SAP SuccessFactors を Active Directory ユーザー プロビジョニングに構成する

この記事の目的は、SuccessFactors Employee Central から Active Directory (AD) と Microsoft Entra ID にユーザーをプロビジョニングするために実行する必要がある手順を示し、オプションで SuccessFactors への電子メール アドレスの書き戻しを行います。

次のビデオでは、SAP SuccessFactors とのプロビジョニング統合を計画するときに必要な手順の簡単な概要について説明します。

概要

Microsoft Entra ユーザー プロビジョニング サービスは、ユーザーの ID ライフ サイクルを管理するために SuccessFactors Employee Central と統合されます。

Microsoft Entra のユーザー プロビジョニング サービスでサポートされている SuccessFactors ユーザー プロビジョニング ワークフローは、次の人事管理および ID ライフサイクル管理シナリオを自動化します。

• 新入社員の雇用 - 新しい従業員が SuccessFactors に追加されると、Active Directory、Microsoft Entra ID、および必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされているその他の SaaS アプリケーションにユーザー アカウントが自動的に作成され、電子メール アドレスが SuccessFactors に書き戻されます。

• 従業員の属性とプロファイルの更新 - SuccessFactors で従業員レコード (名前、タイトル、マネージャーなど) が更新されると、ユーザー アカウントは Active Directory、Microsoft Entra ID、および必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされるその他の SaaS アプリケーションで自動的に更新されます。

• 従業員の退職 - SuccessFactors で従業員が退職すると、Active Directory、Microsoft Entra ID、および必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされているその他の SaaS アプリケーションで、ユーザー アカウントが自動的に無効になります。

• 従業員の再雇用 - 従業員が SuccessFactors で再雇用されると、古いアカウントを Active Directory、Microsoft Entra ID、および必要に応じて Microsoft 365 および Microsoft Entra ID でサポートされるその他の SaaS アプリケーションに自動的に再アクティブ化または再プロビジョニングできます (ユーザー設定に応じて)。

このユーザー プロビジョニング ソリューションが最適な場合

この SuccessFactors から Active Directory へのユーザー プロビジョニング ソリューションは、次の場合に最適です。

• SuccessFactors のユーザー プロビジョニングに、あらかじめ用意されたクラウドベースのソリューションを求める組織 (SAP Integration Suite を使って SAP HCM から SuccessFactors にデータを取り込む組織など)

• MICROSOFT Entra を使用して SAP ソースアプリとターゲット アプリを使用してユーザー プロビジョニング用に Microsoft Entra をデプロイしている組織は、ワーカーの ID を設定して、SAP ECC や SAP S/4HANA などの 1 つ以上の SAP アプリケーション、および必要に応じて SAP 以外のアプリケーションにサインインできるようにする

• ユーザーが Windows Server Active Directory 統合アプリケーションと Microsoft Entra ID 統合アプリケーションにアクセスできるように、SuccessFactors から Active Directory への直接ユーザー プロビジョニングを必要とする組織

• SuccessFactors Employee Central (EC) から取得したデータを使用してユーザーをプロビジョニングする必要がある組織

• SuccessFactors Employee Central (EC)で検出された変更情報のみに基づき、参加、移動、または退職するユーザーを1つ以上のActive Directoryのフォレスト、ドメイン、およびOUに同期させる必要がある組織。

• 電子メールに Microsoft 365 を使用している組織

ソリューションのアーキテクチャ

このセクションでは、一般的なハイブリッド環境に向けた、エンド ツー エンドのユーザー プロビジョニング ソリューションのアーキテクチャについて説明します。 2 つの関連するフローがあります。

• 権限のある HR データ フロー – SuccessFactors からオンプレミス Active Directory へ: このフローでは、worker イベント (新入社員、異動、退職など) がクラウド SuccessFactors Employee Central で最初に発生し、次にイベント データが Microsoft Entra ID とプロビジョニング エージェントを介してオンプレミスの Active Directory に流れ込みます。 イベントによっては、AD での作成/更新/有効化/無効化の操作に至る可能性があります。

