Настройка SAP SuccessFactors для подготовки пользователей Active Directory

Цель этой статьи — показать шаги, которые необходимо выполнить для предоставления пользователей из SuccessFactors Employee Central в Active Directory (AD) и Microsoft Entra ID, с возможностью обратной записи адреса электронной почты в SuccessFactors.

В следующем видео дается краткий обзор этапов, планируемых при интеграции предоставления с SAP SuccessFactors.

Обзор

Служба предоставления пользователей Microsoft Entra интегрируется с SuccessFactors Employee Central для управления жизненным циклом пользователей.

Рабочие процессы подготовки пользователей SuccessFactors, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Нанимать новых сотрудников . При добавлении нового сотрудника в SuccessFactors учетная запись пользователя автоматически создается в Active Directory, идентификаторе Microsoft Entra и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra, с обратной записью адреса электронной почты в SuccessFactors.

• Обновления атрибутов и профилей сотрудников. При обновлении записи сотрудника в SuccessFactors (например, имя, название или менеджер) их учетная запись пользователя автоматически обновляется в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• Завершение работы сотрудников. При завершении работы сотрудника в SuccessFactors их учетная запись пользователя автоматически отключается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• Повторное принятие на работу сотрудников - Когда сотрудник повторно принимается на работу в SuccessFactors, его старая учетная запись может быть автоматически активирована или повторно настроена (в зависимости от ваших предпочтений) в Active Directory, Microsoft Entra ID, и по вашему выбору Microsoft 365 и других приложениях SaaS, поддерживаемых Microsoft Entra ID.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение по управлению пользователями при их переходе из SuccessFactors в Active Directory идеально подходит для:

• Организации, которые хотят предварительно созданного облачного решения для подготовки пользователей SuccessFactors, включая организации, заполняющие SuccessFactors из SAP HCM с помощью SAP Integration Suite

• Организации, которые развертывать Microsoft Entra для подготовки пользователей с помощью исходных приложений SAP и целевых приложений, с помощью Microsoft Entra для настройки удостоверений для работников, чтобы они могли войти в одно или несколько приложений SAP, таких как SAP ECC или SAP S/4HANA, а также приложения, отличные от SAP.

• Организации, которым требуется непосредственное предоставление пользователей из SuccessFactors в Active Directory, чтобы пользователи могли получать доступ к приложениям, интегрированным с Windows Server Active Directory, и приложениям, интегрированным с Microsoft Entra ID.

• организаций, которые выполняют подготовку пользователей на основе данных, полученных из SuccessFactors Employee Central (EC);

• Организации, которым необходимо синхронизировать процессы присоединения, перемещения и увольнения пользователей с одним или несколькими лесами Active Directory, доменами и подразделениями, используя только данные об изменениях, обнаруженных в SuccessFactors Employee Central (EC).

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:

• Достоверные потоки данных кадров — от SuccessFactors до локальной службы Active Directory: в этом потоке рабочие события (такие как новые сотрудники, переводы, увольнения) сначала происходят в облаке SuccessFactors Employee Central, а затем данные событий передаются в локальную службу Active Directory посредством Microsoft Entra ID и агента подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.

• Поток обратной записи электронной почты — от локального Active Directory до SuccessFactors: После завершения создания учетной записи в Active Directory учетная запись синхронизируется с идентификатором Microsoft Entra ID с помощью Microsoft Entra Connect Sync, и атрибут электронной почты может быть записан обратно в SuccessFactors.

  

Сквозной поток данных пользователей

1. Команда отдела кадров выполняет кадровые операции (Принятие на работу/Изменение должности/Увольнение) в SuccessFactors Employee Central.
2. Служба автоподготовки Microsoft Entra выполняет запланированные синхронизации идентификационных данных из SuccessFactors EC и определяет изменения, которые необходимо обрабатывать для синхронизации с локальной службой Active Directory.
3. Служба подготовки Microsoft Entra вызывает локальный агент Microsoft Entra Connect с запросом, содержащим операции создания, обновления, включения и отключения учетных записей AD.
4. Агент подготовки Microsoft Entra Connect использует служебную учетную запись для добавления и обновления данных учетной записи AD.
5. Движок синхронизации Microsoft Entra Connect выполняет разностную синхронизацию для извлечения обновлений в Active Directory.
6. Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
7. Если настроено приложение обратной записи в SuccessFactors, оно выполняет обратную запись атрибута электронной почты в SuccessFactors в соответствии с используемым атрибутом.

