Tutoriel : Configurer l’écriture différée des attributs de Microsoft Entra ID sur SAP SuccessFactors
L’objectif de ce tutoriel est d’illustrer les étapes de l’écriture différée des attributs de Microsoft Entra ID sur SAP SuccessFactors Employee Central.
Vue d’ensemble
Vous pouvez configurer l’application SAP SuccessFactors Writeback pour écrire des attributs spécifiques vers SAP SuccessFactors Employee Central à partir de Microsoft Entra ID. L’application d’approvisionnement SuccessFactors Writeback permet d’attribuer des valeurs aux attributs Employee Central suivants :
- Adresse e-mail professionnelle
- Nom d’utilisateur
- Numéro de téléphone professionnel (y compris l’indicatif du pays, l’indicatif régional, le numéro et le poste)
- Indicateur principal du numéro de téléphone professionnel
- Numéro de téléphone portable (y compris l’indicatif du pays, l’indicatif régional et le numéro)
- Indicateur principal du numéro de téléphone portable
- Attributs utilisateur custom01-custom15
- Attribut loginMethod
Notes
Cette application n’a aucune dépendance vis-à-vis des applications d’intégration d’approvisionnement des utilisateurs entrants de SuccessFactors. Vous pouvez la configurer indépendamment de l’application de provisionnement SuccessFactors vers AD local ou SuccessFactors vers Microsoft Entra ID.
Reportez-vous à la section des scénarios d’écriture différée du guide de référence d’intégration SAP SuccessFactors pour plus d’informations sur les scénarios pris en charge, les problèmes connus et les limites.
À qui cette solution d’attribution d’utilisateurs convient-elle le mieux ?
Cette solution de provisionnement d’utilisateurs SuccessFactors Writeback est idéale pour :
- Les organisations qui utilisent Microsoft 365 et qui souhaitent écrire en différé vers SuccessFactors Employee Central des attributs faisant autorité gérés par le service informatique (par exemple, l’adresse e-mail, le numéro de téléphone ou le nom d’utilisateur).
Configuration de SuccessFactors pour l’intégration
Tous les connecteurs d’approvisionnement SuccessFactors nécessitent les informations d’identification d’un compte SuccessFactors avec les autorisations appropriées pour appeler les API OData Employee Central. Cette section décrit les étapes permettant de créer le compte de service dans SuccessFactors et d’accorder les autorisations appropriées.
- Créer/identifier un compte d’utilisateur d’API dans SuccessFactors
- Créer un rôle d’autorisations d’API
- Créer un groupe d’autorisations pour l’utilisateur des API
- Accorder le rôle d’autorisation au groupe d’autorisations
Créer/identifier un compte d’utilisateur d’API dans SuccessFactors
Collaborez avec votre équipe d’administration SuccessFactors ou votre partenaire d’implémentation pour créer ou identifier un compte d’utilisateur dans SuccessFactors afin d’appeler les API OData. Les informations d’identification (nom d’utilisateur et mot de passe) de ce compte sont nécessaires pour configurer les applications de provisionnement dans Microsoft Entra ID.
Créer un rôle d’autorisations d’API
Connectez-vous à SAP SuccessFactors avec un compte d’utilisateur qui a accès au centre d’administration.
Recherchez Manage Permission Roles (Gérer les rôles d’autorisations), puis sélectionnez Manage Permission Roles dans les résultats de la recherche.
Dans la liste Permission Role (Rôle d’autorisation), cliquez sur Create New (Créer).
Ajoutez un nom de rôle et une description pour le nouveau rôle d’autorisation. Le nom et la description doivent indiquer que le rôle est destiné aux autorisations d’utilisation des API.
Sous Permission settings (Paramètres d’autorisation), cliquez sur Permission... , faites défiler la liste des autorisations, puis cliquez sur Manage Integration Tools (Gérer les outils d’intégration). Cochez la case Allow Admin to Access to OData API through Basic Authentication (Autoriser l’administrateur à accéder à l’API OData via l’authentification de base).
