本文的目的是展示如何将 SuccessFactors Employee Central 中的用户配置到 Active Directory(AD)和 Microsoft Entra ID,并可选择性地将电子邮件地址回写到 SuccessFactors。
注意
如果您希望从 SuccessFactors 预配的用户需要本地 AD 账户,并且选择性地需要 Microsoft Entra 账户,请使用本文。 如果 SuccessFactors 中的用户只需要Microsoft Entra 帐户(仅限云用户),请参阅有关 配置 SAP SuccessFactors 以Microsoft Entra ID 用户预配的文章。
以下视频简要概述了规划预配与 SAP SuccessFactors 的集成时所涉及的步骤。
概述
Microsoft Entra 用户预配服务与 SuccessFactors Employee Central 集成,以便管理用户的标识生命周期。
Microsoft Entra 用户预配服务支持的 SuccessFactors 用户预配工作流可将以下人力资源和标识生命周期管理方案自动化:
招聘新员工 - 在 SuccessFactors 中添加新员工后,会自动在 Active Directory、Microsoft Entra ID 中创建用户账户,还可以选择在 Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序中创建,并将电子邮件地址回写到 SuccessFactors。
员工属性和配置文件更新 - 在 SuccessFactors(例如其名称、标题或经理)中更新员工记录时,其用户帐户会在 Active Directory 中自动更新,Microsoft Entra ID,以及(可选)Microsoft 365 和其他由 Microsoft Entra ID 支持的 SaaS 应用程序。
员工离职 - 当员工在 SuccessFactors 中离职时,其用户帐户会在 Active Directory 和 Microsoft Entra ID 中自动禁用,并可选择在 Microsoft 365 和其他由 Microsoft Entra ID 支持的 SaaS 应用程序中禁用。
员工重新雇用 - 当员工在 SuccessFactors 中被重新雇用时,可以将旧帐户自动重新激活或重新预配(具体取决于您的偏好)到 Active Directory、Microsoft Entra ID,以及可选择到 Microsoft 365 和 其他由 Microsoft Entra ID 支持的 SaaS 应用程序。
此用户预配解决方案最适合哪些对象?
这种 SuccessFactors 到 Active Directory 的用户预配解决方案非常适合以下对象:
希望获得预构建的、基于云的解决方案来进行 SuccessFactors 用户预配的组织,包括利用 SAP Integration Suite 从 SAP HCM 填充 SuccessFactors 的组织
部署 Microsoft Entra 以使用 SAP 源和目标应用进行用户预配的组织,使用 Microsoft Entra 为辅助角色设置标识,以便他们可以登录到一个或多个 SAP 应用程序,例如 SAP ECC 或 SAP S/4HANA,以及(可选)非 SAP 应用程序
需要将用户从 SuccessFactors 直接预配到 Active Directory 的组织,以便用户可以访问 Windows Server Active Directory 集成的应用程序和Microsoft Entra ID 集成应用程序
需要使用从SuccessFactors Employee Central (EC)获取数据来预配用户的组织。
需要将用户的加入、移动和离开操作同步到一个或多个 Active Directory 林、域和组织单位的组织,其同步仅基于在 SuccessFactors Employee Central (EC) 中检测到的更改信息。
使用 Microsoft 365 收发电子邮件的组织
解决方案体系结构
本节介绍适用于常见混合环境的端到端用户预配解决方案体系结构。 有两个相关的流:
权威 HR 数据流 - 从 SuccessFactors 到本地 Active Directory:在此流中,工作人员事件(如新雇员、换岗、离职等)首先发生在云 SuccessFactors Employee Central 中,然后事件数据通过 Microsoft Entra ID 和预配代理流入本地 Active Directory。 根据事件的不同,可能会导致在 AD 中创建/更新/启用/禁用操作。
电子邮件写回流 – 从本地 Active Directory 到 SuccessFactors: 在 Active Directory 中完成帐户创建后,可以通过 Microsoft Entra Connect Sync 与 Microsoft Entra ID 同步,电子邮件属性可以写回到 SuccessFactors。
端到端用户数据流
- HR 团队在 SuccessFactors Employee Central 中执行工作人员事务(入职者/换岗者/离职者或新雇员/换岗/离职)。
- Microsoft Entra 预配服务运行来自 SuccessFactors EC 的标识的计划同步,并确定需要进行处理以便与本地 Active Directory 域服务同步的更改。
- Microsoft Entra 预配服务使用包含 AD 帐户创建/更新/启用/禁用操作的请求有效负载调用 Microsoft Entra Connect 预配代理。
- Microsoft Entra Connect 预配代理使用服务帐户来添加/更新 AD 帐户数据。
- Microsoft Entra Connect 同步引擎运行增量同步以获取 AD 中的更新。
- Active Directory 更新与 Microsoft Entra ID 同步。
- 如果已配置 SuccessFactors 写回应用 ,则会根据所使用的匹配属性将电子邮件属性写回到 SuccessFactors。
计划部署
若要将 Cloud HR 驱动的用户预配从 SuccessFactors 配置到 AD,需要涵盖不同方面的重要规划,例如:
- Microsoft Entra Connect 预配代理的设置
- 要部署的“SuccessFactors 到 AD 用户预配”用户的数目
- 匹配 ID、特性映射、转换和范围筛选器
有关这些主题的综合指南,请参阅 云 HR 部署计划 。 请参阅 SAP SuccessFactors 集成参考 ,了解支持的实体、处理详细信息以及如何为不同的 HR 方案自定义集成。
为集成配置 SuccessFactors
所有 SuccessFactors 预配连接器的一个常见要求是,它们需要具有适当权限的 SuccessFactors 帐户的凭据才能调用 SuccessFactors OData API。 本部分介绍了在 SuccessFactors 中创建服务帐户并授予适当权限的步骤。
在 SuccessFactors 中创建/识别 API 用户帐户
与 SuccessFactors 管理团队或实施合作伙伴进行合作,在 SuccessFactors 中创建或标识一个用户帐户以调用 OData API。 在 Microsoft Entra ID 中配置预配应用时,需要此帐户的用户名和密码凭据。
创建 API 权限角色
使用有权访问管理中心的用户帐户登录 SAP SuccessFactors。
搜索“管理权限角色”,然后从搜索结果中选择“管理权限角色”。
在“权限角色”列表中,选择“ 新建”。
为新的权限角色添加角色名称和说明 。 名称和说明应指出该角色针对的是 API 使用权限。
在“权限设置”下,选择“ 权限...”,然后向下滚动权限列表,然后选择“ 管理集成工具”。 选中“允许管理员通过基本身份验证访问 OData API”框。
还是在该框中向下滚动,然后选择“Employee Central API”。 如下所示添加权限,以使用 ODATA API 进行读取和编辑。 如果计划为“写回到 SuccessFactors”场景使用同一帐户,请选择“编辑”选项。
在相同的权限框中,转到“用户权限”->“员工数据”,并查看服务帐户可从 SuccessFactors 租户读取的属性。 例如,若要从 SuccessFactors 检索“用户名”属性,请确保针对此属性授予“查看”权限。 同样,查看每个属性的“查看”权限。
注意
有关此预配应用检索的属性的完整列表,请参阅 SuccessFactors 属性参考
选择“完成”。 选择“ 保存更改”。
为 API 用户创建权限组
- 在 SuccessFactors 管理中心,搜索“管理权限组”,然后从搜索结果中选择“管理权限组”。