Планирование развертывания

Для настройки подготовки пользователей с помощью системы управления персоналом в облаке из SuccessFactors в AD требуется основательное планирование, охватывающее следующие аспекты:

• Настройка агента подготовки Microsoft Entra Connect
• количество развертываемых приложений подготовки пользователей из SuccessFactors в AD;
• Идентификация соответствий, сопоставление атрибутов, преобразование и фильтры области видимости.

Подробные рекомендации по этим темам см. в плане развертывания облачных служб управления персоналом. Сведения о поддерживаемых сущностях, обработке и настройке интеграции для различных сценариев управления персоналом см. в Справочнике по интеграции SAP SuccessFactors.

Настройка SuccessFactors для интеграции

Общим требованием для всех коннекторов провиженинга SuccessFactors является наличие учетных данных аккаунта SuccessFactors с соответствующими разрешениями для вызова API SuccessFactors OData. В этом разделе описана процедура создания учетной записи службы в SuccessFactors и предоставления соответствующих разрешений.

• Создание или определение учетной записи пользователя API в SuccessFactors
• Создание роли разрешений для API
• Создание группы разрешений для пользователя API
• Предоставление роли доступа группе доступа

Создание или определение учетной записи пользователя API в SuccessFactors

Обратитесь к команде администратора SuccessFactors или партнеру по реализации, чтобы создать или определить учетную запись пользователя в SuccessFactors, чтобы вызвать API OData. Имя пользователя и пароль этой учетной записи необходимы при настройке приложений развертывания в Microsoft Entra ID.

Создание роли разрешений для API

1. Войдите в SAP SuccessFactors с учетной записью пользователя, имеющего доступ к центру администрирования.

2. Введите в строке поиска Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).

3. В списке ролей разрешений выберите Создать новую.

   

4. Заполните поля Role Name (Имя роли) и Description (Описание) для новой роли разрешений. Имя и описание должны указывать на то, что роль предназначена для разрешений на использование API.

5. В разделе "Настройки разрешений" выберите разрешения..., а затем прокрутите вниз список разрешений и выберите Управление средствами интеграции. Установите флажок Allow Admin to Access to OData API through Basic Authentication (Разрешить администратору доступ к API-интерфейсу OData с использованием обычной проверки подлинности).

   

6. Прокрутите вниз в том же поле и выберите Employee Central API (API-интерфейс Employee Central). Добавьте разрешения на чтение и изменение с помощью API-интерфейса OData, как показано ниже. Выберите параметр изменения, если вы планируете использовать ту же учетную запись для сценария обратной записи в SuccessFactors.

   

7. В том же окне разрешений перейдите к пункту User Permissions -> Employee Data (Разрешения пользователей -> Данные о сотрудниках) и проверьте атрибуты, которые учетная запись службы может считывать из арендатора SuccessFactors. Например, чтобы получить из SuccessFactors атрибут Username (Имя пользователя), убедитесь, что для этого атрибута предоставлено разрешение View (Просмотр). Аналогичным образом проверьте каждый атрибут для разрешения на просмотр.

   

   Примечание.

   Полный список атрибутов, полученных этим приложением подготовки, см. в справочнике по атрибутам SuccessFactors.

8. Нажмите кнопку Готово. Выберите Сохранить изменения.

Создание группы разрешений для пользователя API

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Groups (Управление группами разрешений), а затем среди результатов поиска выберите Manage Permission Groups (Управление группами разрешений).

   

2. В окне "Управление группами разрешений" выберите Создать Новый.

   

3. Добавьте имя новой группы в поле Group Name (Имя группы). Это имя должно указывать на то, что группа предназначена для пользователей API.

   

4. Добавьте членов в группу. Например, можно выбрать пользователя Username из списка пользователей, а затем ввести имя пользователя учетной записи API, которая используется для интеграции.

   

5. Выберите Готово, чтобы завершить создание группы прав доступа.

