Esercitazione: Configurare il writeback degli attributi da Microsoft Entra ID a SAP SuccessFactors

  • Articolo

Questa esercitazione descrive i passaggi per scrivere attributi da Microsoft Entra ID a SAP SuccessFactors Employee Central.

Panoramica

È possibile configurare l'app di writeback SAP SuccessFactors per scrivere attributi specifici da Microsoft Entra ID a SAP SuccessFactors Employee Central. L'app di provisioning Writeback di SuccessFactors supporta l'assegnazione di valori agli attributi di Employee Central seguenti:

  • Indirizzo di posta elettronica aziendale
  • Username
  • Numero di telefono aziendale (comprensivo di codice paese, prefisso, numero e interno)
  • Flag principale numero di telefono aziendale
  • Numero di telefono cellulare (comprensivo di codice paese, prefisso, numero)
  • Flag principale telefono cellulare
  • Attributi utente custom01-custom15
  • Attributo loginMethod

Nota

Questa app non ha alcuna dipendenza dalle app di integrazione del provisioning utenti in ingresso di SuccessFactors. È possibile configurarla indipendentemente da SuccessFactors all'app di provisioning DI AD locale o da SuccessFactors all'app di provisioning di Microsoft Entra ID .

Per altre informazioni sugli scenari supportati, sui problemi noti e sulle limitazioni, vedere la sezione Degli scenari di writeback della guida di riferimento all'integrazione di SAP SuccessFactors.

Per chi è più adatta questa soluzione di provisioning utenti?

Questa soluzione di provisioning utenti Writeback di SuccessFactors è idealmente la più appropriata per:

  • Le organizzazioni che usano Microsoft 365 e vogliono eseguire il writeback degli attributi autorevoli gestiti dall'IT (ad esempio indirizzo di posta elettronica, telefono, nome utente) in SuccessFactors Employee Central.

Configurazione di SuccessFactors per l'integrazione

Tutti i connettori per il provisioning di SuccessFactors richiedono le credenziali di un account SuccessFactors con le autorizzazioni appropriate per richiamare le API OData di Employee Central. Questa sezione descrive la procedura da eseguire per creare l'account del servizio in SuccessFactors e concedere le autorizzazioni appropriate.

Creare/identificare l'account utente dell'API in SuccessFactors

Collaborare con il team di amministrazione o il partner di implementazione di SuccessFactors per creare o identificare un account utente in SuccessFactors per richiamare le API OData. Le credenziali di nome utente e password di questo account sono necessarie quando si configurano le app di provisioning in Microsoft Entra ID.

Creare un ruolo delle autorizzazioni API

  1. Accedere a SAP SuccessFactors con un account utente che ha accesso all'Interfaccia di amministrazione.

  2. Cercare Manage Permission Roles (Gestisci ruoli autorizzazione), quindi selezionare Manage Permission Roles dai risultati della ricerca.

    Manage Permission Roles

  3. In Permission Role List (Elenco ruoli autorizzazioni) fare clic su Create New (Crea nuovo).

    Creazione di un nuovo ruolo di autorizzazioni

  4. In Role Name e Description aggiungere rispettivamente un nome e una descrizione per il nuovo ruolo di autorizzazioni. Il nome e la descrizione devono indicare che il ruolo riguarda le autorizzazioni di utilizzo dell'API.

    Dettagli del ruolo delle autorizzazioni

  5. In Permission settings (Impostazioni autorizzazione) fare clic su Permission (Autorizzazione), quindi scorrere l'elenco delle autorizzazioni verso il basso e fare clic su Manage Integration Tools (Gestione strumenti di integrazione). Selezionare la casella Allow Admin to Access to OData API through Basic Authentication (Consenti all'amministratore di accedere all'API OData tramite l'autenticazione di base).

    Gestione strumenti di integrazione

  6. Scorrere verso il basso nello stesso riquadro e selezionare Employee Central API (API Employee Central). Aggiungere le autorizzazioni di lettura e modifica dell'API ODATA, come illustrato di seguito. Selezionare l'opzione di modifica se si prevede di usare lo stesso account per lo scenario di writeback in SuccessFactors.

