Självstudie: Konfigurera SAP SuccessFactors till Microsoft Entra-användaretablering
Målet med den här självstudien är att visa de steg du behöver utföra för att etablera arbetsdata från SuccessFactors Employee Central till Microsoft Entra ID, med valfri tillbakaskrivning av e-postadress till SuccessFactors.
Kommentar
Använd den här självstudien om de användare som du vill etablera från SuccessFactors är molnbaserade användare som inte behöver ett lokalt AD-konto. Om användarna bara behöver ett lokalt AD-konto eller både AD- och Microsoft Entra-konto kan du läsa självstudien om hur du konfigurerar SAP SuccessFactors till Active Directory-användaretablering .
Följande video ger en snabb översikt över de steg som ingår när du planerar din etableringsintegrering med SAP SuccessFactors.
Översikt
Microsoft Entra-tjänsten för användaretablering integreras med SuccessFactors Employee Central för att hantera användarnas identitetslivscykel.
SuccessFactors-arbetsflöden för användaretablering som stöds av Microsoft Entra-tjänsten för användaretablering möjliggör automatisering av följande scenarier för hantering av mänskliga resurser och identitetslivscykel:
Anställa nya anställda – När en ny anställd läggs till i SuccessFactors skapas ett användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID, med tillbakaskrivning av e-postadressen till SuccessFactors.
Uppdateringar av anställdas attribut och profil – När en anställds post uppdateras i SuccessFactors (till exempel deras namn, titel eller chef) uppdateras användarkontot automatiskt Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.
Uppsägningar av anställda – När en anställd avslutas i SuccessFactors inaktiveras deras användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.
Personalrehires – När en anställd återanställs i SuccessFactors kan deras gamla konto automatiskt återaktiveras eller återetableras (beroende på vad du föredrar) till Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.
Vem är den här användaretableringslösningen som passar bäst för?
Denna SuccessFactors till Microsoft Entra-användaretableringslösning passar utmärkt för:
Organisationer som vill ha en fördefinierad, molnbaserad lösning för SuccessFactors-användaretablering, inklusive organisationer som fyller SuccessFactors från SAP HCM med hjälp av SAP Integration Suite
Organisationer som ska distribuera Microsoft Entra för användaretablering med SAP-käll- och målappar, med hjälp av Microsoft Entra för att konfigurera identiteter för arbetare så att de kan logga in på ett eller flera SAP-program, till exempel SAP ECC eller SAP S/4HANA, samt valfritt icke-SAP-program
Organisationer som kräver direkt användaretablering från SuccessFactors till Microsoft Entra-ID men inte kräver att dessa användare också finns i Windows Server Active Directory
Organisationer som kräver att användare etableras med hjälp av data från SuccessFactors Employee Central (EC)
Organisationer som använder Microsoft 365 för e-post
Lösningsarkitektur
I det här avsnittet beskrivs lösningsarkitekturen för slutanvändaretablering för användare som endast är molnbaserade. Det finns två relaterade flöden:
Auktoritativ HR-Dataflöde – från SuccessFactors till Microsoft Entra-ID: I det här flödet sker arbetshändelser (till exempel nyanställda, överföringar, uppsägningar) först i molnet SuccessFactors Employee Central och sedan flödar händelsedata till Microsoft Entra-ID. Beroende på händelsen kan det leda till åtgärder för att skapa/uppdatera/aktivera/inaktivera i Microsoft Entra-ID.
E-poståterskrivningsflöde – från Microsoft Entra-ID till SuccessFactors: När kontot har skapats i Microsoft Entra-ID kan värdet för e-postattributet eller UPN som genereras i Microsoft Entra-ID skrivas tillbaka till SuccessFactors.
Dataflöde från slutpunkt till slutpunkt
- HR-teamet utför arbetstransaktioner (Joiners/Movers/Leavers eller New Hires/Transfers/Terminations) i SuccessFactors Employee Central.
- Microsoft Entra-etableringstjänsten kör schemalagda synkroniseringar av identiteter från SuccessFactors EC och identifierar ändringar som måste bearbetas för synkronisering med Microsoft Entra-ID.
