教學課程:將 SAP SuccessFactors 設定為 Microsoft Entra 使用者佈建
本教學課程的目標是要說明將員工資料從 SuccessFactors 員工中心佈建到 Microsoft Entra ID 所需的步驟,以及將電子郵件地址回寫至 SuccessFactors 的選用功能。
注意
如果您想要從 SuccessFactors 佈建的使用者是不需要內部部署 AD 帳戶的雲端限定使用者,請使用本教學課程。 如果使用者只需要內部部署 AD 帳戶或 AD 和 Microsoft Entra 帳戶,請參閱 設定 SAP SuccessFactors 至 Active Directory 使用者佈建 的教學課程。
下列影片提供規劃與 SAP SuccessFactors 佈建整合時相關步驟的快速概觀。
概觀
整合 Microsoft Entra 使用者佈建服務 與 SuccessFactors 員工中心,以管理使用者的身分識別生命週期。
Microsoft Entra 使用者佈建服務支援的 SuccessFactors 使用者佈建工作流程,可讓下列人力資源和身分識別生命週期管理案例的自動化:
雇用新員工 - 當新員工新增至 SuccessFactors 時,會在 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動建立使用者帳戶,並將電子郵件地址回寫至 SuccessFactors。
員工屬性和設定檔更新 - 在 SuccessFactors 中更新員工記錄時(例如姓名、職稱或經理),會在 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動更新員工的使用者帳戶。
員工離職 - 在 SuccessFactors 中將員工設定為離職時,會在 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 自動停用員工的使用者帳戶。
重新雇用員工 - 在 SuccessFactors 中重新雇用員工時,系統會自動重新啟用其舊帳戶或將其重新佈建(取決於您的喜好設定)至 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式。
誰最適合使用此使用者佈建解決方案?
此 SuccessFactors 至 Microsoft Entra 使用者佈建解決方案最適合下列對象:
想要針對 SuccessFactors 使用者佈建預先建置的雲端解決方案的組織,包括使用 SAP Integration Suite 從 SAP HCM 填入 SuccessFactors 的組織
將 部署 Microsoft Entra 以使用 SAP 來源和目標應用程式使用者佈建的組織,使用 Microsoft Entra 來設定人員的身分識別,讓他們能夠登入一或多個 SAP 應用程式,例如 SAP ECC 或 SAP S/4HANA,以及非 SAP 應用程式 (選擇性)
需要將使用者從 SuccessFactors 直接佈建至 Microsoft Entra ID,但不需要那些使用者也位於 Windows Server Active Directory 中的組織
需要使用從 SuccessFactors 員工中心 (EC) 取得的資料來佈建使用者的組織
使用 Microsoft 365 來收發電子郵件的組織
解決方案架構
本節將針對雲端限定的使用者,說明端對端使用者佈建方案架構。 有兩個相關的流程:
授權 HR 資料流 – 從 SuccessFactors 到 Microsoft Entra ID: 在此流程中,人員事件會先發生在雲端 SuccessFactors 員工中心,然後事件資料會流入 Microsoft Entra ID。 視事件而定,其可能會在 Microsoft Entra ID 中產生建立/更新/啟用/停用作業。
電子郵件回寫流程 – 從 Microsoft Entra ID 到 SuccessFactors: 一旦在 Microsoft Entra ID 建立好帳戶,就可以將 Microsoft Entra ID 中產生的電子郵件屬性值或 UPN 寫回至 SuccessFactors。
端對端使用者資料流程
- HR 小組在 SuccessFactors 員工中心內執行人員異動 (新進人員/異動人員/離職人員或新雇用/異動/解雇)。
- Microsoft Entra 佈建服務會執行排程好的 SuccessFactors EC 身分識別同步處理作業,並找出需要處理以便與 Microsoft Entra 同步的變更。
- Microsoft Entra 佈建服務會判斷變更,並在 Microsoft Entra ID 中叫用使用者的建立/更新/啟用/停用作業。
- 如果已設定 SuccessFactors Writeback 應用程式,則會從 Microsoft Entra ID 擷取使用者的電子郵件地址。
- Microsoft Entra 佈建服務會根據所使用的比對屬性,將電子郵件屬性寫回 SuccessFactors。
規劃您的部署
設定從 SuccessFactors 到 Microsoft Entra ID 且由雲端 HR 驅動的使用者佈建,需要許多涵蓋不同層面的規劃,例如:
