Kurz: Konfigurace SAP SuccessFactors pro zřizování uživatelů Microsoft Entra

Cílem tohoto kurzu je ukázat kroky, které potřebujete k tomu, abyste zřídili data pracovních procesů z SuccessFactors Employee Central do Microsoft Entra ID s volitelným zpětným zápisem e-mailové adresy do SuccessFactors.

Poznámka:

Tento kurz použijte, pokud uživatelé, které chcete zřídit z SuccessFactors, jsou výhradně cloudoví uživatelé, kteří nepotřebují místní účet AD. Pokud uživatelé vyžadují jenom místní účet AD nebo účet AD i Microsoft Entra, projděte si kurz konfigurace SAP SuccessFactors pro zřizování uživatelů služby Active Directory .

Následující video obsahuje rychlý přehled kroků, které se týkají plánování integrace zřizování se SAP SuccessFactors.

Přehled

Služba zřizování uživatelů Microsoft Entra se integruje s Centrem zaměstnanců SuccessFactors, aby bylo možné spravovat životní cyklus identit uživatelů.

Pracovní postupy zřizování uživatelů SuccessFactors podporované službou zřizování uživatelů Microsoft Entra umožňují automatizaci následujících scénářů správy lidských zdrojů a životního cyklu identit:

• Nábor nových zaměstnanců – Když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra s zpětným zápisem e-mailové adresy do SuccessFactors.

• Aktualizace atributu a profilu zaměstnance – Při aktualizaci záznamu zaměstnance v SuccessFactors (například jméno, titul nebo manažer) se jeho uživatelský účet automaticky aktualizuje Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra ID.

• Ukončení zaměstnance – Když je zaměstnanec ukončen v SuccessFactors, jeho uživatelský účet se automaticky zakáže v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované Microsoft Entra ID.

• Zaměstnanec se znovu najímá – pokud je zaměstnanec znovu najal v SuccessFactors, může se jeho starý účet automaticky znovu aktivovat nebo znovu zřídit (podle vašeho preference) pro Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra.

Pro koho je toto řešení zřizování uživatelů nejvhodnější?

Tento nástroj SuccessFactors pro řešení zřizování uživatelů Microsoft Entra je ideální pro:

• Organizace, které chtějí předem připravené cloudové řešení pro zřizování uživatelů SuccessFactors, včetně organizací, které naplňují SuccessFactors ze SAP HCM pomocí sap Integration Suite

• Organizace, které nasadí Microsoft Entra pro zřizování uživatelů pomocí zdrojových a cílových aplikací SAP, pomocí Microsoft Entra nastaví identity pro pracovníky, aby se mohli přihlásit k jedné nebo několika aplikacím SAP, jako je SAP ECC nebo SAP S/4HANA, a volitelně i k aplikacím, které nejsou sap

• Organizace, které vyžadují přímé zřizování uživatelů z SuccessFactors na ID Microsoft Entra, ale nevyžadují, aby tito uživatelé byli také ve Službě Windows Server Active Directory.

• Organizace, které vyžadují, aby uživatelé byli zřízeni pomocí dat získaných z Centra zaměstnanců SuccessFactors (EC)

• Organizace používající Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu řešení zřizování koncových uživatelů pouze pro uživatele cloudu. Existují dva související toky:

• Autoritativní personální Tok dat – od SuccessFactors do Microsoft Entra ID: V těchto událostech pracovního procesu toku (například New Hires, Transfers, Terminations) se nejprve vyskytují v cloudu SuccessFactors Employee Central a pak data událostí proudí do Microsoft Entra ID. V závislosti na události může dojít k vytvoření, aktualizaci, povolení nebo zakázání operací v MICROSOFT Entra ID.

• Tok zpětného zápisu e-mailu – z ID Microsoft Entra do SuccessFactors: Po dokončení vytváření účtu v Microsoft Entra ID se hodnota atributu e-mailu nebo hlavní název uživatele vygenerovaný v Microsoft Entra ID může zapsat zpět do SuccessFactors.

