Tutorial: SAP SuccessFactors zur Microsoft Entra-Benutzerbereitstellung

In diesem Tutorial werden die Schritte vorgestellt, die Sie zum Bereitstellen von Mitarbeiterdaten aus SuccessFactors Employee Central in Microsoft Entra ID ausführen müssen, wobei einige E-Mail-Adressen optional in SuccessFactors zurückgeschrieben werden.

Hinweis

Verwenden Sie dieses Tutorial, wenn die Benutzer, die Sie aus SuccessFactors bereitstellen möchten, ausschließlich Cloudbenutzer sind und kein lokales Active Directory-Konto benötigen. Wenn die Benutzer nur ein lokales AD-Konto oder ein AD- und ein Microsoft Entra-Konto benötigen, lesen Sie das Tutorial zum Konfigurieren der Benutzerbereitstellung aus SAP SuccessFactors in Active Directory.

Das folgende Video bietet einen kurzen Überblick über die Schritte, die bei der Planung der Bereitstellungsintegration mit SAP SuccessFactors erforderlich sind.

Überblick

Der Microsoft Entra-Benutzerbereitstellungsdienst ist mit SuccessFactors Employee Central integriert, um den Identitätslebenszyklus von Benutzern zu verwalten.

Die vom Microsoft Entra-Benutzerbereitstellungsdienst unterstützten SuccessFactors-Workflows zur Benutzerbereitstellung ermöglichen die Automatisierung der folgenden Szenarien für das Personalwesen und Identity Lifecycle Management:

  • Einstellung neuer Mitarbeitender: Wenn SuccessFactors neue Mitarbeitende hinzugefügt werden, wird in Microsoft Entra ID und optional in Microsoft 365 sowie in anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch ein Benutzerkonto erstellt, und die E-Mail-Adresse wird in SuccessFactors zurückgeschrieben.

  • Aktualisierung von Mitarbeiterattributen und -profilen: Wenn in SuccessFactors ein Mitarbeiterdatensatz aktualisiert wird (z. B. Name, Titel oder Vorgesetzte*r), wird das entsprechende Benutzerkonto in Microsoft Entra ID und optional in Microsoft 365 sowie in anderen, von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch aktualisiert.

  • Kündigung von Mitarbeitenden: Wenn Mitarbeitenden in SuccessFactors gekündigt wird, wird das entsprechende Benutzerkonto in Microsoft Entra ID und optional in Microsoft 365 sowie in anderen, von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch deaktiviert.

  • Wiedereinstellung von Mitarbeitenden: Wenn Mitarbeitende in SuccessFactors erneut eingestellt werden, kann ihr altes Konto in Microsoft Entra ID und optional in Microsoft 365 und in anderen, von Microsoft Entra ID unterstützten SaaS-Anwendungen je nach Präferenz automatisch reaktiviert oder erneut bereitgestellt werden.

Für wen ist diese Benutzerbereitstellungslösung am besten geeignet?

Diese Benutzerbereitstellungslösung zwischen SuccessFactors und Microsoft Entra eignet sich ideal für:

  • Organisationen, die eine vordefinierte, cloudbasierte Lösung für die Bereitstellung von SuccessFactors-Benutzer:innen verwenden möchten, einschließlich Organisationen, die SuccessFactors von SAP HCM mit der SAP Integration Suite auffüllen

  • Organisationen, die Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Ziel-Apps bereitstellen, verwenden Microsoft Entra zum Einrichten von Identitäten für Mitarbeitende, damit diese sich bei einer oder mehreren SAP-Anwendungen wie SAP ECC oder SAP S/4HANA anmelden können, sowie optional bei Nicht-SAP-Anwendungen

  • Organisationen, die eine direkte Benutzerbereitstellung von SuccessFactors in Microsoft Entra ID benötigen, deren Benutzer:innen sich aber nicht unbedingt auch in Windows Server Active Directory enthalten sein müssen

