Samouczek: konfigurowanie rozwiązania SAP SuccessFactors w usłudze Microsoft Entra user provisioning

Celem tego samouczka jest pokazanie kroków, które należy wykonać w celu aprowizacji danych procesu roboczego z usługi SuccessFactors Employee Central do identyfikatora Entra firmy Microsoft, z opcjonalnym zapisem zwrotnym adresu e-mail do rozwiązania SuccessFactors.

Uwaga

Użyj tego samouczka, jeśli użytkownicy, których chcesz aprowizować z rozwiązania SuccessFactors, są użytkownikami korzystającymi tylko z chmury, którzy nie potrzebują lokalnego konta usługi AD. Jeśli użytkownicy wymagają tylko lokalnego konta usługi AD lub konta usługi AD i usługi Microsoft Entra, zapoznaj się z samouczkiem dotyczącym konfigurowania rozwiązania SAP SuccessFactors do aprowizacji użytkowników usługi Active Directory .

Poniższy film wideo zawiera krótkie omówienie kroków związanych z planowaniem integracji aprowizacji z rozwiązaniem SAP SuccessFactors.

Omówienie

Usługa aprowizacji użytkowników firmy Microsoft Entra integruje się z usługą SuccessFactors Employee Central w celu zarządzania cyklem życia tożsamości użytkowników.

Przepływy pracy aprowizacji użytkowników rozwiązania SuccessFactors obsługiwane przez usługę aprowizacji użytkowników firmy Microsoft umożliwiają automatyzację następujących scenariuszy zarządzania zasobami ludzkimi i cyklem życia tożsamości:

• Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do rozwiązania SuccessFactors konto użytkownika jest automatycznie tworzone w usłudze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez identyfikator Firmy Microsoft Entra z zapisem zwrotnym adresu e-mail do rozwiązania SuccessFactors.

• Aktualizacje atrybutu pracownika i profilu — po zaktualizowaniu rekordu pracownika w rozwiązaniach SuccessFactors (takich jak ich nazwa, tytuł lub menedżer) ich konto użytkownika zostanie automatycznie zaktualizowane o identyfikator firmy Microsoft Entra i opcjonalnie rozwiązanie Microsoft 365 i inne aplikacje SaaS obsługiwane przez identyfikator Firmy Microsoft Entra.

• Kończenie pracy pracowników — po zakończeniu pracy pracownika w rozwiązaniu SuccessFactors jego konto użytkownika jest automatycznie wyłączone w identyfikatorze Entra firmy Microsoft i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez identyfikator Firmy Microsoft Entra.

• Ponowne przełączenie pracownika — gdy pracownik zostanie ponownie uruchomiony w rozwiązaniu SuccessFactors, jego stare konto może zostać automatycznie ponownie aktywowane lub ponownie aprowidowane (w zależności od preferencji) do identyfikatora Entra firmy Microsoft oraz opcjonalnie platformy Microsoft 365 i innych aplikacji SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

KtoTo czy to rozwiązanie do aprowizacji użytkowników najlepiej nadaje się?

To rozwiązanie SuccessFactors do firmy Microsoft Entra do aprowizacji użytkowników jest idealne dla:

• Organizacje, które chcą wstępnie utworzonego rozwiązania opartego na chmurze na potrzeby aprowizacji użytkowników Rozwiązania SuccessFactors

• Organizacje, które wymagają bezpośredniej aprowizacji użytkowników z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft

• Organizacje, które wymagają aprowizacji użytkowników przy użyciu danych uzyskanych z usługi SuccessFactors Employee Central (EC)

• Organizacje korzystające z platformy Microsoft 365 na potrzeby poczty e-mail

Architektura rozwiązania

W tej sekcji opisano architekturę rozwiązania do aprowizacji użytkowników końcowych dla użytkowników korzystających tylko z chmury. Istnieją dwa powiązane przepływy:

• Autorytatywne Przepływ danych HR — od SuccessFactors do identyfikatora Entra firmy Microsoft: w przypadku tych zdarzeń procesu roboczego przepływu (takich jak Nowi pracownicy, transfery, zakończenia) najpierw występują w centrum pracowników rozwiązania SuccessFactors w chmurze, a następnie dane zdarzenia przepływają do identyfikatora Entra firmy Microsoft. W zależności od zdarzenia może to prowadzić do tworzenia/aktualizowania/włączania/wyłączania operacji w identyfikatorze Entra firmy Microsoft.

