Zelfstudie: SAP SuccessFactors configureren voor microsoft Entra-gebruikersinrichting
Het doel van deze zelfstudie is om de stappen weer te geven die u moet uitvoeren om werkrolgegevens van SuccessFactors Employee Central in te richten in Microsoft Entra-id, met optionele write-back van e-mailadressen naar SuccessFactors.
Notitie
Gebruik deze zelfstudie als de gebruikers die u wilt inrichten van SuccessFactors alleen de cloud gebruiken en dus geen on-premises AD-account nodig hebben. Als de gebruikers alleen een on-premises AD-account of zowel AD- als Microsoft Entra-account nodig hebben, raadpleegt u de zelfstudie over het configureren van SAP SuccessFactors voor het inrichten van Active Directory-gebruikers .
De volgende video biedt een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met SAP SuccessFactors.
Overzicht
De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met SuccessFactors Employee Central om de identiteitslevenscyclus van gebruikers te beheren.
De successFactors-werkstromen voor het inrichten van gebruikers die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:
Nieuwe werknemers inhuren: wanneer een nieuwe werknemer wordt toegevoegd aan SuccessFactors, wordt automatisch een gebruikersaccount gemaakt in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID, met write-back van het e-mailadres naar SuccessFactors.
Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in SuccessFactors (zoals hun naam, titel of manager), wordt hun gebruikersaccount automatisch bijgewerkt met microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.
Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in SuccessFactors, wordt hun gebruikersaccount automatisch uitgeschakeld in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.
Werknemers opnieuw in dienst nemen: wanneer een werknemer opnieuw wordt ingehuurd in SuccessFactors, kan hun oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht (afhankelijk van uw voorkeur) naar Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.
Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?
Deze Oplossing voor het inrichten van Gebruikers van SuccessFactors voor Microsoft Entra is ideaal voor:
Organisaties die behoefte hebben aan een vooraf gebouwde cloudoplossing voor het inrichten van SuccessFactors-gebruikers, inclusief organisaties die SuccessFactors uit SAP HCM vullen met behulp van SAP Integration Suite
Organisaties die Microsoft Entra implementeren voor het inrichten van gebruikers met SAP-bron- en doel-apps, waarbij Microsoft Entra wordt gebruikt om identiteiten in te stellen voor werknemers, zodat ze zich kunnen aanmelden bij een of meer SAP-toepassingen, zoals SAP ECC of SAP S/4HANA, en optioneel niet-SAP-toepassingen
Organisaties die directe inrichting van gebruikers van SuccessFactors naar Microsoft Entra-id vereisen, maar die gebruikers niet ook in Windows Server Active Directory hoeven te zijn
Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit SuccessFactors Employee Central (EC)
Organisaties die Microsoft 365 gebruiken voor e-mail
Architectuur van de oplossing
In deze sectie wordt de end-to-end-architectuur voor het inrichten van gebruikers voor cloudgebruikers beschreven. Er zijn twee gerelateerde stromen:
Gezaghebbende HR-Gegevensstroom: van SuccessFactors naar Microsoft Entra-id: In deze stroom worden werkrolgebeurtenissen (zoals nieuwe medewerkers, overdrachten, beëindigingen) eerst uitgevoerd in de cloud successFactors Employee Central en vervolgens stromen de gebeurtenisgegevens naar Microsoft Entra-id. Afhankelijk van de gebeurtenis kan dit leiden tot het maken/bijwerken/inschakelen/uitschakelen van bewerkingen in Microsoft Entra-id.
Flow voor terugschrijven van e-mail: van Microsoft Entra-id naar SuccessFactors: zodra het account is gemaakt in Microsoft Entra-id, kan de waarde van het e-mailkenmerk of de UPN die is gegenereerd in Microsoft Entra-id, worden teruggeschreven naar SuccessFactors.
Gegevensstroom van end-to-end-gebruikers
- Het HR-team voert werkroltransacties uit (Joiners/Movers/Leavers of New Hires/Transfers/Terminations) in SuccessFactors Employee Central.
- De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit SuccessFactors EC uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met Microsoft Entra-id.
