SAP SuccessFactors を Microsoft Entra ユーザー プロビジョニングに構成する

この記事の目的は、SuccessFactors Employee Central から Microsoft Entra ID にワーカー データをプロビジョニングするために実行する必要がある手順を示し、オプションで SuccessFactors にメール アドレスを書き戻します。

次のビデオでは、SAP SuccessFactors とのプロビジョニング統合を計画するときに必要な手順の簡単な概要について説明します。

概要

Microsoft Entra ユーザー プロビジョニング サービスは、ユーザーの ID ライフ サイクルを管理するために SuccessFactors Employee Central と統合されます。

Microsoft Entra のユーザー プロビジョニング サービスでサポートされている SuccessFactors ユーザー プロビジョニング ワークフローは、次の人事管理および ID ライフサイクル管理シナリオを自動化します。

• 新入社員の雇用 - 新しい従業員が SuccessFactors に追加されると、ユーザー アカウントは Microsoft Entra ID で自動的に作成され、必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされているその他の SaaS アプリケーションで、電子メール アドレスが SuccessFactors に書き戻されます。

• 従業員の属性とプロファイルの更新 - SuccessFactors で従業員レコード (名前、タイトル、マネージャーなど) が更新されると、ユーザー アカウントは自動的に Microsoft Entra ID、および必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされるその他の SaaS アプリケーションに更新されます。

• 従業員の退職 - SuccessFactors で従業員が退職すると、ユーザー アカウントは Microsoft Entra ID で自動的に無効になり、必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされているその他の SaaS アプリケーションが無効になります。

• 従業員の再雇用 - SuccessFactors で従業員が再雇用されると、古いアカウントを Microsoft Entra ID と、必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされているその他の SaaS アプリケーションに自動的に再アクティブ化または再プロビジョニングできます (ユーザーの好みに応じて)。

このユーザー プロビジョニング ソリューションが最適な場合

この SuccessFactors から Microsoft Entra へのユーザー プロビジョニング ソリューションは、次の場合に最適です。

• SuccessFactors のユーザー プロビジョニングに、あらかじめ用意されたクラウドベースのソリューションを求める組織 (SAP Integration Suite を使って SAP HCM から SuccessFactors にデータを取り込む組織など)

• MICROSOFT Entra を使用して SAP ソースアプリとターゲット アプリを使用してユーザー プロビジョニング用に Microsoft Entra をデプロイしている組織は、ワーカーの ID を設定して、SAP ECC や SAP S/4HANA などの 1 つ以上の SAP アプリケーション、および必要に応じて SAP 以外のアプリケーションにサインインできるようにする

• SuccessFactors から Microsoft Entra ID への直接ユーザー プロビジョニングを必要とするが、それらのユーザーが Windows Server Active Directory に含まれる必要がない組織

• SuccessFactors Employee Central (EC) から取得したデータを使用してユーザーをプロビジョニングする必要がある組織

• 電子メールに Microsoft 365 を使用している組織

ソリューションのアーキテクチャ

このセクションでは、クラウド専用のユーザーに向けた、エンド ツー エンドのユーザー プロビジョニング ソリューションのアーキテクチャについて説明します。 2 つの関連するフローがあります。

• 権限のある HR データ フロー – SuccessFactors から Microsoft Entra ID へ: このフローワーカー イベント (新入社員、異動、退職など) は、最初にクラウド SuccessFactors Employee Central で発生し、次にイベント データが Microsoft Entra ID に流れます。 イベントによっては、Microsoft Entra ID での作成、更新、有効化、無効化の操作に至る可能性があります。

• 電子メール ライトバック フロー – Microsoft Entra ID から SuccessFactors へ: Microsoft Entra ID でアカウントの作成が完了すると、Microsoft Entra ID で生成された電子メール属性値または UPN を SuccessFactors に書き戻すことができます。

  