Faites défiler la liste dans la même zone et sélectionnez Employee Central API. Ajoutez des autorisations comme indiqué ci-dessous pour lire à l’aide de l’API ODATA et modifier à l’aide de l’API ODATA. Sélectionnez l’option de modification si vous envisagez d’utiliser le même compte pour le scénario d’écriture différée vers SuccessFactors.
Cliquez sur Done (Terminé). Cliquez sur Enregistrer les modifications.
Créer un groupe d’autorisations pour l’utilisateur des API
Dans le centre d’administration SuccessFactors, recherchez Manage Permission Groups (Gérer les groupes d’autorisations), puis sélectionnez Manage Permission Groups dans les résultats de la recherche.
Dans la fenêtre Manage Permission Groups, cliquez sur Create New.
Ajoutez un nom pour le nouveau groupe. Ce nom doit indiquer que le groupe est destiné aux utilisateurs des API.
Ajoutez des membres au groupe. Par exemple, vous pouvez sélectionner Username dans le menu déroulant People Pool, puis entrer le nom d’utilisateur du compte d’API qui sera utilisé pour l’intégration.
Cliquez sur Done pour terminer la création du groupe d’autorisations.
Accorder le rôle d’autorisation au groupe d’autorisations
- Dans le centre d’administration SuccessFactors, recherchez Manage Permission Roles, puis sélectionnez Manage Permission Roles dans les résultats de la recherche.
- Dans la liste Permission Role List (Liste des rôles d’autorisations), sélectionnez le rôle que vous avez créé pour les autorisations d’utilisation des API.
- Sous Grant this role to... (Attribuer ce rôle à), cliquez sur le Bouton Add... (Ajouter).
- Sélectionnez Permission Group... (Groupe d’autorisations) dans le menu déroulant, puis cliquez sur Select... (Sélectionner) pour ouvrir la fenêtre Groups afin de rechercher et sélectionner le groupe créé ci-dessus.
- Passez en revue l’octroi de rôle d’autorisation au groupe d’autorisations.
- Cliquez sur Enregistrer les modifications.
Préparation de SuccessFactors Writeback
L’application d’approvisionnement SuccessFactors Writeback utilise certaines valeurs de code pour définir les adresses email et les numéros de téléphone dans Employee Central. Ces valeurs de code sont définies comme des valeurs constantes dans la table de mappage d’attributs et sont différentes pour chaque instance SuccessFactors. Cette section décrit les étapes à suivre pour capturer ces valeurs de code.
Notes
Veuillez impliquer votre administrateur SuccessFactors pour effectuer les étapes décrites dans cette section.
Identifier les noms de liste déroulante d’adresses e-mail et de numéros de téléphone
Dans SAP SuccessFactors, une liste déroulante est un ensemble configurable d’options parmi lesquelles un utilisateur peut effectuer une sélection. Les différents types d’adresse e-mail et de numéro de téléphone (par exemple, professionnel, personnel, autre) sont représentés à l’aide d’une liste déroulante. Dans cette étape, nous identifions les listes déroulantes configurées dans votre locataire SuccessFactors pour stocker les valeurs d’adresse e-mail et de numéro de téléphone.
Dans le centre d’administration SuccessFactors, recherchez Gérer la configuration d’entreprise.
Sous Éléments HRIS, sélectionnez emailInfo, puis cliquez sur Détails pour le champ email-type.
Dans la page de détails d’email-type, notez le nom de la liste déroulante associée à ce champ. Par défaut, il s’agit de ecEmailType. Toutefois, il peut être différent dans votre locataire.
Sous Éléments HRIS, sélectionnez phoneInfo, puis cliquez sur Détails pour le champ phone-type.
Dans la page de détails de phone-type, notez le nom de la liste déroulante associée à ce champ. Par défaut, il s’agit de ecPhoneType. Toutefois, il peut être différent dans votre locataire.
Récupérer la valeur constante pour emailType
Dans le centre d’administration SuccessFactors, recherchez et ouvrez Centre de liste déroulante.
Utilisez le nom de la liste déroulante des adresses e-mail capturées dans la section précédente (par exemple, ecEmailType) pour trouver la liste déroulante des adresses e-mail.
Ouvrez la liste déroulante des adresses e-mail active.
