Tutorial: configuración del aprovisionamiento de usuarios de SAP SuccessFactors a Microsoft Entra
El objetivo de este tutorial es mostrar los pasos que necesita realizar para aprovisionar datos de trabajadores desde SuccessFactors Employee Central a Microsoft Entra ID, con escritura opcional de la dirección de correo electrónico a SuccessFactors.
Nota:
Use este tutorial si los usuarios que quiere aprovisionar desde SuccessFactors son usuarios que solo están en la nube y no necesitan una cuenta de AD local. Si los usuarios solo requieren una cuenta AD local o ambas cuentas AD y Microsoft Entra, entonces consulte el tutorial sobre la Configuración de SAP SuccessFactors para el aprovisionamiento de usuarios de Active Directory.
En el vídeo siguiente se proporciona información general rápida de los pasos necesarios al planear la integración del aprovisionamiento con SAP SuccessFactors.
Información general
El servicio de aprovisionamiento de usuarios de Microsoft Entra se integra con SuccessFactors Employee Central para administrar el ciclo de vida de identidad de los usuarios.
Los flujos de trabajo de aprovisionamiento de usuarios de SuccessFactors admitidos por el servicio de aprovisionamiento de usuarios de Microsoft Entra permiten la automatización de los siguientes escenarios de recursos humanos y administración del ciclo de vida de identidades:
Contratación de nuevos empleados: Al agregar un nuevo empleado a SuccessFactors, automáticamente se crea una cuenta de usuario en Microsoft Entra ID y, opcionalmente, en Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID, con escritura de la dirección de correo electrónico en SuccessFactors.
Actualizaciones de atributos y perfiles de los empleados: al actualizar el registro de un empleado en SuccessFactors (como su nombre, cargo o administrador), su cuenta de usuario se actualizará automáticamente Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID.
Despidos de empleados: al despedir a un empleado en SuccessFactors, su cuenta de usuario se deshabilita automáticamente en Microsoft Entra ID y, opcionalmente, en Microsoft 365 y otrasAplicaciones SaaS compatibles con Microsoft Entra ID.
Recontrataciones de empleados: al volver a contratar a un empleado en SuccessFactors, su antigua cuenta puede ser reactivada o reaprovisionada automáticamente (dependiendo de su preferencia) para Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras Aplicaciones SaaS compatibles con Microsoft Entra ID.
¿Para quién es más adecuada esta solución de aprovisionamiento de usuarios?
Esta solución de aprovisionamiento de usuarios de SuccessFactors a Microsoft Entra es ideal para:
Organizaciones que desean una solución pregenerada basada en la nube para el aprovisionamiento de usuarios successFactors, incluidas las organizaciones que rellenan SuccessFactors de SAP HCM mediante SAP Integration Suite
Las organizaciones que se implementar Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino de SAP, mediante Microsoft Entra para configurar identidades para los trabajadores para que puedan iniciar sesión en una o varias aplicaciones SAP, como SAP ECC o SAP S/4HANA, así como opcionalmente aplicaciones que no son de SAP
Organizaciones que requieren el aprovisionamiento directo de usuarios de SuccessFactors a Microsoft Entra ID, pero no requieren que esos usuarios también estén en Windows Server Active Directory
Organizaciones que requieren que los usuarios se aprovisionen con los datos obtenidos de SuccessFactors Employee Central (EC)
Organizaciones que usan Microsoft 365 para el correo electrónico
Arquitectura de la solución
En esta sección se describe la arquitectura de la solución de aprovisionamiento de usuarios de un extremo a otro para usuarios que solo están en la nube. Hay dos flujos relacionados:
Flujo autorizado de datos de RR. HH.: de SuccessFactors a Microsoft Entra ID: en este flujo, los eventos de los trabajadores (tales como nuevas contrataciones, transferencias, terminaciones) ocurren primero en la nube SuccessFactors Employee Central y luego los flujos de datos del evento fluyen hacia Microsoft Entra ID. En función del evento, puede dar lugar a operaciones de creación, actualización, habilitación o deshabilitación en Microsoft Entra ID.
Flujo de escritura diferida de correo electrónico de Microsoft Entra ID a SuccessFactors: Una vez completada la creación de la cuenta en Microsoft Entra ID, el valor del atributo de correo electrónico o el UPN generado en Microsoft Entra ID se pueden volver a escribir en SuccessFactors.
Flujo de datos de usuarios de un extremo a otro
- El equipo de RR. HH. realiza las transacciones relacionadas con los trabajadores (empleados que se incorporan a la empresa, se trasladan o se van, o nuevas contrataciones, traslados o despidos) en SuccessFactors Employee Central.
- El servicio de aprovisionamiento de Microsoft Entra ejecuta sincronizaciones programadas de identidades de SuccessFactors EC e identifica los cambios que deben procesarse para la sincronización con Microsoft Entra ID.