- 判斷比對識別碼
- 屬性對應
- 屬性轉換
- 範圍篩選
如需有關這些主題的完整指導方針,請參閱雲端 HR 部署計劃。 請參閱 SAP SuccessFactors 整合參考以了解支援的實體、處理詳細資料,以及如何自訂不同 HR 案例的整合。
設定用於整合的 SuccessFactors
所有 SuccessFactors 佈建連接器大多需要具有適當權限的 SuccessFactors 帳戶認證,才能叫用 SuccessFactors OData API。 本節說明在 SuccessFactors 中建立服務帳戶,並授與適當權限的步驟。
在 SuccessFactors 中建立/識別 API 使用者帳戶
請與您的 SuccessFactors 系統管理員小組或實作夥伴合作,在 SuccessFactors 中建立或識別使用者帳戶,以叫用 OData API。 在 Microsoft Entra ID 中設定佈建應用程式時,需要用到此帳戶的使用者名稱和密碼認證。
建立 API 權限角色
使用可存取系統管理中心的使用者帳戶登入 SAP SuccessFactors。
搜尋 [管理權限角色],然後從搜尋結果中選取 [管理權限角色]。
從 [權限角色] 清單中,按一下 [新建]。
為新的權限角色新增角色名稱和描述。 名稱和描述應該指出這是針對 API 使用權限設定的角色。
在 [權限設定] 底下,按一下 [權限...],然後向下捲動權限清單,再按一下 [管理整合工具]。 核取 [允許系統管理員透過基本驗證存取 OData API] 方塊。
在相同的方塊中向下捲動,然後選取 [員工中心 API]。 如下所示,新增使用 ODATA API 讀取和使用 ODATA API 編輯的權限。 如果您打算在回寫到 SuccessFactors 的案例中使用相同帳戶,請選取編輯選項。
在相同的權限方塊中,前往 [使用者權限] -> [員工資料],然後檢閱服務帳戶可從 SuccessFactors 租用戶讀取的屬性。 例如,若要從 SuccessFactors 擷取 [使用者名稱] 屬性,請確保已針對此屬性授與 [檢視] 權限。 同樣地,請檢閱檢視權限的每個屬性。
注意
如需此佈建應用程式所擷取的屬性完整清單,請參閱 SuccessFactors 屬性參考
按一下 [完成]。 按一下 [儲存變更] 。
為 API 使用者建立權限群組
- 在 SuccessFactors 系統管理中心內,搜尋 [管理權限群組],然後從搜尋結果中選取 [管理權限群組]。
- 從 [管理權限群組] 視窗中,按一下 [新建]。
- 為新群組新增群組名稱。 群組名稱應指出這是 API 使用者的群組。
- 將成員新增至群組。 例如,您可以從 [人員集區] 下拉式功能表中選取 [使用者名稱],然後輸入將用於整合的 API 帳戶使用者名稱。
- 按一下 [完成] 即可完成建立權限群組。
將權限角色授與權限群組
- 在 SuccessFactors 系統管理中心內,搜尋 [管理權限角色],然後從搜尋結果中選取 [管理權限角色]。
- 從權限角色清單中,選取您為 API 使用權限建立的角色。
- 在 [將此角色授與...] 底下,按一下 [新增...] 按鈕。
- 從下拉式功能表中選取 [權限群組...],然後按一下 [選取...] 來開啟 [群組] 視窗,搜尋並選取上方建立的群組。
- 檢閱授與權限群組的權限角色。
- 按一下 [儲存變更] 。
設定從 SuccessFactors 到 Microsoft Entra ID 的使用者佈建
本節提供從 SuccessFactors 到 Microsoft Entra ID 的使用者帳戶佈建步驟。
第 1 部分:新增佈建連接器應用程式並設定 SuccessFactors 的連線
設定 SAP SuccessFactors 至 Microsoft Entra 佈建:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。
搜尋 SuccessFactors 至 Microsoft Entra 使用者佈建,並從資源庫新增該應用程式。
新增應用程式並顯示應用程式詳細資料畫面之後,請選取 [佈建]
將布建模式變更為自動
完成 [系統管理員認證] 區段,如下所示:
系統管理員使用者名稱 – 輸入 SuccessFactors API 使用者帳戶的使用者名稱,並附上公司識別碼。 其格式為:username@companyID
系統管理員密碼 – 輸入 SuccessFactors API 使用者帳戶的密碼。
租用戶 URL – 輸入 SuccessFactors OData API 服務端點的名稱。 僅輸入不含 http 或 https 的伺服器主機名稱。 此值應如下所示:api-server-name.successfactors.com。
通知電子郵件 – 輸入您的電子郵件地址,然後勾選 [發生失敗時傳送電子郵件] 核取方塊。
注意
如果佈建作業進入 隔離 狀態,Microsoft Entra 佈建服務會傳送電子郵件通知。
按一下 [測試連線] 按鈕。 如果連線測試成功,請按一下頂端的 [儲存] 按鈕。 如果失敗,請再次檢查 SuccessFactors 認證和 URL 是否有效。
