Sdílet prostřednictvím


Konfigurace SAP SuccessFactors pro zřizování uživatelů Microsoft Entra

Cílem tohoto článku je ukázat kroky, které je potřeba provést při zřizování dat zaměstnanců z SuccessFactors Employee Central do Microsoft Entra ID s volitelným zpětným zápisem e-mailové adresy do SuccessFactors.

Poznámka:

Tento článek použijte, pokud uživatelé, které chcete zřídit z SuccessFactors, jsou výhradně cloudoví uživatelé, kteří nepotřebují místní účet AD. Pokud uživatelé vyžadují jenom místní účet AD nebo účet AD i Microsoft Entra, přečtěte si článek o konfiguraci SAP SuccessFactors pro službu Active Directory zřizování uživatelů.

Následující video poskytuje rychlý přehled kroků zahrnujících plánování integrace nasazení se SAP SuccessFactors.

Přehled

Služba zřizování uživatelů Microsoft Entra se integruje s Centrem zaměstnanců SuccessFactors, aby bylo možné spravovat životní cyklus identit uživatelů.

Pracovní postupy zřizování uživatelů SuccessFactors podporované službou zřizování uživatelů Microsoft Entra umožňují automatizaci následujících scénářů správy lidských zdrojů a životního cyklu identit:

  • Nábor nových zaměstnanců – Když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra s zpětným zápisem e-mailové adresy do SuccessFactors.

  • Aktualizace atributu a profilu zaměstnance – Při aktualizaci záznamu zaměstnance v SuccessFactors (například jméno, titul nebo manažer) se jeho uživatelský účet automaticky aktualizuje Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra ID.

  • Ukončení zaměstnance – Když je zaměstnanec ukončen v SuccessFactors, jeho uživatelský účet se automaticky zakáže v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované Microsoft Entra ID.

  • Zaměstnanec se znovu najímá – pokud je zaměstnanec znovu najat v SuccessFactors, může být jeho starý účet automaticky znovu aktivován nebo znovu zřízen (podle vaší preference) pro Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované Microsoft Entra ID.

Pro koho je toto řešení zřizování uživatelů nejvhodnější?

Toto řešení SuccessFactors pro zřizování uživatelů v Microsoft Entra je ideální pro:

  • Organizace, které chtějí předem připravené cloudové řešení pro zřizování uživatelů SuccessFactors, včetně organizací, které naplňují SuccessFactors ze SAP HCM pomocí sap Integration Suite

  • Organizace, které nasadí Microsoft Entra pro zřizování uživatelů pomocí zdrojových a cílových aplikací SAP, pomocí Microsoft Entra nastaví identity pro pracovníky, aby se mohli přihlásit k jedné nebo několika aplikacím SAP, jako je SAP ECC nebo SAP S/4HANA, a volitelně i k aplikacím, které nejsou sap

  • Organizace, které vyžadují přímé zřizování uživatelů z SuccessFactors na ID Microsoft Entra, ale nevyžadují, aby tito uživatelé byli také ve Službě Windows Server Active Directory.

  • Organizace, které vyžadují, aby uživatelé byli vytvořeni pomocí dat získaných z SuccessFactors Employee Central (EC)

  • Organizace používající Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu komplexního řešení zřizování uživatelů, kteří jsou výhradně uživateli cloudu. Existují dva související toky:

  • Autoritativní tok personálních dat – od SuccessFactors do Microsoft Entra ID: V tomto toku probíhají pracovní události (například nové zaměstnance, přesuny, ukončení pracovního poměru) nejprve v cloudu SuccessFactors Employee Central a poté jsou data těchto událostí přenášena do Microsoft Entra ID. V závislosti na události může dojít k vytvoření, aktualizaci, povolení nebo zakázání operací v MICROSOFT Entra ID.

  • Tok zpětného zápisu e-mailu – z Microsoft Entra ID do SuccessFactors: Po dokončení vytvoření účtu v Microsoft Entra ID lze hodnotu atributu e-mailu nebo UPN vygenerovanou v Microsoft Entra ID zapsat zpět do SuccessFactors.