• Przepływ zapisywania zwrotnego wiadomości e-mail — z identyfikatora Entra firmy Microsoft do rozwiązania SuccessFactors: po zakończeniu tworzenia konta w identyfikatorze Entra firmy Microsoft wartość atrybutu e-mail lub nazwę UPN wygenerowaną w identyfikatorze Entra firmy Microsoft można zapisać z powrotem do rozwiązania SuccessFactors.

  

Przepływ danych użytkownika końcowego

1. Zespół kadr wykonuje transakcje procesów roboczych (Joiners/Movers/Leavers lub New Hires/Transfer/Terminations) w SuccessFactors Employee Central
2. Usługa aprowizacji firmy Microsoft uruchamia zaplanowane synchronizacje tożsamości z usługi SuccessFactors EC i identyfikuje zmiany, które należy przetworzyć do synchronizacji z identyfikatorem Entra firmy Microsoft.
3. Usługa aprowizacji firmy Microsoft określa zmianę i wywołuje operację create/update/enable/disable dla użytkownika w usłudze Microsoft Entra ID.
4. Jeśli skonfigurowano aplikację do zapisywania zwrotnego SuccessFactors, adres e-mail użytkownika jest pobierany z identyfikatora Entra firmy Microsoft.
5. Usługa aprowizacji firmy Microsoft zapisuje atrybut wiadomości e-mail z powrotem do rozwiązania SuccessFactors na podstawie używanego atrybutu dopasowania.

Planowanie wdrożenia

Konfigurowanie aprowizacji użytkowników opartych na usłudze Cloud HR z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft wymaga znacznego planowania obejmującego różne aspekty, takie jak:

• Określanie zgodnego identyfikatora
• Mapowanie atrybutów
• Przekształcanie atrybutów
• Filtry określania zakresu

Zapoznaj się z planem wdrażania działu kadr w chmurze, aby uzyskać kompleksowe wskazówki dotyczące tych tematów. Zapoznaj się z dokumentacją integracji rozwiązania SAP SuccessFactors, aby dowiedzieć się więcej o obsługiwanych jednostkach, przetwarzaniu szczegółów i sposobie dostosowywania integracji dla różnych scenariuszy hr.

Konfigurowanie rozwiązania SuccessFactors na potrzeby integracji

Typowym wymaganiem wszystkich łączników aprowizacji SuccessFactors jest to, że wymagają poświadczeń konta SuccessFactors z odpowiednimi uprawnieniami do wywoływania interfejsów API OData SuccessFactors. W tej sekcji opisano kroki tworzenia konta usługi w rozwiązaniu SuccessFactors i udzielania odpowiednich uprawnień.

• Tworzenie/identyfikowanie konta użytkownika interfejsu API w rozwiązaniu SuccessFactors
• Tworzenie roli uprawnień interfejsu API
• Tworzenie grupy uprawnień dla użytkownika interfejsu API
• Udzielanie roli uprawnień grupie uprawnień

Tworzenie/identyfikowanie konta użytkownika interfejsu API w rozwiązaniu SuccessFactors

We współpracy z zespołem administracyjnym rozwiązania SuccessFactors lub partnerem implementacji utwórz lub zidentyfikuj konto użytkownika w rozwiązaniu SuccessFactors, które będzie używane do wywoływania interfejsów API OData. Poświadczenia nazwy użytkownika i hasła tego konta będą wymagane podczas konfigurowania aplikacji aprowizacji w usłudze Microsoft Entra ID.

Tworzenie roli uprawnień interfejsu API

1. Zaloguj się do rozwiązania SAP SuccessFactors przy użyciu konta użytkownika, które ma dostęp do centrum Administracja.

2. Wyszukaj pozycję Zarządzaj rolami uprawnień, a następnie wybierz pozycję Zarządzaj rolami uprawnień w wynikach wyszukiwania.

3. Na liście ról uprawnień kliknij pozycję Utwórz nowy.

   

4. Dodaj nazwę roli i opis nowej roli uprawnień. Nazwa i opis powinny wskazywać, że rola jest dla uprawnień użycia interfejsu API.