  • Organisationen, bei denen Benutzer mithilfe von Daten bereitgestellt werden müssen, die aus SuccessFactors Employee Central (EC) abgerufen werden

  • Organisationen, die Microsoft 365 für E-Mail verwenden

Lösungsarchitektur

In diesem Abschnitt wird die Lösungsarchitektur der End-to-End-Benutzerbereitstellung für ausschließliche Cloudbenutzer beschrieben. Es gibt zwei zugehörige Flows:

  • Autoritativer Personaldatenfluss aus SuccessFactors in Microsoft Entra ID: In diesem Flow treten mitarbeiterbezogene Ereignisse (z.B. Neueinstellungen, Wechsel, Kündigungen) zuerst in der Cloud in SuccessFactors Employee Central auf, und die Ereignisdaten fließen dann in Microsoft Entra ID. Abhängig vom Ereignis kann dies dann in Microsoft Entra ID zu Erstellungs-, Aktualisierungs-, Aktivierungs- oder Deaktivierungsvorgängen führen.

  • E-Mail-Rückschreibeflow – aus Microsoft Entra ID in SuccessFactors: Nach Abschluss der Kontoerstellung in Microsoft Entra ID kann der in Microsoft Entra ID generierte E-Mail-Attributwert bzw. der UPN in SuccessFactors zurückgeschrieben werden.

    Übersicht

End-to-End-Benutzerdatenfluss

  1. Das Team der Personalabteilung führt Mitarbeitertransaktionen (Einstellungen/Wechsel/Kündigungen) in SuccessFactors Employee Central aus.
  2. Der Microsoft Entra-Bereitstellungsdienst führt geplante Synchronisierungen von Identitäten aus SuccessFactors EC aus und ermittelt Änderungen, die für die Synchronisierung mit Microsoft Entra ID verarbeitet werden müssen.
  3. Der Microsoft Entra-Bereitstellungsdienst ermittelt die Änderung und ruft den entsprechenden Vorgang zum Erstellen, Aktualisieren, Aktivieren oder Deaktivieren für die jeweiligen Benutzer*innen in Microsoft Entra ID auf.
  4. Wenn die App für das Rückschreiben nach SuccessFactors konfiguriert ist, wird die E-Mail-Adresse des Benutzers aus Microsoft Entra ID abgerufen.
  5. Der Microsoft Entra-Bereitstellungsdienst schreibt das E-Mail-Attribut basierend auf dem verwendeten Übereinstimmungsattribut nach SuccessFactors zurück.

Planen der Bereitstellung

Das Konfigurieren einer cloudbasierten Benutzerbereitstellung für das Personalwesen von SuccessFactors in Microsoft Entra ID erfordert eine ausführliche Planung, die unter anderem die folgenden Aspekte abdecken sollte:

  • Ermittlung der Übereinstimmungs-ID
  • Attributzuordnung
  • Attributtransformation
  • Bereichsfilter

Ausführliche Anleitungen zu diesen Themen finden Sie unter Planen der HR-Cloudbereitstellung. Weitere Informationen zu den unterstützten Entitäten, Verarbeitungsdetails und zum Anpassen der Integration für verschiedene HR-Szenarien finden Sie im Referenzhandbuch zur Integration von SAP SuccessFactors.

Konfigurieren von SuccessFactors für die Integration

Eine allgemeine Anforderung für alle SuccessFactors-Bereitstellungsconnectors besteht darin, dass sie Anmeldeinformationen eines SuccessFactors-Kontos mit den erforderlichen Berechtigungen zum Aufrufen der OData-APIs von SuccessFactors benötigen. In diesem Abschnitt werden die Schritte zum Erstellen des Dienstkontos in SuccessFactors und zum Erteilen der benötigten Berechtigungen beschrieben.