    Přehled

Tok dat koncových uživatelů

  1. Tým personálního oddělení provádí pracovní transakce (Joiners, Movers/Leavers nebo New Hires/Transfers/Terminations) v Centru zaměstnanců SuccessFactors.
  2. Služba zřizování Microsoft Entra spouští naplánované synchronizace identit z EC SuccessFactors a identifikuje změny, které je potřeba zpracovat pro synchronizaci s ID Microsoft Entra.
  3. Služba zřizování Microsoft Entra určuje, které změny se mají provést, a vyvolá operaci vytvoření/aktualizace/povolení/deaktivace pro uživatele v Microsoft Entra ID.
  4. Pokud je aplikace SuccessFactors Writeback nakonfigurovaná, e-mailová adresa uživatele se načte z ID Microsoft Entra.
  5. Služba zřizování Microsoft Entra zapisuje zpět atribut e-mailu do SuccessFactors na základě použitého odpovídajícího atributu.

Plánování nasazení

Konfigurace zřizování uživatelů řízených cloudovým personálním oddělením od SuccessFactors do Microsoft Entra ID vyžaduje značné plánování různých aspektů, jako jsou:

  • Určení odpovídajícího ID
  • Mapování atributů
  • Transformace atributů
  • Filtry rozsahu

Podrobné pokyny k těmto tématům najdete v plánu nasazení HR v cloudu. Informace o podporovaných entitách, zpracování podrobností a přizpůsobení integrace pro různé scénáře personálního oddělení najdete v referenčních informacích k integraci SAP SuccessFactors.

Konfigurace SuccessFactors pro integraci

Běžným požadavkem všech konektorů pro zřizování v SuccessFactors je to, že vyžadují přihlašovací údaje k účtu SuccessFactors s odpovídajícími oprávněními pro využití OData API rozhraní SuccessFactors. Tato část popisuje postup vytvoření účtu služby v SuccessFactors a udělení odpovídajících oprávnění.

Vytvoření nebo identifikace uživatelského účtu rozhraní API v SuccessFactors

Ve spolupráci s týmem pro správu SuccessFactors nebo implementačním partnerem vytvořte nebo identifikujte uživatelský účet v SuccessFactors pro vyvolání rozhraní API OData. Uživatelské jméno a heslo pro tento účet se vyžadují při konfiguraci zřizovacích aplikací v MICROSOFT Entra ID.

Vytvoření role oprávnění rozhraní API

  1. Přihlaste se k SAP SuccessFactors pomocí uživatelského účtu, který má přístup k Centru pro správu.

  2. Vyhledejte Spravovat role oprávnění, a poté ve výsledcích hledání vyberte Spravovat role oprávnění. Spravovat role oprávnění

  3. V seznamu rolí oprávnění klikněte na Vytvořit nový.

    Vytvoření nové role oprávnění

  4. Přidejte název a popis role pro novou roli oprávnění. Název a popis by měl indikovat, že role je určená pro oprávnění k používání rozhraní API.

  5. V části Nastavení oprávnění klikněte na Oprávnění..., posuňte se dolů seznam oprávnění a klikněte na Spravovat integrační nástroje. Zaškrtněte políčko Povolit správci přístup k rozhraní OData API prostřednictvím základního ověřování.

    Správa integračních nástrojů

  6. Posuňte se dolů ve stejném poli a vyberte Employee Central API. Přidejte oprávnění, jak je znázorněno níže, abyste mohli číst pomocí rozhraní API ODATA a upravovat pomocí rozhraní ODATA API. Tuto možnost vyberte, pokud plánujete použít stejný účet pro scénář zpětného zápisu do SuccessFactors.

    Oprávnění ke čtení zápisu

  7. Ve stejném poli oprávnění přejděte na Uživatelská oprávnění –> Data zaměstnanců a zkontrolujte atributy, které může účet služby číst z tenanta SuccessFactors. Pokud chcete například načíst atribut Username z SuccessFactors, ujistěte se, že pro tento atribut je uděleno oprávnění Zobrazit. Podobně zkontrolujte každý atribut pro oprávnění zobrazení.

    Oprávnění k datům zaměstnanců

    Poznámka:

    Úplný seznam atributů načtených touto aplikační platformou najdete v referenci atributů SuccessFactors.

  8. Klikněte na Hotovo. Klikněte na Save Changes (Uložit změny).

Vytvoření skupiny oprávnění pro uživatele rozhraní API

  1. V Centru pro správu SuccessFactors vyhledejte spravovat skupiny oprávnění a pak ve výsledcích hledání vyberte Spravovat skupiny oprávnění.

