SAP SuccessFactors configureren voor Microsoft Entra-gebruikersvoorziening

Het doel van dit artikel is om de stappen weer te geven die u moet uitvoeren om werkrolgegevens van SuccessFactors Employee Central in te richten in Microsoft Entra-id, met optionele write-back van e-mailadressen naar SuccessFactors.

Notitie

Gebruik dit artikel als de gebruikers die u wilt inrichten vanuit SuccessFactors alleen cloudgebruikers zijn die geen on-premises AD-account nodig hebben. Als de gebruikers alleen een on-premises AD-account of zowel AD- als Microsoft Entra-account nodig hebben, raadpleegt u het artikel over SAP SuccessFactors configureren voor Active Directory gebruikersinrichting.

De volgende video biedt een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met SAP SuccessFactors.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met SuccessFactors Employee Central om de identiteitslevenscyclus van gebruikers te beheren.

De successFactors-werkstromen voor het inrichten van gebruikers die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

• Nieuwe werknemers inhuren: wanneer een nieuwe werknemer wordt toegevoegd aan SuccessFactors, wordt automatisch een gebruikersaccount gemaakt in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID, met write-back van het e-mailadres naar SuccessFactors.

• Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in SuccessFactors (zoals hun naam, titel of manager), wordt hun gebruikersaccount automatisch bijgewerkt met microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in SuccessFactors, wordt hun gebruikersaccount automatisch uitgeschakeld in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Werknemers opnieuw in dienst nemen: wanneer een werknemer opnieuw wordt ingehuurd in SuccessFactors, kan hun oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht (afhankelijk van uw voorkeur) naar Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze SuccessFactors-gebruikersvoorziening voor Microsoft Entra is bij uitstek geschikt voor:

• Organisaties die behoefte hebben aan een vooraf gebouwde cloudoplossing voor het inrichten van SuccessFactors-gebruikers, inclusief organisaties die SuccessFactors uit SAP HCM vullen met behulp van SAP Integration Suite

• Organisaties die Microsoft Entra implementeren voor het inrichten van gebruikers met SAP-bron- en doel-apps, waarbij Microsoft Entra wordt gebruikt om identiteiten in te stellen voor werknemers, zodat ze zich kunnen aanmelden bij een of meer SAP-toepassingen, zoals SAP ECC of SAP S/4HANA, en optioneel niet-SAP-toepassingen

• Organisaties die directe inrichting van gebruikers van SuccessFactors naar Microsoft Entra-id vereisen, maar die gebruikers niet ook in Windows Server Active Directory hoeven te zijn

• Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit SuccessFactors Employee Central (EC)

• Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur van de oplossing

In deze sectie wordt de end-to-end gebruikersvoorzieningarchitectuur voor uitsluitend cloudgebruikers beschreven. Er zijn twee gerelateerde stromen:

• Gezaghebbende HR-Gegevensstroom: van SuccessFactors naar Microsoft Entra-id: In deze stroom worden werkrolgebeurtenissen (zoals nieuwe medewerkers, overdrachten, beëindigingen) eerst uitgevoerd in de cloud successFactors Employee Central en vervolgens stromen de gebeurtenisgegevens naar Microsoft Entra-id. Afhankelijk van de gebeurtenis kan dit leiden tot het maken/bijwerken/inschakelen/uitschakelen van bewerkingen in Microsoft Entra-id.

• Flow voor terugschrijven van e-mail: van Microsoft Entra-id naar SuccessFactors: zodra het account is gemaakt in Microsoft Entra-id, kan de waarde van het e-mailkenmerk of de UPN die is gegenereerd in Microsoft Entra-id, worden teruggeschreven naar SuccessFactors.

  

End-to-end gegevensstroom van gebruikers

1. Het HR-team voert medewerkertransacties uit (Nieuwe medewerkers/Interne verhuizingen/Afsluitingen) in SuccessFactors Employee Central.
2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit SuccessFactors EC uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met Microsoft Entra-id.
3. De Microsoft Entra-voorzieningsservice bepaalt de wijziging en voert de bewerkingen maken/bijwerken/inschakelen/uitschakelen uit voor de gebruiker in Microsoft Entra ID.
4. Als de SuccessFactors Writeback-app is geconfigureerd, wordt het e-mailadres van de gebruiker opgehaald uit de Microsoft Entra-id.
5. De Microsoft Entra-voorzieningsservice schrijft het e-mailattribuut terug naar SuccessFactors op basis van het gebruikte overeenkomende kenmerk.