• 電子メール ライトバック フロー – オンプレミスの Active Directory から SuccessFactors へ: Active Directory でアカウントの作成が完了すると、Microsoft Entra Connect Sync を介して Microsoft Entra ID と同期され、電子メール属性を SuccessFactors に書き戻すことができます。

  

エンド ツー エンドのユーザー データ フロー

1. 人事チームは、SuccessFactors Employee Central で社員のトランザクション (就職者/異動者/退職者または新規雇用/異動/退職) を実行します。
2. Microsoft Entra プロビジョニング サービスは、SuccessFactors EC からの、スケジュールされた ID の同期を実行し、オンプレミスの Active Directory との同期のために処理する必要がある変更を識別します。
3. Microsoft Entra プロビジョニング サービスは、AD アカウントの作成/更新/有効化/無効化の操作を含む要求ペイロードを使用して、オンプレミスの Microsoft Entra Connect プロビジョニング エージェントを呼び出します。
4. Microsoft Entra Connect プロビジョニング エージェントは、サービス アカウントを使用して AD アカウントのデータを追加/更新します。
5. Microsoft Entra Connect 同期エンジンによってデルタ同期が実行され、AD 内の更新がプルされます。
6. Active Directory の更新は、Microsoft Entra ID と同期されます。
7. SuccessFactors ライトバック アプリが構成されている場合、使用された一致する属性に基づいて、SuccessFactors に電子メール属性が書き戻されます。

デプロイの計画

SuccessFactors から AD へのクラウド人事駆動型のユーザー プロビジョニングを構成するには、次のようなさまざまな側面をカバーするかなりの計画が必要です。

• Microsoft Entra Connect プロビジョニング エージェントの設定
• AD ユーザー プロビジョニング アプリにデプロイする SuccessFactors の数
• 一致する ID、属性マッピング、変換、およびスコープ フィルター

これらのトピックに関する包括的なガイドラインについては、 クラウド人事デプロイ計画 を参照してください。 サポートされているエンティティ、処理の詳細、さまざまな人事シナリオに合わせて統合をカスタマイズする方法については、 SAP SuccessFactors 統合リファレンス を参照してください。

統合のための SuccessFactors の構成

すべての SuccessFactors プロビジョニング コネクタの一般的な要件は、SuccessFactors OData API を呼び出すための適切なアクセス許可を持つ SuccessFactors アカウントの資格情報が必要なことです。 このセクションでは、SuccessFactors でサービス アカウントを作成し、適切なアクセス許可を付与する手順を説明します。

• SuccessFactors で API ユーザー アカウントを作成/識別する
• API アクセス許可ロールを作成する
• API ユーザーのアクセス許可グループを作成する
• アクセス許可グループに権限ロールを付与する

SuccessFactors で API ユーザー アカウントを作成または識別する

SuccessFactors 管理チームまたは実装パートナーと協力して、OData API を呼び出すために SuccessFactors のユーザー アカウントを作成または識別します。 Microsoft Entra ID でプロビジョニング アプリを構成する場合、このアカウントのユーザー名とパスワードの資格情報が必要になります。

API アクセス許可ロールを作成する

1. Admin Center にアクセスできるユーザーアカウントで SAP SuccessFactors にログインします。

2. [ アクセス許可ロールの管理] を検索し、検索結果から [ アクセス許可ロールの管理 ] を選択します。

3. アクセス許可ロールの一覧で、[ 新規作成] を選択します。

   

4. 新しいアクセス許可 ロールのロール名 と 説明 を追加します。 名前と説明では、このロールが API 使用アクセス許可されていることを示す必要があります。

5. [アクセス許可の設定] で [ アクセス許可...] を選択し、アクセス許可の一覧を下にスクロールし、[ 統合ツールの管理] を選択します。 [ 管理者が基本認証を使用して OData API にアクセスできるようにする] チェック ボックスをオンにします。