エンド ツー エンドのユーザー データ フロー

1. 人事チームは、SuccessFactors Employee Central で社員のトランザクション (就職者/異動者/退職者または新規雇用/異動/退職) を実行します。
2. Microsoft Entra プロビジョニング サービスは、SuccessFactors EC からの、スケジュールされた ID の同期を実行し、Microsoft Entra ID との同期のために処理する必要がある変更を識別します。
3. Microsoft Entra ID プロビジョニング サービスは、変更を特定し、Microsoft Entra ID のユーザーに対して作成、更新、有効化、無効化の操作を呼び出します。
4. SuccessFactors ライトバック アプリが構成されている場合、ユーザーの電子メール アドレスは Microsoft Entra ID から取得されます。
5. Microsoft Entra プロビジョニング サービスは、使用された一致する属性に基づいて、メール属性を SuccessFactors に書き戻します。

デプロイの計画

SuccessFactors から Microsoft Entra ID へのクラウド人事駆動型のユーザー プロビジョニングを構成するには、次のようなさまざまな側面をカバーするかなりの計画が必要です。

• 一致する ID の決定
• 属性マッピング
• 属性の変換
• スコープ フィルター

これらのトピックに関する包括的なガイドラインについては、 クラウド人事デプロイ計画 を参照してください。 サポートされているエンティティ、処理の詳細、さまざまな人事シナリオに合わせて統合をカスタマイズする方法については、 SAP SuccessFactors 統合リファレンス を参照してください。

統合のための SuccessFactors の構成

すべての SuccessFactors プロビジョニング コネクタの一般的な要件は、SuccessFactors OData API を呼び出すための適切なアクセス許可を持つ SuccessFactors アカウントの資格情報が必要なことです。 このセクションでは、SuccessFactors でサービス アカウントを作成し、適切なアクセス許可を付与する手順を説明します。

• SuccessFactors で API ユーザー アカウントを作成/識別する
• API アクセス許可ロールを作成する
• API ユーザーのアクセス許可グループを作成する
• 権限グループに権限ロールを割り当てる

SuccessFactors で API ユーザー アカウントを作成または識別する

SuccessFactors 管理チームまたは実装パートナーと協力して、OData API を呼び出すために SuccessFactors のユーザー アカウントを作成または識別します。 Microsoft Entra ID でプロビジョニング アプリを構成する場合、このアカウントのユーザー名とパスワードの資格情報が必要になります。

API アクセス許可ロールを作成する

1. Admin Center にアクセスできるユーザーアカウントで SAP SuccessFactors にログインします。

2. [ アクセス許可ロールの管理] を検索し、検索結果から [ アクセス許可ロールの管理 ] を選択します。

3. アクセス許可ロールの一覧で、[ 新規作成] を選択します。

   

4. 新しいアクセス許可 ロールのロール名 と 説明 を追加します。 名前と説明では、このロールが API 使用アクセス許可されていることを示す必要があります。

5. [アクセス許可の設定] で [ アクセス許可...] を選択し、アクセス許可の一覧を下にスクロールし、[ 統合ツールの管理] を選択します。 [ 管理者が基本認証を使用して OData API にアクセスできるようにする] チェック ボックスをオンにします。

   

6. 同じボックスを下にスクロールし、[ Employee Central API] を選択します。 次に示すように、ODATA API を使用して読み取り、ODATA API を使用して編集するためのアクセス許可を追加します。 SuccessFactors への書き戻しシナリオに同じアカウントを使用する場合は、編集オプションを選択してください。

   

7. 同じアクセス許可ボックスで、[ ユーザーのアクセス許可] -> Employee Data に移動し、サービス アカウントが SuccessFactors テナントから読み取ることができる属性を確認します。 たとえば、SuccessFactors から Username 属性を取得するには、この属性に対して "表示" アクセス許可が付与されていることを確認します。 同様に、各属性の表示アクセス許可を確認してください。

   

   注

   このプロビジョニング アプリによって取得される属性の完全な一覧については、「SuccessFactors 属性リファレンス」を参照してください

8. [ 完了] を選択します。 [ 変更の保存] を選択します。

API ユーザーのアクセス許可グループを作成する

1. SuccessFactors 管理センターで、[ アクセス許可グループの管理] を検索し、検索結果から [アクセス許可グループの管理 ] を選択します。

   

2. [アクセス許可グループの管理] ウィンドウで、[ 新規作成] を選択します。

   

3. 新しいグループのグループ名を追加します。 グループ名は、グループが API ユーザー用であることを示す必要があります。

   

4. グループにメンバーを追加します。 たとえば、[ユーザー プール] ドロップダウン メニューから [ユーザー名 ] を選択し、統合に使用する API アカウントのユーザー名を入力できます。

