Руководство по настройке SAP SuccessFactors в подготовке пользователей Active Directory

Цель этого руководства — показать шаги, которые необходимо выполнить для подготовки пользователей из SuccessFactors Employee Central в Active Directory (AD) и идентификатора Microsoft Entra с необязательным записью адреса электронной почты в SuccessFactors.

Примечание.

Используйте это руководство, если пользователям, которым требуется подготовиться из SuccessFactors, требуется локальная учетная запись AD и при необходимости учетная запись Microsoft Entra. Если пользователям из SuccessFactors требуется только учетная запись Microsoft Entra (только облачные пользователи), обратитесь к руководству по настройке SAP SuccessFactors для подготовки пользователей Идентификатора Microsoft Entra.

В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции подготовки с SAP SuccessFactors.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с SuccessFactors Employee Central для управления жизненным циклом удостоверений пользователей.

Рабочие процессы подготовки пользователей SuccessFactors, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Нанимать новых сотрудников . При добавлении нового сотрудника в SuccessFactors учетная запись пользователя автоматически создается в Active Directory, идентификаторе Microsoft Entra и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra, с обратной записью адреса электронной почты в SuccessFactors.

• Обновления атрибутов и профилей сотрудников— когда запись сотрудника обновляется в SuccessFactors (например, имя, название или менеджер), ее учетная запись пользователя будет автоматически обновлена в Active Directory, идентификаторе Microsoft Entra ID, а также при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra ID.

• Завершение работы сотрудников. При завершении работы сотрудника в SuccessFactors их учетная запись пользователя автоматически отключается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• При повторном выборе сотрудников в SuccessFactors их старая учетная запись может быть автоматически активирована или повторно подготовлена (в зависимости от ваших предпочтений) в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение подготовки пользователей из SuccessFactors в Active Directory идеально подходит для:

• организаций, которым необходимо готовое облачное решение для подготовки пользователей в SuccessFactors;

• организаций, которым требуется прямая подготовка пользователей из SuccessFactors в Active Directory;

• организаций, которые выполняют подготовку пользователей на основе данных, полученных из SuccessFactors Employee Central (EC);

• организаций, которым необходимо синхронизировать процессы присоединения, перемещения и удаления пользователей с одним или несколькими лесами Active Directory, доменами и подразделениями на основе только данных изменений, обнаруженных в SuccessFactors Employee Central (EC);

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:

• Авторитетные Поток данных кадров — от SuccessFactors до локальная служба Active Directory: в этом потоке рабочие события (такие как новые сотрудники, передачи, завершения) сначала происходят в cloud SuccessFactors Employee Central, а затем данные событий передаются в локальная служба Active Directory с помощью идентификатора Microsoft Entra и агента подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.

• Поток обратной записи электронной почты — от локальная служба Active Directory до SuccessFactors: после завершения создания учетной записи в Active Directory он синхронизируется с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение Sync и атрибута электронной почты можно записать обратно в SuccessFactors.

  

Полноценный поток данных пользователей

1. Команда по управлению персоналом выполняет транзакции с работниками (присоединение, перемещение и удаление или наем, перевод и увольнение) в SuccessFactors Employee Central.
2. Служба подготовки Microsoft Entra выполняет запланированные синхронизации удостоверений из EC SuccessFactors и определяет изменения, которые необходимо обрабатывать для синхронизации с локальная служба Active Directory.
3. Служба подготовки Microsoft Entra вызывает локальный агент подготовки Microsoft Entra Подключение Provisioning Agent с полезными данными запроса, содержащими учетную запись AD create/update/enable/disable operations.
4. Агент подготовки Microsoft Entra Подключение использует учетную запись службы для добавления и обновления данных учетной записи AD.
5. Подсистема синхронизации Microsoft Entra Подключение выполняет разностную синхронизацию для извлечения обновлений в AD.
6. Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
7. Если настроено приложение обратной записи в SuccessFactors, оно выполняет обратную запись атрибута электронной почты в SuccessFactors в соответствии с используемым атрибутом.

