Condividi tramite


Esercitazione: Configurare il provisioning utenti di SAP SuccessFactors in Microsoft Entra

Questa esercitazione descrive i passaggi da eseguire per effettuare il provisioning dei dati del ruolo di lavoro da SuccessFactors Employee Central in Microsoft Entra ID, con writeback facoltativo dell'indirizzo di posta elettronica in SuccessFactors.

Nota

Usare questa esercitazione se gli utenti di cui si vuole effettuare il provisioning da SuccessFactors necessitano di un account AD locale e facoltativamente di un account Azure AD. Se gli utenti richiedono solo un account AD locale o un account AD e Microsoft Entra, fare riferimento all'esercitazione sulla configurazione del provisioning utenti di SAP SuccessFactors in Active Directory .

Il video seguente offre una rapida panoramica dei passaggi necessari per la pianificazione dell'integrazione del provisioning con SAP SuccessFactors.

Panoramica

Il servizio di provisioning utenti di Microsoft Entra si integra con SuccessFactors Employee Central per gestire il ciclo di vita delle identità degli utenti.

I flussi di lavoro di provisioning degli utenti di SuccessFactors supportati dal servizio di provisioning utenti di Microsoft Entra consentono l'automazione degli scenari di gestione del ciclo di vita delle risorse umane e delle identità seguenti:

  • Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a SuccessFactors, un account utente viene creato automaticamente in Microsoft Entra ID e facoltativamente Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID, con writeback dell'indirizzo di posta elettronica in SuccessFactors.

  • Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in SuccessFactors (ad esempio il nome, il titolo o il manager), l'account utente viene aggiornato automaticamente microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

  • Terminazioni dei dipendenti: quando un dipendente viene terminato in SuccessFactors, l'account utente viene disabilitato automaticamente in Microsoft Entra ID e facoltativamente Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

  • Rehires dei dipendenti: quando un dipendente viene riassunto in SuccessFactors, il vecchio account può essere riattivato o sottoposto nuovamente a provisioning (a seconda delle preferenze) all'ID Microsoft Entra e facoltativamente a Microsoft 365 e ad altre applicazioni SaaS supportate da Microsoft Entra ID.

Per chi è più adatta questa soluzione di provisioning utenti?

Questa soluzione di provisioning utenti da SuccessFactors a Microsoft Entra è ideale per:

  • Organizzazioni che desiderano una soluzione predefinita basata sul cloud per il provisioning utenti di SuccessFactors, incluse le organizzazioni che popolano SuccessFactors da SAP HCM usando SAP Integration Suite

  • Organizzazioni che distribuiranno Microsoft Entra per il provisioning utenti con app di origine e destinazione SAP, usando Microsoft Entra per configurare le identità per i lavoratori in modo che possano accedere a una o più applicazioni SAP, ad esempio SAP ECC o SAP S/4HANA, nonché facoltativamente applicazioni non SAP

  • Organizzazioni che richiedono il provisioning utenti diretto da SuccessFactors a Microsoft Entra ID, ma non richiedono che tali utenti si trovano anche in Windows Server Active Directory

  • Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti da SuccessFactors Employee Central (EC)

  • Organizzazioni che usano Microsoft 365 per la posta elettronica

Architettura della soluzione

Questa sezione descrive l'architettura della soluzione end-to-end di provisioning degli utenti per utenti solo cloud. Esistono due flussi correlati:

  • Flusso di dati HR autorevole: da SuccessFactors a Microsoft Entra ID: in questo flusso di eventi di lavoro (ad esempio New Hires, Transfers, Terminations) si verificano prima nel cloud SuccessFactors Employee Central e quindi i dati dell'evento passano in Microsoft Entra ID. A seconda dell'evento, può causare operazioni di creazione/aggiornamento/abilitazione/disabilitazione in Microsoft Entra ID.

  • Flusso di writeback della posta elettronica: da Microsoft Entra ID a SuccessFactors: una volta completata la creazione dell'account in Microsoft Entra ID, il valore dell'attributo di posta elettronica o l'UPN generato in Microsoft Entra ID può essere riscritto in SuccessFactors.