- Microsoft Entra-etableringstjänsten avgör ändringen och anropar åtgärden create/update/enable/disable för användaren i Microsoft Entra-ID.
- Om tillbakaskrivningsappen SuccessFactors har konfigurerats hämtas användarens e-postadress från Microsoft Entra-ID.
- Microsoft Entra-etableringstjänsten skriver tillbaka e-postattributet till SuccessFactors, baserat på det matchande attribut som används.
Planera distributionen
För att konfigurera molnbaserad HR-driven användaretablering från SuccessFactors till Microsoft Entra ID krävs omfattande planering som omfattar olika aspekter som:
- Fastställa matchande ID
- Attributmappning
- Attributtransformeringen
- Omfångsfilter
Se hr-distributionsplanen för molnet för omfattande riktlinjer kring dessa ämnen. Se integreringsreferensen för SAP SuccessFactors för att lära dig mer om de entiteter som stöds, bearbetningsinformation och hur du anpassar integreringen för olika HR-scenarier.
Konfigurera SuccessFactors för integreringen
Ett vanligt krav för alla SuccessFactors-etableringsanslutningar är att de kräver autentiseringsuppgifter för ett SuccessFactors-konto med rätt behörigheter för att anropa SuccessFactors OData-API:er. I det här avsnittet beskrivs steg för att skapa tjänstkontot i SuccessFactors och bevilja lämpliga behörigheter.
- Skapa/identifiera API-användarkonto i SuccessFactors
- Skapa en API-behörighetsroll
- Skapa en behörighetsgrupp för API-användaren
- Bevilja behörighetsrollen till behörighetsgruppen
Skapa/identifiera API-användarkonto i SuccessFactors
Arbeta med ditt SuccessFactors-administratörsteam eller implementeringspartner för att skapa eller identifiera ett användarkonto i SuccessFactors för att anropa OData-API:erna. Autentiseringsuppgifterna för användarnamn och lösenord för det här kontot krävs när du konfigurerar etableringsapparna i Microsoft Entra-ID.
Skapa en API-behörighetsroll
Logga in på SAP SuccessFactors med ett användarkonto som har åtkomst till administrationscentret.
Sök efter Hantera behörighetsroller och välj sedan Hantera behörighetsroller i sökresultaten.
I listan Över behörighetsroller klickar du på Skapa ny.
Lägg till ett rollnamn och en beskrivning för den nya behörighetsrollen. Namnet och beskrivningen bör indikera att rollen är för API-användningsbehörigheter.
Under Behörighetsinställningar klickar du på Behörighet... och bläddrar sedan nedåt i behörighetslistan och klickar på Hantera integrationsverktyg. Markera kryssrutan Tillåt administratör att komma åt OData API via grundläggande autentisering.
Rulla nedåt i samma ruta och välj Employee Central API. Lägg till behörigheter som visas nedan för att läsa med ODATA API och redigera med ODATA API. Välj redigeringsalternativet om du planerar att använda samma konto för scenariot Writeback to SuccessFactors .
I samma behörighetsruta går du till Användarbehörigheter –> Personaldata och granskar de attribut som tjänstkontot kan läsa från SuccessFactors-klientorganisationen. Om du till exempel vill hämta attributet Användarnamn från SuccessFactors kontrollerar du att behörigheten "Visa" har beviljats för det här attributet. Granska på samma sätt varje attribut för visningsbehörighet.
Kommentar
En fullständig lista över attribut som hämtats av den här etableringsappen finns i Referens för SuccessFactors-attribut
Klicka på Klar. Klicka på Spara ändringar.
Skapa en behörighetsgrupp för API-användaren
- I administrationscentret för SuccessFactors söker du efter Hantera behörighetsgrupper och väljer sedan Hantera behörighetsgrupper i sökresultaten.
- I fönstret Hantera behörighetsgrupper klickar du på Skapa ny.
- Lägg till ett gruppnamn för den nya gruppen. Gruppnamnet bör ange att gruppen är för API-användare.
- Lägg till medlemmar i gruppen. Du kan till exempel välja Användarnamn i den nedrullningsbara menyn Personpool och sedan ange användarnamnet för det API-konto som ska användas för integreringen.