   

6. 同じボックスを下にスクロールし、[ Employee Central API] を選択します。 次に示すように、ODATA API を使用して読み取り、ODATA API を使用して編集するためのアクセス許可を追加します。 SuccessFactors への書き戻しシナリオに同じアカウントを使用する場合は、編集オプションを選択してください。

   

7. 同じアクセス許可ボックスで、[ ユーザーのアクセス許可] -> Employee Data に移動し、サービス アカウントが SuccessFactors テナントから読み取ることができる属性を確認します。 たとえば、SuccessFactors から Username 属性を取得するには、この属性に対して "表示" アクセス許可が付与されていることを確認します。 同様に、各属性の表示アクセス許可を確認してください。

   

   注

   このプロビジョニング アプリによって取得される属性の完全な一覧については、「SuccessFactors 属性リファレンス」を参照してください

8. [ 完了] を選択します。 [ 変更の保存] を選択します。

API ユーザーのアクセス許可グループを作成する

1. SuccessFactors 管理センターで、[ アクセス許可グループの管理] を検索し、検索結果から [アクセス許可グループの管理 ] を選択します。

   

2. [アクセス許可グループの管理] ウィンドウで、[ 新規作成] を選択します。

   

3. 新しいグループのグループ名を追加します。 グループ名は、グループが API ユーザー用であることを示す必要があります。

   

4. グループにメンバーを追加します。 たとえば、[ユーザー プール] ドロップダウン メニューから [ユーザー名 ] を選択し、統合に使用する API アカウントのユーザー名を入力できます。

   

5. [ 完了] を 選択して、アクセス許可グループの作成を完了します。

許可グループに許可ロールを付与する

1. SuccessFactors 管理センターで、[ アクセス許可ロールの管理] を検索し、検索結果から [ アクセス許可ロールの管理 ] を選択します。
2. アクセス許可ロールの一覧から、API の使用アクセス許可用に作成したロールを選択します。
3. この役割を付与する相手...で、追加...ボタンを選択します。
4. ドロップダウン メニューから [アクセス許可グループ...] を選択し、[ 選択]... を選択して [グループ] ウィンドウを開き、上で作成したグループを検索して選択します。
5. アクセス許可グループに対するアクセス許可ロールの付与を確認します。
6. [ 変更の保存] を選択します。

SuccessFactors から Active Directory へのユーザー プロビジョニングの構成

このセクションでは、SuccessFactors から、統合の範囲内にある各 Active Directory ドメインへのユーザー アカウントのプロビジョニングの手順について説明します。

• プロビジョニング コネクタ アプリを追加し、プロビジョニング エージェントをダウンロードする
• オンプレミスのプロビジョニング エージェントをインストールして構成する
• SuccessFactors と Active Directory への接続を構成する
• 属性マッピングの構成
• ユーザー プロビジョニングを有効にして起動する

パート 1: プロビジョニング コネクタ アプリを追加し、プロビジョニング エージェントをダウンロードする

SuccessFactors から Active Directory へのプロビジョニングを構成するには:

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>エンタープライズ アプリ>新しいアプリケーションを開きます。

3. Active Directory ユーザー プロビジョニングに対する SuccessFactors を検索し、ギャラリーからそのアプリを追加します。

4. アプリが追加され、アプリの詳細画面が表示されたら、[プロビジョニング] を選択します

5. プロビジョニングモードを自動に変更する

6. 表示された情報バナーを選択して、プロビジョニング エージェントをダウンロードします。

   

パート 2: オンプレミス プロビジョニング エージェントのインストールと構成

オンプレミスの Active Directory にプロビジョニングするには、目的の Active Directory ドメインへのネットワーク アクセスを備えたドメイン参加済みのサーバーに、プロビジョニング エージェントがインストールされている必要があります。

ダウンロードしたエージェント インストーラーをサーバー ホストに転送し、 エージェントのインストール セクションに 記載されている手順に従ってエージェントの構成を完了します。