Предоставление роли разрешений группе разрешений

1. В центре администрирования SuccessFactors в строке поиска введите Manage Permission Roles (Управление ролями разрешений), а затем среди результатов поиска выберите Manage Permission Roles (Управление ролями разрешений).
2. В разделе Permission Role List (Список ролей разрешений) выберите роль, созданную для разрешений на использование API.
3. В Предоставьте эту роль..., выберите кнопку Добавить....
4. Выберите группу разрешений... в раскрывающемся меню, а затем выберите Выбрать..., чтобы открыть окно "Группы" для поиска и выбора группы, созданной выше.
5. Проверьте роль прав доступа, предоставленную группе прав доступа.
6. Выберите Сохранить изменения.

Настройка предоставления пользователей из SuccessFactors в Active Directory

В этом разделе описаны шаги для предоставления учетных записей пользователей из SuccessFactors для каждого домена Active Directory в области интеграции.

• Добавьте приложение соединителя поставки и скачайте агента управления
• Установите и настройте локальные агенты диспетчеризации
• Настройка подключений к SuccessFactors и Active Directory
• Настройка сопоставлений атрибутов
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения коннектора и скачивание агента предварительной настройки

Чтобы настроить SuccessFactors для подготовки пользователей Active Directory, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора облачных приложений.

2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.

3. Найдите SuccessFactors для подготовки пользователей в Active Directory и добавьте это приложение из галереи.

4. После добавления приложения и отображения экрана сведений о приложении выберите Провижининг.

5. Измените Режим проведения на Автоматический.

6. Выберите информационный баннер, отображаемый для загрузки агента конфигурации.

   

Часть 2. Установка и настройка агентов развертывания на месте

Чтобы подготовить службу Active Directory на местных серверах, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к требуемым доменам Active Directory.

Перенесите скачанный установщик агента на узел сервера и следуйте инструкциям из раздела об установке агента, чтобы завершить настройку агента.

Часть 3. В приложении подготовки настройте подключение к SuccessFactors и Active Directory

На этом шаге мы устанавливаем подключение к SuccessFactors и Active Directory.

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора облачных приложений.

2. Перейдите в Entra ID>Enterprise apps> SuccessFactors в приложение подготовки пользователей Active Directory, созданное в части 1

3. В разделе Учетные данные администратора заполните поля следующим образом.

   • Имя пользователя администратора. Введите имя пользователя учетной записи API SuccessFactors, добавив к нему идентификатор компании. Формат: имя_пользователя@идентификатор_компании.

   • Пароль администратора. Введите пароль учетной записи пользователя API SuccessFactors.

   • URL-адрес клиента. Введите имя конечной точки служб API-интерфейса OData для SuccessFactors. Вводить следует только имя узла сервера без http или https. Это значение должно выглядеть так: <api-server-name>.successfactors.com.

   • Active Directory лес — "Имя" вашего домена Active Directory, зарегистрированное в агенте. В раскрывающемся списке выберите целевой домен для развертывания. Как правило, это строка вида: contoso.com.

   • Контейнер Active Directory — введите DN контейнера, в котором агент должен по умолчанию создавать учетные записи пользователей. Пример: OU=Users,DC=contoso,DC=com

     Примечание.

     Этот параметр применяется только для создания учетных записей пользователей, если атрибут parentDistinguishedName не настроен в сопоставлениях атрибутов. Этот параметр не используется для операций поиска пользователей или обновления. Областью действия операции поиска является все дочернее дерево домена.

   • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

     Примечание.

     Служба подготовки Microsoft Entra отправляет по электронной почте уведомление, если задание подготовки переходит в состояние карантина.

   • Нажмите кнопку Проверить подключение. Если тест подключения выполнен успешно, нажмите кнопку Сохранить вверху. В случае неудачи убедитесь, что учетные данные SuccessFactors и AD, заданные в настройках агента, действительны.

   • После того как учетные данные успешно сохранены, в разделе "Сопоставления" отображается сопоставление по умолчанию "Синхронизация пользователей SuccessFactors с локальным Active Directory".

Часть 4. Настройка сопоставлений атрибутов

В этом разделе описана настройка потоков данных пользователей из SuccessFactors в Active Directory.

1. На вкладке "Подготовка" в разделе сопоставлениявыберите Синхронизировать пользователей из SuccessFactors в локальную Active Directory.