- El servicio de aprovisionamiento de Microsoft Entra determina el cambio e invoca la operación de creación/actualización/habilitación/deshabilitación para el usuario en Microsoft Entra ID.
- Si está configurada la Aplicación SuccessFactors Writeback, se recupera la dirección de correo electrónico del usuario de Azure AD.
- El servicio de aprovisionamiento de Microsoft Entra realiza la escritura diferida del atributo de correo electrónico en SuccessFactors, en función del atributo coincidente usado.
Planeamiento de la implementación
La configuración del aprovisionamiento de usuarios impulsado por Cloud RR. HH. desde SuccessFactors a Microsoft Entra ID requiere una planificación considerable que abarque distintos aspectos como:
- Determinación del identificador coincidente
- Asignación de atributos
- Transformación de atributos
- Filtros de ámbito
Consulte el plan de implementación de RR. HH. en la nube para instrucciones detalladas sobre estos temas. Consulte Referencia de integración de SAP SuccessFactors para obtener información sobre las entidades admitidas, los detalles de procesamiento y cómo personalizar la integración para distintos escenarios de recursos humanos.
Configuración de SuccessFactors para la integración
Un requisito común de todos los conectores de aprovisionamiento de SuccessFactors es que requieren credenciales de una cuenta de SuccessFactors con los permisos correctos para invocar las API OData de SuccessFactors. En esta sección se describen los pasos para crear la cuenta de servicio de SuccessFactors y conceder los permisos adecuados.
- Creación e identificación de una cuenta de usuario de API en SuccessFactors
- Creación de un rol de permisos de API
- Creación de un grupo de permisos para el usuario de la API
- Concesión del rol de permisos al grupo de permisos
Creación e identificación de una cuenta de usuario de API en SuccessFactors
Trabaje con el equipo de administración de SuccessFactors o con el asociado de implementación para crear o identificar una cuenta de usuario en SuccessFactors que se usará para invocar las API de OData. Las credenciales de nombre de usuario y contraseña de esta cuenta se necesitarán al configurar las aplicaciones de aprovisionamiento en Microsoft Entra ID.
Creación de un rol de permisos de API
Inicie sesión en SAP SuccessFactors con una cuenta de usuario que tenga acceso al centro de administración.
Busque Manage Permission Roles (Administrar roles de permisos) y, después, seleccione Manage Permission Roles (Administrar roles de permisos) en los resultados de la búsqueda.
En Permission Role List (Lista de roles de permisos), haga clic en Create New (Crear).
Agregue valores en Role Name (Nombre de rol) y Description (Descripción) para el nuevo rol de permisos. El nombre y la descripción deben indicar que el rol se utilizará para los permisos de uso de la API.
En Permission settings (Configuración de los permisos), haga clic en Permission... (Permiso), desplácese hacia abajo en la lista de permisos y haga clic en Manage Integration Tools (Administrar herramientas de integración). Active la casilla Allow Admin to Access to OData API through Basic Authentication (Permitir que el administrador acceda a la API OData mediante autenticación básica).
Desplácese hacia abajo en el mismo cuadro y seleccione Employee Central API. Agregue permisos, tal como se muestra a continuación, de lectura y edición mediante la API ODATA. Seleccione la opción de edición si tiene previsto usar la misma cuenta para el escenario de escritura diferida en SuccessFactors.
En el mismo cuadro de permisos, vaya a User Permissions -> Employee Data (Permisos de usuario -> Datos de empleados) y consulte los atributos que la cuenta de servicio puede leer desde el inquilino de SuccessFactors. Por ejemplo, para recuperar el atributo del nombre de usuario de SuccessFactors, asegúrese de que se conceda el permiso "View" (Ver) para este atributo. De igual forma, revise cada atributo para ver el permiso.
Nota:
Para obtener la lista completa de atributos recuperados por esta aplicación de aprovisionamiento, consulte Referencia de atributos de SuccessFactors.
Haga clic en Done (Acabado). Haga clic en Guardar cambios.
Creación de un grupo de permisos para el usuario de la API
- En el centro de administración de SuccessFactors, busque Manage Permission Groups (Administrar grupos de permisos) y, después, seleccione Manage Permission Groups (Administrar grupos de permisos) en los resultados de la búsqueda.
- En la ventana Manage Permission Groups (Administrar grupos de permisos), haga clic en Create New (Crear).
- Agregue un valor en Group Name (Nombre de grupo) para el nuevo grupo. El nombre del grupo debe indicar que se utilizará para los usuarios de la API.
- Agregue miembros al grupo. Por ejemplo, puede seleccionar Username (Nombre de usuario) en el menú desplegable People Pool (Grupo de personas) y, a continuación, escribir el nombre de usuario de la cuenta de API que se usará para la integración.