  

Tok dat koncových uživatelů

1. Tým personálního oddělení provádí pracovní transakce (Joiners, Movers/Leavers nebo New Hires/Transfers/Terminations) v Centru zaměstnanců SuccessFactors.
2. Služba zřizování Microsoft Entra spouští naplánované synchronizace identit z EC SuccessFactors a identifikuje změny, které je potřeba zpracovat pro synchronizaci s ID Microsoft Entra.
3. Služba zřizování Microsoft Entra určuje změnu a vyvolá operaci create/update/enable/disable pro uživatele v MICROSOFT Entra ID.
4. Pokud je aplikace SuccessFactors Writeback nakonfigurovaná, e-mailová adresa uživatele se načte z ID Microsoft Entra.
5. Služba zřizování Microsoft Entra zapisuje zpět atribut e-mailu do SuccessFactors na základě použitého odpovídajícího atributu.

Plánování nasazení

Konfigurace zřizování uživatelů řízených cloudovým personálním oddělením od SuccessFactors do Microsoft Entra ID vyžaduje značné plánování různých aspektů, jako jsou:

• Určení odpovídajícího ID
• Mapování atributů
• Transformace atributů
• Filtry oborů

Podrobné pokyny k těmto tématům najdete v plánu nasazení hr v cloudu. Informace o podporovaných entitách, zpracování podrobností a přizpůsobení integrace pro různé scénáře personálního oddělení najdete v referenčních informacích k integraci SAP SuccessFactors.

Konfigurace SuccessFactors pro integraci

Běžným požadavkem všech konektorů zřizování SuccessFactors je, že vyžadují přihlašovací údaje účtu SuccessFactors se správnými oprávněními k vyvolání rozhraní API OData SuccessFactors. Tato část popisuje postup vytvoření účtu služby v SuccessFactors a udělení odpovídajících oprávnění.

• Vytvoření nebo identifikace uživatelského účtu rozhraní API v SuccessFactors
• Vytvoření role oprávnění rozhraní API
• Vytvoření skupiny oprávnění pro uživatele rozhraní API
• Udělení role oprávnění skupině oprávnění

Vytvoření nebo identifikace uživatelského účtu rozhraní API v SuccessFactors

Ve spolupráci s týmem pro správu SuccessFactors nebo implementačním partnerem vytvořte nebo identifikujte uživatelský účet v SuccessFactors pro vyvolání rozhraní API OData. Uživatelské jméno a heslo pro tento účet se vyžadují při konfiguraci zřizovacích aplikací v MICROSOFT Entra ID.

Vytvoření role oprávnění rozhraní API

1. Přihlaste se k SAP SuccessFactors pomocí uživatelského účtu, který má přístup k Centru pro správu.

2. Vyhledejte spravovat role oprávnění a pak ve výsledcích hledání vyberte Spravovat role oprávnění.

3. V seznamu rolí oprávnění klikněte na Vytvořit nový.

   

4. Přidejte název a popis role pro novou roli oprávnění. Název a popis by měl indikovat, že role je určená pro oprávnění k používání rozhraní API.

5. V části Nastavení oprávnění klikněte na Oprávnění..., posuňte se dolů seznam oprávnění a klikněte na Spravovat integrační nástroje. Zaškrtněte políčko Povolit správci přístup k rozhraní OData API prostřednictvím základního ověřování.

   

6. Posuňte se dolů ve stejném poli a vyberte rozhraní API Centrálního zaměstnance. Přidejte oprávnění, jak je znázorněno níže, abyste mohli číst pomocí rozhraní API ODATA a upravovat pomocí rozhraní ODATA API. Tuto možnost vyberte, pokud plánujete použít stejný účet pro scénář zpětného zápisu do SuccessFactors.

   

7. Ve stejném poli oprávnění přejděte na Uživatelská oprávnění –> Data zaměstnanců a zkontrolujte atributy, které může účet služby číst z tenanta SuccessFactors. Pokud chcete například načíst atribut Username z SuccessFactors, ujistěte se, že pro tento atribut je uděleno oprávnění Zobrazit. Podobně zkontrolujte každý atribut pro oprávnění zobrazení.

   

   Poznámka:

   Úplný seznam atributů načtených touto aplikací pro zřizování najdete v referenčních informacích k atributům SuccessFactors.

8. Klikněte na Hotovo. Klikněte na Save Changes (Uložit změny).

Vytvoření skupiny oprávnění pro uživatele rozhraní API

1. V Centru pro správu SuccessFactors vyhledejte spravovat skupiny oprávnění a pak ve výsledcích hledání vyberte Spravovat skupiny oprávnění.

