Настройка SAP SuccessFactors для управления пользователями Microsoft Entra

** Цель этой статьи — показать шаги, которые необходимо выполнить для предоставления рабочих данных из SuccessFactors Employee Central в Microsoft Entra ID, с возможностью записи адреса электронной почты обратно в SuccessFactors.

Примечание.

Используйте эту статью, если пользователи SuccessFactors, которым вы настраиваете доступ, являются облачными пользователями, которым не нужна локальная учетная запись AD. Если пользователям требуется только локальная учетная запись AD или как учетная запись AD, так и учетная запись Microsoft Entra, обратитесь к статье о настройке интеграции SAP SuccessFactors с Active Directory для создания пользователей.

В следующем видео представлен краткий обзор шагов при планировании интеграции предоставления с SAP SuccessFactors.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с SuccessFactors Employee Central, чтобы управлять жизненным циклом идентификаторов пользователей.

Рабочие процессы подготовки пользователей SuccessFactors, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Добавление новых сотрудников - При добавлении нового сотрудника в SuccessFactors учетная запись пользователя автоматически создается в Microsoft Entra ID, а также, при необходимости, в Microsoft 365 и других поддерживаемых Microsoft Entra ID приложениях SaaS, с записью адреса электронной почты обратно в SuccessFactors.

• Обновления атрибутов и профилей сотрудников . При обновлении записи сотрудника в SuccessFactors (например, имя, название или менеджер) их учетная запись пользователя автоматически обновляется идентификатором Microsoft Entra и при необходимости Microsoft 365 и другими приложениями SaaS, поддерживаемыми идентификатором Microsoft Entra.

• Завершение работы сотрудников. При завершении работы сотрудника в SuccessFactors их учетная запись пользователя автоматически отключается в идентификаторе Microsoft Entra и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• При повторном приеме на работу сотрудников в SuccessFactors, их старая учетная запись может быть автоматически активирована или переоборудована (в зависимости от вашего предпочтения) в Microsoft Entra ID и при необходимости в Microsoft 365 и другие приложения SaaS, поддерживаемые Microsoft Entra ID.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение для предоставления пользователей из SuccessFactors в Microsoft Entra идеально подходит для:

• Организации, которые хотят предварительно созданного облачного решения для подготовки пользователей SuccessFactors, включая организации, заполняющие SuccessFactors из SAP HCM с помощью SAP Integration Suite

• Организации, которые разворачивающие Microsoft Entra для управления пользователями с помощью исходных и целевых приложений SAP, используют Microsoft Entra для настройки удостоверений работников, чтобы они могли входить в одно или несколько приложений SAP, таких как SAP ECC или SAP S/4HANA, а также, при необходимости, в приложения, не относящиеся к SAP.

• Организации, которым требуется прямое предоставление пользователей из SuccessFactors в Microsoft Entra ID, но не требуют, чтобы эти пользователи также находились в Windows Server Active Directory.

• Организации, которые осуществляют предоставление доступа пользователям с использованием данных, полученных из SuccessFactors Employee Central (EC).

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура сквозного решения для управления пользователями, использующих только облачные сервисы. Имеется два связанных потока:

• Основной поток данных кадров — от SuccessFactors к идентификатору Microsoft Entra ID: в этом потоке события сотрудников (например, прием новых сотрудников, переводы, увольнения) сначала происходят в облаке SuccessFactors Employee Central, а затем данные событий передаются в идентификатор Microsoft Entra ID. В зависимости от события может привести к созданию, обновлению и отключению операций в идентификаторе Microsoft Entra.

• Поток обратной записи электронной почты — от Microsoft Entra ID до SuccessFactors: после завершения создания учетной записи в Microsoft Entra ID значение атрибута электронной почты или имя пользователя (UPN), созданное в Microsoft Entra ID, может быть записано обратно в SuccessFactors.

