Tutorial: Configurar write-back de atributos do Microsoft Entra ID para SAP SuccessFactors

O objetivo deste tutorial é mostrar as etapas para write-back de atributos do Microsoft Entra ID para o SAP SuccessFactors Employee Central.

Descrição geral

Você pode configurar o aplicativo SAP SuccessFactors Writeback para gravar atributos específicos do Microsoft Entra ID para o SAP SuccessFactors Employee Central. O aplicativo de provisionamento de write-back SuccessFactors oferece suporte à atribuição de valores aos seguintes atributos do Employee Central:

• E-mail de Trabalho
• Username
• Número de telefone comercial (incluindo indicativo do país, indicativo de área, número e extensão)
• Sinalizador principal do número de telefone comercial
• Número de telemóvel (incluindo indicativo do país, indicativo de área, número)
• Bandeira principal do telefone celular
• Atributos custom01-custom15 do usuário
• atributo loginMethod

Nota

Este aplicativo não tem nenhuma dependência dos aplicativos de integração de provisionamento de usuário de entrada SuccessFactors. Você pode configurá-lo independentemente de SuccessFactors para o aplicativo de provisionamento do AD local ou SuccessFactors para o aplicativo de provisionamento do Microsoft Entra ID.

Consulte a seção Cenários de write-back do guia de referência de integração do SAP SuccessFactors para obter mais detalhes sobre os cenários suportados, problemas conhecidos e limitações.

Para quem essa solução de provisionamento de usuários é mais adequada?

Esta solução de provisionamento de usuário SuccessFactors Writeback é ideal para:

• Organizações que usam o Microsoft 365 que desejam reescrever atributos autoritativos gerenciados pela TI (como endereço de email, telefone, nome de usuário) de volta ao SuccessFactors Employee Central.

Configurando SuccessFactors para a integração

Todos os conectores de provisionamento SuccessFactors exigem credenciais de uma conta SuccessFactors com as permissões certas para invocar as APIs OData do Employee Central. Esta seção descreve as etapas para criar a conta de serviço em SuccessFactors e conceder permissões apropriadas.

• Criar/identificar conta de usuário da API no SuccessFactors
• Criar uma função de permissões de API
• Criar um grupo de permissões para o usuário da API
• Conceder função de permissão ao grupo de permissões

Criar/identificar conta de usuário da API no SuccessFactors

Trabalhe com sua equipe de administração ou parceiro de implementação do SuccessFactors para criar ou identificar uma conta de usuário no SuccessFactors para invocar as APIs OData. As credenciais de nome de usuário e senha dessa conta são necessárias ao configurar os aplicativos de provisionamento no Microsoft Entra ID.

Criar uma função de permissões de API

1. Faça login no SAP SuccessFactors com uma conta de usuário que tenha acesso ao Centro de administração.

2. Pesquise Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.

   

3. Na Lista de Funções de Permissão, clique em Criar Novo.

   

4. Adicione um Nome e Descrição da Função para a nova função de permissão. O nome e a descrição devem indicar que a função é para permissões de uso da API.

5. Em Configurações de permissão, clique em Permissão..., role a lista de permissões para baixo e clique em Gerenciar Ferramentas de Integração. Marque a caixa Permitir que o administrador acesse a API OData por meio da Autenticação Básica.

   

6. Role para baixo na mesma caixa e selecione Employee Central API. Adicione permissões como mostrado abaixo para ler usando a API ODATA e editar usando a API ODATA. Selecione a opção de edição se você planeja usar a mesma conta para o cenário de write-back para SuccessFactors.

   

7. Clique em Concluído. Clique em Guardar Alterações.

Criar um grupo de permissões para o usuário da API

1. No Centro de Administração SuccessFactors, procure Gerenciar Grupos de Permissões e selecione Gerenciar Grupos de Permissões nos resultados da pesquisa.

   

2. Na janela Gerenciar Grupos de Permissão, clique em Criar Novo.

   

3. Adicione um Nome de Grupo para o novo grupo. O nome do grupo deve indicar que o grupo é para usuários da API.

   

4. Adicione membros ao grupo. Por exemplo, você pode selecionar Nome de usuário no menu suspenso Pool de pessoas e inserir o nome de usuário da conta da API que será usada para a integração.