Uw implementatie plannen

Voor het configureren van cloud-HR-gebruikersinrichting van SuccessFactors naar Microsoft Entra ID is een aanzienlijke planning vereist voor verschillende aspecten, zoals:

• De overeenkomende id bepalen
• Attribuutkoppeling
• Kenmerktransformatie
• Bereikfilters

Raadpleeg het Implementatieplan voor Cloud HR voor uitgebreide richtlijnen rond deze onderwerpen. Raadpleeg het artikel over de integratie van SAP SuccessFactors voor meer informatie over de ondersteunde entiteiten, verwerkingsgegevens en hoe u de integratie kunt aanpassen voor verschillende HR-scenario's.

SuccessFactors configureren voor de integratie

Een vereiste die alle inrichtingsconnectors voor SuccessFactors gemeen hebben, is dat ze referenties nodig hebben van een SuccessFactors-account met de juiste machtigingen voor het aanroepen van de OData-API's van SuccessFactors. In deze sectie worden de stappen beschreven voor het maken van het serviceaccount in SuccessFactors en het verlenen van de juiste machtigingen.

• API-gebruikersaccount maken/identificeren in SuccessFactors
• Een API-machtigingenrol maken
• Een machtigingsgroep maken voor de API-gebruiker
• Toestemmingsrol verlenen aan de toestemmingsgroep

API-gebruikersaccount maken/identificeren in SuccessFactors

Werk samen met uw SuccessFactors-beheerdersteam of implementatiepartner om een gebruikersaccount in SuccessFactors te maken of te identificeren om de OData-API's aan te roepen. De gebruikersnaam en wachtwoordinformatie van dit account zijn vereist bij het configureren van de provisioning-apps in Microsoft Entra ID.

Een API-machtigingenrol maken

1. Meld u aan bij SAP SuccessFactors met een gebruikersaccount dat toegang heeft tot het Admin Center.

2. Zoek naar Manage Permission Roles en selecteer Manage Permission Roles in de zoekresultaten.

3. Klik in de lijst met machtigingsrollen op Nieuwe maken.

   

4. Geef waarden op voor Role Name en Description voor de nieuwe machtigingsrol. De naam en beschrijving moeten aangeven dat de rol bestemd is voor API-gebruiksmachtigingen.

5. Klik onder Permission settings op Permission..., schuif vervolgens omlaag in de lijst met machtigingen en klik op Manage Integration Tools. Schakel het selectievakje van Allow Admin to Access to OData API through Basic Authentication in.

   

6. Schuif omlaag in dezelfde lijst en selecteer Employee Central-API. ** Voeg machtigingen toe zoals hieronder wordt weergegeven om te lezen met de ODATA-API en te bewerken met de ODATA-API. Selecteer de optie Edit als u hetzelfde account wilt gebruiken voor het scenario voor write-back naar SuccessFactors.

   

7. Ga in hetzelfde machtigingenvak naar Gebruikersmachtigingen -> Werknemersgegevens en controleer de kenmerken die het serviceaccount kan lezen van de SuccessFactors-tenant. Als u bijvoorbeeld het kenmerk Gebruikersnaam van SuccessFactors wilt ophalen, moet u ervoor zorgen dat de machtiging 'weergeven' is toegekend voor dit kenmerk. Controleer ook elk kenmerk voor weergaverechten.

   

   Notitie

   De volledige lijst met attributen die door deze inrichtings-app worden opgehaald, vindt u in de SuccessFactors Attribute Reference.

8. Klik op Done. Klik op Save Changes (Wijzigingen opslaan).

Een machtigingsgroep maken voor de API-gebruiker

1. Zoek in het SuccessFactors Admin Center naar Manage Permission Groups en selecteer vervolgens Manage Permission Groups in de zoekresultaten.

