Configurare il provisioning utenti di SAP SuccessFactors per Active Directory

L'obiettivo di questo articolo è illustrare i passaggi da eseguire per effettuare il provisioning degli utenti da SuccessFactors Employee Central in Active Directory (AD) e Microsoft Entra ID, con writeback facoltativo dell'indirizzo di posta elettronica in SuccessFactors.

Nota

Usare questo articolo se gli utenti di cui si vuole eseguire il provisioning da SuccessFactors necessitano di un account AD locale e facoltativamente di un account Microsoft Entra. Se gli utenti di SuccessFactors necessitano solo dell'account Microsoft Entra (utenti solo cloud), fare riferimento all'articolo su configurare SAP SuccessFactors a Microsoft Entra ID approvvigionamento utenti.

Il video seguente offre una rapida panoramica dei passaggi necessari per la pianificazione dell'integrazione del provisioning con SAP SuccessFactors.

Panoramica

Il servizio di provisioning degli utenti di Microsoft Entra si integra con SuccessFactors Employee Central per gestire il ciclo di vita delle identità degli utenti.

I workflow di provisioning degli utenti di SuccessFactors, supportati dal servizio di provisioning utenti di Microsoft Entra, consentono l'automazione dei seguenti scenari di gestione del ciclo di vita delle risorse umane e delle identità:

• Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a SuccessFactors, un account utente viene creato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID, con writeback dell'indirizzo di posta elettronica in SuccessFactors.

• Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in SuccessFactors (ad esempio il nome, il titolo o il manager), il proprio account utente viene aggiornato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, in Microsoft 365 e in altre applicazioni SaaS supportate da Microsoft Entra ID.

• Terminazioni dei dipendenti: quando un dipendente viene terminato in SuccessFactors, l'account utente viene disabilitato automaticamente in Active Directory, microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

• Riassunzioni dei dipendenti: quando un dipendente viene riassunto in SuccessFactors, il vecchio account può essere automaticamente riattivato o nuovamente fornito (a seconda delle tue preferenze) in Active Directory, Microsoft Entra ID e, facoltativamente, in Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

A chi è più adatta questa soluzione di provisioning per utenti?

Questa soluzione di provisioning utenti da SuccessFactors ad Active Directory è particolarmente adatta per:

• Le organizzazioni che desiderano una soluzione cloud predefinita per il provisioning degli utenti di SuccessFactors, comprese le organizzazioni che popolano SuccessFactors tramite SAP HCM usando SAP Integration Suite

• Organizzazioni che distribuiscono Microsoft Entra per il provisioning degli utenti con app SAP di origine e di destinazione, utilizzando Microsoft Entra per configurare le identità per i lavoratori in modo che possano accedere a una o più applicazioni SAP, come SAP ECC o SAP S/4HANA, e facoltativamente a applicazioni non SAP.

• Organizzazioni che richiedono il provisioning diretto degli utenti da SuccessFactors ad Active Directory per consentire agli utenti di accedere alle applicazioni integrate con Windows Server Active Directory e a quelle integrate con Microsoft Entra ID.

• Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti da SuccessFactors Employee Central (EC)

• Organizzazioni che vogliono che le operazioni di aggiunta, spostamento ed eliminazione di utenti siano sincronizzate con uno o più domini, foreste o unità organizzative di Active Directory solo in base alle informazioni modificate rilevate in SuccessFactors Employee Central (EC)

• Organizzazioni che usano Microsoft 365 per la posta elettronica

Architettura della soluzione

Questa sezione descrive l'architettura della soluzione di provisioning end-to-end degli utenti per ambienti ibridi comuni. Esistono due flussi correlati:

• Flusso di dati HR autorevole: da SuccessFactors a Active Directory locale: in questo flusso di eventi di lavoro (ad esempio New Hires, Transfers, Terminations) si verificano prima nel cloud SuccessFactors Employee Central e quindi i dati dell'evento vengono trasmessi in Active Directory locale tramite Microsoft Entra ID e l'agente di provisioning. A seconda dell'evento, può determinare operazioni di creazione/aggiornamento/abilitazione o disabilitazione in Active Directory.