Sur la page de la liste déroulante des types d’e-mail, sélectionnez le type d’e-mail Professionnel.
Notez l’ID d’option associé à l’e-mail professionnel. Il s’agit du code que nous utilisons avec emailType dans le tableau de mappage d’attributs.
Notes
Le cas échéant, supprimez la virgule (ici, symbole de groupement de chiffres) lorsque vous copiez la valeur. Par exemple, si la valeur ID d’option est 8,448, définissez emailType dans Microsoft Entra ID sur le nombre constant 8448 (sans virgule).
Récupérer la valeur constante pour phoneType
Dans le centre d’administration SuccessFactors, recherchez et ouvrez Centre de liste déroulante.
Utilisez le nom de la liste déroulante des numéros de téléphone capturé dans la section précédente pour trouver la liste déroulante des numéros de téléphone.
Ouvrez la liste déroulante des numéros de téléphone active.
Sur la page de la liste déroulante des types de numéro de téléphone, passez en revue les différents types de numéros de téléphone listés sous Valeurs de liste déroulante.
Notez l’ID d’option associé au numéro de téléphone professionnel. Il s’agit du code que nous utilisons avec businessPhoneType dans le tableau de mappage d’attributs.
Notez l’ID d’option associé au numéro de téléphone portable. Il s’agit du code que nous utilisons avec cellPhoneType dans le tableau de mappage d’attributs.
Notes
Le cas échéant, supprimez la virgule (ici, symbole de groupement de chiffres) lorsque vous copiez la valeur. Par exemple, si la valeur ID d’option est 10,606, définissez cellPhoneType dans Microsoft Entra ID sur le nombre constant 10606 (sans virgule).
Configuration de l’application SuccessFactors Writeback
Cette section décrit les étapes à suivre pour
- Ajouter l’application du connecteur de provisionnement et configurer la connectivité à SuccessFactors.
- Configurer les mappages d'attributs
- Activer et lancer l'approvisionnement des utilisateurs
Première partie : Ajouter l’application du connecteur de provisionnement et configurer la connectivité à SuccessFactors
Pour configurer SuccessFactors Writeback
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
Recherchez SuccessFactors Writeback et ajoutez cette application à partir de la galerie.
Une fois l’application ajoutée et l’écran de détails de l’application affiché, sélectionnez Approvisionnement
Définissez Mode d’approvisionnement sur Automatique
Fermez la section Informations d’identification de l’administrateur, comme suit :
Nom de l’utilisateur administrateur : entrez le nom d’utilisateur du compte d’utilisateur de l’API SuccessFactors, accompagné de l’ID d’entreprise. Il a le format suivant : username@companyID
Mot de passe d’administrateur : entrez le mot de passe du compte d’utilisateur de l’API SuccessFactors.
URL du locataire : entrez le nom du point de terminaison des services de l’API OData SuccessFactors. Entrez uniquement le nom d’hôte du serveur, sans http ou https. Cette valeur doit ressembler à ceci :
api4.successfactors.com
.E-mail de notification : entrez votre adresse e-mail et activez la case à cocher « Envoyer un e-mail en cas de défaillance ».
Remarque
Le service de provisionnement Microsoft Entra envoie une notification par courrier électronique si la tâche de provisionnement passe en quarantaine.
Cliquez sur le bouton Tester la connexion. Si le test de connexion réussit, cliquez sur le bouton Enregistrer en haut. En cas d’échec, vérifiez que les informations d’identification et l’URL SuccessFactors sont valides.
Une fois les informations d’identification enregistrées, la section Mappages affiche le mappage par défaut. Actualisez la page si les mappages d’attributs ne sont pas visibles.
Deuxième partie : Configuration des mappages d’attributs
Dans cette section, vous configurez le flux des données utilisateur de SuccessFactors vers Active Directory.
Sous l’onglet Provisionnement sous Mappages, cliquez sur Provisionner des utilisateurs Microsoft Entra.
Dans le champ Portée de l’objet source, vous pouvez sélectionner les ensembles d’utilisateurs Microsoft Entra ID qui doivent être pris en compte pour l’écriture différée, en définissant un ensemble de filtres d’attributs. L’étendue par défaut est tous les utilisateurs dans Microsoft Entra ID.
