SAP SuccessFactors configureren voor het inrichten van Active Directory-gebruikers

Het doel van dit artikel is om de stappen weer te geven die u moet uitvoeren om gebruikers van SuccessFactors Employee Central in te richten in Active Directory (AD) en Microsoft Entra ID, met optionele write-back van e-mailadressen naar SuccessFactors.

Notitie

Gebruik dit artikel als de gebruikers die u wilt inrichten vanuit SuccessFactors een on-premises AD-account en eventueel een Microsoft Entra-account nodig hebben. Als de gebruikers van SuccessFactors alleen een Microsoft Entra-account nodig hebben (alleen cloudgebruikers), raadpleegt u het artikel over SAP SuccessFactors configureren voor Microsoft Entra ID gebruikersinrichting.

De volgende video biedt een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met SAP SuccessFactors.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met SuccessFactors Employee Central om de identiteitslevenscyclus van gebruikers te beheren.

De successFactors-werkstromen voor het inrichten van gebruikers die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

• Nieuwe werknemers inhuren: wanneer een nieuwe werknemer wordt toegevoegd aan SuccessFactors, wordt automatisch een gebruikersaccount gemaakt in Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID, met write-back van het e-mailadres naar SuccessFactors.

• Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in SuccessFactors (zoals hun naam, titel of manager), wordt het gebruikersaccount automatisch bijgewerkt in Active Directory, Microsoft Entra ID en eventueel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in SuccessFactors, wordt hun gebruikersaccount automatisch uitgeschakeld in Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Werknemers opnieuw in dienst nemen: wanneer een werknemer opnieuw wordt ingehuurd in SuccessFactors, kan hun oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht (afhankelijk van uw voorkeur) naar Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra-id.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

De oplossing SuccessFactors to Active Directory User Provisioning is het meest geschikt voor:

• Organisaties die behoefte hebben aan een vooraf gebouwde cloudoplossing voor het inrichten van SuccessFactors-gebruikers, inclusief organisaties die SuccessFactors uit SAP HCM vullen met behulp van SAP Integration Suite

• Organisaties die Microsoft Entra implementeren voor het inrichten van gebruikers met SAP-bron- en doel-apps, met Behulp van Microsoft Entra identiteiten instellen voor werknemers, zodat ze zich kunnen aanmelden bij een of meer SAP-toepassingen, zoals SAP ECC of SAP S/4HANA, en optioneel niet-SAP-toepassingen

• Organisaties die directe inrichting van gebruikers van SuccessFactors naar Active Directory vereisen, zodat gebruikers toegang hebben tot geïntegreerde Windows Server Active Directory-toepassingen en geïntegreerde Microsoft Entra ID-toepassingen

• Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit SuccessFactors Employee Central (EC)

• Organisaties die vereisen dat gebruikers die nieuw zijn, verhuizen of vertrekken worden gesynchroniseerd met een of meer Active Directory-forests, -domeinen en OE’s op basis van wijzigingsinformatie die is gedetecteerd in SuccessFactors Employee Central (EC)

• Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur van de oplossing

In deze sectie wordt de end-to-end-architectuur beschreven voor het inrichten van gebruikers voor gangbare hybride omgevingen. Er zijn twee gerelateerde stromen:

• Gezaghebbende HR-Gegevensstroom: van SuccessFactors naar on-premises Active Directory: In deze stroom worden werkrolgebeurtenissen (zoals nieuwe medewerkers, overdrachten, beëindigingen) eerst uitgevoerd in de cloud SuccessFactors Employee Central en worden de gebeurtenisgegevens via Microsoft Entra-id en de inrichtingsagent naar on-premises Active Directory verzonden. Afhankelijk van de gebeurtenis kan dit leiden tot het maken, bijwerken, inschakelen of uitschakelen van bewerkingen in Active Directory.

• Stroom voor terugschrijven van e-mail: van on-premises Active Directory naar SuccessFactors: Zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra ID via Microsoft Entra Connect Sync en het e-mailkenmerk kan worden teruggeschreven naar SuccessFactors.

