Sdílet prostřednictvím


Kurz: Konfigurace SAP SuccessFactors pro zřizování uživatelů služby Active Directory

Cílem tohoto kurzu je ukázat kroky, které je potřeba provést při zřizování uživatelů z Centra zaměstnanců SuccessFactors do služby Active Directory (AD) a Microsoft Entra ID s volitelným zpětným zápisem e-mailové adresy do SuccessFactors.

Poznámka:

Tento kurz použijte, pokud uživatelé, které chcete zřídit z SuccessFactors, potřebují místní účet AD a volitelně účet Microsoft Entra. Pokud uživatelé z SuccessFactors potřebují jenom účet Microsoft Entra (výhradně cloudoví uživatelé), projděte si kurz konfigurace SAP SuccessFactors na zřizování uživatelů Microsoft Entra ID .

Následující video obsahuje rychlý přehled kroků, které se týkají plánování integrace zřizování se SAP SuccessFactors.

Přehled

Služba zřizování uživatelů Microsoft Entra se integruje s Centrem zaměstnanců SuccessFactors, aby bylo možné spravovat životní cyklus identit uživatelů.

Pracovní postupy zřizování uživatelů SuccessFactors podporované službou zřizování uživatelů Microsoft Entra umožňují automatizaci následujících scénářů správy lidských zdrojů a životního cyklu identit:

  • Nábor nových zaměstnanců – když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra s zpětným zápisem e-mailové adresy do SuccessFactors.

  • Aktualizace atributu a profilu zaměstnance – Když se záznam zaměstnance aktualizuje v SuccessFactors (například jméno, titul nebo manažer), uživatelský účet se automaticky aktualizuje ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikacíCh SaaS podporovaných ID Microsoft Entra.

  • Ukončení zaměstnance – Když je zaměstnanec ukončen v SuccessFactors, jeho uživatelský účet se automaticky zakáže ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných ID Microsoft Entra.

  • Zaměstnanec znovu přijme zaměstnance – když je zaměstnanec znovu najal v SuccessFactors, může se jeho starý účet automaticky znovu aktivovat nebo znovu zřídit (v závislosti na vašich preferencích) ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných id Microsoft Entra.

Pro koho je toto řešení zřizování uživatelů nejvhodnější?

Toto řešení pro zřizování uživatelů služby Active Directory je ideální pro:

  • Organizace, které chtějí předem připravené cloudové řešení pro zřizování uživatelů SuccessFactors, včetně organizací, které naplňují SuccessFactors ze SAP HCM pomocí sap Integration Suite

  • Organizace, které nasadí Microsoft Entra pro zřizování uživatelů pomocí zdrojových a cílových aplikací SAP, pomocí Microsoft Entra nastaví identity pro pracovníky, aby se mohli přihlásit k jedné nebo několika aplikacím SAP, jako je SAP ECC nebo SAP S/4HANA, a volitelně i k aplikacím, které nejsou sap

  • Organizace, které vyžadují přímé zřizování uživatelů z SuccessFactors do active Directory, aby uživatelé měli přístup k aplikacím integrovaným ve službě Windows Server Active Directory a integrovaným aplikacím Microsoft Entra ID

  • Organizace, které vyžadují, aby uživatelé byli zřízeni pomocí dat získaných z Centra zaměstnanců SuccessFactors (EC)

  • Organizace, které vyžadují připojení, přesun a opuštění uživatelů, aby se synchronizovali s jednou nebo více doménovými strukturami, doménami a organizačními jednotky active directory, na základě informací o změnách zjištěných v Centru zaměstnanců SuccessFactors (EC)

  • Organizace používající Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí. Existují dva související toky:

  • Autoritativní personální Tok dat – od SuccessFactors do místní Active Directory: V těchto událostech pracovního procesu toku (například New Hires, Transfers, Terminations) se nejprve vyskytují v cloudu SuccessFactors Employee Central a potom data událostí proudí do místní Active Directory prostřednictvím ID Microsoft Entra a agenta zřizování. V závislosti na události může dojít k vytvoření, aktualizaci, povolení nebo zakázání operací ve službě AD.