   

5. [ 完了] を 選択して、アクセス許可グループの作成を完了します。

許可グループに許可ロールを付与する

1. SuccessFactors 管理センターで、[ アクセス許可ロールの管理] を検索し、検索結果から [ アクセス許可ロールの管理 ] を選択します。
2. アクセス許可ロールの一覧から、API の使用アクセス許可用に作成したロールを選択します。
3. このロールを付与する...で、追加...ボタンを選択します。
4. ドロップダウン メニューから [アクセス許可グループ...] を選択し、[ 選択]... を選択して [グループ] ウィンドウを開き、上で作成したグループを検索して選択します。
5. アクセス許可グループに対するアクセス許可ロールの付与を確認します。
6. [ 変更の保存] を選択します。

SuccessFactors から Microsoft Entra ID へのユーザー プロビジョニングの構成

このセクションでは、SuccessFactors から Microsoft Entra ID にユーザー アカウントをプロビジョニングする手順について説明します。

• プロビジョニング コネクタ アプリを追加し、SuccessFactors への接続を構成する
• 属性マッピングの構成
• ユーザー プロビジョニングを有効にして起動する

パート 1: プロビジョニング コネクタ アプリを追加して、SuccessFactors への接続の構成をする

SuccessFactors を Microsoft Entra プロビジョニングに構成するには:

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>エンタープライズ アプリ>新しいアプリケーションに移動します。

3. Microsoft Entra ユーザー プロビジョニングに対する SuccessFactors を検索し、ギャラリーからそのアプリを追加します。

4. アプリが追加され、アプリの詳細画面が表示されたら、[プロビジョニング] を選択します

5. プロビジョニングモードを自動に変更する

6. 次のように、[ 管理者資格情報] セクションに入力します。

   • 管理者ユーザー名 – SuccessFactors API ユーザー アカウントのユーザー名を入力し、会社 ID を追加します。 次の形式があります: username@companyID

   • 管理者パスワード – SuccessFactors API ユーザー アカウントのパスワードを入力します。

   • テナント URL – SuccessFactors OData API サービス エンドポイントの名前を入力します。 http または https なしでサーバーのホスト名のみを入力してください。 この値は次のようになります: api-server-name.successfactors.com。

   • 通知メール – メール アドレスを入力し、[失敗した場合にメールを送信する] チェック ボックスをオンにします。

   注

   プロビジョニング ジョブが 検疫 状態になった場合、Microsoft Entra プロビジョニング サービスは電子メール通知を送信します。

   • [ テスト接続 ] ボタンを選択します。 接続テストが成功した場合は、上部にある [保存] ボタンを選択します。 失敗した場合は、SuccessFactors 資格情報および URL が有効か再度確認します。

   • 資格情報が正常に保存されると、[マッピング] セクションに既定のマッピングの Synchronize SuccessFactors Users to Microsoft Entra ID が表示されます

パート 2: 属性マッピングの構成

このセクションでは、ユーザー データが SuccessFactors から Microsoft Entra ID に流れる方法を構成します。

1. [ マッピング] の [プロビジョニング] タブで、[ SuccessFactors ユーザーを Microsoft Entra ID に同期する] を選択します。

2. [ ソース オブジェクト スコープ] フィールドでは、属性ベースのフィルターのセットを定義することで、SuccessFactors のどのユーザー セットを Microsoft Entra ID へのプロビジョニングのスコープに含めるかを選択できます。 既定のスコープは、"SuccessFactors のすべてのユーザー" です。 フィルターの例:

   • 例:1000000 から 2000000 (2000000 を除く) までの personIdExternal を持つユーザーにスコープを設定

     • 属性: personIdExternal

     • 演算子:REGEX Match

     • 値:(1[0-9][0-9][0-9][0-9][0-9][0-9])

   • 例:臨時社員ではなく、従業員のみ

     • 属性:EmployeeID

     • 演算子:IS NOT NULL

   ヒント

   初めてプロビジョニング アプリを構成するときは、属性マッピングと式をテストして検証し、目的の結果が得られていることを確認する必要があります。 Microsoft では、 ソース オブジェクト スコープ のスコープ フィルターを使用して、SuccessFactors のいくつかのテスト ユーザーとのマッピングをテストすることをお勧めします。 マッピングが機能していることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。