    Panoramica

Flusso di dati end-to-end dell'utente

  1. Il team HR esegue transazioni di lavoro (Joiners/Movers/Leavers o New Hires/Transfer/Terminations) in SuccessFactors Employee Central.
  2. Il servizio di provisioning Microsoft Entra esegue sincronizzazioni pianificate delle identità da SuccessFactors EC e identifica le modifiche che devono essere elaborate per la sincronizzazione con Microsoft Entra ID.
  3. Il servizio di provisioning Di Microsoft Entra determina la modifica e richiama l'operazione di creazione/aggiornamento/abilitazione/disabilitazione per l'utente in Microsoft Entra ID.
  4. Se l'app writeback SuccessFactors è configurata, l'indirizzo di posta elettronica dell'utente viene recuperato dall'ID Microsoft Entra.
  5. Il servizio di provisioning Microsoft Entra scrive l'attributo di posta elettronica in SuccessFactors, in base all'attributo corrispondente usato.

Pianificazione della distribuzione

La configurazione del provisioning utenti basato sulle risorse umane cloud da SuccessFactors a Microsoft Entra ID richiede una pianificazione considerevole che copre diversi aspetti, ad esempio:

  • Determinazione dell'ID corrispondente
  • Mapping attributi
  • Trasformazione degli attributi
  • Filtri per la definizione dell'ambito

Vedere il piano di distribuzione dell'app HR basata sul cloud per indicazioni complete su questi argomenti. Vedere la guida di riferimento all'integrazione di SAP SuccessFactors per informazioni sulle entità supportate, i dettagli di elaborazione e su come personalizzare l'integrazione per scenari HR diversi.

Configurazione di SuccessFactors per l'integrazione

Un requisito comune di tutti i connettori per il provisioning di SuccessFactors è che richiedano le credenziali di un account SuccessFactors con le autorizzazioni appropriate per richiamare le API OData di SuccessFactors. Questa sezione descrive la procedura da eseguire per creare l'account del servizio in SuccessFactors e concedere le autorizzazioni appropriate.

Creare/identificare l'account utente dell'API in SuccessFactors

Collaborare con il team di amministrazione o il partner di implementazione di SuccessFactors per creare o identificare un account utente in SuccessFactors per richiamare le API OData. Le credenziali di nome utente e password di questo account sono necessarie quando si configurano le app di provisioning in Microsoft Entra ID.

Creare un ruolo delle autorizzazioni API

  1. Accedere a SAP SuccessFactors con un account utente che ha accesso all'Interfaccia di amministrazione.

  2. Cercare Manage Permission Roles (Gestisci ruoli autorizzazione), quindi selezionare Manage Permission Roles dai risultati della ricerca. Manage Permission Roles

  3. In Permission Role List (Elenco ruoli autorizzazioni) fare clic su Create New (Crea nuovo).

    Creazione di un nuovo ruolo di autorizzazioni

  4. In Role Name e Description aggiungere rispettivamente un nome e una descrizione per il nuovo ruolo di autorizzazioni. Il nome e la descrizione devono indicare che il ruolo riguarda le autorizzazioni di utilizzo dell'API.

  5. In Permission settings (Impostazioni autorizzazione) fare clic su Permission (Autorizzazione), quindi scorrere l'elenco delle autorizzazioni verso il basso e fare clic su Manage Integration Tools (Gestione strumenti di integrazione). Selezionare la casella Allow Admin to Access to OData API through Basic Authentication (Consenti all'amministratore di accedere all'API OData tramite l'autenticazione di base).

    Gestione strumenti di integrazione

  6. Scorrere verso il basso nello stesso riquadro e selezionare Employee Central API (API Employee Central). Aggiungere le autorizzazioni di lettura e modifica dell'API ODATA, come illustrato di seguito. Selezionare l'opzione di modifica se si prevede di usare lo stesso account per lo scenario di writeback in SuccessFactors.

    Autorizzazioni di lettura/scrittura

  7. Nella stessa casella delle autorizzazioni passare a Autorizzazioni utente -> Dati dipendenti ed esaminare gli attributi che l'account del servizio può leggere dal tenant di SuccessFactors. Ad esempio, per recuperare l'attributo Username da SuccessFactors, verificare che per questo attributo sia stata concessa l'autorizzazione di visualizzazione. Esaminare in modo analogo ogni attributo per verificare la presenza dell'autorizzazione di visualizzazione.