パート 3: プロビジョニング アプリで、SuccessFactors と Active Directory の接続を構成します。

この手順では、SuccessFactors と Active Directory との接続を確立します。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. パート 1 で作成した Active Directory ユーザー プロビジョニング アプリに >> SuccessFactors を参照する

3. 次のように、[ 管理者資格情報] セクションに入力します。

   • 管理者ユーザー名 – SuccessFactors API ユーザー アカウントのユーザー名を入力し、会社 ID を追加します。 次の形式があります: username@companyID

   • 管理者パスワード – SuccessFactors API ユーザー アカウントのパスワードを入力します。

   • テナント URL – SuccessFactors OData API サービス エンドポイントの名前を入力します。 http または https なしでサーバーのホスト名のみを入力してください。 この値は、<api-server-name>.successfactors.com のようになります。

   • Active Directory フォレスト - エージェントに登録されている Active Directory ドメインの "名前" です。 ドロップダウンを使用して、プロビジョニングのターゲット ドメインを選択します。 通常、この値は次のような文字列です: contoso.com

   • Active Directory コンテナー - エージェントが既定でユーザー アカウントを作成するコンテナー DN を入力します。 例: OU=Users,DC=contoso,DC=com

     注

     この設定は、 parentDistinguishedName 属性が属性マッピングで構成されていない場合にのみ、ユーザー アカウントの作成で有効になります。 この設定は、ユーザーの検索や更新の操作には使用されません。 ドメインのサブツリー全体が、検索操作の範囲内になります。

   • 通知メール – メール アドレスを入力し、[失敗した場合にメールを送信する] チェック ボックスをオンにします。

     注

     プロビジョニング ジョブが 検疫 状態になった場合、Microsoft Entra プロビジョニング サービスは電子メール通知を送信します。

   • [ テスト接続 ] ボタンを選択します。 接続テストが成功した場合は、上部にある [保存] ボタンを選択します。 失敗する場合は、エージェントのセットアップで構成された SuccessFactors 資格情報と AD 資格情報が有効であることを再確認します。

   • 資格情報が正常に保存されると、「マッピング」セクションに既定のマッピング「SuccessFactorsユーザーをオンプレミスのActive Directoryに同期」が表示されます。

パート 4:属性マッピングの構成

このセクションでは、ユーザー データが SuccessFactors から Active Directory に流れる方法を構成します。

1. [ マッピング] の [プロビジョニング] タブで、[ SuccessFactors ユーザーをオンプレミス Active Directory に同期する] を選択します。

2. [ ソース オブジェクト スコープ] フィールドでは、属性ベースのフィルターのセットを定義することで、AD へのプロビジョニングのスコープに含める SuccessFactors のユーザー セットを選択できます。 既定のスコープは 、SuccessFactors のすべてのユーザーです。 フィルターの例:

   • 例:1000000 から 2000000 (2000000 を除く) までの personIdExternal を持つユーザーにスコープを設定

     • 属性: personIdExternal

     • 演算子:REGEX Match

     • 値:(1[0-9][0-9][0-9][0-9][0-9][0-9])

   • 例:臨時社員ではなく、従業員のみ

     • 属性:EmployeeID

     • 演算子:IS NOT NULL

   ヒント

   初めてプロビジョニング アプリを構成するときは、属性マッピングと式をテストして検証し、目的の結果が得られていることを確認する必要があります。 Microsoft では、 ソース オブジェクト スコープ のスコープ フィルターを使用して、SuccessFactors のいくつかのテスト ユーザーとのマッピングをテストすることをお勧めします。 マッピングが機能していることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。

   注意事項

   プロビジョニング エンジンの既定の動作では、スコープ外に出るユーザーが無効化または削除されます。 これはご使用の SuccessFactors と AD の統合には望ましくない場合があります。 この既定の動作をオーバーライドするには、記事「スコープ外のユーザー アカウントの削除をスキップする」を参照してください

