Conector SAP SuccessFactors

Categoría: Conectores API

Introducción

Este documento le ayuda a configurar un conector mindzieDataDesigner para SAP SuccessFactors. mindzieDataDesigner es la herramienta ETL usada por mindzieStudio para convertir datos en registros de eventos para minería de procesos. SAP SuccessFactors es una suite basada en la nube de Human Experience Management (HXM) que provee capacidades de recursos humanos, nómina, gestión del talento y análisis de la fuerza laboral. Este conector utiliza la API OData de SuccessFactors con autenticación OAuth 2.0 para extraer datos de recursos humanos para minería de procesos.

Resumen

El conector SAP SuccessFactors utiliza la API OData v2 para proporcionar acceso seguro y de solo lectura a datos de SuccessFactors. Este conector soporta autenticación OAuth 2.0 con aserción portadora SAML 2.0 usando certificados X.509, que es el método de autenticación recomendado para integraciones servidor a servidor.

Capacidades clave:

  • Extraer datos de Employee Central (perfiles de empleados, historial laboral, estructura organizacional)
  • Acceder a gestión de tiempo, nómina y datos de talento
  • Acceso de solo lectura para garantizar integridad de datos
  • Autenticación segura OAuth 2.0 con certificados X.509

Requisitos del Sistema

  • Instancia de SAP SuccessFactors con acceso API habilitado
  • Acceso de administrador al SuccessFactors Admin Center
  • Capacidad para crear y gestionar usuarios API y aplicaciones OAuth

Prerrequisitos

Antes de configurar el conector, asegúrese de tener:

  • Acceso Admin Center: Permiso para acceder al SuccessFactors Admin Center
  • Gestión de Usuarios: Permiso para crear usuarios técnicos/API
  • Configuración OAuth: Permiso para registrar aplicaciones cliente OAuth2
  • Permisos Basados en Roles (RBP): Permiso para crear y asignar grupos y roles de permisos
  • Gestión de Certificados: Capacidad para generar u obtener certificados X.509

Credenciales Requeridas por mindzie

Tras completar la configuración, proporcione las siguientes credenciales a mindzie:

Credencial Descripción Ejemplo
Company ID Identificador de su empresa en SuccessFactors mycompanyPROD
API Server URL Punto de endpoint API OData para su centro de datos https://api15.sapsf.com
Technical User ID Nombre de usuario de la cuenta de servicio API mindzie_api_user
API Key ID de cliente de la aplicación OAuth registrada NGYzNzg1YjctZDM4...
Private Key Clave privada del certificado X.509 (Certificate.pem) (Contenido archivo PEM)

Paso 1: Determine la URL de su Servidor API

SAP SuccessFactors usa diferentes centros de datos. Su URL de servidor API depende de cuál centro de datos aloja su instancia.

Mapeo de Centro de Datos a URL API

Centro de Datos Ubicación URL Servidor API
DC2 Ámsterdam https://api2.successfactors.eu
DC4 Ashburn https://api4.successfactors.com
DC5 Sídney https://api5.successfactors.com
DC8 Frankfurt https://api8.successfactors.eu
DC10 Ashburn (Gobierno EE.UU.) https://api10.successfactors.com
DC12 Ámsterdam https://api012.successfactors.eu
DC15 Shanghái https://api15.sapsf.cn
DC17 Ashburn https://api17.sapsf.com
DC18 Rot https://api18.sapsf.eu
DC19 Sídney https://api19.sapsf.com
DC20 Tokio https://api20.sapsf.com
DC22 Riad https://api22.sapsf.com
DC23 Moscú https://api23.sapsf.com
DC24 Frankfurt https://api24.sapsf.eu
DC25 EAU https://api25.sapsf.com
DC26 Singapur https://api26.sapsf.com
DC27 Mumbai https://api27.sapsf.com
DC28 Canadá https://api28.sapsf.com

Cómo encontrar su centro de datos:

  1. Inicie sesión en SuccessFactors
  2. Observe la URL en su navegador: el centro de datos típicamente aparece en el dominio (por ejemplo, performancemanager4.successfactors.com indica DC4)
  3. O contacte al administrador de SuccessFactors

Paso 2: Encuentre su Company ID

  1. Inicie sesión en SAP SuccessFactors Admin Center
  2. Navegue a Company Settings o Company System and Logo Settings
  3. El Company ID aparece en esta página
  4. Usualmente es una cadena como mycompanyPROD o ACME_Corp_Production

Método alternativo:

  • Revise la URL de inicio de sesión SuccessFactors – el Company ID a menudo forma parte de esta URL
  • Contacte a su administrador de SuccessFactors

Paso 3: Cree un Usuario Técnico API

Cree una cuenta de servicio dedicada para la integración mindzie. Este usuario nunca debe usarse para accesos interactivos.