   

5. W obszarze Ustawienia uprawnień kliknij pozycję Uprawnienie..., a następnie przewiń listę uprawnień i kliknij pozycję Zarządzaj narzędziami integracji. Zaznacz pole wyboru Zezwalaj Administracja na dostęp do interfejsu API OData za pomocą uwierzytelniania podstawowego.

   

6. Przewiń w dół w tym samym polu i wybierz pozycję Interfejs API usługi Employee Central. Dodaj uprawnienia, jak pokazano poniżej, aby odczytywać przy użyciu interfejsu API ODATA i edytować przy użyciu interfejsu API ODATA. Wybierz opcję edycji, jeśli planujesz użyć tego samego konta dla scenariusza Writeback to SuccessFactors.

   

7. W tym samym polu uprawnień przejdź do pozycji Uprawnienia użytkownika —> dane pracownika i przejrzyj atrybuty, które konto usługi może odczytać z dzierżawy SuccessFactors. Aby na przykład pobrać atrybut Username z successFactors, upewnij się, że dla tego atrybutu zostanie przyznane uprawnienie "Wyświetl". Podobnie przejrzyj każdy atrybut, aby uzyskać uprawnienia do wyświetlania.

   

   Uwaga

   Aby uzyskać pełną listę atrybutów pobranych przez tę aplikację aprowizacji, zapoznaj się z dokumentacją atrybutów SuccessFactors

8. Kliknij pozycję Gotowe. Kliknij przycisk Zapisz zmiany.

Tworzenie grupy uprawnień dla użytkownika interfejsu API

1. W centrum Administracja SuccessFactors wyszukaj pozycję Zarządzaj grupami uprawnień, a następnie wybierz pozycję Zarządzaj grupami uprawnień w wynikach wyszukiwania.

   

2. W oknie Zarządzanie grupami uprawnień kliknij pozycję Utwórz nowy.

   

3. Dodaj nazwę grupy dla nowej grupy. Nazwa grupy powinna wskazywać, że grupa jest dla użytkowników interfejsu API.

   

4. Dodaj członków do grupy. Możesz na przykład wybrać pozycję Nazwa użytkownika z menu rozwijanego pula Osoby, a następnie wprowadzić nazwę użytkownika konta interfejsu API, które będzie używane do integracji.

   

5. Kliknij przycisk Gotowe , aby zakończyć tworzenie grupy uprawnień.

Udzielanie roli uprawnień grupie uprawnień

1. W centrum Administracja SuccessFactors wyszukaj pozycję Zarządzaj rolami uprawnień, a następnie wybierz pozycję Zarządzaj rolami uprawnień w wynikach wyszukiwania.
2. Z listy ról uprawnień wybierz rolę utworzoną dla uprawnień użycia interfejsu API.
3. W obszarze Udziel tej roli..., kliknij przycisk Dodaj...
4. Wybierz pozycję Grupa uprawnień... z menu rozwijanego, a następnie kliknij pozycję Wybierz, aby otworzyć okno Grupy, aby wyszukać i wybrać grupę utworzoną powyżej.

   

5. Zapoznaj się z udzielaniem roli uprawnień grupie uprawnień.

   

6. Kliknij przycisk Zapisz zmiany.

Konfigurowanie aprowizacji użytkowników z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft

Ta sekcja zawiera kroki aprowizacji kont użytkowników z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft.

• Dodawanie aplikacji łącznika aprowizacji i konfigurowanie łączności z rozwiązaniem SuccessFactors
• Konfigurowanie mapowań atrybutów
• Włączanie i uruchamianie aprowizacji użytkowników

Część 1. Dodawanie aplikacji łącznika aprowizacji i konfigurowanie łączności z rozwiązaniem SuccessFactors

Aby skonfigurować rozwiązania SuccessFactors do aprowizacji firmy Microsoft:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

3. Wyszukaj frazę SuccessFactors do aprowizacji użytkowników firmy Microsoft Entra i dodaj aplikację z galerii.

4. Po dodaniu aplikacji i ekranie szczegółów aplikacji wybierz pozycję Aprowizowanie

5. Zmień tryb aprowizacjina automatyczny

6. Wypełnij sekcję Administracja Credentials (Poświadczenia Administracja):

   • Administracja Nazwa użytkownika — wprowadź nazwę użytkownika interfejsu API SuccessFactors z dołączonym identyfikatorem firmy. Ma on format: username@companyID

   • Administracja hasło — Wprowadź hasło konta użytkownika interfejsu API SuccessFactors.