  • Tok zpětného zápisu e-mailu – od místní Active Directory do SuccessFactors: Po dokončení vytváření účtu ve službě Active Directory se synchronizuje s Microsoft Entra ID prostřednictvím synchronizace Microsoft Entra Connect a atribut e-mailu se dá zapsat zpět do SuccessFactors.

    Přehled

Tok dat koncových uživatelů

  1. Tým personálního oddělení provádí pracovní transakce (Joiners, Movers/Leavers nebo New Hires/Transfers/Terminations) v Centru zaměstnanců SuccessFactors.
  2. Služba zřizování Microsoft Entra spouští naplánované synchronizace identit z EC SuccessFactors a identifikuje změny, které je potřeba zpracovat pro synchronizaci s místní Active Directory.
  3. Služba zřizování Microsoft Entra vyvolá místní agenta zřizování Microsoft Entra Connect s datovou částí požadavku, která obsahuje operace vytvoření/aktualizace/povolení/zakázání účtu AD.
  4. Agent zřizování Microsoft Entra Connect používá účet služby k přidání nebo aktualizaci dat účtu AD.
  5. Synchronizační modul Microsoft Entra Connect spouští rozdílovou synchronizaci pro vyžádání aktualizací v AD.
  6. Aktualizace služby Active Directory se synchronizují s ID Microsoft Entra.
  7. Pokud je aplikace SuccessFactors Writeback nakonfigurovaná, zapíše zpět atribut e-mailu do SuccessFactors na základě použitého odpovídajícího atributu.

Plánování nasazení

Konfigurace zřizování uživatelů řízených cloudovým personálním oddělením z SuccessFactors do AD vyžaduje značné plánování zahrnující různé aspekty, jako jsou:

  • Nastavení agenta zřizování Microsoft Entra Connect
  • Počet úspěšných refaktorů pro zřizování aplikací uživatelů AD pro nasazení
  • Odpovídající ID, mapování atributů, transformace a filtry oborů

Podrobné pokyny k těmto tématům najdete v plánu nasazení hr v cloudu. Informace o podporovaných entitách, zpracování podrobností a přizpůsobení integrace pro různé scénáře personálního oddělení najdete v referenčních informacích k integraci SAP SuccessFactors.

Konfigurace SuccessFactors pro integraci

Běžným požadavkem všech konektorů zřizování SuccessFactors je, že vyžadují přihlašovací údaje účtu SuccessFactors se správnými oprávněními k vyvolání rozhraní API OData SuccessFactors. Tato část popisuje postup vytvoření účtu služby v SuccessFactors a udělení odpovídajících oprávnění.

Vytvoření nebo identifikace uživatelského účtu rozhraní API v SuccessFactors

Ve spolupráci s týmem pro správu SuccessFactors nebo implementačním partnerem vytvořte nebo identifikujte uživatelský účet v SuccessFactors pro vyvolání rozhraní API OData. Uživatelské jméno a heslo pro tento účet se vyžadují při konfiguraci zřizovacích aplikací v MICROSOFT Entra ID.

Vytvoření role oprávnění rozhraní API

  1. Přihlaste se k SAP SuccessFactors pomocí uživatelského účtu, který má přístup k Centru pro správu.

  2. Vyhledejte spravovat role oprávnění a pak ve výsledcích hledání vyberte Spravovat role oprávnění. Správa rolí oprávnění

  3. V seznamu rolí oprávnění klikněte na Vytvořit nový.

    Vytvoření nové role oprávnění

  4. Přidejte název a popis role pro novou roli oprávnění. Název a popis by měl indikovat, že role je určená pro oprávnění k používání rozhraní API.