Планирование развертывания

Для настройки подготовки пользователей с помощью системы управления персоналом в облаке из SuccessFactors в AD требуется основательное планирование, охватывающее следующие аспекты:

• Настройка агента подготовки Microsoft Entra Подключение
• количество развертываемых приложений подготовки пользователей из SuccessFactors в AD;
• идентификатор сопоставления, сопоставление атрибутов, преобразование и фильтры области действия.

Подробные рекомендации по этим темам см. в плане развертывания облачных служб управления персоналом. Сведения о поддерживаемых сущностях, обработке и настройке интеграции для различных сценариев управления персоналом см. в Справочнике по интеграции SAP SuccessFactors.

Настройка SuccessFactors для интеграции

Общим требованием для всех соединителей подготовки SuccessFactors являются учетные данные SuccessFactors с соответствующими разрешениями для вызова API-интерфейсов SuccessFactors OData. В этом разделе описана процедура создания учетной записи службы в SuccessFactors и предоставления соответствующих разрешений.

• Создание или определение учетной записи пользователя API в SuccessFactors
• Создание роли разрешений для API
• Создание группы разрешений для пользователя API
• Предоставление роли разрешений группе разрешений

Создание или определение учетной записи пользователя API в SuccessFactors

Совместно с группой администраторов или партнером по внедрению SuccessFactors создайте или укажите в SuccessFactors учетную запись пользователя, которая будет использоваться для вызова API-интерфейсов OData. Учетные данные пользователя и пароля этой учетной записи потребуются при настройке приложений подготовки в идентификаторе Microsoft Entra.

Создание роли разрешений для API

1. Войдите в SAP SuccessFactors с учетной записью пользователя, имеющего доступ к центру администрирования.

2. Введите в строке поиска Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).

3. В списке ролей разрешений щелкните Create New (Создать).

   

4. Заполните поля Role Name (Имя роли) и Description (Описание) для новой роли разрешений. Имя и описание должны указывать на то, что роль предназначена для разрешений на использование API.

   

5. В разделе Permission settings (Параметры разрешений) щелкните Permission... (Разрешение...), затем прокрутите список разрешений вниз и щелкните Manage Integration Tools (Управление инструментами интеграции). Установите флажок Allow Admin to Access to OData API through Basic Authentication (Разрешить администратору доступ к API-интерфейсу OData с использованием обычной проверки подлинности).

   

6. Прокрутите вниз в том же поле и выберите Employee Central API (API-интерфейс Employee Central). Добавьте разрешения на чтение и изменение с помощью API-интерфейса OData, как показано ниже. Параметр изменения следует выбирать, если вы планируете использовать ту же учетную запись и для сценария обратной записи в SuccessFactors.

   

7. В том же окне разрешений перейдите к пункту User Permissions -> Employee Data (Разрешения пользователей -> Данные о сотрудниках) и проверьте атрибуты, которые учетная запись службы может считывать из арендатора SuccessFactors. Например, чтобы получить из SuccessFactors атрибут Username (Имя пользователя), убедитесь, что для этого атрибута предоставлено разрешение View (Просмотр). Аналогичным образом проверьте каждый атрибут для разрешения на просмотр.

   

   Примечание.

   Полный список атрибутов, полученных этим приложением подготовки, см. в справочнике по атрибутам SuccessFactors.

8. Нажмите кнопку Готово. Щелкните Сохранить изменения.

Создание группы разрешений для пользователя API

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Groups (Управление группами разрешений), а затем среди результатов поиска выберите Manage Permission Groups (Управление группами разрешений).

   

2. В окне Manage permission groups (Управление группами разрешений) щелкните Create New (Создать).

   

3. Добавьте имя новой группы в поле Group Name (Имя группы). Это имя должно указывать на то, что группа предназначена для пользователей API.

   

4. Добавьте членов в группу. Например, в раскрывающемся меню People Pool (Пул пользователей) можно выбрать Username (Имя пользователя), а затем ввести имя пользователя учетной записи API, которая будет использоваться для интеграции.

   

5. Щелкните Done (Готово), чтобы завершить создание группы разрешений.