   • Adres URL dzierżawy — wprowadź nazwę punktu końcowego usług interfejsu API OData SuccessFactors. Wprowadź tylko nazwę hosta serwera bez protokołu HTTP lub https. Ta wartość powinna wyglądać następująco: api-server-name.successfactors.com.

   • Wiadomość e-mail z powiadomieniem — wprowadź swój adres e-mail i zaznacz pole wyboru "Wyślij wiadomość e-mail, jeśli wystąpi błąd".

   Uwaga

   Usługa aprowizacji firmy Microsoft wysyła powiadomienie e-mail, jeśli zadanie aprowizacji przejdzie w stan kwarantanny .

   • Kliknij przycisk Test Połączenie ion. Jeśli test połączenia zakończy się pomyślnie, kliknij przycisk Zapisz u góry. Jeśli nie powiedzie się, sprawdź dokładnie, czy poświadczenia i adres URL rozwiązania SuccessFactors są prawidłowe.

   

   • Po pomyślnym zapisaniu poświadczeń w sekcji Mapowania zostanie wyświetlone domyślne mapowanie Synchronizuj użytkowników SuccessFactors z identyfikatorem Entra firmy Microsoft

Część 2. Konfigurowanie mapowań atrybutów

W tej sekcji skonfigurujesz przepływ danych użytkownika z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft.

1. Na karcie Aprowizowanie w obszarze Mapowania kliknij pozycję Synchronizuj użytkowników SuccessFactors z identyfikatorem Entra firmy Microsoft.

2. W polu Zakres obiektu źródłowego można wybrać, które zestawy użytkowników w rozwiązaniach SuccessFactors powinny znajdować się w zakresie aprowizacji identyfikatora Entra firmy Microsoft, definiując zestaw filtrów opartych na atrybutach. Domyślny zakres to "wszyscy użytkownicy w rozwiązaniach SuccessFactors". Przykładowe filtry:

   • Przykład: zakres dla użytkowników z personIdExternal z zakresu od 10000000 do 20000000 (z wyłączeniem 20000000)

     • Atrybut: personIdExternal

     • Operator: Dopasowanie REGEX

     • Wartość: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Przykład: Tylko pracownicy, a nie warunkowi pracownicy

     • Atrybut: EmployeeID

     • Operator: NIE MA WARTOŚCI NULL

   Napiwek

   Podczas konfigurowania aplikacji aprowizacji po raz pierwszy należy przetestować i zweryfikować mapowania atrybutów i wyrażenia, aby upewnić się, że daje ona pożądany wynik. Firma Microsoft zaleca używanie filtrów określania zakresu w obszarze Zakres obiektu źródłowego w celu przetestowania mapowań przy użyciu kilku testowych użytkowników z rozwiązania SuccessFactors. Po sprawdzeniu, czy mapowania działają, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

   Uwaga

   Domyślnym zachowaniem aparatu aprowizacji jest wyłączenie/usunięcie użytkowników, którzy wykraczają poza zakres. Może to nie być pożądane w twojej integracji SuccessFactors z firmą Microsoft Entra. Aby zastąpić to zachowanie domyślne, zapoznaj się z artykułem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres

3. W polu Akcje obiektu docelowego można globalnie filtrować akcje wykonywane w identyfikatorze Entra firmy Microsoft. Tworzenie i aktualizowanie jest najbardziej typowe.

4. W sekcji Mapowania atrybutów można zdefiniować sposób mapowania poszczególnych atrybutów SuccessFactors na atrybuty firmy Microsoft Entra.

   Uwaga

   Aby uzyskać pełną listę atrybutów SuccessFactors obsługiwanych przez aplikację, zapoznaj się z dokumentacją atrybutów SuccessFactors

5. Kliknij istniejące mapowanie atrybutów, aby go zaktualizować, lub kliknij pozycję Dodaj nowe mapowanie w dolnej części ekranu, aby dodać nowe mapowania. Pojedyncze mapowanie atrybutów obsługuje następujące właściwości:

   • Typ mapowania

     • Direct — zapisuje wartość atrybutu SuccessFactors do atrybutu Microsoft Entra bez zmian

     • Stała — zapisywanie statycznej, stałej wartości ciągu w atrybucie Microsoft Entra

     • Wyrażenie — umożliwia zapisanie wartości niestandardowej w atrybucie Entra firmy Microsoft na podstawie co najmniej jednego atrybutu SuccessFactors. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wyrażeń.