Erstellen/Ermitteln des API-Benutzerkontos in SuccessFactors

Wenden Sie sich an das Administratorteam von SuccessFactors oder Ihren Implementierungspartner, um ein Benutzerkonto in SuccessFactors zu erstellen oder zu bestimmen, das zum Aufrufen der OData-APIs verwendet wird. Die Anmeldeinformationen (Benutzername und Kennwort) dieses Kontos sind für das Konfigurieren der Bereitstellungs-Apps in Microsoft Entra ID erforderlich.

Erstellen einer API-Berechtigungsrolle

  1. Melden Sie sich bei SAP SuccessFactors mit einem Benutzerkonto an, das Zugriff auf das Admin Center hat.

  2. Suchen Sie nach Manage Permission Roles (Berechtigungsrollen verwalten), und wählen Sie dann in den Suchergebnissen Manage Permission Roles (Berechtigungsrollen verwalten) aus. Verwalten von Berechtigungsrollen

  3. Klicken Sie in der Liste „Permission Role“ (Berechtigungsrolle) auf Create New (Neue erstellen).

    Erstellen einer neuen Berechtigungsrolle

  4. Fügen Sie einen Rollennamen und eine Beschreibung für die neue Berechtigungsrolle hinzu. Der Name und die Beschreibung sollten darauf hindeuten, dass die Rolle für Berechtigungen zur API-Verwendung vorgesehen ist.

    Details zur Berechtigungsrolle

  5. Klicken Sie unter den Berechtigungseinstellungen auf Permission... (Berechtigung), scrollen Sie in der Berechtigungsliste nach unten, und klicken Sie auf Manage Integration Tools (Integrationstools verwalten). Aktivieren Sie das Kontrollkästchen für Allow Admin to Access to OData API through Basic Authentication (Administratoren den Zugriff auf OData-API über die Standardauthentifizierung erlauben).

    Verwalten von Integrationstools

  6. Scrollen Sie in demselben Feld nach unten, und wählen Sie Employee Central API aus. Fügen Sie wie unten gezeigt Berechtigungen für das Lesen und Bearbeiten über die OData-API hinzu. Wählen Sie die Bearbeitungsoption aus, wenn Sie dasselbe Konto für das Rückschreiben in ein SuccessFactors-Szenario verwenden möchten.

    Lese-/Schreibberechtigungen

  7. Gehen Sie im gleichen Berechtigungsfeld zu Benutzerberechtigungen > Mitarbeiterdaten und überprüfen Sie die Attribute, die das Dienstkonto vom SuccessFactors-Mandanten lesen kann. Wenn Sie beispielsweise das Attribut Username aus SuccessFactors abrufen möchten, sollten Sie sich vergewissern, dass für dieses Attribut die Anzeigeberechtigung erteilt wurde. Überprüfen Sie analog dazu jedes Attribut auf die Anzeigeberechtigung.

    Berechtigungen für Mitarbeiterdaten

    Hinweis

    Eine vollständige Liste der Attribute, die von dieser Bereitstellungs-App abgerufen werden, finden Sie in der SuccessFactors-Attributreferenz.

  8. Klicken Sie auf Done (Fertig). Klicken Sie auf Änderungen speichern.

Erstellen einer Berechtigungsgruppe für den API-Benutzer

  1. Suchen Sie im SuccessFactors Admin Center nach Manage Permission Groups (Berechtigungsgruppen verwalten), und wählen Sie in den Suchergebnissen dann Manage Permission Groups (Berechtigungsgruppen verwalten) aus.

    Verwalten von Berechtigungsgruppen

  2. Klicken Sie im Fenster „Manage Permission Groups“ (Berechtigungsgruppen verwalten) auf Create New (Neue erstellen).

    Neue Gruppe hinzufügen

  3. Fügen Sie einen Gruppennamen für die neue Gruppe hinzu. Im Gruppennamen sollte angegeben werden, dass die Gruppe für API-Benutzer vorgesehen ist.

    Name der Berechtigungsgruppe

  4. Fügen Sie der Gruppe Mitglieder hinzu. Beispielsweise können Sie im Dropdownmenü „People Pool“ (Personenpool) die Option Username (Benutzername) auswählen und dann den Benutzernamen des API-Kontos eingeben, das für die Integration verwendet werden soll.