   

2. Klik in het venster Manage Permission Groups op Create New.

   

3. Een groepsnaam voor de nieuwe groep toevoegen. De groepsnaam moet aangeven dat de groep voor API-gebruikers is.

   

4. Voeg leden toe aan de groep. U kunt bijvoorbeeld Username selecteren in de vervolgkeuzelijst People Pool en vervolgens de gebruikersnaam invoeren van het API-account dat wordt gebruikt voor de integratie.

   

5. Klik op Gereed om het maken van de machtigingsgroep af te ronden.

Toestemmingsrol geven aan de toestemmingsgroep

1. Zoek in het SuccessFactors Admin Center naar Manage Permission Roles en selecteer vervolgens Manage Permission Roles in de zoekresultaten.
2. Selecteer bij Permission Role List de rol die u hebt gemaakt voor de machtigingen voor API-gebruik.
3. Klik onder Deze rol toekennen aan... op de knop Toevoegen....
4. Selecteer Permission Group... in de vervolgkeuzelijst en klik vervolgens op Select... om het venster Groups te openen en de hierboven gemaakte groep te selecteren.
5. Beoordeel het verlenen van de Machtigingsrol aan de Machtigingsgroep.
6. Klik op Save Changes (Wijzigingen opslaan).

Gebruikersinrichting configureren van SuccessFactors naar Microsoft Entra-id

Deze sectie bevat stappen voor het inrichten van gebruikersaccounts van SuccessFactors naar Microsoft Entra-id.

• Voeg de voorzieningsconnector-app toe en configureer de connectiviteit met SuccessFactors
• Attribuuttoewijzingen configureren
• Gebruikersvoorziening inschakelen en starten

Deel 1: De app voor de inrichtingsconnector toevoegen en connectiviteit met SuccessFactors configureren

SuccessFactors configureren voor Microsoft Entra-voorziening:

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een cloudtoepassingsbeheerder.

2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.

3. Zoek naar SuccessFactors om te koppelen aan Microsoft Entra-gebruikersvoorziening en voeg die app toe vanuit de galerij.

4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

5. Stel Inrichtingsmodus in op Automatisch.

6. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

   • Gebruikersnaam van beheerder - Voer de gebruikersnaam van de gebruikersaccount van de SuccessFactors-API in, waarbij de bedrijfs-ID is toegevoegd. Deze heeft de volgende indeling: gebruikersnaam@companyID

   • Beheerderswachtwoord - Voer het wachtwoord in van het gebruikersaccount van de SuccessFactors-API.

   • Tenant-URL - Voer de naam in van het SuccessFactors OData-API-service-eindpunt. Voer alleen de hostnaam van de server in, dus zonder http of https. Deze waarde moet er als volgt uitzien: api-server-naam.successfactors.com.

   • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

   Notitie

   De Microsoft Entra provisioning-service verzendt een e-mailmelding als de provisioning-taak in de staat quarantaine gaat.

   • Klik op de knop Verbinding testen. Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de test mislukt, controleert u nogmaals of de SuccessFactors-referenties en -URL geldig zijn.

   • Zodra de referenties succesvol zijn opgeslagen, wordt in de sectie Toewijzingen de standaardtoewijzing SuccessFactors-gebruikers gesynchroniseerd met Microsoft Entra ID weergegeven

Deel 2: Kenmerktoewijzingen configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van SuccessFactors naar Microsoft Entra-id.

1. Klik op het tabblad Inrichten onder Toewijzingen op SuccessFactors-gebruikers synchroniseren met Microsoft Entra-id.

2. In het veld Bereik van bronobject kunt u selecteren welke sets gebruikers in SuccessFactors binnen het bereik van inrichting voor Microsoft Entra-id moeten vallen door een set op kenmerken gebaseerde filters te definiëren. Het standaardbereik is ‘alle gebruikers in SuccessFactors’. Voorbeelden van filters:

   • Voorbeeld: bereik voor gebruikers met personIdExternal tussen 1000000 en 2000000 (met uitzondering van 2000000)

     • Attribuut: personIdExternal

     • Operator: REGEX-overeenkomst

     • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Voorbeeld: Alleen werknemers en niet afhankelijke werknemers

     • Kenmerk: EmployeeID

     • Operator: IS NIET NULL

   Tip

   Wanneer u de inrichtings-app voor de eerste keer configureert, moet u uw kenmerktoewijzingen en expressies testen en verifiëren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft adviseert om de bereikfilters onder Bereik van bronobject te gebruiken om uw toewijzingen te testen met een aantal testgebruikers van SuccessFactors. Nadat je hebt gecontroleerd of de toewijzingen werken, kun je het filter verwijderen of het geleidelijk uitbreiden om meer gebruikers op te nemen.