  1. Vaya a Admin Center -> Manage Employees
  2. Haga clic en Add New Employee o Add New User
  3. Complete los campos requeridos:
    • Username: mindzie_api_user (o la convención que prefiera)
    • First Name: mindzie
    • Last Name: API Service
    • Email: Correo electrónico monitoreado de cuenta de servicio
  4. Establezca una contraseña segura (se usará solo en la configuración inicial)
  5. Importante: Este usuario debe ser marcado como "usuario técnico" o "cuenta de servicio" si su instancia soporta esta distinción
  6. Guarde el usuario

Nota: Anote el nombre de usuario - será suministrado a mindzie como Technical User ID.

Paso 4: Cree un Grupo de Permisos

Cree un grupo de permisos para gestionar los permisos de acceso API.

  1. Vaya a Admin Center -> Manage Permission Groups
  2. Haga clic en Create New para crear un grupo nuevo
  3. Configure el grupo:
    • Group Name: mindzie_API_Access (o similar)
    • Description: Grupo de permisos para acceso API de minería de procesos mindzie
  4. Añada el usuario técnico creado en el Paso 3 a este grupo
  5. Guarde el grupo de permisos

Paso 5: Cree un Rol de Permisos de Solo Lectura

Cree un rol que otorgue acceso de solo lectura a los datos necesarios para minería de procesos.

  1. Vaya a Admin Center -> Manage Permission Roles

  2. Haga clic en Create New para crear un nuevo rol

  3. Configure el rol:

    • Role Name: mindzie_ReadOnly_Role
    • Description: Acceso de solo lectura para integración de minería de procesos mindzie

  4. Asignar Grupo de Permisos: Asigne el grupo de permisos creado en el Paso 4

  5. Configurar Permisos: Active los siguientes permisos según sus requerimientos de datos:

Permisos de Administrador

Permiso Descripción
Acceso administrador a OData API Requerido para acceso API
Acceso administrador a Metadata Framework Acceso a metadatos de entidades

Permisos de Usuario

Permiso Descripción
Employee Central OData API Acceso a datos de Employee Central
Time Management OData API Acceso a datos de gestión de tiempo
Compensation OData API Acceso a datos de compensación

Permisos de Datos de Empleados

Permiso Descripción
Employee Data - View Ver información de perfil de empleado
Employment Details - View Ver historial laboral
Job Information - View Ver datos de trabajo y posición
Organizational Data - View Ver estructura organizacional
Personal Information - View Ver detalles personales
Compensation Information - View Ver salario y datos de compensación

Nota: Otorgue solo los permisos mínimos necesarios para su caso de uso de minería de procesos. Los permisos específicos dependen de los módulos y datos de SuccessFactors que desea analizar.

  1. Guarde el rol de permisos

Paso 6: Registre la Aplicación Cliente OAuth2

Registre una aplicación cliente OAuth2 para autenticación API segura.

6.1 Genere el Certificado X.509

Necesita un certificado X.509 para autenticación OAuth. Puede:

  • Usar un certificado empresarial existente
  • Generar un certificado autofirmado

Para generar un certificado autofirmado (usando OpenSSL):

# Genere clave privada y certificado (válido por 2 años)
openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 730 -out certificate.pem -subj "/CN=mindzie-sf-integration/O=Your Company/C=US"

Importante: Mantenga segura la clave privada (private_key.pem). Esta será proporcionada a mindzie.

6.2 Registre la Aplicación OAuth

  1. Vaya a Admin Center -> Manage OAuth2 Client Applications

  2. Haga clic en Register Client Application

  3. Configure la aplicación:

    • Application Name: mindzie Process Mining Integration
    • Description: Cliente OAuth2 para extracción de datos mindzie
    • Application URL: https://mindzie.com (o según lo provea mindzie)

  4. Suba el Certificado X.509:

    • Suba el archivo certificate.pem generado
    • El certificado se usará para firmar la aserción SAML

  5. Acceso API:

    • Seleccione las API a las que esta aplicación tendrá acceso
    • Como mínimo, habilite acceso a OData API

  6. Haga clic en Register para completar el registro

  7. Anote el API Key: Tras el registro, el sistema muestra una API Key (también llamada Client ID). Anote este valor - se entregará a mindzie.