    Gruppenmitgliedern hinzufügen

  5. Klicken Sie auf Done (Fertig), um die Erstellung der Berechtigungsgruppe abzuschließen.

Erteilen der Berechtigungsrolle für die Berechtigungsgruppe

  1. Suchen Sie im SuccessFactors Admin Center nach Manage Permission Roles (Berechtigungsrollen verwalten), und wählen Sie in den Suchergebnissen dann Manage Permission Roles (Berechtigungsrollen verwalten) aus.
  2. Wählen Sie in der Liste Permission Role (Berechtigungsrolle) die Rolle aus, die Sie für die Berechtigungen zur API-Verwendung erstellt haben.
  3. Klicken Sie unter Grant this role to... (Rolle erteilen für) auf die Schaltfläche Add... (Hinzufügen).
  4. Wählen Sie im Dropdownmenü die Option Permission Group... (Berechtigungsgruppe) aus, und klicken Sie dann auf Select... (Auswählen), um das Fenster „Groups“ (Gruppen) zu öffnen. Darin können Sie die oben erstellte Gruppe suchen und auswählen.

    Berechtigungsgruppe hinzufügen

  5. Überprüfen Sie die erteilte Berechtigungsrolle für die Berechtigungsgruppe.

    Details zu Berechtigungsrolle und -gruppe

  6. Klicken Sie auf Änderungen speichern.

Konfigurieren der Benutzerbereitstellung von SuccessFactors auf Microsoft Entra ID

In diesem Abschnitt werden die Schritte für die Bereitstellung von Benutzerkonten aus SuccessFactors in Microsoft Entra ID erläutert.

Teil 1: Hinzufügen der Bereitstellungsconnector-App und Konfigurieren der Konnektivität mit SuccessFactors

So konfigurieren Sie SuccessFactors für die Microsoft-Entra Bereitstellung:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.

  3. Suchen Sie nach SuccessFactors für Microsoft Entra-Benutzerbereitstellung, und fügen Sie die App aus dem Katalog hinzu.

  4. Sobald die App hinzugefügt wurde und der Bildschirm mit den App-Details angezeigt wird, wählen Sie Bereitstellung aus.

  5. Ändern des Modus Bereitstellung in Automatisch

  6. Vervollständigen Sie den Abschnitt Administratoranmeldeinformationen wie folgt:

    • Administratorbenutzername: Geben Sie den Benutzernamen des Benutzerkontos für die SuccessFactors-API ein, und fügen Sie die Unternehmens-ID an. Sie weist das Format Benutzername@Unternehmens-ID auf.

    • Administratorkennwort: Geben Sie das Kennwort des Benutzerkontos für die SuccessFactors-API ein.

    • Mandanten-URL: Geben Sie den Namen des Dienstendpunkts für die SuccessFactors-OData-API ein. Geben Sie nur den Hostnamen des Servers ohne „http“ oder „https“ ein. Dieser Wert sollte das folgende Format aufweisen: API-Servername.successfactors.com.

    • Benachrichtigungs-E-Mail: Geben Sie Ihre E-Mail-Adresse ein, und aktivieren Sie das Kontrollkästchen „E-Mail senden, wenn Fehler auftritt“.

    Hinweis

    Der Microsoft Entra-Bereitstellungsdienst sendet eine E-Mail-Benachrichtigung, wenn der Bereitstellungsauftrag in den Zustand Quarantäne wechselt.

    • Klicken Sie auf die Schaltfläche Verbindung testen. Wenn der Verbindungstest erfolgreich ist, klicken Sie oben auf die Schaltfläche Speichern. Falls nicht, sollten Sie überprüfen, ob die SuccessFactors-Anmeldeinformationen und die URL gültig sind.