  5. V části Nastavení oprávnění klikněte na Oprávnění..., posuňte se dolů seznam oprávnění a klikněte na Spravovat integrační nástroje. Zaškrtněte políčko Povolit správci přístup k rozhraní OData API prostřednictvím základního ověřování.

    Správa integračních nástrojů

  6. Posuňte se dolů ve stejném poli a vyberte rozhraní API Centrálního zaměstnance. Přidejte oprávnění, jak je znázorněno níže, abyste mohli číst pomocí rozhraní API ODATA a upravovat pomocí rozhraní ODATA API. Tuto možnost vyberte, pokud plánujete použít stejný účet pro scénář zpětného zápisu do SuccessFactors.

    Oprávnění ke čtení zápisu

  7. Ve stejném poli oprávnění přejděte na Uživatelská oprávnění –> Data zaměstnanců a zkontrolujte atributy, které může účet služby číst z tenanta SuccessFactors. Pokud chcete například načíst atribut Username z SuccessFactors, ujistěte se, že pro tento atribut je uděleno oprávnění Zobrazit. Podobně zkontrolujte každý atribut pro oprávnění zobrazení.

    Oprávnění k datům zaměstnanců

    Poznámka:

    Úplný seznam atributů načtených touto aplikací pro zřizování najdete v referenčních informacích k atributům SuccessFactors.

  8. Klikněte na Hotovo. Klikněte na Save Changes (Uložit změny).

Vytvoření skupiny oprávnění pro uživatele rozhraní API

  1. V Centru pro správu SuccessFactors vyhledejte spravovat skupiny oprávnění a pak ve výsledcích hledání vyberte Spravovat skupiny oprávnění.

    Správa skupin oprávnění

  2. V okně Spravovat skupiny oprávnění klikněte na Vytvořit nový.

    Přidat novou skupinu

  3. Přidejte název skupiny pro novou skupinu. Název skupiny by měl znamenat, že skupina je určená pro uživatele rozhraní API.

    Název skupiny oprávnění

  4. Přidejte členy do skupiny. Můžete například vybrat uživatelské jméno z rozevírací nabídky Fond osob a pak zadat uživatelské jméno účtu rozhraní API, které se použije pro integraci.

    Přidat členy skupiny

  5. Kliknutím na Tlačítko Hotovo dokončete vytváření skupiny oprávnění.

Udělení role oprávnění skupině oprávnění

  1. V Centru pro správu SuccessFactors vyhledejte spravovat role oprávnění a pak ve výsledcích hledání vyberte Spravovat role oprávnění.
  2. V seznamu rolí oprávnění vyberte roli, kterou jste vytvořili pro oprávnění k používání rozhraní API.
  3. V části Udělit této roli... klikněte na tlačítko Přidat...
  4. Vyberte skupinu oprávnění... z rozevírací nabídky a potom kliknutím na tlačítko Vybrat... otevřete okno Skupiny a vyhledejte a vyberte skupinu vytvořenou výše.
  5. Zkontrolujte udělení role oprávnění skupině oprávnění.
  6. Klikněte na Save Changes (Uložit změny).

Konfigurace zřizování uživatelů z SuccessFactors do služby Active Directory

Tato část obsahuje kroky pro zřizování uživatelských účtů z SuccessFactors do každé domény služby Active Directory v rámci vaší integrace.

Část 1: Přidání aplikace zřizovacího konektoru a stažení agenta zřizování

Konfigurace SuccessFactors pro zřizování služby Active Directory:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.

  3. Vyhledejte SuccessFactors do zřizování uživatelů služby Active Directory a přidejte ji z galerie.

  4. Po přidání aplikace a zobrazení obrazovky s podrobnostmi o aplikaci vyberte Zřizování.

  5. Změna režimu zřizování na automatické

  6. Kliknutím na informační banner zobrazte stažení agenta zřizování.

    Snímek obrazovky s informacemi o zřizovacím agentu

Část 2: Instalace a konfigurace místních agentů zřizování

Pokud chcete zřídit místní službu Active Directory, musí být agent zřizování nainstalovaný na serveru připojeném k doméně, který má síťový přístup k požadovaným doménám služby Active Directory.