    Autorizzazioni di lettura/scrittura

  7. Fare clic su Done (Fine). Fare clic su Save Changes (Salva modifiche).

Creare un gruppo di autorizzazioni per l'utente dell'API

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Groups (Gestisci gruppi di autorizzazioni), quindi selezionare Manage Permission Groups dai risultati della ricerca.

    Manage Permission Groups

  2. Nella finestra Manage Permission Groups fare clic su Create New (Crea nuovo).

    Aggiungere un nuovo gruppo

  3. Aggiungere un nome per il nuovo gruppo. Il nome del gruppo deve indicare che il gruppo è riservato agli utenti dell'API.

    Nome del gruppo di autorizzazioni

  4. Aggiungere membri al gruppo. Ad esempio, si potrebbe selezionare Username (Nome utente) dal menu a discesa People Pool (Pool utenti) e quindi immettere il nome utente dell'account API che verrà usato per l'integrazione.

    Aggiungi membri del gruppo

  5. Fare clic su Done (Fine) per completare la creazione del gruppo di autorizzazioni.

Concedere il ruolo delle autorizzazioni al gruppo di autorizzazioni

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Permission Roles (Gestisci ruoli autorizzazioni), quindi selezionare Manage Permission Roles dai risultati della ricerca.

  2. In Permission Role List (Elenco ruoli autorizzazioni) selezionare il ruolo creato per le autorizzazioni di utilizzo dell'API.

  3. In Concedi questo ruolo a... fai clic su Aggiungi... Bottone.

  4. Selezionare Permission Group (Gruppo di autorizzazioni) dal menu a discesa, quindi fare clic su Select (Seleziona) per aprire la finestra Groups (Gruppi) per cercare e selezionare il gruppo creato in precedenza.

    Aggiunta del gruppo di autorizzazioni

  5. Verificare la concessione del ruolo delle autorizzazioni al gruppo di autorizzazioni.

    Dettagli sul ruolo e il gruppo di autorizzazioni

  6. Fare clic su Save Changes (Salva modifiche).

Preparazione dell'app Writeback di SuccessFactors

L'app di provisioning Writeback di SuccessFactors usa determinati valori di codice per impostare gli indirizzi di posta elettronica e i numeri di telefono in Employee Central. Questi valori di codice sono impostati come valori costanti nella tabella di mapping degli attributi e sono diversi per ogni istanza di SuccessFactors. Questa sezione illustra la procedura per acquisire questi valori di codice.

Nota

Coinvolgere l'amministratore di SuccessFactors per completare la procedura.

Identificare i nomi degli elenchi a discesa di indirizzi di posta elettronica e numeri di telefono

In SAP SuccessFactors un elenco a discesa è un set di opzioni configurabile da cui un utente può effettuare una selezione. I diversi tipi di e-mail e numero di telefono (ad esempio, affari, personali e altri) sono rappresentati usando un elenco a discesa. In questo passaggio verranno identificati gli elenchi di selezione configurati nel tenant di SuccessFactors per archiviare i valori dei numeri di posta elettronica e del numero di telefono.

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare Manage Business Configuration (Gestione configurazione aziendale).

    Manage Business Configuration

  2. In HRIS Elements (Elementi HRIS) selezionare emailInfo e fare clic su Details (Dettagli) per il campo email-type.

    Ottenere le informazioni sugli indirizzi di posta elettronica

  3. Nella pagina dei dettagli di email-type prendere nota del nome dell'elenco a discesa associato a questo campo. Per impostazione predefinita, il nome è ecEmailType. Nel proprio tenant potrebbe tuttavia essere diverso.

    Identificare l'elenco a discesa degli indirizzi di posta elettronica

  4. In HRIS Elements (Elementi HRIS) selezionare phoneInfo e fare clic su Details (Dettagli) per il campo phone-type.

    Ottenere le informazioni sui numeri di telefono

  5. Nella pagina dei dettagli di phone-type prendere nota del nome dell'elenco a discesa associato a questo campo. Per impostazione predefinita, il nome è ecPhoneType. Nel proprio tenant potrebbe tuttavia essere diverso.