    Entra Admin Center

    • Nachdem die Anmeldeinformationen gespeichert wurden, wird im Abschnitt Zuordnungen die Standardzuordnung SuccessFactors-Benutzer mit Microsoft Entra ID synchronisieren angezeigt.

Teil 2: Konfigurieren von Attributzuordnungen

In diesem Abschnitt konfigurieren Sie den Benutzerdatenfluss aus SuccessFactors in Microsoft Entra ID.

  1. Klicken Sie auf der Registerkarte „Bereitstellung“ unter Zuordnungen auf SuccessFactors-Benutzer in Microsoft Entra ID synchronisieren.

  2. Im Feld Quellobjektbereich können Sie die Benutzergruppen in SuccessFactors für die Bereitstellung in Microsoft Entra ID auswählen, indem Sie attributbasierte Filter definieren. Der Standardbereich ist „Alle Benutzer in SuccessFactors“. Beispielfilter:

    • Beispiel: Auswählen der Benutzer mit personIdExternal von 1000000 bis 1999999

      • Attribut: personIdExternal

      • Operator: REGEX Match

      • Wert: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Beispiel: Nur Mitarbeiter und keine vorübergehend Beschäftigten

      • Attribut: EmployeeID

      • Operator: IS NOT NULL

    Tipp

    Wenn Sie die Bereitstellungs-App zum ersten Mal konfigurieren, müssen Sie die Attributzuordnungen und Ausdrücke testen und überprüfen, um sicherzustellen, dass Sie damit das gewünschte Ergebnis erzielen. Microsoft empfiehlt, die Bereichsfilter unter Quellobjektbereich zu verwenden, um Ihre Zuordnungen mit einigen Testbenutzern von SuccessFactors zu testen. Sobald Sie sich vergewissert haben, dass die Zuordnungen funktionieren, können Sie den Filter entweder entfernen oder schrittweise auf weitere Benutzer erweitern.

    Achtung

    Beim Standardverhalten des Bereitstellungsmoduls werden Benutzer deaktiviert/gelöscht, die sich außerhalb des gültigen Bereichs befinden. Dies ist bei Ihrer Integration von SuccessFactors mit Microsoft Entra möglicherweise nicht wünschenswert. Informationen zum Außerkraftsetzen dieses Standardverhaltens finden Sie im Artikel Überspringen des Löschens von Benutzerkonten außerhalb des gültigen Bereichs.

  3. Im Feld Zielobjektaktionen können Sie global filtern, welche Aktionen in Microsoft Entra ID ausgeführt werden. Erstellen und Aktualisieren erfolgen am häufigsten.

  4. Im Abschnitt Attributmapping können Sie definieren, wie einzelne SuccessFactors-Attribute Microsoft Entra ID-Attributen zugeordnet werden.

    Hinweis

    Eine vollständige Liste der SuccessFactors-Attribute, die von der Anwendung unterstützt werden, finden Sie in der SuccessFactors-Attributreferenz.

  5. Klicken Sie auf eine vorhandene Attributzuordnung, um sie zu aktualisieren. Oder klicken Sie am unteren Bildschirmrand auf Neue Zuordnung hinzufügen, um neue Zuordnungen hinzuzufügen. Eine einzelne Attributzuordnung unterstützt die folgenden Eigenschaften:

    • Zuordnungstyp

      • Direkt: Der Wert des SuccessFactors-Attributs wird unverändert in das Microsoft Entra-Attribut geschrieben.

      • Konstant: Ein statischer, konstanter Zeichenfolgenwert wird in das Microsoft Entra-Attribut geschrieben.

      • Ausdruck: Ermöglicht Ihnen, einen benutzerdefinierten Wert in das Microsoft Entra-Attribut zu schreiben, der auf einem oder mehreren SuccessFactors-Attributen basiert. Weitere Informationen finden Sie im Artikel zu Ausdrücken.

    • Quellattribut: das Benutzerattribut aus SuccessFactors

    • Standardwert: Optional. Wenn das Quellattribut einen leeren Wert aufweist, wird von der Zuordnung stattdessen dieser Wert geschrieben. Die meisten Konfigurationen sehen vor, dieses Feld leer zu lassen.