- Haga clic en Done (Listo) para terminar de crear el grupo de permisos.
Concesión del rol de permisos al grupo de permisos
- En el centro de administración de SuccessFactors, busque Manage Permission Roles (Administrar roles de permisos) y, después, seleccione Manage Permission Roles (Administrar roles de permisos) en los resultados de la búsqueda.
- En Permission Role List (Lista de roles de permisos), seleccione el rol que creó para los permisos de uso de la API.
- En Grant this role to... (Conceder este rol a), haga clic en el botón Add... (Agregar).
- Seleccione Permission Group... (Grupo de permisos) en el menú desplegable y, a continuación, haga clic en Select... (Seleccionar) para abrir la ventana Groups (Grupos), en la que deberá buscar y seleccionar el grupo creado anteriormente.
- Revise la concesión del rol de permisos al grupo de permisos.
- Haga clic en Guardar cambios.
Configuración del aprovisionamiento de usuarios de SuccessFactors en Microsoft Entra ID
Esta sección proporciona los pasos para el aprovisionamiento de cuentas de usuario desde SuccessFactors a Microsoft Entra ID.
- Incorporación de la aplicación del conector de aprovisionamiento y configuración de la conectividad con SuccessFactors
- Configuración de las asignaciones de atributos
- Habilitar e iniciar el aprovisionamiento de usuarios
Parte 1: Incorporación de la aplicación del conector de aprovisionamiento y configuración de la conectividad con SuccessFactors
Para configurar SuccessFactors para el aprovisionamiento de Microsoft Entra:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
Busque Aprovisionamiento de usuarios de SuccessFactors a Microsoft Entra y agregue esa aplicación desde la galería.
Una vez que se haya agregado la aplicación y se muestre la pantalla de detalles de la aplicación, seleccione Aprovisionamiento.
Cambie el Modo de aprovisionamiento a Automático.
Cumplimente la sección Credenciales de administrador del siguiente modo:
Nombre de usuario de administrador: escriba el nombre de usuario de la cuenta de usuario de SuccessFactors API, con el identificador de empresa anexado. El formato es: nombreDeUsuario@idDeEmpresa
Contraseña de administrador: escriba la contraseña de la cuenta de usuario de SuccessFactors API.
URL de inquilino: escriba el nombre del punto de conexión de servicios de la API OData de SuccessFactors. Especifique solo el nombre de host del servidor sin http o https. Este valor debería ser similar al siguiente: nombre-servidor-api.successfactors.com.
Correo electrónico de notificación: escriba su dirección de correo electrónico y marque la casilla "Send email if failure occurs" (Enviar una notificación por correo electrónico cuando se produzca un error).
Nota:
El servicio de aprovisionamiento de Microsoft Entra envía la notificación por correo electrónico si el trabajo de aprovisionamiento entra en un estado decuarentena.
- Haga clic en el botón Probar conexión. Si la prueba de conexión se lleva a cabo correctamente, haga clic en el botón Guardar situado en la parte superior. Si se produce un error, compruebe que las credenciales y la dirección URL de SuccessFactors son válidas.
- Una vez que las credenciales se guardan correctamente, la sección Asignacionesdemuestra la asignación predeterminada Sincronizar usuarios de SuccessFactors con Microsoft Entra ID
Parte 2: configuración de las asignaciones de atributos
En esta sección, configurará cómo fluyen los datos de usuario de SuccessFactors a Microsoft Entra ID.
En la pestaña aprovisionamiento, en Asignaciones, haga clic en Sincronizar usuarios de SuccessFactors con Microsoft Entra ID.
En el campo Ámbito del objeto de origen, puede seleccionar qué conjuntos de usuarios en SuccessFactors deben estar en el ámbito de aprovisionamiento a Microsoft Entra ID, mediante la definición de un conjunto de filtros basados en atributos. El ámbito predeterminado es "todos los usuarios de SuccessFactors". Filtros de ejemplo:
Ejemplo: Ámbito de los usuarios con personIdExternal entre 1 000 000 y 2 000 000 (excepto 2 000 000)
Atributo: personIdExternal
Operador: REGEX Match
Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Ejemplo: solo los empleados, no los trabajadores temporales
Atributo: EmployeeID
Operador: IS NOT NULL
Sugerencia
Al configurar la aplicación de aprovisionamiento por primera vez, deberá probar y comprobar las asignaciones de atributos y expresiones para asegurarse de que le proporciona el resultado deseado. Microsoft recomienda usar los filtros de ámbito de Ámbito de objeto de origen para probar las asignaciones con algunos usuarios de prueba de SuccessFactors. Una vez que haya comprobado que las asignaciones funcionan, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.