    Autorizzazioni per i dati dei dipendenti

    Nota

    Per l'elenco completo degli attributi recuperati da questa app di provisioning, vedere Informazioni di riferimento sugli attributi di SuccessFactors

  8. Fare clic su Done (Fine). Fare clic su Save Changes (Salva modifiche).

Creare un gruppo di autorizzazioni per l'utente dell'API

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Groups (Gestisci gruppi di autorizzazioni), quindi selezionare Manage Permission Groups dai risultati della ricerca.

    Manage Permission Groups

  2. Nella finestra Manage Permission Groups fare clic su Create New (Crea nuovo).

    Aggiungere un nuovo gruppo

  3. Aggiungere un nome per il nuovo gruppo. Il nome del gruppo deve indicare che il gruppo è riservato agli utenti dell'API.

    Nome del gruppo di autorizzazioni

  4. Aggiungere membri al gruppo. Ad esempio, si potrebbe selezionare Username (Nome utente) dal menu a discesa People Pool (Pool utenti) e quindi immettere il nome utente dell'account API che verrà usato per l'integrazione.

    Aggiungi membri del gruppo

  5. Fare clic su Done (Fine) per completare la creazione del gruppo di autorizzazioni.

Concedere il ruolo delle autorizzazioni al gruppo di autorizzazioni

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Roles (Gestisci ruoli autorizzazioni), quindi selezionare Manage Permission Roles dai risultati della ricerca.
  2. In Permission Role List (Elenco ruoli autorizzazioni) selezionare il ruolo creato per le autorizzazioni di utilizzo dell'API.
  3. In Grant this role to (Concedi ruolo a) fare clic sul pulsante Add (Aggiungi).
  4. Selezionare Permission Group (Gruppo di autorizzazioni) dal menu a discesa, quindi fare clic su Select (Seleziona) per aprire la finestra Groups (Gruppi) per cercare e selezionare il gruppo creato in precedenza.
  5. Verificare la concessione del ruolo delle autorizzazioni al gruppo di autorizzazioni.
  6. Fare clic su Save Changes (Salva modifiche).

Configurazione del provisioning utenti da SuccessFactors a Microsoft Entra ID

Questa sezione illustra i passaggi per il provisioning degli account utente da SuccessFactors a Microsoft Entra ID.

Parte 1: Aggiungere l'app connettore di provisioning e configurare la connettività a SuccessFactors

Per configurare successFactors per il provisioning di Microsoft Entra:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.

  3. Cercare SuccessFactors nel provisioning utenti di Microsoft Entra e aggiungere l'app dalla raccolta.

  4. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning

  5. Impostare Modalità di provisioning su Automatico

  6. Completare la sezione Credenziali amministratore come segue:

    • Nome utente amministratore: immettere il nome utente dell'account utente dell'API SuccessFactors, seguito dall'ID società. Ha il formato: username@companyID

    • Password amministratore: immettere la password dell'account utente dell'API SuccessFactors.

    • URL tenant: immettere il nome dell'endpoint di servizio dell'API OData di SuccessFactors. Immettere solo il nome host del server senza http o https. Questo valore dovrebbe essere simile a nome-server-api.successfactors.com.

    • Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

    Nota

    Il servizio di provisioning Microsoft Entra invia una notifica tramite posta elettronica se il processo di provisioning entra in uno stato di quarantena .

    • Fare clic sul pulsante Test connessione. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. Se il test non riesce, verificare che le credenziali e l'URL di SuccessFactors siano validi.

    • Una volta salvate correttamente le credenziali, nella sezione Mapping viene visualizzato il mapping predefinito Synchronize SuccessFactors Users to Microsoft Entra ID

Parte 2: Configurare i mapping degli attributi

In questa sezione si configurerà il modo in cui i dati utente passano da SuccessFactors a Microsoft Entra ID.

  1. Nella scheda Provisioning in Mapping fare clic su Synchronize SuccessFactors Users to Microsoft Entra ID (Sincronizza utenti di SuccessFactors in Microsoft Entra ID).