   

5. Clique em Concluído para concluir a criação do Grupo de Permissões.

Conceder função de permissão ao grupo de permissões

1. No Centro de Administração do SuccessFactors, procure Gerenciar Funções de Permissão e selecione Gerenciar Funções de Permissão nos resultados da pesquisa.
2. Na Lista de Funções de Permissão, selecione a função que você criou para permissões de uso da API.
3. Em Conceder esta função a..., clique em Adicionar... botão.
4. Selecione Grupo de Permissões... no menu suspenso e, em seguida, clique em Selecionar... para abrir a janela Grupos para pesquisar e selecionar o grupo criado acima.
5. Analise a concessão da Função de Permissão ao Grupo de Permissões.
6. Clique em Guardar Alterações.

Preparando-se para o write-back do SuccessFactors

O aplicativo de provisionamento SuccessFactors Writeback usa determinados valores de código para definir e-mails e números de telefone no Employee Central. Esses valores de código são definidos como valores constantes na tabela de mapeamento de atributos e são diferentes para cada instância de SuccessFactors. Esta seção fornece etapas para capturar esses valores de código .

Nota

Envolva seu administrador SuccessFactors para concluir as etapas nesta seção.

Identificar nomes da lista de opções de e-mail e número de telefone

No SAP SuccessFactors, uma lista de opções é um conjunto configurável de opções a partir do qual um usuário pode fazer uma seleção. Os diferentes tipos de e-mail e número de telefone (como comercial, pessoal e outros) são representados usando uma lista de opções. Nesta etapa, identificaremos as listas de opções configuradas em seu locatário SuccessFactors para armazenar valores de e-mail e número de telefone.

1. No Centro de Administração SuccessFactors, procure Gerenciar configuração de negócios.

   

2. Em Elementos HRIS, selecione emailInfo e clique no campo Detalhes para o tipo de e-mail.

   

3. Na página de detalhes do tipo de e-mail, anote o nome da lista de opções associada a este campo. Por padrão, é ecEmailType. No entanto, pode ser diferente no seu inquilino.

   

4. Em Elementos HRIS, selecione phoneInfo e clique no campo Detalhes para o tipo de telefone.

   

5. Na página de detalhes do tipo de telefone, anote o nome da lista de opções associada a este campo. Por padrão, é ecPhoneType. No entanto, pode ser diferente no seu inquilino.

   

Recuperar valor constante para emailType

1. No Centro de Administração SuccessFactors, pesquise e abra o Centro de Listas de Opções.

2. Use o nome da lista de opções de e-mail capturada da seção anterior (como ecEmailType) para localizar a lista de opções de e-mail.

   

3. Abra a lista de opções de e-mail ativa.

   

4. Na página da lista de opções de tipo de e-mail, selecione o tipo de email comercial .

   

5. Anote o ID da opção associado ao e-mail comercial. Este é o código que usaremos com emailType na tabela de mapeamento de atributos.

   

   Nota

   Solte o caractere de vírgula quando copiar sobre o valor. Por exemplo, se o valor de ID de opção for 8.448, defina o emailType no Microsoft Entra ID para o número constante 8448 (sem o caractere vírgula).

Recuperar valor constante para phoneType

1. No Centro de Administração SuccessFactors, pesquise e abra o Centro de Listas de Opções.

2. Use o nome da lista de opções de telefone capturada da seção anterior para encontrar a lista de opções de telefone.

   

3. Abra a lista de opções de telefone ativa.

   

4. Na página da lista de opções de tipo de telefone, revise os diferentes tipos de telefone listados em Valores da lista de opções.

   

5. Anote o ID de opção associado ao telefone comercial. Este é o código que usaremos com businessPhoneType na tabela de mapeamento de atributos.

   

6. Anote o ID da opção associado ao telefone celular. Este é o código que usaremos com cellPhoneType na tabela de mapeamento de atributos.

   

   Nota

   Solte o caractere de vírgula quando copiar sobre o valor. Por exemplo, se o valor de ID de opção for 10.606, defina cellPhoneType no Microsoft Entra ID para o número constante 10606 (sem o caractere vírgula).

Configurando o aplicativo de write-back SuccessFactors

Esta seção fornece etapas para:

• Adicione o aplicativo do conector de provisionamento e configure a conectividade com SuccessFactors
• Configurar mapeamentos de atributos
• Habilitar e iniciar o provisionamento de usuários

Parte 1: Adicionar o aplicativo do conector de provisionamento e configurar a conectividade com SuccessFactors

Para configurar o SuccessFactors Writeback:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

3. Pesquise por SuccessFactors Writeback e adicione esse aplicativo da galeria.

4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for exibida, selecione Provisionamento

5. Alterar o modo de provisionamento para automático

6. Preencha a seção Credenciais de administrador da seguinte maneira:

   • Nome de usuário Admin – Digite o nome de usuário da conta de usuário da API SuccessFactors, com o ID da empresa anexado. Tem o formato: username@companyID

   • Senha de administrador – Digite a senha da conta de usuário da API SuccessFactors.