    Správa skupin oprávnění

  2. V okně Spravovat skupiny oprávnění klikněte na Vytvořit nový.

    Přidat novou skupinu

  3. Přidejte název skupiny pro novou skupinu. Název skupiny by měl znamenat, že skupina je určená pro uživatele rozhraní API.

    Název skupiny oprávnění

  4. Přidejte členy do skupiny. Můžete například vybrat uživatelské jméno z rozevírací nabídky Fond osob a pak zadat uživatelské jméno účtu rozhraní API, které se použije pro integraci.

    Přidat členy skupiny

  5. Kliknutím na Tlačítko Hotovo dokončete vytváření skupiny oprávnění.

Přiřazení role oprávnění ke skupině oprávnění

  1. V Centru pro správu SuccessFactors vyhledejte Správa rolí oprávnění a pak ve výsledcích hledání vyberte Správa rolí oprávnění.
  2. V seznamu rolí oprávnění vyberte roli, kterou jste vytvořili pro oprávnění k používání rozhraní API.
  3. V části Pro udělení této role... klikněte na tlačítko Přidat...
  4. Vyberte skupinu oprávnění... z rozevírací nabídky a potom kliknutím na tlačítko Vybrat... otevřete okno Skupiny a vyhledejte a vyberte skupinu vytvořenou výše.
  5. Zkontrolujte udělení role oprávnění ve skupině oprávnění.
  6. Klikněte na Save Changes (Uložit změny).

Konfigurace zřizování uživatelů z SuccessFactors na ID Microsoft Entra

Tato část obsahuje kroky pro zřizování uživatelských účtů z SuccessFactors na ID Microsoft Entra.

Část 1: Přidání aplikace zřizovacího konektoru a konfigurace připojení k SuccessFactors

Jak nakonfigurovat SuccessFactors pro zřizování pomocí Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k Identita>Aplikace>Podnikové aplikace>Nová aplikace.

  3. Vyhledejte SuccessFactors pro zřizování uživatelů v rámci Microsoft Entra a přidejte tuto aplikaci z galerie.

  4. Po přidání aplikace a zobrazení obrazovky s podrobnostmi o aplikaci vyberte Zřizování.

  5. Změňte režim zřizování na automatický

  6. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

    • Uživatelské jméno správce – Zadejte uživatelské jméno uživatelského účtu rozhraní API SuccessFactors s připojeným ID společnosti. Má formát: username@companyID

    • Heslo správce – Zadejte heslo uživatelského účtu rozhraní API SuccessFactors.

    • Adresa URL tenanta – Zadejte název koncového bodu služby rozhraní SUCCESSFactors OData API. Zadejte pouze název hostitele serveru bez http nebo https. Tato hodnota by měla vypadat takto: api-server-name.successfactors.com.

    • E-mail s oznámením – Zadejte svoji e-mailovou adresu a zaškrtněte políčko Odeslat e-mail, pokud dojde k selhání.

    Poznámka:

    Služba zřizování systému Microsoft Entra odešle e-mailové oznámení, pokud úloha zřizování přejde do stavu karantény.

    • Klikněte na tlačítko Test připojení . Pokud test připojení proběhne úspěšně, klikněte v horní části na tlačítko Uložit . Pokud selže, pečlivě zkontrolujte platnost přihlašovacích údajů a adresy URL SuccessFactors.

    • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizovat uživatele SuccessFactors na Microsoft Entra ID.

Část 2: Konfigurace mapování atributů

V této části nakonfigurujete, jak uživatelská data proudí z SuccessFactors do Microsoft Entra ID.