- De Microsoft Entra-inrichtingsservice bepaalt de wijziging en roept de bewerking create/update/enable/disable aan voor de gebruiker in Microsoft Entra ID.
- Als de SuccessFactors Writeback-app is geconfigureerd, wordt het e-mailadres van de gebruiker opgehaald uit de Microsoft Entra-id.
- De Microsoft Entra-inrichtingsservice schrijft het e-mailkenmerk terug naar SuccessFactors, op basis van het overeenkomende kenmerk dat wordt gebruikt.
Uw implementatie plannen
Voor het configureren van cloud-HR-gebruikersinrichting van SuccessFactors naar Microsoft Entra ID is een aanzienlijke planning vereist voor verschillende aspecten, zoals:
- De overeenkomende id bepalen
- Kenmerktoewijzing
- Kenmerktransformatie
- Bereikfilters
Raadpleeg het Implementatieplan voor Cloud HR voor uitgebreide richtlijnen rond deze onderwerpen. Raadpleeg het artikel over de integratie van SAP SuccessFactors voor meer informatie over de ondersteunde entiteiten, verwerkingsgegevens en hoe u de integratie kunt aanpassen voor verschillende HR-scenario's.
SuccessFactors configureren voor de integratie
Een vereiste die alle inrichtingsconnectors voor SuccessFactors gemeen hebben, is dat ze referenties nodig hebben van een SuccessFactors-account met de juiste machtigingen voor het aanroepen van de OData-API's van SuccessFactors. In deze sectie worden de stappen beschreven voor het maken van het serviceaccount in SuccessFactors en het verlenen van de juiste machtigingen.
- API-gebruikersaccount maken/identificeren in SuccessFactors
- Een API-machtigingenrol maken
- Een machtigingsgroep maken voor de API-gebruiker
- Machtigingsrol verlenen aan de machtigingsgroep
API-gebruikersaccount maken/identificeren in SuccessFactors
Werk samen met uw SuccessFactors-beheerdersteam of implementatiepartner om een gebruikersaccount in SuccessFactors te maken of te identificeren om de OData-API's aan te roepen. De gebruikersnaam en wachtwoordreferenties van dit account zijn vereist bij het configureren van de inrichtings-apps in Microsoft Entra-id.
Een API-machtigingenrol maken
Meld u aan bij SAP SuccessFactors met een gebruikersaccount dat toegang heeft tot het Admin Center.
Zoek naar Manage Permission Roles en selecteer Manage Permission Roles in de zoekresultaten.
Klik in de lijst met machtigingsrollen op Nieuwe maken.
Geef waarden op voor Role Name en Description voor de nieuwe machtigingsrol. De naam en beschrijving moeten aangeven dat de rol bestemd is voor API-gebruiksmachtigingen.
Klik onder Permission settings op Permission..., schuif vervolgens omlaag in de lijst met machtigingen en klik op Manage Integration Tools. Schakel het selectievakje van Allow Admin to Access to OData API through Basic Authentication in.
Schuif omlaag in dezelfde lijst en selecteer Employee Central-API. Voeg machtigingen toe, zoals hieronder wordt weergegeven, voor meer informatie over het gebruik van ODATA-API en bewerken met de ODATA-API. Selecteer de optie Edit als u hetzelfde account wilt gebruiken voor het scenario voor write-back naar SuccessFactors.
Ga in hetzelfde machtigingenvak naar Gebruikersmachtigingen -> Werknemersgegevens en controleer de kenmerken die het serviceaccount kan lezen van de SuccessFactors-tenant. Als u bijvoorbeeld het kenmerk Gebruikersnaam van SuccessFactors wilt ophalen, moet u ervoor zorgen dat de machtiging 'weergeven' is toegekend voor dit kenmerk. Controleer ook elk kenmerk voor weergavemachtiging.
Notitie
De volledige lijst met kenmerken die worden opgehaald door deze inrichtings-app vindt u in het artikel over kenmerken van SuccessFactors.
Klik op Done. Klik op Save Changes (Wijzigingen opslaan).
Een machtigingsgroep maken voor de API-gebruiker
- Zoek in het SuccessFactors Admin Center naar Manage Permission Groups en selecteer vervolgens Manage Permission Groups in de zoekresultaten.