- Klicka på Klar för att slutföra skapandet av behörighetsgruppen.
Bevilja behörighetsrollen till behörighetsgruppen
- I Administrationscenter för SuccessFactors söker du efter Hantera behörighetsroller och väljer sedan Hantera behörighetsroller i sökresultaten.
- I listan Över behörighetsroller väljer du den roll som du skapade för API-användningsbehörigheter.
- Under Bevilja den här rollen till... klickar du på knappen Lägg till... .
- Välj Behörighetsgrupp... i den nedrullningsbara menyn och klicka sedan på Välj... för att öppna fönstret Grupper för att söka och välja den grupp som skapades ovan.
- Granska behörighetsrollens beviljande till behörighetsgruppen.
- Klicka på Spara ändringar.
Konfigurera användaretablering från SuccessFactors till Microsoft Entra-ID
Det här avsnittet innehåller steg för etablering av användarkonton från SuccessFactors till Microsoft Entra ID.
- Lägg till anslutningsappen för etablering och konfigurera anslutningen till SuccessFactors
- Konfigurera attributmappningar
- Aktivera och starta användaretablering
Del 1: Lägg till anslutningsappen för etablering och konfigurera anslutningen till SuccessFactors
Så här konfigurerar du SuccessFactors till Microsoft Entra-etablering:
Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
Bläddra till Identity>Applications Enterprise-program>>Nytt program.
Sök efter SuccessFactors till Microsoft Entra-användaretablering och lägg till appen från galleriet.
När appen har lagts till och skärmen med appinformation visas väljer du Etablering
Ändra etableringsläget till Automatiskt
Slutför avsnittet Administratörsautentiseringsuppgifter på följande sätt:
Administratörsanvändarnamn – Ange användarnamnet för SuccessFactors API-användarkontot med företags-ID:t bifogat. Det har formatet: username@companyID
Administratörslösenord – Ange lösenordet för SuccessFactors API-användarkontot.
Klient-URL – Ange namnet på slutpunkten för SuccessFactors OData API-tjänster. Ange endast värdnamnet för servern utan http eller https. Det här värdet bör se ut så här: api-server-name.successfactors.com.
E-postavisering – Ange din e-postadress och markera kryssrutan "skicka e-post om ett fel inträffar".
Kommentar
Microsoft Entra-etableringstjänsten skickar ett e-postmeddelande om etableringsjobbet hamnar i karantäntillstånd.
Klicka på knappen Testa anslutning . Om anslutningstestet lyckas klickar du på knappen Spara längst upp. Om det misslyckas kontrollerar du att SuccessFactors-autentiseringsuppgifterna och URL:en är giltiga.
När autentiseringsuppgifterna har sparats visar avsnittet Mappningar standardmappningen Synkronisera successFactors-användare till Microsoft Entra-ID
Del 2: Konfigurera attributmappningar
I det här avsnittet konfigurerar du hur användardata flödar från SuccessFactors till Microsoft Entra-ID.
På fliken Etablering under Mappningar klickar du på Synkronisera SuccessFactors-användare till Microsoft Entra-ID.
I fältet Omfång för källobjekt kan du välja vilka uppsättningar användare i SuccessFactors som ska finnas i omfånget för etablering till Microsoft Entra-ID genom att definiera en uppsättning attributbaserade filter. Standardomfånget är "alla användare i SuccessFactors". Exempelfilter:
Exempel: Omfång för användare med personIdExternal mellan 1000000 och 2000000 (exklusive 2000000)
Attribut: personIdExternal
Operator: REGEX Match
Värde: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Exempel: Endast anställda och inte kontingentanställda
Attribut: EmployeeID
Operator: ÄR INTE NULL
Dricks
När du konfigurerar etableringsappen för första gången måste du testa och verifiera attributmappningar och -uttryck för att se till att det ger dig önskat resultat. Microsoft rekommenderar att du använder omfångsfilter under Källobjektomfång för att testa dina mappningar med några testanvändare från SuccessFactors. När du har verifierat att mappningarna fungerar kan du antingen ta bort filtret eller gradvis expandera det så att det omfattar fler användare.