Conseil
Quand vous configurez l’application de provisionnement pour la première fois, vous devez tester et vérifier vos mappages d’attributs et expressions pour obtenir le résultat souhaité. Microsoft vous recommande d’utiliser les filtres de portée disponibles sous Portée de l’objet source pour tester vos mappages avec quelques utilisateurs test de Microsoft Entra ID. Après avoir vérifié que les mappages fonctionnent, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.
Le champ Actions d’objet cible prend uniquement en charge l’opération Mise à jour.
Dans la table de mappages, sous la section Mappages d’attributs, vous pouvez mapper les attributs Microsoft Entra suivants à SuccessFactors. Le tableau ci-dessous fournit des conseils sur la façon de mapper les attributs d’écriture différée.
# Attribut Microsoft Entra Attribut SuccessFactors Notes 1 employeeId personIdExternal Par défaut, cet attribut est l’identificateur correspondant. Au lieu d’employeeId, vous pouvez utiliser tout autre attribut Microsoft Entra capable de stocker la valeur égale à personIdExternal dans SuccessFactors. 2 mail email Mappez la source de l’attribut « email ». À des fins de test, vous pouvez mapper userPrincipalName à email. 3 8448 emailType Cette valeur constante est la valeur d’ID SuccessFactors associée à la messagerie professionnelle. Mettez à jour cette valeur pour qu’elle corresponde à votre environnement SuccessFactors. Consultez la section Récupérer la valeur constante pour emailType afin de connaître les étapes permettant de définir cette valeur. 4 true emailIsPrimary Utilisez cet attribut pour définir la messagerie professionnelle comme messagerie principale dans SuccessFactors. Si la messagerie professionnelle n’est pas la messagerie principale, définissez cet indicateur sur « false ». 5 userPrincipalName [custom01 – custom15] En utilisant Ajouter un nouveau mappage, vous pouvez éventuellement écrire userPrincipalName ou tout autre attribut Microsoft Entra dans un attribut personnalisé disponible dans l’objet Utilisateur SuccessFactors. 6 On Prem SamAccountName username En utilisant Ajouter un nouveau mappage, vous pouvez éventuellement mapper l’attribut samAccountName local à l’attribut username de SuccessFactors. Utilisez Microsoft Entra Connect Sync : extensions d’annuaire pour synchroniser samAccountName avec Microsoft Entra ID. Vous le voyez dans la liste déroulante source au format extension_yourTenantGUID_samAccountName 7 SSO loginMethod Si le locataire SuccessFactors est configuré pour une SSO partielle, en utilisant Ajouter un nouveau mappage, vous pouvez éventuellement définir loginMethod sur une valeur constante « SSO » ou « PWD ». 8 telephoneNumber businessPhoneNumber Utilisez ce mappage pour transmettre l’attribut telephoneNumber de Microsoft Entra ID au numéro de téléphone professionnel SuccessFactors. 9 10605 businessPhoneType Cette valeur constante est la valeur d’ID SuccessFactors associée au téléphone professionnel. Mettez à jour cette valeur pour qu’elle corresponde à votre environnement SuccessFactors. Consultez la section Récupérer la valeur constante pour phoneType afin de connaître les étapes permettant de définir cette valeur. 10 true businessPhoneIsPrimary Utilisez cet attribut pour définir le numéro de téléphone professionnel comme numéro principal. Les valeurs valides sont « true » ou « false ». 11 mobile cellPhoneNumber Utilisez ce mappage pour transmettre l’attribut telephoneNumber de Microsoft Entra ID au numéro de téléphone professionnel SuccessFactors. 12 10606 cellPhoneType Cette valeur constante est la valeur d’ID SuccessFactors associée au téléphone portable. Mettez à jour cette valeur pour qu’elle corresponde à votre environnement SuccessFactors. Consultez la section Récupérer la valeur constante pour phoneType afin de connaître les étapes permettant de définir cette valeur. 13 false cellPhoneIsPrimary Utilisez cet attribut pour définir le numéro de téléphone portable comme numéro principal. Les valeurs valides sont « true » ou « false ». 14 [extensionAttribute1-15] userId Utilisez ce mappage pour vous assurer que l’enregistrement actif dans SuccessFactors est mis à jour lorsqu’il y a plusieurs enregistrements d’emploi pour le même utilisateur. Pour plus d’informations, consultez Activation de l’écriture différée avec UserID. Validez et vérifiez vos mappages d’attributs.