   • URL do locatário – Insira o nome do ponto de extremidade dos serviços da API OData SuccessFactors. Digite apenas o nome do host do servidor sem http ou https. Esse valor deve ser parecido com: api4.successfactors.com.

   • E-mail de notificação – Digite seu endereço de e-mail e marque a caixa de seleção "enviar e-mail se ocorrer uma falha".

   Nota

   O serviço de provisionamento do Microsoft Entra envia uma notificação por email se o trabalho de provisionamento entrar em um estado de quarentena .

   • Clique no botão Testar conexão . Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique se as credenciais e a URL do SuccessFactors são válidas.

   • Depois que as credenciais forem salvas com êxito, a seção Mapeamentos exibirá o mapeamento padrão. Atualize a página, se os mapeamentos de atributos não estiverem visíveis.

Parte 2: Configurar mapeamentos de atributos

Nesta seção, você configura como os dados do usuário fluem de SuccessFactors para o Ative Directory.

1. Na guia Provisionamento, em Mapeamentos, clique em Provisionar usuários do Microsoft Entra.

2. No campo Escopo do objeto de origem, você pode selecionar quais conjuntos de usuários no Microsoft Entra ID devem ser considerados para write-back, definindo um conjunto de filtros baseados em atributos. O escopo padrão é todos os usuários no Microsoft Entra ID.

   Gorjeta

   Ao configurar o aplicativo de provisionamento pela primeira vez, você precisa testar e verificar seus mapeamentos e expressões de atributos para garantir que ele esteja dando o resultado desejado. A Microsoft recomenda usar os filtros de escopo em Escopo do objeto de origem para testar seus mapeamentos com alguns usuários de teste do Microsoft Entra ID. Depois de verificar se os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

3. O campo Ações do Objeto de Destino suporta apenas a operação Atualizar .

4. Na tabela de mapeamento na seção Mapeamentos de atributos, você pode mapear os seguintes atributos do Microsoft Entra para SuccessFactors. A tabela abaixo fornece orientação sobre como mapear os atributos de write-back.

   #	Atributo Microsoft Entra	Atributo SuccessFactors	Observações
   1	Identificação do empregado	personIdExternal	Por padrão, esse atributo é o identificador correspondente. Em vez de employeeId, você pode usar qualquer outro atributo do Microsoft Entra que possa armazenar o valor igual a personIdExternal em SuccessFactors.
   2	correio	Correio eletrónico	Mapeie a origem do atributo de e-mail. Para fins de teste, você pode mapear userPrincipalName para email.
   3	8448	Tipo de email	Esse valor constante é o valor de ID SuccessFactors associado ao e-mail comercial. Atualize esse valor para corresponder ao seu ambiente SuccessFactors. Consulte a seção Recuperar valor constante para emailType para obter as etapas para definir esse valor.
   4	verdadeiro	emailIsPrimary	Use esse atributo para definir o e-mail comercial como principal em SuccessFactors. Se o e-mail comercial não for primário, defina esse sinalizador como false.
   5	userPrincipalName	[custom01 – custom15]	Usando Add New Mapping, você pode, opcionalmente, escrever userPrincipalName ou qualquer atributo Microsoft Entra em um atributo personalizado disponível no objeto User SuccessFactors.
   6	Em Prem SamAccountName	nome de utilizador	Usando Adicionar Novo Mapeamento, você pode, opcionalmente, mapear samAccountName local para o atributo username SuccessFactors. Use o Microsoft Entra Connect Sync: extensões de diretório para sincronizar samAccountName com o Microsoft Entra ID. Isso aparece na lista suspensa de origem como extension_yourTenantGUID_samAccountName
   7	SSO	loginMétodo	Se o locatário SuccessFactors estiver configurado para SSO parcial, usando Add New Mapping, você pode, opcionalmente, definir loginMethod como um valor constante de "SSO" ou "PWD".
   8	telephoneNumber	número de telefone comercial	Use este mapeamento para fluir o número de telefone do Microsoft Entra ID para o número de telefone comercial / profissional da SuccessFactors.
   9	10605	businessPhoneType	Esse valor constante é o valor de ID SuccessFactors associado ao telefone comercial. Atualize esse valor para corresponder ao seu ambiente SuccessFactors. Consulte a seção Recuperar valor constante para phoneType para obter as etapas para definir esse valor.
   10	verdadeiro	businessPhoneIsPrimary	Use esse atributo para definir o sinalizador principal para o número de telefone comercial. Os valores válidos são true ou false.
   11	telemóvel	número de telemóvel	Use este mapeamento para fluir o número de telefone do Microsoft Entra ID para o número de telefone comercial / profissional da SuccessFactors.
   12	10606	Tipo de telemóvel	Esse valor constante é o valor de ID SuccessFactors associado ao telefone celular. Atualize esse valor para corresponder ao seu ambiente SuccessFactors. Consulte a seção Recuperar valor constante para phoneType para obter as etapas para definir esse valor.
   13	false	celularIsPrimary	Use este atributo para definir o sinalizador principal para o número de telefone celular. Os valores válidos são true ou false.
   14	[extensãoAttribute1-15]	ID de Utilizador	Use esse mapeamento para garantir que o registro ativo em SuccessFactors seja atualizado quando houver vários registros de emprego para o mesmo usuário. Para obter mais detalhes, consulte Ativando write-back com UserID