  

Eind-tot-eind-gebruikersgegevensstroom

1. Het HR-afdeling voert werknemertransacties uit (Nieuwe medewerkers/Verhuizers/Vertrekkers of Nieuwe aanstellingen/Overplaatsingen/Beëindigingen) in SuccessFactors Employee Central.
2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit SuccessFactors EC uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
3. De Microsoft Entra-inrichtingsservice roept de on-premises Microsoft Entra Connect-inrichtingsagent aan met een verzoekpayload die bewerkingen bevat voor het maken, bijwerken, inschakelen en uitschakelen van AD-accounts.
4. De Microsoft Entra Connect Provisioning Agent maakt gebruik van een serviceaccount om AD-accountgegevens toe te voegen/bij te werken.
5. De Microsoft Entra Connect Sync-engine voert deltasynchronisatie uit om updates in AD op te halen.
6. De Active Directory-updates worden gesynchroniseerd met De Microsoft Entra-id.
7. Als de SuccessFactors Writeback-app is geconfigureerd, worden er kenmerken van e-mailadressen teruggeschreven naar SuccessFactors, op basis van het gebruikte overeenkomende kenmerk.

Uw implementatie plannen

Gebruikersvoorziening vanuit SuccessFactors naar AD configureren met Cloud HR vereisen zorgvuldige planning van verschillende aspecten zoals:

• Installatie van de Microsoft Entra Connect-provisioningagent
• Aantal te implementeren apps voor het inrichten van SuccessFactors-gebruikers in AD
• Overeenkomende ID, attribuuttoewijzing, transformatie en reikwijdtefilters

Raadpleeg het Implementatieplan voor Cloud HR voor uitgebreide richtlijnen rond deze onderwerpen. Raadpleeg het artikel over de integratie van SAP SuccessFactors voor meer informatie over de ondersteunde entiteiten, verwerkingsgegevens en hoe u de integratie kunt aanpassen voor verschillende HR-scenario's.

SuccessFactors configureren voor de integratie

Een vereiste die alle inrichtingsconnectors voor SuccessFactors gemeen hebben, is dat ze referenties nodig hebben van een SuccessFactors-account met de juiste machtigingen voor het aanroepen van de OData-API's van SuccessFactors. In deze sectie worden de stappen beschreven voor het maken van het serviceaccount in SuccessFactors en het verlenen van de juiste machtigingen.

• API-gebruikersaccount maken/identificeren in SuccessFactors
• Een rol voor API-machtigingen maken
• Een machtigingsgroep maken voor de API-gebruiker
• Toestemmingsrol verlenen aan de toestemmingsgroep

API-gebruikersaccount maken/identificeren in SuccessFactors

Werk samen met uw SuccessFactors-beheerdersteam of implementatiepartner om een gebruikersaccount in SuccessFactors te maken of te identificeren om de OData-API's aan te roepen. De gebruikersnaam en wachtwoordgegevens van dit account zijn vereist bij het configureren van de inrichtingsapps in Microsoft Entra ID.

Een API-machtigingenrol maken

1. Meld u aan bij SAP SuccessFactors met een gebruikersaccount dat toegang heeft tot het Admin Center.

2. Zoek naar Manage Permission Roles en selecteer Manage Permission Roles in de zoekresultaten.

3. Selecteer in de lijst met machtigingenrollen Nieuwemaken.

   

4. Geef waarden op voor Role Name en Description voor de nieuwe machtigingsrol. De naam en beschrijving moeten aangeven dat de rol bestemd is voor API-gebruiksmachtigingen.

5. Selecteer onder Machtigingsinstellingen Machtiging..., schuif omlaag in de lijst met machtigingen en selecteer Integratiehulpmiddelen beheren. Schakel het selectievakje van Allow Admin to Access to OData API through Basic Authentication in.