   

2. V okně Spravovat skupiny oprávnění klikněte na Vytvořit nový.

   

3. Přidejte název skupiny pro novou skupinu. Název skupiny by měl znamenat, že skupina je určená pro uživatele rozhraní API.

   

4. Přidejte členy do skupiny. Můžete například vybrat uživatelské jméno z rozevírací nabídky Fond osob a pak zadat uživatelské jméno účtu rozhraní API, které se použije pro integraci.

   

5. Kliknutím na Tlačítko Hotovo dokončete vytváření skupiny oprávnění.

Udělení role oprávnění skupině oprávnění

1. V Centru pro správu SuccessFactors vyhledejte spravovat role oprávnění a pak ve výsledcích hledání vyberte Spravovat role oprávnění.
2. V seznamu rolí oprávnění vyberte roli, kterou jste vytvořili pro oprávnění k používání rozhraní API.
3. V části Udělit této roli... klikněte na tlačítko Přidat...
4. Vyberte skupinu oprávnění... z rozevírací nabídky a potom kliknutím na tlačítko Vybrat... otevřete okno Skupiny a vyhledejte a vyberte skupinu vytvořenou výše.
5. Zkontrolujte udělení role oprávnění skupině oprávnění.
6. Klikněte na Save Changes (Uložit změny).

Konfigurace zřizování uživatelů z SuccessFactors na ID Microsoft Entra

Tato část obsahuje kroky pro zřizování uživatelských účtů z SuccessFactors na ID Microsoft Entra.

• Přidání aplikace zřizovacího konektoru a konfigurace připojení k SuccessFactors
• Konfigurace mapování atributů
• Povolení a spuštění zřizování uživatelů

Část 1: Přidání aplikace zřizovacího konektoru a konfigurace připojení k SuccessFactors

Konfigurace SuccessFactors pro zřizování Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.

3. Vyhledejte successFactors pro zřizování uživatelů Microsoft Entra a přidejte ji z galerie.

4. Po přidání aplikace a zobrazení obrazovky s podrobnostmi o aplikaci vyberte Zřizování.

5. Změna režimu zřizování na automatické

6. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

   • Uživatelské jméno správce – Zadejte uživatelské jméno uživatelského účtu rozhraní API SuccessFactors s připojeným ID společnosti. Má formát: username@companyID

   • Heslo správce – Zadejte heslo uživatelského účtu rozhraní API SuccessFactors.

   • Adresa URL tenanta – Zadejte název koncového bodu služby rozhraní SUCCESSFactors OData API. Zadejte pouze název hostitele serveru bez http nebo https. Tato hodnota by měla vypadat takto: api-server-name.successfactors.com.

   • E-mail s oznámením – Zadejte svoji e-mailovou adresu a zaškrtněte políčko Odeslat e-mail, pokud dojde k selhání.

   Poznámka:

   Služba zřizování Microsoft Entra odešle e-mailové oznámení, pokud úloha zřizování přejde do stavu karantény .

   • Klikněte na tlačítko Test připojení . Pokud test připojení proběhne úspěšně, klikněte v horní části na tlačítko Uložit . Pokud selže, pečlivě zkontrolujte platnost přihlašovacích údajů a adresy URL SuccessFactors.

   • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizovat uživatele SuccessFactors na Microsoft Entra ID.

Část 2: Konfigurace mapování atributů

V této části nakonfigurujete, jak uživatelská data proudí z SuccessFactors do Microsoft Entra ID.

1. Na kartě Zřizování v části Mapování klikněte na synchronizovat uživatele SuccessFactors s Microsoft Entra ID.

2. V poli Obor zdrojového objektu můžete vybrat, které sady uživatelů v SuccessFactors by měly být v oboru pro zřizování pro Microsoft Entra ID definováním sady filtrů založených na atributech. Výchozí obor je "všichni uživatelé v SuccessFactors". Ukázkové filtry:

   • Příklad: Rozsah pro uživatele s personIdExternal mezi 1000000 a 2000000 (s výjimkou 20000000)

     • Atribut: personIdExternal

     • Operátor: Shoda REGEX

     • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Příklad: Pouze zaměstnanci a ne podmínění pracovníci

     • Atribut: EmployeeID

     • Operátor: IS NOT NULL

   Tip

   Když aplikaci zřizování konfigurujete poprvé, budete muset otestovat a ověřit mapování atributů a výrazy, abyste měli jistotu, že vám poskytne požadovaný výsledek. Microsoft doporučuje použít filtry oborů v oboru zdrojového objektu k otestování mapování s několika testovacími uživateli z SuccessFactors. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

   Upozornění

   Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří vyjdou mimo rozsah. To nemusí být žádoucí v integraci Microsoft Entra v SuccessFactors. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

3. V poli Akce cílového objektu můžete globálně filtrovat, jaké akce se provádějí v ID Microsoft Entra. Nejběžnější jsou vytváření a aktualizace .