• flusso di writeback della posta elettronica: da Active Directory locale a SuccessFactors: Al termine della creazione dell'account in Active Directory, viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connect Sync e l'attributo di posta elettronica può essere scritto in SuccessFactors.

  

Flusso di dati end-to-end dell'utente

1. Il team HR esegue transazioni relative al personale (Nuove Assunzioni/Trasferimenti/Cessazioni) su SuccessFactors Employee Central.
2. Il servizio di provisioning Microsoft Entra esegue sincronizzazioni pianificate delle identità da SuccessFactors EC e identifica le modifiche che devono essere elaborate per la sincronizzazione con Active Directory locale.
3. Il servizio di provisioning Microsoft Entra richiama l'agente di provisioning locale Microsoft Entra Connect con un payload di richiesta contenente le operazioni di creazione, aggiornamento, abilitazione e disabilitazione dell'account AD.
4. Microsoft Entra Connect Provisioning Agent usa un account del servizio per aggiungere/aggiornare i dati dell'account AD.
5. Il motore di sincronizzazione di Microsoft Entra Connect esegue la sincronizzazione differenziale per recuperare gli aggiornamenti in Active Directory.
6. Gli aggiornamenti di Active Directory vengono sincronizzati con Microsoft Entra ID.
7. Se l'app SuccessFactors Writeback è configurata, riporta indietro l'attributo dell'e-mail in SuccessFactors, in base all'attributo corrispondente utilizzato.

Pianificazione della distribuzione

La configurazione del provisioning utenti gestito dalle risorse umane nel Cloud HR da SuccessFactors verso Active Directory richiede una pianificazione considerevole che tenga conto di diversi aspetti, quali:

• Installazione dell'agente di provisioning di Microsoft Entra Connect
• Numero di app per il provisioning degli utenti da SuccessFactors ad AD da distribuire
• Corrispondenza di ID, mappatura degli attributi, trasformazione e filtri di ambito

Vedere il piano di distribuzione dell'app HR basata sul cloud per indicazioni complete su questi argomenti. Vedere la guida di riferimento all'integrazione di SAP SuccessFactors per informazioni sulle entità supportate, i dettagli di elaborazione e su come personalizzare l'integrazione per scenari HR diversi.

Configurazione di SuccessFactors per l'integrazione

Un requisito comune di tutti i connettori per il provisioning di SuccessFactors è che richiedano le credenziali di un account SuccessFactors con le autorizzazioni appropriate per richiamare le API OData di SuccessFactors. Questa sezione descrive la procedura da eseguire per creare l'account del servizio in SuccessFactors e concedere le autorizzazioni appropriate.

• Creare/identificare l'account utente dell'API in SuccessFactors
• Creare un ruolo delle autorizzazioni API
• Creare un gruppo di autorizzazioni per l'utente dell'API
• Concedere il ruolo di autorizzazione al gruppo di autorizzazione

Creare/identificare l'account utente dell'API in SuccessFactors

Collaborare con il team di amministrazione o il partner di implementazione di SuccessFactors per creare o identificare un account utente in SuccessFactors per richiamare le API OData. Le credenziali di nome utente e password di questo account sono necessarie quando si configurano le app di provisioning in Microsoft Entra ID.

Creare un ruolo delle autorizzazioni API

1. Accedere a SAP SuccessFactors con un account utente che ha accesso all'Interfaccia di amministrazione.

2. Cercare Manage Permission Roles (Gestisci ruoli autorizzazione), quindi selezionare Manage Permission Roles (Gestisci ruoli autorizzazione) dai risultati della ricerca.