   

6. Schuif omlaag in dezelfde lijst en selecteer Employee Central-API. Voeg machtigingen toe, zoals hieronder getoond, om te lezen met de ODATA-API en te bewerken met de ODATA-API. Selecteer de optie Edit als u hetzelfde account wilt gebruiken voor het scenario voor write-back naar SuccessFactors.

   

7. Ga in hetzelfde machtigingenvak naar Gebruikersmachtigingen -> Werknemersgegevens en controleer de kenmerken die het serviceaccount kan lezen van de SuccessFactors-tenant. Als u bijvoorbeeld het kenmerk Gebruikersnaam van SuccessFactors wilt ophalen, moet u ervoor zorgen dat de machtiging 'weergeven' is toegekend voor dit kenmerk. Controleer ook elk kenmerk voor weergaverechten.

   

   Notitie

   De volledige lijst met kenmerken die door deze provisioning-app worden opgehaald, vindt u in de SuccessFactors Kenmerkenreferentie.

8. Kies Gereed. Selecteer Wijzigingen opslaan.

Een machtigingsgroep maken voor de API-gebruiker

1. Zoek in het SuccessFactors Admin Center naar Manage Permission Groups en selecteer vervolgens Manage Permission Groups in de zoekresultaten.

   

2. Selecteer in het venster Machtigingsgroepen beheren Nieuwemaken.

   

3. Een groepsnaam voor de nieuwe groep toevoegen. De groepsnaam moet aangeven dat de groep voor API-gebruikers is.

   

4. Voeg leden toe aan de groep. U kunt bijvoorbeeld Gebruikersnaam selecteren in de vervolgkeuzelijst Personengroep en vervolgens de gebruikersnaam invoeren van het API-account dat wordt gebruikt voor de integratie.

   

5. Selecteer Gereed om het maken van de permissiegroep te voltooien.

Toestemmingsrol toekennen aan de toestemmingsgroep

1. Zoek in het SuccessFactors Admin Center naar Manage Permission Roles en selecteer vervolgens Manage Permission Roles in de zoekresultaten.
2. Selecteer bij Permission Role List de rol die u hebt gemaakt voor de machtigingen voor API-gebruik.
3. Selecteer onder Deze rol verlenen aan...de Toevoegen... knop.
4. Selecteer Machtigingsgroep... in de vervolgkeuzelijst en selecteer vervolgens Selecteren... om het venster Groepen te openen om te zoeken en de groep te selecteren die hierboven is gemaakt.
5. Controleer de toekenning van de Machtigingsrol aan de Machtigingsgroep.
6. Selecteer Wijzigingen opslaan.

Configuratie van gebruikersvoorziening van SuccessFactors naar Active Directory

In deze sectie vindt u de stappen voor het inrichten van gebruikersaccounts van SuccessFactors in de Active Directory-domeinen binnen het bereik van uw integratie.

• De inrichtingsconnector-app toevoegen en de inrichtingsagent downloaden
• Lokale implementatieagent(en) installeren en configureren
• Connectiviteit met SuccessFactors en Active Directory configureren
• Attribuutovereenkomsten configureren
• Gebruikersvoorziening inschakelen en starten

Deel 1: Voeg de provisioning-connectorapp toe en download de Provisioning Agent

SuccessFactors configureren voor Active Directory provisioning:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar Identiteit>Toepassingen>Enterprise-toepassingen>Nieuwe toepassing.

3. Zoek SuccessFactors to Active Directory User Provisioningen voeg die app toe vanuit de galerie.

4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

5. Stel InrichtingsModus in op Automatisch.

6. Selecteer de informatiebanner die wordt weergegeven om de inrichtingsagent te downloaden.

   

Deel 2: Installeren en configureren van op locatie voorzieningsagent(en)

Om te voorzien in on-premises Active Directory, moet de inrichtingsagent worden geïnstalleerd op een server die is aangesloten op een domein en netwerktoegang heeft tot de gewenste Active Directory-domeinen.