3. [ ターゲット オブジェクト アクション] フィールドでは、Active Directory で実行されるアクションをグローバルにフィルター処理できます。 作成 と 更新 が最も一般的です。

4. [ 属性マッピング ] セクションでは、個々の SuccessFactors 属性を Active Directory 属性にマップする方法を定義できます。

   注

   アプリケーションでサポートされている SuccessFactors 属性の完全な一覧については、「SuccessFactors 属性リファレンス」を参照してください

5. 既存の属性マッピングを選択して更新するか、画面の下部にある [新しいマッピングの追加 ] を選択して新しいマッピングを追加します。 個々の属性マッピングは、次のプロパティをサポートしています。

   • マッピングの種類

     • Direct – SuccessFactors 属性の値を AD 属性に書き込みますが、変更はありません。

     • 定数 - 静的な定数文字列値を AD 属性に書き込む

     • 式 – 1 つ以上の SuccessFactors 属性に基づいて、AD 属性にカスタム値を書き込みます。 詳細については、式に関するこの記事を参照してください。

   • ソース属性 - SuccessFactors のユーザー属性

   • 既定値 – 省略可能。 ソース属性に空の値がある場合、マッピングではこの値が代わりに書き込まれます。 最も一般的な構成では、これを空白のままにします。

   • ターゲット属性 – Active Directory のユーザー属性。

   • この属性を使用してオブジェクトを照合 します。このマッピングを使用して SuccessFactors と Active Directory の間でユーザーを一意に識別する必要があるかどうか。 この値は、通常、SuccessFactors の Worker ID フィールドで設定され、通常は Active Directory の従業員 ID 属性のいずれかにマッピングされます。

   • 一致する優先順位 – 複数の一致する属性を設定できます。 複数の場合は、このフィールドで定義された順序で評価されます。 1 件でも一致が見つかると、一致する属性の評価はそれ以上行われません。

   • このマッピングを適用する

     • 常に – ユーザー作成アクションと更新アクションの両方にこのマッピングを適用する

     • 作成時のみ - ユーザー作成アクションにのみこのマッピングを適用する

6. マッピングを保存するには、[Attribute-Mapping] セクションの上部にある [保存] を選択します。

属性マッピングの構成が完了したら、オンデマンド プロビジョニングを使用して 1 人のユーザーのプロビジョニング を テストし、 ユーザー プロビジョニング サービスを有効にして起動できます。

ユーザー プロビジョニングの有効化と起動

SuccessFactors プロビジョニング アプリの構成が完了し、オンデマンド プロビジョニングを使用して 1 人のユーザーのプロビジョニング を確認したら、プロビジョニング サービスを有効にすることができます。

1. [ プロビジョニング ] ブレードに移動し、[ プロビジョニングの開始] を選択します。

2. この操作により初期同期が開始されます。所要時間数は SuccessFactors テナントのユーザー数に応じて変わる可能性があります。 進行状況バーをチェックして、同期サイクルの進行状況を追跡できます。

3. いつでも、Entra 管理センターの [ プロビジョニング ] タブで、プロビジョニング サービスが実行したアクションを確認します。 プロビジョニング ログには、SuccessFactors から読み込まれたユーザーや、その後 Active Directory に追加または更新されたユーザーなど、プロビジョニング サービスによって実行された個々の同期イベントがすべて表示されます。

4. 初期同期が完了すると、次に示すように、[ プロビジョニング ] タブに監査概要レポートが書き込まれます。

   

関連コンテンツ

• 受信プロビジョニングでサポートされている SuccessFactors 属性の詳細
• SuccessFactors への電子メール ライトバックを構成する方法について説明します
• ログを確認し、プロビジョニング アクティビティに関するレポートを取得する方法について説明します
• SuccessFactors と Microsoft Entra ID の間でシングル サインオンを構成する方法について説明します
• 他の SaaS アプリケーションを Microsoft Entra ID と統合する方法について説明します
• プロビジョニング構成をエクスポートおよびインポートする方法について説明します