   • Atrybut źródłowy — atrybut użytkownika z successFactors

   • Wartość domyślna — opcjonalnie. Jeśli atrybut źródłowy ma pustą wartość, mapowanie spowoduje zapisanie tej wartości. Najbardziej typową konfiguracją jest pozostawienie tego pustego.

   • Atrybut docelowy — atrybut użytkownika w identyfikatorze Entra firmy Microsoft.

   • Dopasuj obiekty przy użyciu tego atrybutu — określa, czy to mapowanie powinno być używane do unikatowego identyfikowania użytkowników między elementami SuccessFactors i Microsoft Entra ID. Ta wartość jest zwykle ustawiana w polu Identyfikator procesu roboczego dla rozwiązania SuccessFactors, które jest zwykle mapowane na jeden z atrybutów identyfikatora pracownika w identyfikatorze Entra firmy Microsoft.

   • Dopasowywanie pierwszeństwa — można ustawić wiele pasujących atrybutów. Jeśli istnieje wiele, są one oceniane w kolejności zdefiniowanej przez to pole. Po znalezieniu dopasowania nie są oceniane żadne dalsze pasujące atrybuty.

   • Zastosuj to mapowanie

     • Zawsze — zastosuj to mapowanie zarówno w akcjach tworzenia użytkownika, jak i aktualizowania

     • Tylko podczas tworzenia — zastosuj to mapowanie tylko w akcjach tworzenia użytkownika

6. Aby zapisać mapowania, kliknij przycisk Zapisz w górnej części sekcji Mapowanie atrybutów.

Po zakończeniu konfiguracji mapowania atrybutów możesz teraz włączyć i uruchomić usługę aprowizacji użytkowników.

Włączanie i uruchamianie aprowizacji użytkowników

Po zakończeniu konfiguracji aplikacji aprowizacji SuccessFactors można włączyć usługę aprowizacji.

Napiwek

Domyślnie po włączeniu usługi aprowizacji zainicjuje ona operacje aprowizacji dla wszystkich użytkowników w zakresie. Jeśli występują błędy podczas mapowania lub problemy z danymi SuccessFactors, zadanie aprowizacji może zakończyć się niepowodzeniem i przejść do stanu kwarantanny. Aby tego uniknąć, zalecamy skonfigurowanie filtru Zakres obiektu źródłowego i przetestowanie mapowań atrybutów przy użyciu kilku użytkowników testowych przed uruchomieniem pełnej synchronizacji dla wszystkich użytkowników. Po sprawdzeniu, czy mapowania działają i dają żądane wyniki, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

1. Na karcie Aprowizacja ustaw wartość Stan aprowizacji na Wł.

2. Kliknij przycisk Zapisz.

3. Ta operacja rozpocznie synchronizację początkową, co może potrwać zmienną liczbę godzin w zależności od liczby użytkowników w dzierżawie SuccessFactors. Możesz sprawdzić pasek postępu, aby śledzić postęp cyklu synchronizacji.

4. W dowolnym momencie sprawdź kartę Dzienniki inspekcji w witrynie Azure Portal, aby zobaczyć, jakie akcje wykonała usługa aprowizacji. Dzienniki inspekcji wyświetla listę wszystkich zdarzeń synchronizacji poszczególnych wykonanych przez usługę aprowizacji, takich jak użytkownicy odczytujący z rozwiązania SuccessFactors, a następnie dodani lub zaktualizowani do identyfikatora Entra firmy Microsoft.

5. Po zakończeniu synchronizacji początkowej zapisze raport podsumowania inspekcji na karcie Aprowizacja , jak pokazano poniżej.

   

Następne kroki

• Dowiedz się więcej o obsługiwanych atrybutach SuccessFactors na potrzeby aprowizacji ruchu przychodzącego
• Dowiedz się, jak skonfigurować zapisywanie zwrotne wiadomości e-mail w usłudze SuccessFactors
• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji
• Dowiedz się, jak skonfigurować logowanie jednokrotne między rozwiązaniami SuccessFactors i Microsoft Entra ID
• Dowiedz się, jak zintegrować inne aplikacje SaaS z identyfikatorem Entra firmy Microsoft
• Dowiedz się, jak eksportować i importować konfiguracje aprowizacji