設，當您開啟布建服務時，它會起始範圍中所有使用者的布建作業。如果對應或 SuccessFactors 資料問題發生錯誤，則布建作業可能會失敗並進入隔離狀態。若要避免這種情況，最佳做法是，建議您先設定 來源物件範圍 篩選，並使用一些測試使用者測試屬性對應，再針對所有使用者啟動完整同步處理。一旦確認對應正常運作，並為您提供所需的結果，您就可以移除篩選準則，或逐漸展開以包含更多使用者。

移至 [ 布建] 刀鋒視窗，然後按一下 [開始布建 ]。
此作業將會啟動初始同步處理，視 SuccessFactors 租使用者中的使用者數目而定，可能需要一些可變的時數。您可以檢查進度列，以追蹤同步週期的進度。
隨時檢查 Azure 入口網站中的 [稽核記錄 ] 索引標籤，以查看布建服務已執行的動作。稽核記錄會列出布建服務所執行的所有個別同步事件，例如要從 SuccessFactors 讀取哪些使用者，然後接著新增或更新至 Active Directory。
初始同步處理完成後，它會在 [布 建] 索引標籤中 撰寫稽核摘要報告，如下所示。