    • Zielattribut: Das Benutzerattribut in Microsoft Entra ID.

    • Objekte mit diesem Attribut abgleichen: Gibt an, ob diese Zuordnung zur eindeutigen Bestimmung von Benutzern in SuccessFactors und Microsoft Entra ID verwendet werden soll. Dieser Wert wird meist im Feld „Worker-ID“ für SuccessFactors festgelegt, das in der Regel einem der Mitarbeiter-ID-Attribute in Microsoft Entra ID zugeordnet ist.

    • Rangfolge für Abgleich: Es können mehrere Attribute für den Abgleich festgelegt werden. Falls mehrere vorhanden sind, werden sie entsprechend der in diesem Feld festgelegten Reihenfolge ausgewertet. Sobald eine Übereinstimmung gefunden wird, werden keine weiteren Attribute für den Abgleich mehr ausgewertet.

    • Diese Zuordnung anwenden

      • Immer: Wenden Sie diese Zuordnung sowohl bei der Aktion zum Erstellen eines Benutzers als auch bei der zum Aktualisieren eines Benutzers an.

      • Nur während der Erstellung: Wenden Sie diese Zuordnung nur bei der Aktion zum Erstellen eines Benutzers an.

  6. Klicken Sie oben im Abschnitt „Attributzuordnung“ auf Speichern, um Ihre Zuordnungen zu speichern.

Sobald Ihre Attributzuordnungskonfiguration abgeschlossen ist, können Sie jetzt den Benutzerbereitstellungsdienst aktivieren und starten.

Aktivieren und Starten der Benutzerbereitstellung

Nachdem die Konfiguration der SuccessFactors-Bereitstellungs-App abgeschlossen ist, können Sie den Bereitstellungsdienst aktivieren.

Tipp

Beim Aktivieren des Bereitstellungsdiensts werden Bereitstellungsvorgänge für alle Benutzer im Bereich initiiert. Wenn Fehler bei der Zuordnung oder SuccessFactors-Datenprobleme auftreten, kann der Bereitstellungsauftrag fehlschlagen und in den Quarantänezustand versetzt werden. Um dies zu vermeiden, empfehlen wir, den Filter Quellobjektbereich zu konfigurieren und Ihre Attributzuordnungen mit einigen Testbenutzern zu testen, bevor Sie die vollständige Synchronisierung für alle Benutzer starten. Sobald Sie sich vergewissert haben, dass die Zuordnungen funktionieren und Sie die gewünschten Ergebnisse erhalten, können Sie den Filter entweder entfernen oder schrittweise erweitern, um mehr Benutzer einzubinden.

  1. Legen Sie auf der Registerkarte Bereitstellung die Einstellung Bereitstellungsstatus auf Ein fest.

  2. Klicken Sie auf Speichern.

  3. Dieser Vorgang startet die erste Synchronisierung, die abhängig von der Anzahl von Benutzern im SuccessFactors-Mandanten mehrere Stunden dauern kann. Sie können die Statusanzeige überprüfen, um den Fortschritt des Synchronisierungszyklus zu verfolgen.

  4. Überprüfen Sie jederzeit die Registerkarte Bereitstellung im Entra Admin Center, um zu sehen, welche Aktionen der Bereitstellungsdienst ausgeführt hat. Die Bereitstellungsprotokolle enthalten alle einzelnen Synchronisierungsereignisse des Bereitstellungsdiensts, beispielsweise welche Benutzer in SuccessFactors gelesen und anschließend zu Microsoft Entra ID hinzugefügt oder darin aktualisiert wurden.

  5. Nach Abschluss der ersten Synchronisierung wird auf der Registerkarte Bereitstellung ein Überwachungszusammenfassungsbericht ausgegeben.

    Statusanzeige für die Bereitstellung

Nächste Schritte