4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy SuccessFactors mapují na atributy Microsoft Entra.

   Poznámka:

   Úplný seznam atributů SuccessFactors podporovaných aplikací najdete v referenčních informacích k atributu SuccessFactors.

5. Kliknutím na existující mapování atributů ho aktualizujte nebo kliknutím na přidat nové mapování v dolní části obrazovky přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

   • Typ mapování

     • Direct – Zapíše hodnotu atributu SuccessFactors atributu Microsoft Entra beze změn.

     • Konstanta – zápis statické hodnoty řetězce konstanty do atributu Microsoft Entra

     • Výraz – umožňuje napsat vlastní hodnotu do atributu Microsoft Entra na základě jednoho nebo více atributů SuccessFactors. Další informace najdete v tomto článku o výrazech.

   • Atribut zdroje – atribut uživatele z SuccessFactors

   • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, mapování místo toho zapíše tuto hodnotu. Nejběžnější konfigurací je ponechat tuto prázdnou hodnotu.

   • Cílový atribut – atribut uživatele v Microsoft Entra ID.

   • Porovná objekty používající tento atribut – zda se toto mapování má použít k jedinečné identifikaci uživatelů mezi SuccessFactors a Microsoft Entra ID. Tato hodnota je obvykle nastavena na pole ID pracovního procesu pro SuccessFactors, což je obvykle namapováno na jeden z atributů ID zaměstnance v Microsoft Entra ID.

   • Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy.

   • Použít toto mapování

     • Vždy – Použít toto mapování na akce vytváření uživatelů i aktualizace

     • Pouze během vytváření – Použít toto mapování pouze u akcí vytváření uživatelů

6. Mapování uložíte kliknutím na Uložit v horní části oddílu Mapování atributů.

Po dokončení konfigurace mapování atributů teď můžete povolit a spustit službu zřizování uživatelů.

Povolení a spuštění zřizování uživatelů

Po dokončení konfigurace aplikace zřizování SuccessFactors můžete zapnout službu zřizování.

Tip

Když službu zřizování zapnete, ve výchozím nastavení zahájí operace zřizování pro všechny uživatele v oboru. Pokud dojde k chybám v mapování nebo problémech s daty SuccessFactors, může úloha zřizování selhat a přejít do stavu karantény. Abyste tomu předešli, doporučujeme před spuštěním úplné synchronizace pro všechny uživatele nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli. Jakmile ověříte, že mapování funguje a dává vám požadované výsledky, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

1. Na kartě Zřizování nastavte stav zřizování na Zapnuto.

2. Klikněte na Uložit.

3. Tato operace spustí počáteční synchronizaci, která může trvat proměnlivý počet hodin v závislosti na tom, kolik uživatelů je v tenantovi SuccessFactors. Indikátor průběhu můžete zkontrolovat a sledovat průběh cyklu synchronizace.

4. Kdykoli zkontrolujte kartu Zřizování v Centru pro správu Entra a zjistěte, jaké akce služba zřizování provedla. Protokoly zřizování obsahují seznam všech jednotlivých synchronizačních událostí provedených službou zřizování, například které uživatelé čtou z SuccessFactors a následně se přidají nebo aktualizují na ID Microsoft Entra.

5. Po dokončení počáteční synchronizace zapíše souhrnnou sestavu auditu na kartě Zřizování , jak je znázorněno níže.

   

Další kroky

• Další informace o podporovaných atributech SuccessFactors pro příchozí zřizování
• Informace o konfiguraci zpětného zápisu e-mailu do SuccessFactors
• Zjistěte, jak procházet protokoly a získat sestavy aktivit zřizování.
• Zjistěte, jak integrovat další aplikace SaaS s Microsoft Entra ID.