Varning
Standardbeteendet för etableringsmotorn är att inaktivera/ta bort användare som inte omfattas. Detta kanske inte är önskvärt i din SuccessFactors till Microsoft Entra-integrering. Om du vill åsidosätta det här standardbeteendet läser du artikeln Hoppa över borttagning av användarkonton som inte omfattas
I fältet Målobjektåtgärder kan du globalt filtrera vilka åtgärder som utförs i Microsoft Entra-ID. Skapa och uppdatera är vanligast.
I avsnittet Attributmappningar kan du definiera hur enskilda SuccessFactors-attribut mappas till Microsoft Entra-attribut.
Kommentar
Den fullständiga listan över SuccessFactors-attribut som stöds av programmet finns i Referens för SuccessFactors-attribut
Klicka på en befintlig attributmappning för att uppdatera den eller klicka på Lägg till ny mappning längst ned på skärmen för att lägga till nya mappningar. En enskild attributmappning stöder följande egenskaper:
Mappningstyp
Direct – skriver värdet för attributet SuccessFactors till Microsoft Entra-attributet utan ändringar
Konstant – Skriva ett statiskt, konstant strängvärde till Microsoft Entra-attributet
Uttryck – Gör att du kan skriva ett anpassat värde till Microsoft Entra-attributet baserat på ett eller flera SuccessFactors-attribut. Mer information finns i den här artikeln om uttryck.
Källattribut – användarattributet från SuccessFactors
Standardvärde – Valfritt. Om källattributet har ett tomt värde skriver mappningen det här värdet i stället. Den vanligaste konfigurationen är att lämna detta tomt.
Målattribut – användarattributet i Microsoft Entra-ID.
Matcha objekt med det här attributet – om den här mappningen ska användas för att unikt identifiera användare mellan SuccessFactors och Microsoft Entra-ID. Det här värdet anges vanligtvis i fältet Arbets-ID för SuccessFactors, som vanligtvis mappas till ett av medarbetar-ID-attributen i Microsoft Entra-ID.
Matchande prioritet – Flera matchande attribut kan anges. När det finns flera utvärderas de i den ordning som definieras av det här fältet. Så snart en matchning hittas utvärderas inga ytterligare matchande attribut.
Tillämpa den här mappningen
Always – Tillämpa den här mappningen på både åtgärder för att skapa och uppdatera användare
Endast under skapandet – Använd endast den här mappningen på åtgärder för att skapa användare
Om du vill spara dina mappningar klickar du på Spara överst i avsnittet Attributmappning.
När konfigurationen av attributmappningen är klar kan du nu aktivera och starta användaretableringstjänsten.
Aktivera och starta användaretablering
När konfigurationerna för SuccessFactors-etableringsappen har slutförts kan du aktivera etableringstjänsten.
Dricks
Som standard när du aktiverar etableringstjänsten initieras etableringsåtgärder för alla användare i omfånget. Om det finns fel i dataproblemen för mappning eller SuccessFactors kan etableringsjobbet misslyckas och hamna i karantäntillståndet. För att undvika detta rekommenderar vi att du konfigurerar källobjektomfångsfiltret och testar attributmappningarna med några testanvändare innan du startar den fullständiga synkroniseringen för alla användare. När du har kontrollerat att mappningarna fungerar och ger dig önskat resultat kan du antingen ta bort filtret eller gradvis expandera det för att inkludera fler användare.
På fliken Etablering anger du Etableringsstatus till På.
Klicka på Spara.
Den här åtgärden startar den inledande synkroniseringen, vilket kan ta ett varierande antal timmar beroende på hur många användare som finns i SuccessFactors-klientorganisationen. Du kan kontrollera förloppsindikatorn för att spåra förloppet för synkroniseringscykeln.
När som helst kontrollerar du fliken Etablering i administrationscentret för Entra för att se vilka åtgärder etableringstjänsten har utfört. Etableringsloggarna visar en lista över alla enskilda synkroniseringshändelser som utförs av etableringstjänsten, till exempel vilka användare som läss ut från SuccessFactors och sedan läggs till eller uppdateras till Microsoft Entra-ID.
När den första synkroniseringen är klar skriver den en granskningssammanfattningsrapport på fliken Etablering enligt nedan.