Предоставление роли разрешений группе разрешений

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).
2. В разделе Permission Role List (Список ролей разрешений) выберите роль, созданную для разрешений на использование API.
3. В разделе "Предоставить эту роль... нажмите кнопку "Добавить... ".
4. В раскрывающемся меню выберите Permission Group... (Группа разрешений...), а затем щелкните Select... (Выбрать...), чтобы открыть окно Groups (Группы) для поиска и выбора созданной ранее группы.

   

5. Просмотрите роль разрешений, предоставленную группе разрешений.

   

6. Щелкните Сохранить изменения.

Настройка подготовки пользователей из SAP SuccessFactors в Active Directory

В этом разделе описаны шаги для подготовки учетных записей пользователей из SuccessFactors в каждом домене Active Directory в области интеграции.

• Добавление приложения соединителя подготовки и скачивание агента подготовки
• Установка и настройка локальных агентов подготовки
• Настройка подключений к SuccessFactors и Active Directory
• Настройка сопоставлений атрибутов
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения соединителя подготовки и скачивание агента подготовки

Чтобы настроить SuccessFactors для подготовки пользователей Active Directory, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

3. Найдите SuccessFactors to Active Directory User Provisioning (Подготовка пользователей SuccessFactors в Active Directory) и добавьте это приложение из коллекции.

4. После добавления приложения и отображения экрана сведений о приложений выберите Подготовка.

5. Для параметра Режим подготовкик работе выберите значение Автоматически.

6. Щелкните информационный баннер, чтобы скачать агент подготовки.

   

Часть 2. Установка и настройка локальных агентов подготовки

Чтобы подготовить локальную службу Active Directory, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к нужным доменам Active Directory.

Перенесите скачанный установщик агента на узел сервера и следуйте инструкциям из раздела об установке агента, чтобы завершить настройку агента.

Часть 3. В приложении подготовки настройте подключение к SuccessFactors и Active Directory

На этом шаге мы устанавливаем подключение к SuccessFactors и Active Directory.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям Identity>Apps Enterprise> SuccessFactors в приложение подготовки пользователей>Active Directory, созданное в части 1

3. В разделе Учетные данные администратора заполните поля следующим образом.

   • Имя пользователя администратора. Введите имя пользователя учетной записи API SuccessFactors, добавив к нему идентификатор компании. Формат: имя_пользователя@идентификатор_компании.

   • Пароль администратора. Введите пароль учетной записи пользователя API SuccessFactors.

   • URL-адрес клиента. Введите имя конечной точки служб API-интерфейса OData для SuccessFactors. Вводить следует только имя узла сервера без http или https. Это значение должно выглядеть так: <api-server-name>.successfactors.com.

   • Лес Active Directory — имя домена Active Directory, зарегистрированное в агенте. В раскрывающемся списке выберите целевой домен для подготовки. Как правило, это строка вида: contoso.com.

   • Контейнер Active Directory — выберите различающееся имя контейнера, в котором агент должен по умолчанию создавать учетные записи пользователей. Пример: OU=Users,DC=contoso,DC=com

     Примечание.

     Этот параметр используется только при создании учетных записей, если в сопоставлениях атрибутов не настроен атрибут parentDistinguishedName. Этот параметр не используется для операций обновления и поиска пользователей. Областью действия операции поиска является все дочернее дерево домена.

   • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

     Примечание.

     Служба подготовки Microsoft Entra отправляет уведомление по электронной почте, если задание подготовки переходит в состояние карантина .

   • Нажмите кнопку Проверить подключение. Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи убедитесь, что учетные данные SuccessFactors и AD, заданные в настройках агента, действительны.

     

   • После успешного сохранения учетных данных в разделе Сопоставления отобразится сопоставление по умолчанию Synchronize SuccessFactors Users to Azure Active Directory (Синхронизировать пользователей SuccessFactors с локальной службой Active Directory).

Часть 4. Настройка сопоставлений атрибутов

В этом разделе описана настройка потоков данных пользователя из SuccessFactors в Active Directory.