- Klik in het venster Manage Permission Groups op Create New.
- Een groepsnaam voor de nieuwe groep toevoegen. De groepsnaam moet aangeven dat de groep voor API-gebruikers is.
- Voeg leden toe aan de groep. U kunt bijvoorbeeld Username selecteren in de vervolgkeuzelijst People Pool en vervolgens de gebruikersnaam invoeren van het API-account dat wordt gebruikt voor de integratie.
- Klik op Done om de machtigingsgroep te maken.
Machtigingsrol verlenen aan de machtigingsgroep
- Zoek in het SuccessFactors Admin Center naar Manage Permission Roles en selecteer vervolgens Manage Permission Roles in de zoekresultaten.
- Selecteer bij Permission Role List de rol die u hebt gemaakt voor de machtigingen voor API-gebruik.
- Klik onder Deze rol toekennen aan... op de knop Toevoegen....
- Selecteer Permission Group... in de vervolgkeuzelijst en klik vervolgens op Select... om het venster Groups te openen en de hierboven gemaakte groep te selecteren.
- Beoordeel het verlenen van de Machtigingsrol aan de Machtigingsgroep.
- Klik op Save Changes (Wijzigingen opslaan).
Gebruikersinrichting configureren van SuccessFactors naar Microsoft Entra-id
Deze sectie bevat stappen voor het inrichten van gebruikersaccounts van SuccessFactors naar Microsoft Entra-id.
- De inrichtingsconnector-app toevoegen en connectiviteit configureren voor SuccessFactors
- Kenmerktoewijzingen configureren
- Gebruikersinrichting inschakelen en starten
Deel 1: De app voor de inrichtingsconnector toevoegen en connectiviteit met SuccessFactors configureren
SuccessFactors configureren voor Microsoft Entra-inrichting:
Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
Zoek naar SuccessFactors voor het inrichten van Microsoft Entra-gebruikers en voeg die app toe vanuit de galerie.
Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.
Stel Inrichtingsmodus in op Automatisch.
Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:
Gebruikersnaam van beheerder - Voer de gebruikersnaam van de gebruikersaccount van de SuccessFactors-API in, waarbij de bedrijfs-ID is toegevoegd. Deze heeft de volgende indeling: gebruikersnaam@companyID
Beheerderswachtwoord - Voer het wachtwoord in van het gebruikersaccount van de SuccessFactors-API.
Tenant-URL - Voer de naam in van het SuccessFactors OData-API-service-eindpunt. Voer alleen de hostnaam van de server in, dus zonder http of https. Deze waarde moet er als volgt uitzien: api-server-naam.successfactors.com.
E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.
Notitie
De Microsoft Entra-inrichtingsservice verzendt een e-mailmelding als de inrichtingstaak in quarantaine gaat.
Klik op de knop Verbinding testen. Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de test mislukt, controleert u nogmaals of de SuccessFactors-referenties en -URL geldig zijn.
Zodra de referenties zijn opgeslagen, wordt in de sectie Toewijzingen de standaardtoewijzing SuccessFactors-gebruikers met Microsoft Entra-id weergegeven
Deel 2: Kenmerktoewijzingen configureren
In deze sectie configureert u hoe gebruikersgegevens stromen van SuccessFactors naar Microsoft Entra-id.
Klik op het tabblad Inrichten onder Toewijzingen op SuccessFactors-gebruikers synchroniseren met Microsoft Entra-id.
In het veld Bereik van bronobject kunt u selecteren welke sets gebruikers in SuccessFactors binnen het bereik van inrichting voor Microsoft Entra-id moeten vallen door een set op kenmerken gebaseerde filters te definiëren. Het standaardbereik is ‘alle gebruikers in SuccessFactors’. Voorbeelden van filters:
Voorbeeld: bereik voor gebruikers met personIdExternal tussen 1000000 en 2000000 (met uitzondering van 2000000)
Kenmerk: personIdExternal
Operator: REGEX-overeenkomst
Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Voorbeeld: Alleen werknemers en niet afhankelijke werknemers
Kenmerk: EmployeeID
Operator: IS NIET NULL
Tip
Wanneer u de inrichtings-app voor de eerste keer configureert, moet u uw kenmerktoewijzingen en expressies testen en verifiëren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft adviseert om de bereikfilters onder Bereik van bronobject te gebruiken om uw toewijzingen te testen met een aantal testgebruikers van SuccessFactors. Nadat u hebt gecontroleerd of de toewijzingen werken, kunt u het filter verwijderen of geleidelijk uitbreiden om meer gebruikers toe te voegen.