3. Nell'elenco dei ruoli di autorizzazione, selezionare Crea nuovo.

   

4. In Role Name e Description aggiungere rispettivamente un nome e una descrizione per il nuovo ruolo di autorizzazioni. Il nome e la descrizione devono indicare che il ruolo riguarda le autorizzazioni di utilizzo dell'API.

5. In Impostazioni autorizzazione selezionare Autorizzazione..., quindi scorrere verso il basso l'elenco delle autorizzazioni e selezionare Gestisci strumenti di integrazione. Selezionare la casella Allow Admin to Access to OData API through Basic Authentication (Consenti all'amministratore di accedere all'API OData tramite l'autenticazione di base).

   

6. Scorrere verso il basso nello stesso riquadro e selezionare Employee Central API (API Employee Central). Aggiungere le autorizzazioni come illustrato di seguito per leggere utilizzando l'API ODATA e modificare utilizzando l'API ODATA. Selezionare l'opzione di modifica se si intende utilizzare lo stesso account per il ripristino dei dati in SuccessFactors.

   

7. Nella stessa riga delle autorizzazioni, passare a Autorizzazioni utente -> Dati dei dipendenti ed esaminare gli attributi che l'account del servizio può leggere dal tenant SuccessFactors. Ad esempio, per recuperare l'attributo Username da SuccessFactors, verificare che per questo attributo sia stata concessa l'autorizzazione di visualizzazione. Esaminare in modo analogo ogni attributo per verificare la presenza dell'autorizzazione di visualizzazione.

   

   Nota

   Per l'elenco completo degli attributi recuperati da questa app di provisioning, vedere Informazioni di riferimento sugli attributi di SuccessFactors

8. Selezionare Fine. Selezionare Salva modifiche.

Creare un gruppo di autorizzazioni per l'utente dell'API

1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Groups (Gestisci gruppi di autorizzazioni), quindi selezionare Manage Permission Groups dai risultati della ricerca.

   

2. Nella finestra Gestisci gruppi di autorizzazioni selezionare Crea nuovo.

   

3. Aggiungere un nome per il nuovo gruppo. Il nome del gruppo deve indicare che il gruppo è riservato agli utenti dell'API.

   

4. Aggiungere membri al gruppo. Ad esempio, è possibile selezionare nome utente dal menu a discesa Pool di persone e quindi inserire il nome utente dell'account API utilizzato per l'integrazione.

   

5. Selezionare Fine per completare la creazione del gruppo di autorizzazioni.

Concedere il ruolo di autorizzazione al gruppo di autorizzazione

1. Nell'interfaccia di amministrazione di SuccessFactors, cercare Manage Permission Roles (Gestisci Ruoli di Autorizzazione), quindi selezionare Manage Permission Roles (Gestisci Ruoli di Autorizzazione) dai risultati della ricerca.
2. In Permission Role List (Elenco ruoli autorizzazioni) selezionare il ruolo creato per le autorizzazioni di utilizzo dell'API.
3. In Concedere questo ruolo a..., selezionare il pulsante Aggiungi....
4. Selezionare gruppo di autorizzazioni... dal menu a discesa, quindi selezionare Seleziona per aprire la finestra Gruppi in cui cercare e selezionare il gruppo creato in precedenza.
5. Verificare la concessione del ruolo delle autorizzazioni al gruppo di autorizzazioni.
6. Selezionare Salva modifiche.

Configurazione del processo di provisioning degli utenti da SuccessFactors ad Active Directory

Questa sezione descrive i passaggi per effettuare il provisioning degli account utente da SuccessFactors a ciascun dominio di Active Directory nell'ambito della vostra integrazione.

• Aggiungere l'app del connettore di provisioning e scaricare l'agente di provisioning
• Installare e configurare gli agenti di provisioning locali
• Configurare la connettività a SuccessFactors e Active Directory
• Configurare i mapping degli attributi
• Abilitare e avviare il provisioning degli utenti

Parte 1: Aggiungi l'app del connettore di provisioning e scarica l'agente di provisioning

Per configurare SuccessFactors per il provisioning con Active Directory:

1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un Amministratore delle applicazioni cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.