1. На вкладке "Подготовка" в разделе Сопоставления щелкните Synchronize Azure Active Directory Users to Workday (Синхронизировать пользователей локальной службы Active Directory с SuccessFactors).

2. В поле Область исходного объекта можно выбрать, какие наборы пользователей в SuccessFactors должны учитываться при подготовке в AD, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в SuccessFactors". Примеры фильтров

   • Пример Охват пользователей с personIdExternal в диапазоне от 1000000 до 2000000 (не включая 2000000)

     • Атрибут: personIdExternal

     • Оператор: REGEX Match

     • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])

   • Пример: только сотрудники, а не временные работники

     • Атрибут: EmployeeID

     • Оператор: IS NOT NULL

   Совет

   При первой настройке приложения подготовки необходимо проверить сопоставления атрибутов и выражения, чтобы получить желаемый результат. Корпорация Майкрософт рекомендует использовать фильтры области в разделе Область исходного объекта для проверки сопоставлений с несколькими тестовыми пользователями из SuccessFactors. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

   Внимание

   Поведение по умолчанию обработчика подготовки заключается в том, чтобы отключить или удалить неподходящих пользователей. Это может быть нежелательно в случае интеграции SuccessFactors с AD. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

3. В поле Действия с целевыми объектами можно в глобальном масштабе отфильтровать, какие действия доступны для выполнения в Active Directory. Самыми распространенными являются создание и обновление.

4. В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты SuccessFactors сопоставляются с атрибутами Active Directory.

   Примечание.

   Полный список атрибутов SuccessFactors, поддерживаемых приложением, см. в справочнике по атрибутам SuccessFactors.

5. Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Прямое — записывает значение атрибута SuccessFactors в атрибут AD без изменений.

     • Константа — записывает статическое постоянное строковое значение в атрибут AD.

     • Выражение — позволяет записывать пользовательское значение в атрибут AD на основании одного или нескольких атрибутов SuccessFactors. Дополнительные сведения см. в статье о выражениях.

   • Исходный атрибут — атрибут пользователя из SuccessFactors.

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление запишет это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в Active Directory.

   • Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между SuccessFactors и Active Directory. Как правило, значение задается в поле идентификатора работника для SuccessFactors, который обычно сопоставляется с одним из атрибутов идентификатора сотрудника в Active Directory.

   • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применить это сопоставление

     • Всегда — применить это сопоставление как при создании, так и при обновлении пользователей

     • Только при создании — применить это сопоставление только при создании пользователей

6. Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".

Завершив настройку сопоставления атрибутов, можно протестировать подготовку по требованию для одного пользователя, а затем включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений для подготовки SuccessFactors и проверки подготовки для одного пользователя с подготовкой по запросу можно включить службу подготовки.

Совет

По умолчанию при включении службы подготовки она инициализирует операции подготовки для всех пользователей в области. При наличии ошибок в сопоставлении или проблем с данными SuccessFactors задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуем настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями с помощью подготовки по требованию перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

1. Перейдите в колонку Подготовка и щелкните Начать подготовку.

2. Будет запущена начальная синхронизация, которая может занять несколько часов в зависимости от количества пользователей в клиенте SuccessFactors. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.

3. В любой момент можно проверить вкладку Журналы аудита на портале Azure, чтобы узнать, какие действия выполнила служба подготовки. В журналах аудита перечислены все отдельные события синхронизации, выполняемые службой подготовки, например, какие пользователи считываются из SuccessFactors и впоследствии будут добавлены или обновлены в Active Directory.

4. После завершения первичной синхронизации на вкладке Подготовка будет создан сводный отчет аудита, как показано ниже.

   

Следующие шаги

• Сведения о поддерживаемых атрибутах SuccessFactors для входящей подготовки
• Сведения о настройке обратной записи электронной почты в SuccessFactors
• Сведения о просмотре журналов и получении отчетов о действиях по подготовке
• Узнайте, как настроить единый вход между SuccessFactors и идентификатором Microsoft Entra
• Узнайте, как интегрировать другие приложения SaaS с идентификатором Microsoft Entra
• Узнайте, как экспортировать и импортировать конфигурации подготовки.