   Let op

   Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw SuccessFactors-integratie met Microsoft Entra. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.

3. In het veld Doelobjectacties kunt u globaal filteren welke acties worden uitgevoerd in Microsoft Entra-id. Maken en Bijwerken worden het meest gebruikt.

4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke SuccessFactors-kenmerken worden toegewezen aan Microsoft Entra-kenmerken.

   Notitie

   De volledige lijst met kenmerken van SuccessFactors die worden ondersteund door de toepassing vindt u in het artikel over kenmerken van SuccessFactors.

5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

   • Koppelingstype

     • Direct : schrijft de waarde van het kenmerk SuccessFactors naar het Kenmerk Microsoft Entra, zonder wijzigingen

     • Constante - een statische, constante tekenreekswaarde schrijven naar het Microsoft Entra kenmerk

     • Expressie : hiermee kunt u een aangepaste waarde schrijven naar het kenmerk Microsoft Entra, op basis van een of meer SuccessFactors-kenmerken. Zie voor meer informatie dit artikel over expressies.

   • Bronkenmerk: het gebruikerskenmerk uit SuccessFactors.

   • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, schrijft de toewijzing deze waarde in plaats daarvan. De meest voorkomende configuratie is om dit leeg te laten.

   • Doelkenmerk: het gebruikerskenmerk in Microsoft Entra-id.

   • Objecten vergelijken met dit kenmerk : of deze toewijzing al dan niet moet worden gebruikt om gebruikers uniek te identificeren tussen SuccessFactors en Microsoft Entra-id. Deze waarde wordt doorgaans ingesteld op het veld Werknemer-ID voor SuccessFactors, dat doorgaans wordt toegewezen aan een van de werknemer-ID-attributen in Microsoft Entra ID.

   • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

   • Deze mapping toepassen

     • Altijd – Pas deze toewijzing toe bij zowel het aanmaken als bijwerken van gebruikers

     • Alleen tijdens het aanmaken: pas deze toewijzing alleen toe bij het aanmaken van gebruikers.

6. Als u uw toewijzingen wilt opslaan, klikt u op Opslaan aan de bovenkant van de kenmerktoewijzingssectie.

Als de configuratie van kenmerktoewijzing is voltooid, kunt u de gebruikersinrichtingsservice inschakelen en starten.

Gebruikersvoorzieningen inschakelen en lanceren

Zodra de configuraties van de SuccessFactors-inrichtings-app zijn voltooid, kunt u de inrichtingsservice inschakelen.

Tip

Wanneer u de voorzieningsservice inschakelt, worden er standaard voorzieningsbewerkingen gestart voor alle gebruikers binnen de scope. Als er fouten in de toewijzing of problemen met SuccessFactors-gegevens zijn, kan de provisioneringstaak mislukken en in de quarantainestand gaan. Om dit te voorkomen, raden we u als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

1. Stel op het tabblad Inrichten de optie Inrichtingsstatus in op Aan.

2. Klik op Opslaan.

3. Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de SuccessFactors-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

4. Controleer op elk gewenst moment het tabblad Inrichten in het Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers uit SuccessFactors worden gelezen en vervolgens worden toegevoegd of bijgewerkt aan Microsoft Entra-id.

5. Zodra de initiële synchronisatie is voltooid, wordt er een auditoverzichtsrapport op het tabblad Inrichten geschreven, zoals hieronder wordt weergegeven.

   

Verwante inhoud

• Meer informatie over de ondersteunde SuccessFactors-kenmerken voor inbound provisioning
• Leer hoe je e-mailterugschrijven naar SuccessFactors configureert
• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit
• Meer informatie over het integreren van andere SaaS-toepassingen met Microsoft Entra ID