3. Cercare SuccessFactors to Active Directory User Provisioning e aggiungere tale app dalla galleria.

4. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning

5. Impostare Modalitàdi provisioning su Automatico

6. Selezionare il banner informativo visualizzato per scaricare l'Agente di Provisioning.

   

Parte 2: Installare e configurare gli agenti di provisioning locali

Per effettuare il provisioning in Active Directory locale, è necessario installare l'agente di provisioning in un server aggiunto al dominio e con accesso di rete ai domini di Active Directory richiesti.

Trasferire il programma di installazione dell'agente scaricato nell'host del server e seguire i passaggi indicati nella sezione Installare l'agente per completare la configurazione dell'agente.

Parte 3: Nell'app di provisioning configurare la connettività a SuccessFactors e Active Directory

In questo passaggio viene stabilita la connettività con SuccessFactors e Active Directory.

1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un Amministratore delle applicazioni cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali> SuccessFactors all'App di provisioning utenti di Active Directory creata nella Parte 1

3. Completare la sezione Credenziali amministratore come segue:

   • Nome utente amministratore: immettere il nome utente dell'account utente dell'API SuccessFactors, seguito dall'ID società. Ha il formato: username@companyID

   • Password amministratore: immettere la password dell'account utente dell'API SuccessFactors.

   • Tenant URL: immettere il nome dell'endpoint del servizio API OData di SuccessFactors. Immettere solo il nome host del server senza http o https. Questo valore dovrebbe essere simile al seguente: <.>

   • Foresta di Active Directory: il "Nome" del dominio di Active Directory, registrato con l'agente. Seleziona l'elenco a discesa per scegliere il dominio di destinazione per il provisioning. In genere, il valore corrisponde a una stringa simile a: contoso.com

   • Contenitore di Active Directory - Inserire il DN del contenitore in cui l'agente deve creare gli account utente per impostazione predefinita. Esempio: OU=Users,DC=contoso,DC=com

     Nota

     Questa impostazione viene eseguita solo per le creazioni di account utente se l'attributo parentDistinguishedName non è configurato nei mapping degli attributi. Questa impostazione non viene usata per le operazioni di ricerca o aggiornamento degli utenti. L'intero sottoalbero del dominio rientra nell'ambito dell'operazione di ricerca.

   • Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

     Nota

     Il servizio di provisioning Microsoft Entra invia una notifica via email se il processo di provisioning si trova in uno stato di quarantena.

   • Selezionare il pulsante Test Connessione. Se il test di connessione ha esito positivo, selezionare il pulsante Salva nella parte superiore. Se fallisce, verificare che le credenziali di SuccessFactors e le credenziali AD configurate nel setup dell'agente siano valide.

   • Dopo aver salvato correttamente le credenziali, nella sezione Mapping viene visualizzato il mapping predefinito Synchronize SuccessFactors Users to On Premises Active Directory

Parte 4: Configurare i mapping degli attributi

In questa sezione viene configurato il flusso dei dati utente da SuccessFactors ad Active Directory.

1. Nella scheda Provisioning sotto Mapping , selezionare Synchronize SuccessFactors Users to On Premises Active Directory.

2. Nel campo Ambito dell'oggetto di origine è possibile selezionare i gruppi di utenti in SuccessFactors da includere nell'ambito per il provisioning in AD, definendo un set di filtri basati su attributi. L'ambito predefinito è tutti gli utenti in SuccessFactors. Filtri di esempio:

   • Esempio: Ambito per gli utenti con personIdExternal compreso tra 1000000 e 2000000 (escluso 2000000)

     • Attributo: personIdExternal

     • Operatore: Corrispondenza REGEX

     • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Esempio: Solo i dipendenti, senza i lavoratori occasionali

     • Attributo: EmployeeID

     • Operatore: NON È "NULL"