    Identificare l'elenco a discesa dei numeri di telefono

Recuperare il valore costante di emailType

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare e aprire Picklist Center (Centro elenchi a discesa).

  2. Usare il nome dell'elenco a discesa di posta elettronica acquisito dalla sezione precedente (ad esempio ecEmailType) per trovare l'elenco di selezione del messaggio di posta elettronica.

    Trovare l'elenco a discesa degli indirizzi di posta elettronica

  3. Aprire l'elenco a discesa del tipo di indirizzo di posta elettronica Active (Attivo).

    Aprire l'elenco a discesa del tipo di indirizzo di posta elettronica Active

  4. Nella pagina dell'elenco a discesa ecEmailType selezionare il tipo di indirizzo di posta elettronica Business (aziendale).

    Selezionare il tipo di indirizzo di posta elettronica Business

  5. Prendere nota del valore di Option ID (ID opzione) associato all'indirizzo di posta elettronica Business. Questo è il codice che verrà usato con emailType nella tabella di mapping degli attributi.

    Ottenere il codice del tipo di indirizzo di posta elettronica

    Nota

    Quando si copia il valore, eliminare la virgola. Ad esempio, se il valore option ID è 8.448, impostare emailType in Microsoft Entra ID sul numero costante 8448 (senza il carattere virgola).

Recuperare il valore costante di phoneType

  1. Nell'interfaccia di amministrazione di SuccessFactors cercare e aprire Picklist Center (Centro elenchi a discesa).

  2. Per trovare l'elenco a discesa dei numeri di telefono, usare il nome acquisito nella sezione precedente.

    Trovare l'elenco a discesa dei numeri di telefono

  3. Aprire l'elenco a discesa del tipo di numero di telefono Active (Attivo).

    Aprire l'elenco a discesa del tipo di numero di telefono Active

  4. Nella pagina dell'elenco a discesa ecPhoneType esaminare i diversi tipi di numeri di telefono elencati in Picklist Values (Valori elenco a discesa).

    Esaminare i tipi di numeri di telefono

  5. Prendere nota del valore di Option ID (ID opzione) associato al numero di telefono Business. Questo è il codice che verrà usato con businessPhoneType nella tabella di mapping degli attributi.

    Ottenere il codice dei numeri di telefono Business

  6. Prendere nota del valore di Option ID (ID opzione) associato al numero di telefono Cell (Cellulare). Questo è il codice che verrà usato con cellPhoneType nella tabella di mapping degli attributi.

    Ottenere il codice dei numeri di telefono Cell

    Nota

    Quando si copia il valore, eliminare la virgola. Ad esempio, se il valore option ID è 10.606, impostare cellPhoneType in Microsoft Entra ID sul numero costante 10606 (senza il carattere virgola).

Configurazione dell'app Writeback di SuccessFactors

Questa sezione illustra la procedura per

Parte 1: Aggiungere l'app connettore di provisioning e configurare la connettività a SuccessFactors

Per configurare l'app Writeback di SuccessFactors:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.

  3. Cercare SuccessFactors Writeback (Writeback di SuccessFactors) e aggiungere tale applicazione dalla raccolta.

  4. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning

  5. Impostare Modalità di provisioning su Automatico

  6. Completare la sezione Credenziali amministratore come segue:

    • Nome utente amministratore: immettere il nome utente dell'account utente dell'API SuccessFactors, seguito dall'ID società. Ha il formato: username@companyID

    • Password amministratore: immettere la password dell'account utente dell'API SuccessFactors.

    • URL tenant: immettere il nome dell'endpoint di servizio dell'API OData di SuccessFactors. Immettere solo il nome host del server senza http o https. Il valore dovrebbe essere simile a api4.successfactors.com.

    • Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

    Nota

    Il servizio di provisioning Microsoft Entra invia una notifica tramite posta elettronica se il processo di provisioning entra in uno stato di quarantena .

    • Fare clic sul pulsante Test connessione. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. Se il test non riesce, verificare che le credenziali e l'URL di SuccessFactors siano validi.