  

Сквозной поток данных пользователей

1. Команда отдела кадров выполняет рабочие транзакции (Joiners/Movers/Leavers или New Hires/Transfers/Terminations) в SuccessFactors Employee Central.
2. Служба управления Microsoft Entra выполняет запланированные синхронизации учетных записей из SuccessFactors EC и определяет изменения, которые необходимо обработать для синхронизации с Microsoft Entra ID.
3. Служба подготовки Microsoft Entra определяет изменение и инициирует операцию создания, обновления, включения или отключения пользователя в Microsoft Entra ID.
4. Если приложение SuccessFactors Writeback настроено, адрес электронной почты пользователя извлекается из идентификатора Microsoft Entra.
5. Служба подготовки Microsoft Entra записывает атрибут электронной почты в SuccessFactors, основываясь на атрибуте сопоставления, который используется.

Планирование развертывания

Настройка обеспечения пользователей, ведомых облачными кадровыми системами из SuccessFactors, в систему Microsoft Entra ID требует значительного планирования, охватывающего различные аспекты, такие как:

• Определение идентификатора соответствия
• Сопоставление атрибутов
• преобразование атрибутов;
• Фильтры ограничения области

Подробные рекомендации по этим темам см. в плане развертывания облачных служб управления персоналом. Сведения о поддерживаемых сущностях, обработке и настройке интеграции для различных сценариев управления персоналом см. в Справочнике по интеграции SAP SuccessFactors.

Настройка SuccessFactors для интеграции

Это означает, что общим требованием для всех провайдеров подключения SuccessFactors являются учетные данные учетной записи SuccessFactors с соответствующими разрешениями для вызова API-интерфейсов OData SuccessFactors. В этом разделе описана процедура создания учетной записи службы в SuccessFactors и предоставления соответствующих разрешений.

• Создание или определение учетной записи пользователя API в SuccessFactors
• Создание роли разрешений для API
• Создание группы разрешений для пользователя API
• Назначьте роль группе разрешений

Создание или определение учетной записи пользователя API в SuccessFactors

Обратитесь к команде администратора SuccessFactors или партнеру по реализации, чтобы создать или определить учетную запись пользователя в SuccessFactors, чтобы вызвать API OData. Учетные данные имени пользователя и пароля этой учетной записи необходимы при настройке приложений предоставления в Microsoft Entra ID.

Создание роли разрешений для API

1. Войдите в SAP SuccessFactors с учетной записью пользователя, имеющего доступ к центру администрирования.

2. Введите в строке поиска Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).

3. В списке ролей разрешений выберите Создать новую.

   

4. Заполните поля Role Name (Имя роли) и Description (Описание) для новой роли разрешений. Имя и описание должны указывать на то, что роль предназначена для разрешений на использование API.

5. В разделе "Настройки разрешений" выберите разрешения..., а затем прокрутите вниз список разрешений и выберите Управление средствами интеграции. Установите флажок Allow Admin to Access to OData API through Basic Authentication (Разрешить администратору доступ к API-интерфейсу OData с использованием обычной проверки подлинности).

   

6. Прокрутите вниз в том же поле и выберите Employee Central API (API-интерфейс Employee Central). Добавьте разрешения на чтение и изменение с помощью API-интерфейса OData, как показано ниже. Выберите параметр изменений, если вы планируете использовать ту же учетную запись для обратной записи в SuccessFactors.

   

7. В том же окне разрешений перейдите к пункту User Permissions -> Employee Data (Разрешения пользователей -> Данные о сотрудниках) и проверьте атрибуты, которые учетная запись службы может считывать из арендатора SuccessFactors. Например, чтобы получить из SuccessFactors атрибут Username (Имя пользователя), убедитесь, что для этого атрибута предоставлено разрешение View (Просмотр). Аналогичным образом проверьте каждый атрибут для разрешения на просмотр.

   

   Примечание.

   Полный список атрибутов, полученных этим приложением подготовки, см. в справочнике по атрибутам SuccessFactors.

8. Нажмите кнопку Готово. Выберите Сохранить изменения.

Создание группы разрешений для пользователя API

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Groups (Управление группами разрешений), а затем среди результатов поиска выберите Manage Permission Groups (Управление группами разрешений).