Přeneste stažený instalační program agenta na hostitele serveru a podle kroků uvedených v části instalace agenta dokončete konfiguraci agenta.

Část 3: V aplikaci zřizování nakonfigurujte připojení k SuccessFactors a Active Directory.

V tomto kroku navážeme připojení k SuccessFactors a Active Directory.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte na Identity>Applications Enterprise Applications>> SuccessFactors na aplikaci zřizování uživatelů active Directory vytvořenou v části 1.

  3. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

    • Uživatelské jméno správce – Zadejte uživatelské jméno uživatelského účtu rozhraní API SuccessFactors s připojeným ID společnosti. Má formát: username@companyID

    • Heslo správce – Zadejte heslo uživatelského účtu rozhraní API SuccessFactors.

    • Adresa URL tenanta – Zadejte název koncového bodu služby rozhraní SUCCESSFactors OData API. Zadejte pouze název hostitele serveru bez http nebo https. Tato hodnota by měla vypadat takto: api-server-name.successfactors.com>.<

    • Doménová struktura služby Active Directory – Název vaší domény služby Active Directory, jak je zaregistrované u agenta. V rozevíracím seznamu vyberte cílovou doménu pro zřizování. Tato hodnota je obvykle řetězec jako: contoso.com

    • Kontejner služby Active Directory – Zadejte název kontejneru, ve kterém by měl agent ve výchozím nastavení vytvářet uživatelské účty. Příklad: OU=Users,DC=contoso,DC=com

      Poznámka:

      Toto nastavení se pro vytváření uživatelských účtů přehraje pouze v případě, že atribut parentDistinguishedName není nakonfigurován v mapování atributů. Toto nastavení se nepoužívá pro operace vyhledávání nebo aktualizace uživatelů. Celý podřízený strom domény spadá do oboru operace hledání.

    • E-mail s oznámením – Zadejte svoji e-mailovou adresu a zaškrtněte políčko Odeslat e-mail, pokud dojde k selhání.

      Poznámka:

      Služba zřizování Microsoft Entra odešle e-mailové oznámení, pokud úloha zřizování přejde do stavu karantény .

    • Klikněte na tlačítko Test připojení . Pokud test připojení proběhne úspěšně, klikněte v horní části na tlačítko Uložit . Pokud selže, zkontrolujte platnost přihlašovacích údajů SuccessFactors a přihlašovacích údajů AD nakonfigurovaných v instalačním programu agenta.

    • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizovat uživatele SuccessFactors do místní služby Active Directory.

Část 4: Konfigurace mapování atributů

V této části nakonfigurujete, jak uživatelská data proudí z SuccessFactors do Active Directory.

  1. Na kartě Zřizování v části Mapování klikněte na synchronizovat uživatele SuccessFactors do místní služby Active Directory.

  2. V poli Obor zdrojového objektu můžete vybrat, které sady uživatelů v SuccessFactors by měly být v oboru pro zřizování ve službě AD definováním sady filtrů založených na atributech. Výchozím oborem jsou všichni uživatelé v SuccessFactors. Ukázkové filtry:

    • Příklad: Rozsah pro uživatele s personIdExternal mezi 1000000 a 2000000 (s výjimkou 20000000)

      • Atribut: personIdExternal

      • Operátor: Shoda REGEX

      • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Příklad: Pouze zaměstnanci a ne podmínění pracovníci

      • Atribut: EmployeeID

      • Operátor: IS NOT NULL

    Tip

    Při první konfiguraci aplikace zřizování budete muset otestovat a ověřit mapování atributů a výrazy, abyste měli jistotu, že poskytuje požadovaný výsledek. Microsoft doporučuje použít filtry oborů v oboru zdrojového objektu k otestování mapování s několika testovacími uživateli z SuccessFactors. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

    Upozornění

    Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří vyjdou mimo rozsah. To nemusí být žádoucí v integraci SuccessFactors do AD. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

  3. V poli Akce cílového objektu můžete globálně filtrovat akce prováděné ve službě Active Directory. Nejběžnější jsou vytváření a aktualizace .