Plaats het installatieprogramma van de gedownloade agent op de serverhost en volg de stappen die zijn vermeld in het gedeelte Agent installeren om de configuratie van de agent te voltooien.

Deel 3: Configureer in de inrichtings-app de connectiviteit met SuccessFactors en Active Directory

In deze stap maken we verbinding met SuccessFactors en Active Directory.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar Identity>Applications>Enterprise-applicaties> SuccessFactors naar Active Directory-applicatie voor het inrichten van gebruikers, zoals aangemaakt in deel 1

3. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

   • Gebruikersnaam van beheerder - Voer de gebruikersnaam van de gebruikersaccount van de SuccessFactors-API in, waarbij de bedrijfs-ID is toegevoegd. Deze heeft de volgende indeling: gebruikersnaam@companyID

   • Beheerderswachtwoord - Voer het wachtwoord in van het gebruikersaccount van de SuccessFactors-API.

   • Tenant-URL - Voer de naam in van het SuccessFactors OData-API-service-eindpunt. Voer alleen de hostnaam van de server in, dus zonder http of https. Deze waarde moet er als volgt uitzien: <api-server-name>.successfactors.com.

   • Active Directory-forest: De 'naam' van uw Active Directory domein, zoals dit is geregistreerd bij de agent. Gebruik de vervolgkeuzelijst om het doeldomein voor provisioning te selecteren. Deze waarde bestaat meestal uit een tekenreeks zoals contoso.com

   • Active Directory-container: Voer de DN in van de container waarin de agent standaard gebruikersaccounts moet maken. Voorbeeld: OU=Users,DC=contoso,DC=com

     Notitie

     Deze instelling wordt alleen gebruikt voor het maken van gebruikersaccounts als het kenmerk parentDistinguishedName niet is geconfigureerd in de kenmerktoewijzingen. Deze instelling wordt niet gebruikt voor zoek- of updatebewerkingen van gebruikers. De gehele domeinsubboom valt binnen het bereik van de zoekbewerking.

   • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

     Notitie

     De Microsoft Entra-provisioningservice verzendt een e-mailmelding als de provisietaak in quarantaine gaat.

   • Selecteer de knop Verbinding testen. Als de verbindingstest is geslaagd, selecteert u de knop Opslaan bovenaan. Als de test mislukt, controleert u of de SuccessFactors-referenties en de AD-referenties die zijn geconfigureerd voor de installatie van de agent geldig zijn.

   • Zodra de referenties met succes zijn opgeslagen, wordt de standaardtoewijzing in de sectie Toewijzingen weergegeven Synchroniseer SuccessFactors-gebruikers naar on-premises Active Directory

Deel 4: Kenmerktoewijzingen configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van SuccessFactors naar Active Directory.

1. Selecteer op het tabblad Inrichten onder Toewijzingende optie Synchroniseer SuccessFactors-gebruikers met on-premises Active Directory.

2. In het veld Bereik van bronobject kunt u selecteren welke gebruikerssets in SuccessFactors in aanmerking komen voor provisie aan AD, door een reeks op attribuut gebaseerde filters te definiëren. Het standaardbereik is alle gebruikers in SuccessFactors. Voorbeelden van filters:

   • Voorbeeld: bereik voor gebruikers met personIdExternal tussen 1000000 en 2000000 (met uitzondering van 2000000)

     • Attribuut: personIdExternal

     • Operator: REGEX-overeenkomst

     • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Voorbeeld: Alleen werknemers en niet afhankelijke werknemers

     • Kenmerk: EmployeeID

     • Operator: IS NIET NULL

   Tip

   Wanneer u de inrichtings-app voor de eerste keer configureert, moet u uw kenmerktoewijzingen en expressies testen en controleren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft adviseert om de bereikfilters onder Bereik van bronobject te gebruiken om uw toewijzingen te testen met een aantal testgebruikers van SuccessFactors. Wanneer u hebt gecontroleerd of de toewijzingen werken, kunt u het filter verwijderen of het geleidelijk uitbreiden om meer gebruikers op te nemen.