   

2. В окне "Управление группами разрешений" выберите Создать Новый.

   

3. Добавьте имя новой группы в поле Group Name (Имя группы). Это имя должно указывать на то, что группа предназначена для пользователей API.

   

4. Добавьте членов в группу. Например, можно выбрать пользователя Username из списка пользователей, а затем ввести имя пользователя учетной записи API, которая используется для интеграции.

   

5. Выберите Готово, чтобы завершить создание группы прав доступа.

Назначение роли разрешений группе прав доступа

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).
2. В разделе Permission Role List (Список ролей разрешений) выберите роль, созданную для разрешений на использование API.
3. В пункте Предоставление этой роли в... выберите кнопку Добавить...
4. Выберите группу разрешений... в раскрывающемся меню, а затем выберите Выбрать..., чтобы открыть окно "Группы" для поиска и выбора группы, созданной выше.
5. Просмотрите роль разрешений, предоставленную группе разрешений.
6. Выберите Сохранить изменения.

Настройка управления пользователями из SuccessFactors в Microsoft Entra ID

В этом разделе приводятся шаги по созданию учетных записей пользователей из SuccessFactors в Microsoft Entra ID.

• Добавьте приложение коннектора для подготовки и настройте подключение к SuccessFactors
• Настройка сопоставлений атрибутов
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения коннектора предоставления и настройка подключения к SuccessFactors.

Чтобы настроить SuccessFactors для подготовки Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как Администратор Облачных Приложений или выше.

2. Перейдите к Identity>Приложения>Корпоративные приложения>Новое приложение.

3. Найдите SuccessFactors для предоставления пользователей в Microsoft Entra и добавьте это приложение из галереи.

4. После добавления приложения и отображения экрана сведений о приложении выберите Подготовка.

5. Измените Режим подготовки на Автоматический.

6. В разделе Учетные данные администратора заполните поля следующим образом.

   • Имя пользователя администратора. Введите имя пользователя учетной записи API SuccessFactors, добавив к нему идентификатор компании. Формат: имя_пользователя@идентификатор_компании.

   • Пароль администратора. Введите пароль учетной записи пользователя API SuccessFactors.

   • URL-адрес клиента. Введите имя конечной точки служб API-интерфейса OData для SuccessFactors. Вводить следует только имя узла сервера без http или https. Это значение должно выглядеть так: api-server-name.successfactors.com.

   • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

   Примечание.

   Служба обеспечения Microsoft Entra отправляет уведомление по электронной почте, если задание на обеспечение переходит в состояние карантина.

   • Нажмите кнопку Проверить подключение. Если тест подключения выполнен успешно, нажмите кнопку Сохранить вверху. В случае неудачи дополнительно проверьте правильность учетных данных и URL-адреса SuccessFactors.

   • После успешного сохранения учетных данных в разделе "Сопоставления" отображается сопоставление "Синхронизация пользователей SuccessFactors" по умолчанию с идентификатором Microsoft Entra

Часть 2. Настройка сопоставлений атрибутов

В этом разделе описана настройка потоков данных пользователей из SuccessFactors в идентификатор Microsoft Entra.

1. На вкладке "Провизия" в разделе "Сопоставления" выберите "Синхронизировать пользователей SuccessFactors с Microsoft Entra ID".

2. В поле области применения исходного объекта можно выбрать наборы пользователей в SuccessFactors, которые должны быть включены в область предоставления доступа к Microsoft Entra ID, определив набор фильтров, основанных на атрибутах. Область по умолчанию — "все пользователи в SuccessFactors". Примеры фильтров

   • Пример Охват пользователей с personIdExternal в диапазоне от 1000000 до 2000000 (не включая 2000000)

     • Атрибут: personIdExternal

     • Оператор: REGEX Match

     • Значение: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Пример: только сотрудники, а не временные работники

     • Атрибут: EmployeeID

     • Оператор: IS NOT NULL

   Совет

   При первой настройке приложения развертывания необходимо проверить сопоставления атрибутов и выражения, чтобы убедиться, что оно дает нужный результат. Корпорация Майкрософт рекомендует использовать фильтры области в разделе Область исходного объекта для проверки сопоставлений с несколькими тестовыми пользователями из SuccessFactors. Убедившись, что сопоставления работают, можно удалить фильтр или постепенно развернуть его, чтобы включить больше пользователей.