   注意

   プロビジョニング エンジンの既定の動作では、スコープ外に出るユーザーが無効化または削除されます。 これは、ご使用の SuccessFactors と Microsoft Entra の統合には望ましくない場合があります。 この既定の動作をオーバーライドするには、記事「スコープ外のユーザー アカウントの削除をスキップする」を参照してください

3. [ ターゲット オブジェクト アクション] フィールドでは、Microsoft Entra ID で実行されるアクションをグローバルにフィルター処理できます。 作成 と 更新 が最も一般的です。

4. [ 属性マッピング ] セクションでは、個々の SuccessFactors 属性を Microsoft Entra 属性にマップする方法を定義できます。

   注

   アプリケーションでサポートされている SuccessFactors 属性の完全な一覧については、「SuccessFactors 属性リファレンス」を参照してください

5. 既存の属性マッピングを選択して更新するか、画面の下部にある [新しいマッピングの追加 ] を選択して新しいマッピングを追加します。 個々の属性マッピングは、次のプロパティをサポートしています。

   • マッピングの種類

     • Direct – SuccessFactors 属性の値を変更なしで Microsoft Entra 属性に書き込みます

     • 定数 - 静的な定数文字列値を Microsoft Entra 属性に書き込む

     • 式 – 1 つ以上の SuccessFactors 属性に基づいて、Microsoft Entra 属性にカスタム値を書き込みます。 詳細については、式に関するこの記事を参照してください。

   • ソース属性 - SuccessFactors のユーザー属性

   • 既定値 – 省略可能。 ソース属性に空の値がある場合、マッピングではこの値が代わりに書き込まれます。 最も一般的な構成では、これを空白のままにします。

   • ターゲット属性 – Microsoft Entra ID のユーザー属性。

   • この属性を使用してオブジェクトを照合 します。このマッピングを使用して SuccessFactors と Microsoft Entra ID の間でユーザーを一意に識別する必要があるかどうか。 この値は、通常、SuccessFactors の Worker ID フィールドで設定され、一般的に Microsoft Entra ID の従業員 ID 属性のいずれかにマッピングされます。

   • 一致する優先順位 – 複数の一致する属性を設定できます。 複数の場合は、このフィールドで定義された順序で評価されます。 1 件でも一致が見つかると、一致する属性の評価はそれ以上行われません。

   • このマッピングを適用する

     • 常に – ユーザー作成アクションと更新アクションの両方にこのマッピングを適用する

     • 作成時のみ - ユーザー作成アクションにのみこのマッピングを適用する

6. マッピングを保存するには、[Attribute-Mapping] セクションの上部にある [保存] を選択します。

属性マッピングの構成が完了したら、 ユーザー プロビジョニング サービスを有効にして起動できるようになりました。

ユーザー プロビジョニングの有効化と起動

SuccessFactors プロビジョニング アプリの構成が完了すると、プロビジョニング サービスを有効にできます。

1. [ プロビジョニング ] タブで、[ プロビジョニングの状態] を [オン] に設定します。

2. [保存] を選択します。

3. この操作により初期同期が開始されます。所要時間数は SuccessFactors テナントのユーザー数に応じて変わる可能性があります。 進行状況バーをチェックして、同期サイクルの進行状況を追跡できます。

4. いつでも、Entra 管理センターの [ プロビジョニング ] タブで、プロビジョニング サービスが実行したアクションを確認します。 プロビジョニング ログには、SuccessFactors から読み込まれたユーザーや、その後 Microsoft Entra ID に追加または更新されたユーザーなど、プロビジョニング サービスによって実行された個々の同期イベントがすべて表示されます。

5. 初期同期が完了すると、次に示すように、[ プロビジョニング ] タブに監査概要レポートが書き込まれます。

   

関連コンテンツ

• 受信プロビジョニングでサポートされている SuccessFactors 属性の詳細
• SuccessFactors への電子メール ライトバックを構成する方法について説明します
• ログを確認し、プロビジョニング アクティビティに関するレポートを取得する方法について説明します
• 他の SaaS アプリケーションを Microsoft Entra ID と統合する方法について説明します