- 在“管理权限组”窗口中,选择“ 新建”。
- 为新组添加一个组名。 组名应指出该组用于 API 用户。
- 向组添加成员。 例如,可以从“人员池”下拉菜单中选择 “用户名 ”,然后输入用于集成的 API 帐户的用户名。
- 选择 “完成 ”以完成创建权限组。
向权限组授予权限角色
- 在 SuccessFactors 管理中心,搜索“管理权限角色”,然后从搜索结果中选择“管理权限角色”。
- 从“权限角色列表”中,选择为 API 使用权限创建的角色。
- 在“ 授予此角色...”下,选择“ 添加...” 按钮。
- 从下拉菜单中选择 “权限组...” ,然后选择“ 选择...” 以打开“组”窗口以搜索并选择上面创建的组。
- 查看“向权限组授予权限角色”。
- 选择“ 保存更改”。
配置从 SuccessFactors 到 Active Directory 的用户预配
此部分按步骤介绍如何将用户帐户从 SuccessFactors 预配到集成范围内的每个 Active Directory 域。
第 1 部分:添加预配连接器应用并下载预配代理
将 SuccessFactors 配置为 Active Directory 预配:
以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>新应用。
搜索“SuccessFactors 到 Active Directory 的用户预配”,然后从库中添加该应用。
添加应用并显示应用详细信息屏幕后,请选择“预配”
将“预配模式”更改为“自动”
选择显示的信息横幅以下载配置代理。
第 2 部分:安装和配置本地预配代理
要预配到本地 Active Directory,必须在可通过网络访问所需 Active Directory 域的已加入域的服务器上安装预配代理。
将下载的代理安装程序传输到服务器主机,并按照 安装代理部分中列出的 步骤完成代理配置。
第 3 部分:在预配应用中,配置与 SuccessFactors 和 Active Directory 的连接
在此步骤中,我们将建立与 SuccessFactors 和 Active Directory 的连接。
以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>在第 1 部分中创建的 SuccessFactors 到 Active Directory 用户预配应用
按如下所述完成“管理员凭据”部分:
管理员用户名 – 输入 SuccessFactors API 用户帐户的用户名,并追加了公司 ID。 它采用以下格式:username@companyID
管理员密码 - 输入 SuccessFactors API 用户帐户的密码。
租户 URL - 输入 SuccessFactors OData API 服务终结点的名称。 仅输入不带 http 和 https 的服务器的主机名。 该值应如下所示:<api-server-name>.successfactors.com。
Active Directory 林 - 向代理注册时使用的 Active Directory 域的“名称”。 使用下拉列表选择用于预配的目标域。 此值通常为如下所示的字符串:contoso.com
Active Directory 容器 - 输入默认情况下代理应在其中创建用户帐户的容器 DN。 示例: OU=Users,DC=contoso,DC=com
注意
如果未在属性映射中配置 parentDistinguishedName 属性,则此设置仅适用于用户帐户创建。 此设置不用于用户搜索或更新操作。 整个域子树属于搜索操作的范围。
通知电子邮件 - 输入电子邮件地址,并选中“发生故障时发送电子邮件”复选框。
注意
如果预配作业进入 隔离 状态,Microsoft Entra 预配服务会发送电子邮件通知。
选择“ 测试连接 ”按钮。 如果连接测试成功,请选择顶部的 “保存 ”按钮。 如果测试失败,请仔细检查代理设置上配置的 SuccessFactors 凭据和 AD 凭据是否有效。
成功保存凭据后,“映射”部分显示名为“将 SuccessFactors 用户同步到本地 Active Directory”的默认映射
第 4 部分:配置属性映射
在本部分中,将配置用户数据如何从 SuccessFactors 流向 Active Directory。