   Внимание

   Поведение по умолчанию механизма provision заключается в отключении или удалении пользователей, вышедших за рамки. Это может оказаться нежелательным в интеграции SuccessFactors с Microsoft Entra. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

3. В поле "Действия целевого объекта" можно глобально отфильтровать действия, выполняемые в идентификаторе Microsoft Entra. Самыми распространенными являются создание и обновление.

4. В разделе "Сопоставления атрибутов" можно определить, как отдельные атрибуты SuccessFactors сопоставляют с атрибутами Microsoft Entra.

   Примечание.

   Полный список атрибутов SuccessFactors, поддерживаемых приложением, см. в справочнике по атрибутам SuccessFactors.

5. Выберите существующее сопоставление атрибутов, чтобы обновить его, или выберите Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Direct — записывает значение атрибута SuccessFactors в атрибут Microsoft Entra без изменений.

     • Константа — запись статического, константного строкового значения в атрибут Microsoft Entra

     • Выражение — позволяет записывать настраиваемое значение в атрибут Microsoft Entra на основе одного или нескольких атрибутов SuccessFactors. Дополнительные сведения см. в статье о выражениях.

   • Исходный атрибут — атрибут пользователя из SuccessFactors.

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление записывает это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в идентификаторе Microsoft Entra.

   • Сопоставление объектов с помощью этого атрибута — следует ли использовать это сопоставление для уникального идентификации пользователей между SuccessFactors и идентификатором Microsoft Entra. Обычно это значение устанавливается в поле идентификатора работника для SuccessFactors, которое обычно сопоставляется с одним из атрибутов идентификатора сотрудника в Microsoft Entra ID.

   • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При наличии нескольких элементов они оцениваются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применить это сопоставление

     • Всегда — применяйте это сопоставление как при создании пользователей, так и при их обновлении.

     • Только при создании — применить это сопоставление только на действия по созданию пользователей

6. Чтобы сохранить ваши сопоставления, выберите Сохранить в верхней части раздела Attribute-Mapping.

После завершения настройки сопоставления атрибутов можно включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений подготовки SuccessFactors можно включить службу подготовки.

Совет

По умолчанию, когда вы включаете службу подготовки, она запускает операции подготовки для всех пользователей, попадающих в область действия. При наличии ошибок в сопоставлении или проблем с данными SuccessFactors, задача предоставления может завершиться неудачей и перейти в состояние карантина. Чтобы избежать этого, рекомендуется настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

1. На вкладке Подготовка установите для параметра Состояние подготовки значение Вкл.

2. Выберите Сохранить.

3. Эта операция запускает начальную синхронизацию, которая может занять переменное количество часов в зависимости от количества пользователей в клиенте SuccessFactors. Вы можете проверить ход цикла синхронизации на индикаторе выполнения.

4. В любое время проверьте вкладку "Подготовка" в Центре администрирования Entra, чтобы узнать, какие действия выполнила служба подготовки. Журналы настройки содержат перечень всех отдельных событий синхронизации, выполненных службой настройки, например, какие пользователи считываются из SuccessFactors и затем добавляются или обновляются в Microsoft Entra ID.

5. После завершения начальной синхронизации он записывает сводный отчет аудита на вкладке подготовки , как показано ниже.

   

Связанное содержимое

• Узнайте больше о поддерживаемых атрибутах SuccessFactors для входящего обеспечения
• Узнайте, как настроить обратную запись электронной почты в SuccessFactors
• Узнайте, как просматривать журналы и получать отчеты о деятельности по настройке
• Узнайте, как интегрировать другие приложения SaaS с идентификатором Microsoft Entra