Precaución
El comportamiento predeterminado del motor de aprovisionamiento es deshabilitar o eliminar usuarios que salen del ámbito. Puede que esta no sea la situación deseable en la integración de SuccessFactors con Microsoft Entra. Para invalidar este comportamiento predeterminado, consulte el artículo Omisión de la eliminación de usuarios fuera del ámbito.
En el campo Acciones de objeto de destino, puede filtrar globalmente qué acciones se realizan en Microsoft Entra ID. Crear y Actualizar son las más habituales.
En la sección Asignaciones de atributos, puede definir cómo se asignan los atributos individuales de SuccessFactors a los atributos de Microsoft Entra.
Nota:
Para obtener la lista completa de atributos de SuccessFactors compatibles con la aplicación, consulte Referencia de atributos de SuccessFactors.
Haga clic en una asignación de atributos existente para actualizarla o haga clic en Agregar nueva asignación en la parte inferior de la pantalla para agregar asignaciones nuevas. Las asignaciones de atributos admiten estas propiedades:
Tipo de asignación
Directo: escriba el valor del atributo SuccessFactors en el atributo Microsoft Entra, sin cambios
Constante: escriba un valor de cadena estático y constante en el atributo Microsoft Entra.
Expresión: permite escribir un valor personalizado en el atributo de Microsoft Entra, en función de uno o varios atributos de SuccessFactors. Para obtener más información, consulte este artículo sobre las expresiones.
Atributo de origen: el atributo de usuario de SuccessFactors.
Valor predeterminado: opcional. Si el atributo de origen tiene un valor vacío, la asignación escribirá este valor. La configuración más habitual consiste en dejarlo en blanco.
Atributo de destino: atributo de usuario en Microsoft Entra ID.
Hacer coincidir objetos con este atributo: Especifica si se debe usar o no esta asignación para identificar de forma unívoca a los usuarios entre SuccessFactors y Microsoft Entra ID. Este valor se establece normalmente en el campo Id. de trabajo de SuccessFactors, que normalmente se asigna a uno de los atributos de identificador de empleado en Microsoft Entra ID.
Precedencia de coincidencia: se pueden establecer varios atributos coincidentes. Si hay varios, se evalúan en el orden definido por este campo. En el momento en que se encuentre una coincidencia, no se evaluarán más atributos coincidentes.
Aplicar esta asignación
Siempre: esta asignación se aplica a las acciones de creación y actualización de usuarios
Solo durante la creación: esta asignación se aplica solo a las acciones de creación de usuarios
Para guardar las asignaciones, haga clic en Guardar en la parte superior de la sección Asignación de atributos.
Una vez completada la configuración de la asignación de atributos, ahora puede habilitar e iniciar el servicio de aprovisionamiento de usuarios.
Habilitar e iniciar el aprovisionamiento de usuarios
Una vez completadas las configuraciones de la aplicación de aprovisionamiento de SuccessFactors, puede activar el servicio de aprovisionamiento.
Sugerencia
De forma predeterminada, al activar el servicio de aprovisionamiento, se iniciarán las operaciones de aprovisionamiento para todos los usuarios del ámbito. Si hay errores en la asignación o problemas con los datos de SuccessFactors, puede que se produzcan errores con el trabajo de aprovisionamiento y que entre en estado de cuarentena. Para evitar esto, como procedimiento recomendado, es conveniente configurar el filtro Ámbito de objeto de origen y probar las asignaciones de atributos con algunos usuarios de prueba antes de iniciar la sincronización completa de todos los usuarios. Una vez haya verificado que las asignaciones funcionan y que obtiene los resultados deseados, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.
En la pestaña Aprovisionamiento, establezca Estado de aprovisionamiento en Activado.
Haga clic en Save(Guardar).
Esta operación dará comienzo a la sincronización inicial, que puede tardar una cantidad de horas variable, según el número de usuarios que haya en el inquilino de SuccessFactors. Puede consultar en la barra de progreso el seguimiento del progreso del ciclo de sincronización.
En cualquier momento, compruebe la pestaña Aprovisionamiento del Centro de administración de Entra para ver qué acciones ha realizado el servicio de aprovisionamiento. Los registros de aprovisionamiento enumeran todos los eventos de sincronización individuales realizados por el servicio de aprovisionamiento, como los usuarios que se leen de SuccessFactors y, a continuación, se agregan o actualizan a Microsoft Entra ID.
Una vez completada la sincronización inicial, se escribe un informe resumido de auditoría en la pestaña Aprovisionamiento, tal y como se muestra a continuación.
Pasos siguientes
- Más información sobre los atributos de SuccessFactors compatibles para el aprovisionamiento de entrada
- Aprenda a configurar la escritura diferida de correo electrónico en SuccessFactors
- Aprenda a revisar los registros y a obtener informes sobre la actividad de aprovisionamiento
- Aprenda a integrar otras aplicaciones SaaS con Microsoft Entra ID