Um die SAP-SuccessFactors-Integration (SF) zu aktivieren, sind die Anmeldedaten für die Clientanwendung und ein Integrationsbenutzer erforderlich, der als Ressourceninhaber fungiert (definiert, auf welche Ressourcen und Einheiten zugegriffen werden kann). Das bedeutet, dass Du eine neue OAuth2-Clientanwendung registrieren und einen speziellen Nutzer mit Zugriffsberechtigungen für die individuellen Felder erstellen musst, die Beekeeper synchronisieren soll.

Neue OAuth2-Clientanwendung

Um zu beginnen, melde Dich bei SAP-SuccessFactors an:

1. Gehe zum Admin Center.

2. Suche nach „OAuth2-Client Applications“.

3. Klicke auf „Register Client Application“.

4. Fülle diese Felder aus:

• Application Name: Beekeeper-Integration
• Description: Einige Informationen zum Zweck der Anwendung.
• Application URL: https://www.beekeeper.io

5. Klicke auf „Generate X.509 Certificate“.

Um das Zertifikat zu erstellen, fülle mindestens die mit * markierten Pflichtfelder aus.

Bitte beachte, dass Du die Zertifikatsgültigkeit festlegen kannst. Wir empfehlen, die Anzahl Tage gemäß der Vertragsdauer des über Beekeeper erworbenen SAP-Connectors festzulegen.

Sobald die Felder ausgefüllt sind, klicke auf „Generate“.

Du kehrst dann mit einem X.509-Zertifikat zum vorherigen Menü zurück.

Klicke auf „Herunterladen“, um den privaten Teil des Zertifikats zu speichern, den Du später mit Beekeeper teilst. Du musst das Zertifikat jetzt herunterladen, da SuccessFactors diesen Teil des Zertifikats nicht speichert.

Danach kehrst Du zur kürzlich erstellten „OAuth2 Client Application“ zurück, um auf die Company und den API Key zuzugreifen. Bitte notiere Dir diese Werte, da Du sie später mit Beekeeper teilen musst.

Integrationsnutzer erstellen

Beekeeper benötigt App-Details und einen technischen Nutzer, der für das Erstellen von OData-API-Anfragen für SuccessFactors genutzt wird. Dieser Nutzer braucht eine Berechtigung, um diese Anfragen zu tätigen und auf die bei Beekeeper zu importierenden Mitarbeiterdaten zuzugreifen.

Zu diesem Zweck sollte ein neuer Nutzer über Add New Employee erstellt werden.

Die ID dieses Nutzers wird von Beekeeper für die Integration angefordert.

So gewährt der Nutzer die erforderlichen Berechtigungen:

Der Nutzer wird einer Berechtigungsgruppe zugewiesen, die ihrerseits einer Berechtigungsrolle zugewiesen ist, in der die erforderlichen Berechtigungen festgelegt sind.

Neue Berechtigungsgruppe

Gehe jetzt zum Admin Center zurück und klicke auf „Manage Employees“, „Set User Permissions“ und dann auf „Manage Permission Groups“.

Klicke auf „Create New“, um eine neue Berechtigungsgruppe anzulegen. Benenne die Berechtigungsgruppe „Beekeeper Connector Permission Group“ und weise sie dem zuvor erstellten „Beekeeper Connector“ zu.

Wenn Du fertig bist, klicke auf „Done“, um die Berechtigungsgruppe zu erstellen.

Neue Berechtigungsrolle

Der zweite Schritt ist das Erstellen einer neuen Berechtigungsrolle mit den erforderlichen Berechtigungen. Greife auf das Menü der „Permission Role List“ zu, indem Du nach „Permission Role List“ suchst.

Klicke auf „Create New“. Das führt dazu, dass Du zu „Permission Role Details“ weitergeleitet wirst, wo Du einen Rollennamen und eine Beschreibung angeben kannst.

Hier wird die erforderliche Berechtigung für die Kommunikation mit SAP-SF mit dem Integrationsnutzer hinzugefügt. Die erforderlichen Berechtigungen sind:

• Administratorzugriff auf MDF-OData-API: Mit der MDF-Berechtigung können wir die Änderungsdaten von Metadatenfeldern verfolgen, was eine teilweise Synchronisierung ermöglicht. Der Datenzugriff wird NICHT von selbst gewährt; Du musst den Datenzugriff weiterhin explizit über andere Berechtigungen gewähren.
• Damit die Integration funktioniert, musst Du mindestens die Berechtigung „Employee Central Effective Dated Entities > Personal Information Actions (View Current)“ gewähren sowie den Zugriff auf die aktuellen Werte aller Felder, die mit Beekeeper synchronisiert werden sollen. Die erforderlichen Mindestberechtigungen sind:

         * Mitarbeiterdaten > Biografische Informationen 

         * Mitarbeiterdaten > Kündigungsdatum

         * Mitarbeiterdaten > Beschäftigungsdetails-MSS 

Hier ist ein Beispiel, wie Du Berechtigungen hinzufügen kannst: Klicke in Bereich 2 für die Berechtigungseinstellungen auf den Button „Permission settings“ und wähle die hier angezeigten Optionen:

Am Ende sollten die Berechtigungen ungefähr so aussehen, abhängig davon, welche Felder benötigt werden:

Der letzte Schritt ist das Zuweisen dieser Rolle an die zuvor erstellte Gruppe, die den technischen Nutzer enthält. Gehe zu Bereich 3 und klicke auf „Add“. Wähle die Berechtigungsgruppe, indem Du auf „Select …“ klickst.

Speichere die Änderungen. Die endgültige Konfiguration sollte folgendermaßen aussehen: 

Klicke auf „Save Changes“. Daraufhin wird Deine neue Berechtigungsrolle im Menü aufgelistet.

Jetzt kannst Du loslegen!

Was soll ich an Beekeeper senden?

Beekeeper benötigt einige Anmeldeinformationen, um sich mit SAP zu verbinden:

• Client-ID — API-Schlüssel einer zuvor bei SAP-SF abonnierten OAuth-App (in diesem Fall die Beekeeper-Integrations-App).
• Nutzer-ID – ID des technischen Nutzers für die Tokenanfrage.
• Privater Schlüssel – Privater Schlüssel des Zertifikats wurde hinzugefügt zur oder generiert für die zuvor in SAP-SF abonnierten Integrations-App (Beekeeper-Integrations-App).
• Firmen-ID – Firmen-ID, der die Firma bei SAP-SF repräsentiert.
• Basis-URL – URL für die SAP-Instanz (z. B. https://apisalesdemo4. successfactors.com/odata/v2/)

Deinstallation der SAP-SuccessFactors-Integration

Wenn die App bei Beekeeper deinstalliert ist, solltest Du auch die bei SAP-SF registrierte App deinstallieren oder einfach deaktivieren und die erstellten Berechtigungen der Beekeeper-Connector-Berechtigungsrolle widerrufen.