在“ 映射”下的“预配”选项卡上,选择“ 将 SuccessFactors 用户同步到本地 Active Directory”。
在“源对象范围”字段中,可通过定义一组基于特性的筛选器,选择 SuccessFactors 中要预配到 AD 的用户集范围。 默认范围是“SuccessFactors 中的所有用户”。 示例筛选器:
示例:将范围限定为 personIdExternal 为 1000000 到 2000000 的用户(不包括 2000000)
特性:personIdExternal
运算符:REGEX Match
值:(1[0-9][0-9][0-9][0-9][0-9][0-9])
示例:仅限员工和非临时工
属性:EmployeeID
运算符:IS NOT NULL
提示
首次配置预配应用时,需要测试和验证属性映射和表达式,以确保它提供所需的结果。 Microsoft 建议使用“源对象范围”下的范围筛选器来测试 SuccessFactors 中少量测试用户的映射。 验证确保映射正常工作后,可删除筛选器,也可逐渐扩大范围以包含更多用户。
注意
预配引擎的默认行为是禁用/删除超出范围的用户。 这可能不适合于 SuccessFactors 到 AD 集成。 若要替代此默认行为,请参阅“跳过删除超出范围的用户帐户”一文
在“目标对象操作”字段中,可全局筛选要对 Active Directory 执行的操作。 “创建”和“更新”是最常见的操作。
在“属性映射”部分中,可以定义将单个 SuccessFactors 属性映射到 Active Directory 属性的方式。
注意
有关应用程序支持的 SuccessFactors 属性的完整列表,请参阅 SuccessFactors 属性参考
选择要更新的现有属性映射,或选择屏幕底部的 “添加新映射 ”以添加新映射。 单个属性映射支持以下属性:
映射类型
直接 – 将 SuccessFactors 属性的值写入 AD 属性,无需更改
常量 - 将静态常量字符串值写入 AD 属性
表达式 – 允许基于一个或多个 SuccessFactors 属性将自定义值写入 AD 属性。 有关详细信息,请参阅本文中的表达式。
源属性 - SuccessFactors 中的用户属性
默认值 – 可选。 如果源属性的值为空,映射将改为写入此值。 最常见的配置是将此项留空。
目标属性 - Active Directory 中的用户属性。
使用此属性匹配对象 - 是否应使用此映射来唯一标识 SuccessFactors 和 Active Directory 之间的用户。 该值通常是在 SuccessFactors 的“工作人员 ID”字段中设置的,它通常映射到 Active Directory 中的某个“员工 ID”属性。
匹配优先级 – 可设置多个匹配属性。 当存在匹配时,会按照此字段定义的顺序进行评估。 一旦找到匹配,就不会进一步评估其他匹配属性。
应用此映射
始终 – 对用户创建和更新操作均应用此映射
仅创建期间 - 仅对用户创建操作应用此映射
若要保存映射,请选择“Attribute-Mapping”部分顶部的“ 保存 ”。
属性映射配置完成后,可以使用 按需预配 测试单个用户的预配,然后 启用和启动用户预配服务。
启用并启动用户预配
SuccessFactors 预配应用配置完成后,你已验证了针对具有 按需预配的单个用户的预配,可以打开预配服务。
提示
默认情况下,启用预配服务时,它会为范围中的所有用户启动预配操作。 如果映射出错或存在 SuccessFactors 数据问题,则预配作业可能会失败并转入隔离状态。 为避免这种情况,最佳做法是,建议使用一些测试用户使用按需预配配置源对象范围筛选器和测试属性映射,然后再为所有用户启动完全同步。 验证确保映射正常工作且获得所需结果后,可删除筛选器或逐渐扩大范围以包含更多用户。
转到“ 预配 ”边栏选项卡,然后选择“ 开始预配”。
此操作会启动初始同步;该过程会耗时数小时,具体时间取决于 SuccessFactors 租户中的用户数。 可检查进度条来跟踪同步周期的进度。
无论何时,检查 Entra 管理中心中的“预配”选项卡都可以查看预配服务执行的操作。 预配日志列出预配服务执行的所有同步事件(例如正在从 SuccessFactors 中读出哪些用户),随后将其添加或更新到 Active Directory。
完成初始同步后,系统会在“预配”选项卡中写入一份审核摘要报告,如下所示。