5. Valide e revise seus mapeamentos de atributos.

6. Clique em Salvar para salvar os mapeamentos. Em seguida, atualizaremos as expressões da API JSON Path para usar os códigos phoneType em sua instância SuccessFactors.

7. Selecione Mostrar opções avançadas.

8. Clique em Editar lista de atributos para SuccessFactors.

   Nota

   Se a opção Editar lista de atributos para SuccessFactors não aparecer no centro de administração do Entra, use a URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true para acessar a página.

9. A coluna de expressão da API nesta exibição exibe as expressões de caminho JSON usadas pelo conector.

10. Atualize as expressões JSON Path para telefone comercial e celular para usar o valor de ID (businessPhoneType e cellPhoneType) correspondente ao seu ambiente.

    

11. Clique em Salvar para salvar os mapeamentos.

Habilitar e iniciar o provisionamento de usuários

Quando as configurações do aplicativo de provisionamento SuccessFactors estiverem concluídas, você poderá ativar o serviço de provisionamento.

Gorjeta

Por padrão, quando você ativa o serviço de provisionamento, ele inicia as operações de provisionamento para todos os usuários no escopo. Se houver erros no mapeamento ou problemas de dados, o trabalho de provisionamento pode falhar e entrar no estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro Escopo do Objeto de Origem e testar os mapeamentos de atributos com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Depois de verificar se os mapeamentos funcionam e estão dando os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

1. Na guia Provisionamento, defina o Status de provisionamento como Ativado.

2. Selecione Âmbito. Você pode selecionar uma das seguintes opções:

   • Sincronizar todos os usuários e grupos: Selecione esta opção se você planeja gravar de volta atributos mapeados de todos os usuários do ID do Microsoft Entra para SuccessFactors, sujeito às regras de escopo definidas em Mapeamentos -> Escopo do objeto de origem.
   • Sincronizar apenas usuários e grupos atribuídos: selecione esta opção se você planeja reescrever atributos mapeados somente de usuários que você atribuiu a este aplicativo na opção de menu Aplicativo ->Gerenciar ->Usuários e grupos. Esses usuários também estão sujeitos às regras de escopo definidas em Mapeamentos ->Escopo do objeto de origem.

   

   Nota

   Os aplicativos de provisionamento de write-back SuccessFactors criados após 12-Out-2022 suportam o recurso "atribuição de grupo". Se você criou o aplicativo antes de 12-Out-2022, ele só tem suporte para "atribuição de usuário". Para usar o recurso "atribuição de grupo", crie uma nova instância do aplicativo SuccessFactors Writeback e mova suas configurações de mapeamento existentes para esse aplicativo.

3. Clique em Guardar.

4. Esta operação inicia a sincronização inicial, que pode levar um número variável de horas, dependendo de quantos usuários estão no locatário do Microsoft Entra e do escopo definido para a operação. Você pode verificar a barra de progresso para acompanhar o progresso do ciclo de sincronização.

5. A qualquer momento, verifique a guia Logs de provisionamento no centro de administração do Entra para ver quais ações o serviço de provisionamento executou. Os logs de provisionamento listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento.

6. Quando a sincronização inicial é concluída, ele grava um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

   

Próximos passos

• Aprofunde-se na referência de integração do Microsoft Entra ID e do SAP SuccessFactors
• Saiba como configurar o logon único entre o SuccessFactors e o ID do Microsoft Entra
• Saiba como integrar outros aplicativos SaaS com o Microsoft Entra ID