    Interfaccia di amministrazione di Entra

    • Dopo aver salvato correttamente le credenziali, nella sezione Mapping viene visualizzato il mapping predefinito. Se i mapping degli attributi non sono visibili, aggiornare la pagina.

Parte 2: Configurare i mapping degli attributi

In questa sezione viene configurato il flusso dei dati utente da SuccessFactors ad Active Directory.

  1. Nella scheda Provisioning in Mapping fare clic su Provisioning utenti di Microsoft Entra.

  2. Nel campo Ambito oggetto di origine è possibile selezionare i set di utenti in Microsoft Entra ID da considerare per il writeback, definendo un set di filtri basati su attributi. L'ambito predefinito è tutti gli utenti in Microsoft Entra ID.

    Suggerimento

    Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping e le espressioni degli attributi per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare i filtri di ambito in Ambito oggetto di origine per testare i mapping con alcuni utenti di test da Microsoft Entra ID. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

  3. Il campo Azioni oggetto di destinazione supporta solo l'operazione di aggiornamento.

  4. Nella tabella di mapping nella sezione Mapping degli attributi è possibile eseguire il mapping degli attributi di Microsoft Entra seguenti a SuccessFactors. La tabella seguente fornisce indicazioni su come eseguire il mapping degli attributi di writeback.

    # Attributo Microsoft Entra Attributo di SuccessFactors Osservazioni:
    1 employeeId personIdExternal Per impostazione predefinita, questo attributo è l'identificatore corrispondente. Anziché employeeId è possibile usare qualsiasi altro attributo di Microsoft Entra che può archiviare il valore uguale a personIdExternal in SuccessFactors.
    2 mail posta elettronica Eseguire il mapping dell'origine dell'attributo email. A scopo di test, è possibile eseguire il mapping di userPrincipalName a email.
    3 8448 emailType Questo valore costante è il valore dell'ID SuccessFactors associato al tipo di indirizzo di posta elettronica aziendale. Aggiornare il valore in modo che corrisponda all'ambiente di SuccessFactors. Per la procedura da eseguire per impostare questo valore, vedere la sezione Recuperare il valore costante di emailType.
    4 true emailIsPrimary Usare questo attributo per impostare l'indirizzo di posta elettronica aziendale come primario in SuccessFactors. Se l'indirizzo di posta elettronica aziendale non è quello primario, impostare questo flag su false.
    5 userPrincipalName [custom01 – custom15] Usando Aggiungi nuovo mapping, è possibile scrivere facoltativamente userPrincipalName o qualsiasi attributo Microsoft Entra in un attributo personalizzato disponibile nell'oggetto User SuccessFactors.
    6 In Prem SamAccountName username Facoltativamente, usando Aggiungi nuovo mapping è possibile eseguire il mapping dell'attributo samAccountName locale all'attributo username di SuccessFactors. Usare Sincronizzazione Microsoft Entra Connect: estensioni della directory per sincronizzare samAccountName con Microsoft Entra ID. Questo viene visualizzato nell'elenco a discesa di origine come extension_yourTenantGUID_samAccountName
    7 SSO loginMethod Se il tenant di SuccessFactors è configurato per il Single Sign-On parziale, usando Aggiungi nuovo mapping è possibile impostare loginMethod su un valore costante "SSO" o "PWD".
    8 telephoneNumber businessPhoneNumber Usare questo mapping per scorrere telephoneNumber da Microsoft Entra ID a SuccessFactors business/numero di telefono aziendale/ aziendale.
    9 10605 businessPhoneType Questo valore costante è il valore dell'ID SuccessFactors associato al tipo di numero di telefono aziendale. Aggiornare il valore in modo che corrisponda all'ambiente di SuccessFactors. Per la procedura da eseguire per impostare questo valore, vedere la sezione Recuperare il valore costante di phoneType.
    10 true businessPhoneIsPrimary Usare questo attributo per impostare il flag primario per il numero di telefono aziendale. I valori validi sono true o false.
    11 per dispositivi mobili cellPhoneNumber Usare questo mapping per scorrere telephoneNumber da Microsoft Entra ID a SuccessFactors business/numero di telefono aziendale/ aziendale.
    12 10606 cellPhoneType Questo valore costante è il valore dell'ID SuccessFactors associato al tipo di numero di telefono cellulare. Aggiornare il valore in modo che corrisponda all'ambiente di SuccessFactors. Per la procedura da eseguire per impostare questo valore, vedere la sezione Recuperare il valore costante di phoneType.
    13 false cellPhoneIsPrimary Usare questo attributo per impostare il flag primario per il numero di telefono cellulare. I valori validi sono true o false.
    14 [extensionAttribute1-15] userId Usare questo mapping per assicurarsi che il record attivo in SuccessFactors venga aggiornato quando sono presenti più record di impiego per lo stesso utente. Per altri dettagli, vedere Abilitazione del writeback con UserID