  4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy SuccessFactors mapují na atributy služby Active Directory.

    Poznámka:

    Úplný seznam atributů SuccessFactors podporovaných aplikací najdete v referenčních informacích k atributu SuccessFactors.

  5. Kliknutím na existující mapování atributů ho aktualizujte nebo kliknutím na přidat nové mapování v dolní části obrazovky přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

    • Typ mapování

      • Direct – Zapíše hodnotu atributu SuccessFactors atributu AD beze změn.

      • Konstanta – Zápis statické hodnoty řetězce konstanty do atributu AD

      • Výraz – Umožňuje napsat vlastní hodnotu do atributu AD na základě jednoho nebo více atributů SuccessFactors. Další informace najdete v tomto článku o výrazech.

    • Atribut zdroje – atribut uživatele z SuccessFactors

    • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, mapování místo toho tuto hodnotu zapíše. Nejběžnější konfigurací je ponechat tuto prázdnou hodnotu.

    • Cílový atribut – atribut uživatele ve službě Active Directory.

    • Porovná objekty používající tento atribut – zda toto mapování by mělo být použito k jedinečné identifikaci uživatelů mezi SuccessFactors a Active Directory. Tato hodnota je obvykle nastavena na pole ID pracovního procesu pro SuccessFactors, což je obvykle namapováno na jeden z atributů ID zaměstnance ve službě Active Directory.

    • Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy.

    • Použít toto mapování

      • Vždy – Použít toto mapování na akce vytváření uživatelů i aktualizace

      • Pouze během vytváření – Použít toto mapování pouze u akcí vytváření uživatelů

  6. Mapování uložíte kliknutím na Uložit v horní části oddílu Mapování atributů.

Po dokončení konfigurace mapování atributů můžete otestovat zřizování pro jednoho uživatele pomocí zřizování na vyžádání a pak povolit a spustit službu zřizování uživatelů.

Povolení a spuštění zřizování uživatelů

Po dokončení konfigurace aplikace pro zřizování SuccessFactors a ověření zřizování pro jednoho uživatele se zřizováním na vyžádání můžete zapnout službu zřizování.

Tip

Když službu zřizování zapnete, ve výchozím nastavení zahájí operace zřizování pro všechny uživatele v oboru. Pokud dojde k chybám v mapování nebo problémech s daty SuccessFactors, může úloha zřizování selhat a přejít do stavu karantény. Abyste tomu předešli, doporučujeme před spuštěním úplné synchronizace pro všechny uživatele nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli, kteří používají zřizování na vyžádání. Jakmile ověříte, že mapování funguje a dává vám požadované výsledky, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

  1. Přejděte do okna Zřizování a klikněte na Zahájit zřizování.

  2. Tato operace spustí počáteční synchronizaci, která může trvat proměnlivý počet hodin v závislosti na tom, kolik uživatelů je v tenantovi SuccessFactors. Indikátor průběhu můžete zkontrolovat a sledovat průběh cyklu synchronizace.

  3. Kdykoli zkontrolujte kartu Zřizování v Centru pro správu Entra a zjistěte, jaké akce služba zřizování provedla. Protokoly zřizování obsahují seznam všech jednotlivých synchronizačních událostí provedených službou zřizování, například které uživatelé čtou z SuccessFactors a následně se do služby Active Directory přidají nebo aktualizují.

  4. Po dokončení počáteční synchronizace zapíše souhrnnou sestavu auditu na kartě Zřizování , jak je znázorněno níže.

    Indikátor průběhu zřizování

Další kroky