   Let op

   Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw integratie van SuccessFactors en AD. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.

3. In het veld Acties voor doelobject kunt u globaal filteren op welke acties er worden uitgevoerd in Active Directory. Maken en Bijwerken worden het meest gebruikt.

4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van SuccessFactors worden toegewezen aan kenmerken van Active Directory.

   Notitie

   De volledige lijst met kenmerken van SuccessFactors die worden ondersteund door de toepassing vindt u in het artikel over kenmerken van SuccessFactors.

5. Selecteer een bestaande kenmerktoewijzing om deze bij te werken of selecteer Nieuwe toewijzing toevoegen onder aan het scherm om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

   • Koppeltype

     • Direct: de waarde van het SuccessFactors-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

     • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

     • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer SuccessFactors-kenmerken. Zie voor meer informatie dit artikel over expressies.

   • Bronkenmerk: het gebruikerskenmerk uit SuccessFactors.

   • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, schrijft de toewijzing in plaats daarvan een lege waarde weg. De meest voorkomende configuratie is om dit leeg te laten.

   • Doelkenmerk: het gebruikerskenmerk in Active Directory.

   • Objecten koppelen met dit kenmerk: geeft aan of deze toewijzing moet worden gebruikt om gebruikers uniek te identificeren tussen SuccessFactors en Active Directory. Deze waarde wordt meestal ingesteld op het veld Worker ID voor SuccessFactors. Dit veld wordt doorgaans toegewezen aan een van de kenmerken Werknemers-id in Active Directory.

   • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

   • Dit mapping toepassen

     • Altijd – Pas deze toewijzing altijd toe bij zowel het maken als het bijwerken van gebruikers.

     • Alleen tijdens aanmaak: deze toewijzing is alleen van toepassing bij het aanmaken van gebruikers

6. Als u uw toewijzingen wilt opslaan, selecteert u Opslaan boven aan de sectie Attribute-Mapping.

Nadat de configuratie van de kenmerktoewijzing is voltooid, kunt u de voorziening testen voor een enkele gebruiker met voorziening op aanvraag en vervolgens de gebruikersvoorzieningsdienst inschakelen en starten.

Gebruikersprovisioning inschakelen en starten

Zodra de configuraties van de SuccessFactors-inrichtings-app zijn voltooid en u de inrichting voor één gebruiker met inrichting op aanvraag hebt gecontroleerd, kunt u de inrichtingsservice inschakelen.

Tip

Wanneer u de inrichtingsservice inschakelt, worden standaard inrichtingsbewerkingen gestart voor alle gebruikers binnen het bereik. Als er fouten zijn in de toewijzing of problemen met SuccessFactors-gegevens, kan de inrichtingstaak mislukken en in quarantaine worden geplaatst. Om dit te voorkomen, raden we u aan als beste werkwijze om het filter Bronobjectbereik te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers met provisioning op verzoek voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden om meer gebruikers op te nemen.

1. Ga naar de blade Inrichten en selecteer Inrichtingstarten.

2. Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de SuccessFactors-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

3. Controleer op elk gewenst moment het tabblad Inrichten in het Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers uit SuccessFactors worden gelezen en vervolgens worden toegevoegd of bijgewerkt naar Active Directory.

4. Zodra de initiële synchronisatie is voltooid, wordt er een auditoverzichtsrapport op het tabblad Inrichten geschreven, zoals hieronder wordt weergegeven.

   

Verwante inhoud

• Meer informatie over ondersteunde SuccessFactors-kenmerken voor inkomende voorziening
• Leer hoe je het configureren van e-mail-writeback naar SuccessFactors kunt uitvoeren
• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit
• Ontdek hoe u eenmalige aanmelding configureert tussen SuccessFactors en Microsoft Entra ID
• Meer informatie over het integreren van andere SaaS-toepassingen met Microsoft Entra ID
• Meer informatie over het exporteren en importeren van uw inrichtingsconfiguraties