  5. Convalidare e rivedere i mapping degli attributi.

    Mapping degli attributi di writeback

  6. Fare clic su Salva per salvare i mapping. Successivamente, aggiorneremo le espressioni API JSON Path per usare i codici phoneType nell'istanza di SuccessFactors.

  7. Selezionare Mostra opzioni avanzate.

    Mostra opzioni avanzate

  8. Selezionare Edit attribute list for SuccessFactors (Modifica elenco attributi per SuccessFactors).

    Nota

    Se l'opzione Modifica elenco attributi per SuccessFactors non viene visualizzata nell'interfaccia di amministrazione di Entra, usare l'URL https://portal.azure.com/?Microsoft_AAD_IAM_forceSchemaEditorEnabled=true per accedere alla pagina.

  9. La colonna Espressione API contiene le espressioni JSON Path usate dal connettore.

  10. Aggiornare le espressioni JSON Path per il numero di telefono aziendale e il numero di telefono cellulare in modo che usino il valore ID (businessPhoneType e cellPhoneType) corrispondente all'ambiente.

    Modifica dell'espressione JSON Path per il numero di telefono

  11. Fare clic su Salva per salvare i mapping.

Abilitare e avviare il provisioning utenti

Una volta completate le configurazioni dell'app di provisioning di SuccessFactors, è possibile attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita, quando si attiva il servizio di provisioning, avvia le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti test prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.

  2. Selezionare Ambito. È possibile selezionare una delle opzioni seguenti:

    • Sincronizza tutti gli utenti e i gruppi: selezionare questa opzione se si prevede di eseguire il writeback degli attributi mappati di tutti gli utenti da Microsoft Entra ID a SuccessFactors, in base alle regole di ambito definite in Mapping ->Ambito oggetto di origine.
    • Sincronizza solo utenti e gruppi assegnati: selezionare questa opzione se si prevede di eseguire il writeback degli attributi mappati solo degli utenti assegnati a questa applicazione nell'opzione di menu Application ->Manage -Users and groups (Gestisci ->Utenti e gruppi). Questi utenti sono soggetti anche alle regole di ambito definite in Mapping ->Ambito oggetto di origine.

    Selezione dell'ambito del writeback

    Nota

    Le app di provisioning writeback di SuccessFactors create dopo il 12-ottobre 2022 supportano la funzionalità "assegnazione di gruppo". Se l'app è stata creata prima del 12 ottobre 2022, ha solo il supporto "assegnazione utente". Per usare la funzionalità "assegnazione di gruppo", creare una nuova istanza dell'applicazione writeback SuccessFactors e spostare le configurazioni di mapping esistenti in questa app.

  3. Fare clic su Salva.

  4. Questa operazione avvia la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Microsoft Entra e dell'ambito definito per l'operazione. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.

  5. In qualsiasi momento, controllare la scheda Log di provisioning nell'interfaccia di amministrazione di Entra per visualizzare le azioni eseguite dal servizio di provisioning. In questa scheda sono elencati tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning.

  6. Al termine della sincronizzazione iniziale, scrive un report di riepilogo del controllo nella scheda Provisioning , come illustrato di seguito.

    Indicatore di stato del provisioning

Passaggi successivi