Um die SAP-SuccessFactors-Integration (SF) zu aktivieren, sind die Anmeldedaten für die Clientanwendung und ein Integrationsbenutzer erforderlich, der als Ressourceninhaber fungiert (definiert, auf welche Ressourcen und Einheiten zugegriffen werden kann). Das bedeutet, dass du eine neue OAuth2-Clientanwendung registrieren und einen speziellen Benutzer mit Zugriffsberechtigungen für die individuellen Felder erstellen musst, die Beekeeper synchronisieren soll.

Neue OAuth2-Clientanwendung

Zum Beginnen, melde dich bei SAP-SuccessFactors an:

Gehe zum Administrator Center

Suche nach „OAuth2-Clientanwendungen“

Klicke auf „Clientanwendung registrieren“.

Fülle diese Felder aus:

• Anwendungsname: Beekeeper-Integration
• Beschreibung: Einige Informationen zum Zweck der Anwendung.
• Anwendungs-URL: https://www.beekeeper.io

Klicke auf „X.509-Zertifikat generieren“.

Um das Zertifikat zu erstellen, fülle mindestens die mit „ * “ markierten Pflichtfelder aus.

Bitte beachte, dass du die Zertifikatgültigkeit festlegen kannst. Es wird empfohlen, dass du die Anzahl der Tage gemäß dem Vertragswert des durch Beekeeper erworbenen SAP-Connectors festlegst.

Sobald die Felder ausgefüllt sind, klicke auf „Generieren“.

Kehre dann zurück zum vorherigen Menü mit einem X.509-Zertifikat.

Klicke auf „Herunterladen“, um den privaten Teil des Zertifikats zu speichern, den du später mit Beekeeper teilst. Du musst das Zertifikat jetzt herunterladen, da SuccessFactors diesen Teil des Zertifikats nicht speichert.

Du kehrst zurück zur kürzlich erstellten „OAuth-Clientanwendung“ , um auf die Firma und den API-Schlüssel zuzugreifen. Bitte merke dir diese Werte, da du diese später zum Teilen  mit Beekeeper benötigst.

Integrationsnutzer erstellen

Beekeeper benötigt App-Details und einen technischen Nutzer, der für das Erstellen von OData-API-Anfragen für SuccessFactors genutzt wird. Dieser Nutzer braucht eine Berechtigung, um diese Anfragen zu tätigen und auf die bei Beekeeper zu importierenden Mitarbeiterdaten zuzugreifen.

Für diesen Zweck sollte ein neuer Nutzer über den Neuen Mitarbeiter hinzufügen-Assistenten erstellt werden.

Die ID dieses Nutzers wird von Beekeeper für die Integration angefordert.

So gewährt der Benutzer die erforderlichen Berechtigungen:

Der Nutzer wird einer Berechtigungsgruppe zugewiesen, die einer Berechtigungsrolle zugewiesen ist, in der die erforderlichen Berechtigungen festgelegt sind.

Neue Berechtigungsgruppe

Gehe jetzt zum Administrator Center zurück und klicke auf „Mitarbeiter verwalten“, „Nutzerberechtigungen festlegen“ und dann auf „Berechtigungsgruppen verwalten“.

Klicke auf „Neue erstellen“, um eine neue Berechtigungsgruppe anzulegen. Benenne die Berechtigungsgruppe „Beekeeper Connector-Berechtigungsgruppe“ und weise es dem zuvor erstellten „Beekeeper Connector“ zu.

Wenn du fertig bist, klickst du auf „Fertig“, um die Berechtigungsgruppe zu erstellen.

Neue Berechtigungsrolle

Der zweite Schritt ist das Erstellen einer neuen Berechtigungsrolle mit den erforderlichen Berechtigungen.  Greife auf das Menü der Berechtigungsrollenliste zu, indem du nach „Berechtigungsrollenliste“ suchst.

Klicke auf „Neue erstellen“. Das führt dazu, dass du zu „Berechtigungsrollendetails“ weitergeleitet wirst, wo du einen Rollennamen und eine Beschreibung angeben kannst.

Hier wird die erforderliche Berechtigung für die Kommunikation mit SAP-SF mit dem Integrationsnutzer erwartungsgemäß hinzugefügt. Die erforderlichen Berechtigungen sind:

• Administratorzugriff auf MDF-OData-API: Mit der MDF-Berechtigung können wir die Änderungsdaten von Metadatenfeldern verfolgen, was eine teilweise Synchronisierung ermöglicht. Es wird NICHT von selbst der Zugriff auf Daten gewährt, und du musst weiterhin explizit den Zugriff auf die Daten über andere Berechtigungen gewähren.
• Damit die Integration funktioniert, musst du mindestens die Berechtigung „Zentrale effektive datierte Mitarbeiterentitäten > Persönliche Informationsaktionen (aktuelle anzeigen)“ gewähren sowie den Zugriff auf die aktuellen Werte aller Felder, die mit Beekeeper synchronisiert werden sollen. Die erforderlichen Mindestfeldberechtigungen sind:

         * Mitarbeiterdaten > Biografische Informationen 

         * Mitarbeiterdaten > Kündigungsdatum

         * Mitarbeiterdaten > Beschäftigungsdetails-MSS 

Hier ist ein Beispiel, wie du Berechtigungen hinzufügen kannst: Klicke in Bereich 2 für die Berechtigungseinstellungen auf den Button „Berechtigung“ und wähle die hier angezeigten Optionen:

Am Ende sollten die Berechtigungen ungefähr so aussehen, abhängig davon, welche Felder benötigt werden:

Der letzte Schritt ist das Zuweisen dieser Rolle an die zuvor erstellte Gruppe, die den technischen Benutzer enthält. Gehe zu Bereich 3 und klicke auf „Hinzufügen“. Wähle die Berechtigungsgruppe, indem du auf „Auswählen …“ klickst.

Speichere die Änderungen. Die endgültige Konfiguration sollte folgendermaßen aussehen: 

Klicke auf „Änderungen speichern“. Daraufhin wird deine neue Berechtigungsrolle im Menü aufgelistet.

Jetzt kannst du loslegen!

Was soll ich an Beekeeper senden?

Beekeeper benötigt einige Anmeldeinformationen, um sich mit SAP zu verbinden:

• Client-ID – API-Schlüssel einer zuvor bei SAP-SF abonnierten OAuth-App (in diesem Fall die Beekeeper-Integrations-App).
• Nutzer-ID – ID des technischen Nutzers für die Tokenanfrage.
• Privater Schlüssel – Privater Schlüssel des Zertifikats wurde hinzugefügt zur oder generiert für die zuvor in SAP-SF abonnierten Integrations-App (Beekeeper-Integrations-App).
• Firmen-ID – Firmen-ID, der die Firma bei SAP-SF repräsentiert.
• Basis-URL – URL für die SAP-Instanz (z. B. https://apisalesdemo4. successfactors.com/odata/v2/)

Deinstallation der SAP SuccessFactors-Integration

Wenn die App bei Beekeeper deinstalliert ist, solltest du auch die bei SAP-SF registrierte App deinstallieren oder einfach deaktivieren und die erstellten Berechtigungen der Beekeeper Connector-Berechtigungsrolle widerrufen.