  2. Nel campo Ambito oggetto di origine è possibile selezionare i set di utenti in SuccessFactors nell'ambito del provisioning in Microsoft Entra ID, definendo un set di filtri basati su attributi. L'ambito predefinito è "tutti gli utenti in SuccessFactors". Filtri di esempio:

    • Esempio: Ambito per gli utenti con personIdExternal compreso tra 1000000 e 2000000 (escluso 2000000)

      • Attributo: personIdExternal

      • Operatore: Corrispondenza REGEX

      • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Esempio: Solo i dipendenti, senza i lavoratori occasionali

      • Attributo: EmployeeID

      • Operatore: NON È NULL

    Suggerimento

    Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping e le espressioni degli attributi per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare i filtri di ambito in Ambito dell'oggetto di origine per testare il mapping con alcuni utenti test da SuccessFactors. Dopo aver verificato che i mapping funzionino, è possibile rimuovere il filtro o espanderlo gradualmente per includere più utenti.

    Attenzione

    Il comportamento predefinito del motore di provisioning è disabilitare/eliminare gli utenti che non rientrano nell'ambito. Questo potrebbe non essere auspicabile nell'integrazione di SuccessFactors a Microsoft Entra. Per eseguire l'override di questo comportamento predefinito, fare riferimento all'articolo Ignorare l'eliminazione di account utente che non rientrano nell'ambito

  3. Nel campo Azioni oggetto di destinazione è possibile filtrare a livello globale le azioni eseguite in Microsoft Entra ID. Create (Crea) e Update (Aggiorna) sono le più comuni.

  4. Nella sezione Mapping degli attributi è possibile definire il mapping dei singoli attributi di SuccessFactors agli attributi di Microsoft Entra.

    Nota

    Per l'elenco completo degli attributi di SuccessFactors supportati dall'applicazione, vedere Informazioni di riferimento sugli attributi di SuccessFactors

  5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping. Il mapping di un singolo attributo supporta queste proprietà:

    • Tipo di mapping

      • Direct : scrive il valore dell'attributo SuccessFactors nell'attributo Microsoft Entra, senza modifiche

      • Costante : scrivere un valore stringa statico e costante nell'attributo Microsoft Entra

      • Espressione : consente di scrivere un valore personalizzato nell'attributo Microsoft Entra, in base a uno o più attributi successFactors. Per altre informazioni, vedere questo articolo sulle espressioni.

    • Attributo di origine: l'attributo utente di SuccessFactors.

    • Valore predefinito: facoltativo. Se l'attributo di origine ha un valore vuoto, il mapping scrive invece questo valore. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.

    • Attributo di destinazione : attributo utente in Microsoft Entra ID.

    • Trova la corrispondenza degli oggetti usando questo attributo : indica se questo mapping deve essere usato per identificare in modo univoco gli utenti tra SuccessFactors e Microsoft Entra ID. Questo valore viene in genere impostato nel campo ID ruolo di lavoro per SuccessFactors, che viene in genere mappato a uno degli attributi ID dipendente in Microsoft Entra ID.

    • Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.

    • Applica questo mapping

      • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente

      • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente

  6. Per salvare i mapping, fare clic su Save, Salva, nella parte superiore della sezione Attribute-Mapping, Mapping attributi.

Dopo aver completato la configurazione di mapping di attributo, è ora possibile abilitare e avviare il servizio di provisioning utenti.

Abilitare e avviare il provisioning utenti

Dopo aver completato le configurazioni dell'app di provisioning di SuccessFactors, è possibile attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita quando si attiva il servizio di provisioning, verranno avviate le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati in SuccessFactors, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti test prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.

  2. Fare clic su Salva.

  3. Questa operazione avvia la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di SuccessFactors. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.

  4. In qualsiasi momento, controllare la scheda Provisioning nell'interfaccia di amministrazione di Entra per visualizzare le azioni eseguite dal servizio di provisioning. I log di provisioning elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio i quali gli utenti vengono letti da SuccessFactors e quindi aggiunti o aggiornati a Microsoft Entra ID.

  5. Al termine della sincronizzazione iniziale, scrive un report di riepilogo del controllo nella scheda Provisioning , come illustrato di seguito.

    Indicatore di stato del provisioning

Passaggi successivi