   Suggerimento

   Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping e le espressioni degli attributi per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare i filtri di ambito sotto Ambito dell'oggetto di origine per testare il mapping con alcuni utenti di prova da SuccessFactors. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

   Attenzione

   Il comportamento predefinito del motore di provisioning è disabilitare/eliminare gli utenti che non rientrano nell'ambito. Questo comportamento potrebbe essere indesiderato nell'integrazione da SuccessFactors ad Active Directory. Per eseguire l'override di questo comportamento predefinito, fare riferimento all'articolo Ignorare l'eliminazione di account utente che non rientrano nell'ambito

3. Nel campo Target Object Actions (Azioni oggetto di destinazione) è possibile applicare un filtro a livello globale per le azioni che vengono eseguite in Active Directory. Create (Crea) e Update (Aggiorna) sono le più comuni.

4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di SuccessFactors agli attributi di Active Directory.

   Nota

   Per l'elenco completo degli attributi di SuccessFactors supportati dall'applicazione, vedere Informazioni di riferimento sugli attributi di SuccessFactors

5. Seleziona una mappatura di attributi esistente per aggiornarla, oppure seleziona Aggiungi nuova mappatura nella parte inferiore della schermata per aggiungere nuove mappature. Il mapping di un singolo attributo supporta queste proprietà:

   • Tipo di mapping

     • Diretto: scrive il valore dell'attributo di SuccessFactors nell'attributo di AD, senza modifiche

     • Costant (Costante): scrive un valore stringa costante statico nell'attributo di AD

     • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di SuccessFactors. Per altre informazioni, vedere questo articolo sulle espressioni.

   • Attributo di origine: l'attributo utente di SuccessFactors.

   • Valore predefinito: facoltativo. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.

   • Attributo di destinazione: l'attributo utente in Active Directory.

   • Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato o meno per l'identificazione univoca degli utenti tra SuccessFactors e Active Directory. In genere, questo valore viene impostato sul campo ID lavoratore di SuccessFactors, che di solito è associato a uno degli attributi dell'ID dipendente in Active Directory.

   • Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.

   • Applica questa mappatura

     • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente

     • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente

6. Per salvare i mapping, selezionare Salva nella parte superiore della sezione Attribute-Mapping.

Una volta completata la configurazione del mapping degli attributi, è possibile testare il provisioning per un singolo utente usando il provisioning su richiesta e quindi abilitare e avviare il servizio di provisioning degli utenti.

Abilitare e avviare il provisioning degli utenti

Dopo aver completato le configurazioni dell'app di provisioning di SuccessFactors e aver verificato il provisioning per un singolo utente con provisioning su richiesta, è possibile attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita, quando si attiva il servizio di provisioning, inizia le operazioni di provisioning per tutti gli utenti previsti. Se sono presenti errori di mapping o problemi di dati in SuccessFactors, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti di test con il provisioning su richiesta prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

1. Accedere alla scheda Provisioning e selezionare Avvia provisioning.

2. Questa operazione avvia la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di SuccessFactors. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.

3. In qualsiasi momento, controllare la scheda Provisioning nell'interfaccia di amministrazione di Entra per visualizzare le azioni eseguite dal servizio di provisioning. I log di provisioning elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio quali utenti vengono letti in SuccessFactors e successivamente aggiunti o aggiornati in Active Directory.

4. Al termine della sincronizzazione iniziale, scrive un report di riepilogo del controllo nella scheda Provisioning , come illustrato di seguito.

   

Contenuto correlato

• Altre informazioni sugli attributi di SuccessFactors supportati per il provisioning in ingresso
• Scopri come configurare la riscrittura degli indirizzi email su SuccessFactors
• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning
• Informazioni su come configurare l'accesso Single Sign-On tra SuccessFactors e Microsoft Entra ID
• Informazioni su come integrare altre applicazioni SaaS con Microsoft Entra ID
• Informazioni su come esportare e importare le configurazioni del provisioning