  1. Na kartě Zřizování v části Mapování klikněte na Synchronizovat uživatele SuccessFactors s Microsoft Entra ID.

  2. V poli Obor zdrojového objektu můžete vybrat, které sady uživatelů v SuccessFactors by měly být v oboru pro zřizování pro Microsoft Entra ID definováním sady filtrů založených na atributech. Výchozí obor je "všichni uživatelé v SuccessFactors". Ukázkové filtry:

    • Příklad: Rozsah pro uživatele s personIdExternal mezi 1000000 a 2000000 (s výjimkou 20000000)

      • Atribut: personIdExternal

      • Operátor: Shoda REGEX

      • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Příklad: Pouze zaměstnanci a ne podmínění pracovníci

      • Atribut: EmployeeID

      • Operátor: IS NOT NULL (není prázdný)

    Tip

    Když aplikaci pro zřizování konfigurujete poprvé, budete muset otestovat a zkontrolovat mapování atributů a výrazů, abyste měli jistotu, že vám poskytne požadovaný výsledek. Microsoft doporučuje použít filtry určení v rámci zdrojového objektu k otestování mapování s některými testovacími uživateli z SuccessFactors. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

    Upozornění

    Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří vyjdou mimo rozsah. To nemusí být žádoucí v integraci Microsoft Entra v SuccessFactors. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

  3. V poli Akce cílového objektu můžete globálně filtrovat, jaké akce se provádějí v ID Microsoft Entra. Nejběžnější jsou vytváření a aktualizace .

  4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy SuccessFactors mapují na atributy Microsoft Entra.

    Poznámka:

    Úplný seznam atributů SuccessFactors podporovaných aplikací najdete v referenčních informacích k atributu SuccessFactors.

  5. Kliknutím na existující mapování atributů ho aktualizujte nebo kliknutím na přidat nové mapování v dolní části obrazovky přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

    • Typ mapování

      • Direct – Zapíše hodnotu atributu SuccessFactors atributu Microsoft Entra beze změn.

      • Konstanta – zápis statické hodnoty řetězce konstanty do atributu Microsoft Entra

      • Výraz – Umožňuje zadat vlastní hodnotu do atributu Microsoft Entra vycházejícího z jednoho nebo více atributů SuccessFactors. Další informace najdete v tomto článku o výrazech.

    • Atribut zdroje – atribut uživatele z SuccessFactors

    • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, mapování místo toho zapíše tuto hodnotu. Nejběžnější konfigurací je ponechat tuto prázdnou hodnotu.

    • Cílový atribut – atribut uživatele v Microsoft Entra ID.

    • Porovná objekty používající tento atribut – zda se toto mapování má použít k jedinečné identifikaci uživatelů mezi SuccessFactors a Microsoft Entra ID. Tato hodnota je obvykle nastavena na pole ID pracovníka pro SuccessFactors, které je zpravidla namapováno na jeden z atributů ID zaměstnance v Microsoft Entra ID.

    • Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy.

    • Použít toto mapování

      • Vždy – Použít toto mapování na akce vytváření uživatelů i aktualizace

      • Pouze během vytváření – Použít toto mapování pouze u akcí vytváření uživatelů

  6. Mapování uložíte kliknutím na Uložit v horní části oddílu Mapování atributů.

Po dokončení konfigurace mapování atributů teď můžete povolit a spustit službu zřizování uživatelů.

Povolení a spuštění zřizování uživatelů

Po dokončení konfigurace aplikace zřizování SuccessFactors můžete zapnout službu zřizování.

Tip

Když službu zřizování zapnete, ve výchozím nastavení zahájí operace zřizování pro všechny uživatele v oboru. Pokud dojde k chybám v mapování nebo problémech s daty SuccessFactors, může úloha zřizování selhat a přejít do stavu karantény. Abyste tomu předešli, doporučujeme před spuštěním úplné synchronizace pro všechny uživatele nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli. Jakmile ověříte, že mapování funguje a dává vám požadované výsledky, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

  1. Na kartě Zřizování nastavte Stav zřizování na Zapnuto.

  2. Klikněte na Uložit.

  3. Tato operace spustí počáteční synchronizaci, která může trvat proměnlivý počet hodin v závislosti na tom, kolik uživatelů je v tenantovi SuccessFactors. Indikátor průběhu můžete zkontrolovat a sledovat průběh cyklu synchronizace.

  4. Kdykoli zkontrolujte kartu Zřizování v Centru pro správu Entra a zjistěte, jaké akce služba zřizování provedla. Protokol zřizování obsahuje seznam všech jednotlivých synchronizačních událostí provedených službou zřizování, například které uživatele čtou z SuccessFactors a následně se přidávají nebo aktualizují do Microsoft Entra ID.

  5. Po dokončení počáteční synchronizace zapíše přehled auditu na kartě Zřizování, jak je znázorněno níže.

    Indikátor průběhu zřizování