Cliquez sur Enregistrer pour enregistrer les mappages. Ensuite, nous mettons à jour les expressions d’API du chemin JSON pour qu’elles utilisent les codes phoneType dans votre instance SuccessFactors.
Sélectionnez Afficher les options avancées.
Cliquez sur Modifier la liste des attributs de SuccessFactors.
Remarque
Si l’option Modifier la liste d’attributs pour SuccessFactors ne s’affiche pas dans le centre d’administration Entra, utilisez l’URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true pour accéder à la page.
La colonne Expression d’API de cette vue affiche les expressions de chemin JSON utilisées par le connecteur.
Mettez à jour les expressions de chemin JSON pour le téléphone professionnel et le téléphone portable afin d’utiliser la valeur d’ID (businessPhoneType et cellPhoneType) correspondant à votre environnement.
Cliquez sur Enregistrer pour enregistrer les mappages.
Activer et lancer l'approvisionnement des utilisateurs
Une fois les configurations d’application de provisionnement SuccessFactors effectuées, vous pouvez activer le service de provisionnement.
Conseil
Par défaut, quand vous activez le service de provisionnement, il lance les opérations de provisionnement pour tous les utilisateurs dans l’étendue. En cas d’erreur de mappage ou de problème lié aux données, le travail d’approvisionnement peut échouer et être mis en quarantaine. Pour éviter ce genre de problème, nous vous recommandons de configurer le filtre Portée de l’objet source et de tester vos mappages d’attributs sur quelques utilisateurs test avant de lancer la synchronisation complète de tous les utilisateurs. Après avoir vérifié que les mappages fonctionnent et qu'ils vous donnent les résultats souhaités, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.
Dans l’onglet Approvisionnement, définissez État d’approvisionnement sur Activé.
Sélectionnez Étendue. Vous pouvez sélectionner l’une des options suivantes :
- Synchroniser l’ensemble des utilisateurs et groupes : sélectionnez cette option si vous prévoyez d’écrire en différé des attributs mappés de tous les utilisateurs de Microsoft Entra ID vers SuccessFactors, selon les règles de portée définies sous Mappages ->Portée de l’objet source.
- Synchroniser uniquement les utilisateurs et groupes assignés : Sélectionnez cette option si vous planifiez d’écrire en différé des attributs mappés des utilisateurs que vous avez assignés à cette application uniquement dans l’option de menu Application ->Gérer->Utilisateurs et groupes. Ces utilisateurs sont également soumis aux règles d’étendue définies sous Mappages ->Portée de l’objet source.
Notes
Les applications d’approvisionnement SuccessFactors Writeback créées après le 12 octobre 2022 prennent en charge la fonctionnalité « affectation de groupe ». Si vous avez créé l’application avant le 12 octobre 2022, elle prend uniquement en charge l’« attribution d’utilisateurs ». Pour utiliser la fonctionnalité « affectation de groupe », créez une nouvelle instance de l’application SuccessFactors Writeback et déplacez vos configurations de mappage existantes vers cette application.
Cliquez sur Enregistrer.
Cette opération démarre la synchronisation initiale, dont la durée (en heures) dépend du nombre d’utilisateurs dans le locataire Microsoft Entra et de l’étendue définie pour l’opération. Vous pouvez consulter la barre de progression pour suivre la progression du cycle de synchronisation.
À tout moment, vérifiez l’onglet Provisionnement dans le centre d’administration Entra pour voir les actions effectuées par le service de provisionnement. Les journaux d’approvisionnement répertorient tous les événements de synchronisation individuels effectués par le service d’approvisionnement.
Après la synchronisation initiale, il écrit un rapport de synthèse d’audit sous l’onglet Provisionnement, comme illustré ci-dessous.