2. В поле Область исходного объекта можно выбрать, какие наборы пользователей в SuccessFactors должны учитываться при подготовке в AD, определив набор фильтров на основе атрибутов. Область по умолчанию — это все пользователи в SuccessFactors. Примеры фильтров

   • Пример Охват пользователей с personIdExternal в диапазоне от 1000000 до 2000000 (не включая 2000000)

     • Атрибут: personIdExternal

     • Оператор: REGEX Match

     • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])

   • Пример: только сотрудники, а не временные работники

     • Атрибут: EmployeeID

     • Оператор: IS NOT NULL

   Совет

   При первоначальной настройке приложения для подготовки необходимо проверить и подтвердить сопоставления атрибутов и выражения, чтобы убедиться, что они дают нужный результат. Корпорация Майкрософт рекомендует использовать фильтры области в разделе Область исходного объекта для проверки сопоставлений с несколькими тестовыми пользователями из SuccessFactors. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

   Внимание

   Поведение по умолчанию механизма предоставления заключается в том, чтобы отключать или удалять пользователей, которые выходят за пределы охвата. Это может быть нежелательно в случае интеграции SuccessFactors с AD. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

3. В поле Действия с целевыми объектами можно в глобальном масштабе отфильтровать, какие действия доступны для выполнения в Active Directory. Самыми распространенными являются создание и обновление.

4. В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты SuccessFactors сопоставляются с атрибутами Active Directory.

   Примечание.

   Полный список атрибутов SuccessFactors, поддерживаемых приложением, см. в справочнике по атрибутам SuccessFactors.

5. Выберите существующее сопоставление атрибутов, чтобы обновить его, или выберите Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Прямое — записывает значение атрибута SuccessFactors в атрибут AD без изменений.

     • Константа — записывает статическое постоянное строковое значение в атрибут AD.

     • Выражение — даёт возможность записать пользовательское значение в атрибут AD, основанное на одном или нескольких атрибутах SuccessFactors. Дополнительные сведения см. в статье о выражениях.

   • Исходный атрибут — атрибут пользователя из SuccessFactors.

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление запишет это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в Active Directory.

   • Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между SuccessFactors и Active Directory. Как правило, значение задается в поле идентификатора работника для SuccessFactors, который обычно сопоставляется с одним из атрибутов идентификатора сотрудника в Active Directory.

   • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При наличии нескольких, они оцениваются в порядке, заданном этим полем. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применить это сопоставление

     • Всегда — применяйте это сопоставление как при создании, так и при обновлении учетных записей пользователей.

     • Только при создании — применить это сопоставление только для действий по созданию пользователей

6. Чтобы сохранить ваши сопоставления, выберите Сохранить в верхней части раздела Attribute-Mapping.

Завершив настройку сопоставления атрибутов, можно протестировать подготовку по требованию для одного пользователя, а затем включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений подготовки SuccessFactors и проверки подготовки для одного пользователя с подготовкой по запросу можно включить службу подготовки.

1. Перейдите в раздел подготовки и выберите Начать подготовку.

2. Эта операция запускает начальную синхронизацию, которая может занять переменное количество часов в зависимости от количества пользователей в клиенте SuccessFactors. Вы можете проверить ход выполнения цикла синхронизации с помощью индикатора прогресса.

3. В любое время проверьте вкладку "Подготовка" в Центре администрирования Entra, чтобы узнать, какие действия выполнила служба подготовки. Журналы подготовки регистрируют все отдельные события синхронизации, выполненные службой подготовки, например, какие пользователи извлекаются из SuccessFactors и затем добавлены или обновлены в Active Directory.

4. После завершения начальной синхронизации он записывает сводный отчет аудита на вкладке подготовки , как показано ниже.

   

Связанное содержимое

• Узнайте больше о поддерживаемых атрибутах SuccessFactors для входящего обеспечения
• Узнайте, как настроить возвратную запись электронной почты в SuccessFactors
• Узнайте, как просматривать журналы и получать отчеты о процессе обеспечения
• Узнайте, как настроить единый вход между SuccessFactors и идентификатором Microsoft Entra
• Узнайте, как интегрировать другие приложения SaaS с идентификатором Microsoft Entra
• Узнайте, как экспортировать и импортировать конфигурации настройки.