Paso 7: Proporcione las Credenciales a mindzie

Transmita de forma segura las siguientes credenciales a mindzie:

Credencial Valor
Company ID Identificador de empresa del Paso 2
API Server URL URL de centro de datos del Paso 1
Technical User ID Usuario del Paso 3
API Key Client ID del Paso 6
Private Key Contenido de private_key.pem del Paso 6.1

Recomendaciones de seguridad:

  • Use transferencia de archivos segura o correo electrónico cifrado
  • Nunca envíe todas las credenciales en un solo mensaje
  • Considere usar un servicio seguro de compartición de credenciales
  • Elimine copias temporales tras la transmisión

Resumen de Permisos Requeridos en SuccessFactors

Los siguientes permisos son necesarios para la integración mindzie:

Permisos Mínimos Requeridos

  • Acceso administrador a OData API
  • Employee Central OData API (datos de Employee Central)
  • Employee Data - View
  • Employment Details - View

Permisos Adicionales Recomendados (según caso de uso)

  • Job Information - View
  • Organizational Data - View
  • Personal Information - View
  • Compensation Information - View
  • Time Management OData API
  • Compensation OData API

Prueba de la Conexión (Opcional)

Puede verificar la configuración API usando SAP Business Accelerator Hub:

  1. Vaya a SAP Business Accelerator Hub
  2. Busque las APIs de "SAP SuccessFactors"
  3. Use la función "Try Out" con sus credenciales
  4. Pruebe una consulta simple como recuperar la entidad de información de la empresa

Alternativa: Uso de cURL

# Este es un ejemplo simplificado - el flujo real de OAuth es más complejo
curl -X GET "https://[your-api-server]/odata/v2/User?$top=1" \
  -H "Authorization: Bearer [your-oauth-token]" \
  -H "Accept: application/json"

Configuración del Cortafuegos

Acceso Saliente Requerido

Los servidores mindzie necesitan acceso HTTPS saliente a su centro de datos SuccessFactors:

Puerto Protocolo Destino Propósito
443 HTTPS Su URL de servidor API (del Paso 1) Llamadas a OData API

No se Requieren Puertos Entrantes

La integración mindzie es completamente saliente desde mindzie hacia SuccessFactors. No se requieren reglas entrantes en su cortafuegos.

Listas Blancas de IP (Opcional)

Para mayor seguridad, puede restringir acceso API a direcciones IP mindzie:

  1. Contacte soporte mindzie para obtener las IP actuales
  2. Configure restricciones IP en SuccessFactors Admin Center si está soportado
  3. O configure su cortafuegos para permitir solo IPs de mindzie para acceder a SuccessFactors

Revocación de Acceso

Si necesita deshabilitar la integración mindzie:

Revocación Inmediata

  1. Vaya a Admin Center -> Manage OAuth2 Client Applications
  2. Busque la aplicación mindzie
  3. Haga clic en Revoke o Disable para invalidar inmediatamente las credenciales OAuth

Remoción Completa

  1. Revoque la aplicación OAuth (como arriba)
  2. Elimine o desactive el usuario técnico API creado en el Paso 3
  3. Elimine el rol de permisos creado en el Paso 5
  4. Elimine el grupo de permisos creado en el Paso 4

Resolución de Problemas

Errores de Autenticación OAuth

"Invalid client credentials"

  • Verifique que el API Key (Client ID) sea correcto
  • Asegúrese que la aplicación OAuth no esté revocada o deshabilitada
  • Compruebe que el certificado X.509 no esté vencido

"SAML assertion failed"

  • Verifique que la clave privada coincida con el certificado registrado
  • Asegúrese que el Technical User ID sea correcto y el usuario esté activo
  • Revise que el Company ID sea correcto

Errores de Permisos Denegados

"Insufficient privileges"

  • Verifique que el usuario técnico esté asignado al grupo de permisos correcto
  • Revise que el rol de permisos tenga las autorizaciones API habilitadas necesarias
  • Asegúrese de que se otorgue acceso administrador a OData API

"Entity not accessible"

  • Es posible que la entidad específica requiera permisos adicionales
  • Verifique la configuración RBP para la entidad en cuestión
  • Consulte la documentación SAP para permisos específicos de cada entidad

Problemas con Certificados

"Certificate expired"

  • Genere un nuevo certificado X.509
  • Actualice el certificado en el registro de la aplicación OAuth
  • Proporcione la nueva clave privada a mindzie

"Certificate not trusted"

  • Para certificados autofirmados, asegure que el certificado esté correctamente cargado
  • Para certificados empresariales, verifique la cadena de certificación

Límites de Tasa API

SAP SuccessFactors aplica límites de tasa en la API. Si encuentra limitaciones:

  • mindzie implementa un control de la tasa adecuado
  • Contacte a soporte SAP para incrementos de límite si es necesario
  • Considere filtrar datos a nivel de consulta para reducir llamadas API

Tiempo de Espera de Conexión

"Connection timed out"

  • Verifique que la URL de servidor API sea correcta para su centro de datos
  • Compruebe la conectividad de red y reglas de cortafuegos
  • Asegúrese de que SuccessFactors no esté experimentando una interrupción

Información Relacionada

Fuentes y Referencias

Esta documentación se basa en las siguientes fuentes:

Documentación Oficial SAP

Recursos de la Comunidad SAP