順利儲存認證之後,[對應] 區段會顯示 [將 SuccessFactors 使用者同步至 Microsoft Entra ID] 預設對應
第 2 部分:設定屬性對應
在本節中,您會設定使用者資料從 SuccessFactors 流向 Microsoft Entra ID 的方式。
在 [對應] 底下的[佈建] 索引標籤,按一下 [將 SuccessFactors 使用者同步至 Microsoft Entra ID]。
在 [來源物件範圍] 欄位中,可以透過定義一組篩選屬性,選取 SuccessFactors 中的哪一組使用者,位於佈建至 Microsoft Entra ID 的範圍內。 預設範圍是「SuccessFactors 中的所有使用者」。 範例篩選:
範例:將範圍限定為 personIdExternal 介於 1000000 到 2000000 (不含 2000000) 之間的使用者
屬性:personIdExternal
運算子:REGEX Match
值:(1[0-9][0-9][0-9][0-9][0-9][0-9])
範例:僅員工和非約聘人員
屬性:EmployeeID
運算子:IS NOT NULL
提示
第一次設定佈建應用程式時,您將需要測試及確認屬性對應和運算式,以確保它提供您所需的結果。 Microsoft 建議您使用 [來源物件範圍] 底下的範圍篩選,利用幾個來自 SuccessFactors 的測試使用者來測試您的對應。 確認對應能夠運作之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。
警告
佈建引擎的預設行為是停用/刪除超出範圍的使用者。 這可能不適合您的 SuccessFactors 至 Microsoft Entra 整合。 若要覆寫此預設行為,請參閱略過刪除超出範圍的使用者帳戶一文
在 [目標物件動作] 欄位中,您可以全域篩選在 Microsoft Entra ID 上執行的動作。 最常見的動作是 [建立] 和 [更新]。
在 [屬性對應] 區段中,您可以定義個別 SuccessFactors 屬性如何對應至 Microsoft Entra 屬性。
注意
如需應用程式所支援的 SuccessFactors 屬性完整清單,請參閱 SuccessFactors 屬性參考
按一下現有的屬性對應以進行更新,或按一下畫面底端的 [新增新對應] 以新增新對應。 個別屬性對應支援下列屬性:
對應類型
直接 – 將 SuccessFactors 屬性的值原封不動地寫入至 Microsoft Entra 屬性
常數 – 將靜態的常數字串值寫入至 Microsoft Entra 屬性
運算式 – 可讓您根據一或多個 SuccessFactors 屬性,將自訂值寫入 Microsoft Entra 屬性。 如需詳細資訊,請參閱這篇有關運算式的文章。
來源屬性 - 來自 SuccessFactors 的使用者屬性
預設值 – 選用。 如果來源屬性具有空值,則對應會改為寫入此值。 最常見的設定是將其保留空白。
目標屬性 - Microsoft Entra ID 中的使用者屬性。
使用此屬性比對物件 – 是否應該將此對應用於唯一識別 SuccessFactors 與 Microsoft Entra ID 之間的使用者。 此值通常設定於 SuccessFactors 的 [工作人員識別碼] 欄位上,通常對應到 Microsoft Entra ID 的其中一個員工識別碼屬性。
比對優先順序 – 您可以設定多個比對屬性。 具有多個屬性時,系統會以此欄位定義的順序進行評估。 只要找到相符項目,便不會評估進一步比對屬性。
套用此對應
一律 – 將此對應套用於使用者建立和更新動作
僅限建立期間 - 僅將此對應套用於使用者建立動作
若要儲存您的對應,請按一下 [屬性對應] 區段頂端的 [儲存]。
完成屬性對應設定之後,您現在便可以啟用及啟動使用者佈建服務。
啟用及啟動使用者佈建
在 SuccessFactors 佈建應用程式設定完成之後,您可以開啟佈建服務。
提示
根據預設,當您開啟佈建服務時,它會為範圍中的所有使用者起始佈建作業。 如果有對應錯誤或 SuccessFactors 資料問題,則佈建作業可能失敗並進入隔離狀態。 為了避免這種情況,建議您最好先設定 [來源物件範圍] 篩選,並使用幾個測試使用者來測試屬性對應,然後再為所有使用者啟動完整的同步處理。 確認對應能夠運作且提供您所需的結果之後,您便可以移除篩選,或逐漸擴大篩選來包含更多使用者。
在 [佈建] 索引標籤中,將 [佈建狀態] 設定為 [開啟]。
按一下 [檔案] 。
此作業會啟動初始同步,所需花費的時數會視 SuccessFactors 租用戶中的使用者人數而定。 您可以檢查進度列來追蹤同步週期的進度。
您可隨時檢查 Entra 系統管理中心中的 [佈建] 索引標籤,查看佈建服務執行了哪些動作。 佈建記錄會列出佈建服務執行的所有個別同步處理事件,例如從 SuccessFactors 外部讀取了哪些使用者,接著又新增到或更新到 Microsoft Entra ID 中。
在初始同步完成之後,它會在 [佈建] 索引標籤中寫入稽核摘要報告,如下所示。