Let op
Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw SuccessFactors-integratie met Microsoft Entra. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.
In het veld Doelobjectacties kunt u globaal filteren welke acties worden uitgevoerd in Microsoft Entra-id. Maken en Bijwerken worden het meest gebruikt.
In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke SuccessFactors-kenmerken worden toegewezen aan Microsoft Entra-kenmerken.
Notitie
De volledige lijst met kenmerken van SuccessFactors die worden ondersteund door de toepassing vindt u in het artikel over kenmerken van SuccessFactors.
Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:
Toewijzingstype
Direct : schrijft de waarde van het kenmerk SuccessFactors naar het Kenmerk Microsoft Entra, zonder wijzigingen
Constante : een statische, constante tekenreekswaarde schrijven naar het Kenmerk Microsoft Entra
Expressie : hiermee kunt u een aangepaste waarde schrijven naar het kenmerk Microsoft Entra, op basis van een of meer SuccessFactors-kenmerken. Zie voor meer informatie dit artikel over expressies.
Bronkenmerk: het gebruikerskenmerk uit SuccessFactors.
Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, schrijft de toewijzing deze waarde in plaats daarvan. De meest voorkomende configuratie is om dit leeg te laten.
Doelkenmerk: het gebruikerskenmerk in Microsoft Entra-id.
Objecten vergelijken met dit kenmerk : of deze toewijzing al dan niet moet worden gebruikt om gebruikers uniek te identificeren tussen SuccessFactors en Microsoft Entra-id. Deze waarde wordt doorgaans ingesteld op het veld Werkrol-id voor SuccessFactors, die doorgaans is toegewezen aan een van de kenmerken werknemer-id's in Microsoft Entra-id.
Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.
Deze toewijzing toepassen
Altijd: u kunt deze toewijzing toepassen bij het maken en bijwerken van gebruikers
Alleen tijdens het maken van een object: u kunt deze toewijzing alleen toepassen bij het maken van gebruikers
Als u uw toewijzingen wilt opslaan, klikt u op Opslaan bovenaan de sectie 'Kenmerktoewijzing'.
Als de configuratie van kenmerktoewijzingen is voltooid, kunt u de service voor het inrichten van gebruikers inschakelen en starten.
Gebruikersinrichting inschakelen en starten
Zodra de configuraties van de SuccessFactors-inrichtings-app zijn voltooid, kunt u de inrichtingsservice inschakelen.
Tip
Wanneer u de inrichtingsservice inschakelt, worden er standaard inrichtingsbewerkingen gestart voor alle gebruikers binnen het bereik. Als er fouten zijn opgetreden in de toewijzing of er problemen zijn met gegevens van SuccessFactors, kan de inrichtingstaak mislukken en wordt deze in quarantaine geplaatst. Om dit te voorkomen, raden we u als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.
Stel op het tabblad Inrichten de optie Inrichtingsstatus in op Aan.
Klik op Opslaan.
Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de SuccessFactors-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.
Controleer op elk gewenst moment het tabblad Inrichten in het Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers uit SuccessFactors worden gelezen en vervolgens worden toegevoegd of bijgewerkt aan Microsoft Entra-id.
Zodra de initiële synchronisatie is voltooid, wordt er een auditoverzichtsrapport op het tabblad Inrichten geschreven, zoals hieronder wordt weergegeven.
Volgende stappen
- Meer informatie over ondersteunde SuccessFactors-kenmerken voor inkomende inrichting
- Meer informatie over het configureren van write-back van e-mailadressen naar SuccessFactors
- Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit
- Meer informatie over het integreren van andere SaaS-toepassingen met Microsoft Entra ID