Connecteur SAP SuccessFactors

Catégorie : Connecteurs API

Introduction

Ce document vous aide à configurer un connecteur mindzieDataDesigner vers SAP SuccessFactors. mindzieDataDesigner est l’outil ETL utilisé par mindzieStudio pour convertir les données en journaux d'événements pour le process mining. SAP SuccessFactors est une suite cloud de gestion de l'expérience humaine (HXM) offrant des fonctionnalités RH, paie, gestion des talents et analyses de la main-d'œuvre. Ce connecteur utilise l’API OData de SuccessFactors avec une authentification OAuth 2.0 pour extraire les données RH pour le process mining.

Vue d'ensemble

Le connecteur SAP SuccessFactors utilise l’API OData v2 pour fournir un accès sécurisé en lecture seule aux données SuccessFactors. Ce connecteur supporte l’authentification OAuth 2.0 avec assertion porteuse SAML 2.0 utilisant des certificats X.509, méthode recommandée pour les intégrations serveur à serveur.

Fonctionnalités clés :

  • Extraction des données Employee Central (profils employés, historique d’emploi, structure organisationnelle)
  • Accès aux données de gestion du temps, paie et talents
  • Accès en lecture seule garantissant l’intégrité des données
  • Authentification OAuth 2.0 sécurisée avec certificats X.509

Exigences système

  • Instance SAP SuccessFactors avec accès API activé
  • Accès administrateur au SuccessFactors Admin Center
  • Capacité à créer et gérer des utilisateurs API et des applications OAuth

Prérequis

Avant de configurer le connecteur, assurez-vous de disposer de :

  • Accès Admin Center : Permission d’accéder au SuccessFactors Admin Center
  • Gestion des utilisateurs : Permission de créer des utilisateurs techniques/API
  • Configuration OAuth : Permission d’enregistrer des applications client OAuth2
  • Permissions basées sur les rôles (RBP) : Permission de créer et attribuer des groupes et rôles de permission
  • Gestion des certificats : Capacité à générer ou obtenir des certificats X.509

Identifiants requis par mindzie

Après avoir finalisé la configuration, fournissez les identifiants suivants à mindzie :

Identifiant Description Exemple
Company ID Identifiant de votre entreprise SuccessFactors mycompanyPROD
API Server URL Point de terminaison de l’API OData pour votre centre de données https://api15.sapsf.com
Technical User ID Nom d’utilisateur du compte de service API mindzie_api_user
API Key Client ID issu de l’enregistrement de l’application OAuth NGYzNzg1YjctZDM4...
Private Key Clé privée provenant du certificat X.509 (Certificate.pem) (Contenu du fichier PEM)

Étape 1 : Déterminez votre URL de serveur API

SAP SuccessFactors utilise différents centres de données. L’URL de votre serveur API dépend du centre de données qui héberge votre instance.

Correspondance Centre de données et URL API

Centre de données Emplacement URL Serveur API
DC2 Amsterdam https://api2.successfactors.eu
DC4 Ashburn https://api4.successfactors.com
DC5 Sydney https://api5.successfactors.com
DC8 Frankfurt https://api8.successfactors.eu
DC10 Ashburn (US Gov) https://api10.successfactors.com
DC12 Amsterdam https://api012.successfactors.eu
DC15 Shanghai https://api15.sapsf.cn
DC17 Ashburn https://api17.sapsf.com
DC18 Rot https://api18.sapsf.eu
DC19 Sydney https://api19.sapsf.com
DC20 Tokyo https://api20.sapsf.com
DC22 Riyadh https://api22.sapsf.com
DC23 Moscou https://api23.sapsf.com
DC24 Frankfurt https://api24.sapsf.eu
DC25 EAU https://api25.sapsf.com
DC26 Singapour https://api26.sapsf.com
DC27 Mumbai https://api27.sapsf.com
DC28 Canada https://api28.sapsf.com

Pour trouver votre centre de données :

  1. Connectez-vous à SuccessFactors
  2. Regardez l’URL dans votre navigateur – le centre de données est généralement indiqué dans le domaine (exemple : performancemanager4.successfactors.com indique DC4)
  3. Ou contactez votre administrateur SuccessFactors

Étape 2 : Trouvez votre Company ID

  1. Connectez-vous au SAP SuccessFactors Admin Center
  2. Naviguez vers Company Settings ou Company System and Logo Settings
  3. Le Company ID s’affiche sur cette page
  4. Il s’agit généralement d’une chaîne telle que mycompanyPROD ou ACME_Corp_Production

Méthode alternative :

  • Vérifiez l’URL de connexion SuccessFactors – l’identifiant entreprise est souvent présent dans l’URL
  • Contactez votre administrateur SuccessFactors

Étape 3 : Créez un utilisateur API technique

Créez un compte de service dédié pour l’intégration mindzie. Cet utilisateur ne doit jamais être utilisé pour des connexions interactives.

  1. Allez dans Admin Center -> Manage Employees
  2. Cliquez sur Add New Employee ou Add New User
  3. Remplissez les champs requis :
    • Username : mindzie_api_user (ou selon votre convention de nommage)
    • First Name : mindzie
    • Last Name : API Service
    • Email : adresse email surveillée d’un compte de service
  4. Définissez un mot de passe sécurisé (utilisé uniquement pour la configuration initiale)
  5. Important : cet utilisateur doit être marqué comme « utilisateur technique » ou « compte de service » si votre instance supporte cette distinction
  6. Sauvegardez l’utilisateur

Note : Notez le nom d’utilisateur – il sera fourni à mindzie comme Technical User ID.

Étape 4 : Créez un groupe de permissions

Créez un groupe de permissions pour gérer les droits d’accès API.

  1. Allez dans Admin Center -> Manage Permission Groups
  2. Cliquez sur Create New pour créer un nouveau groupe de permissions
  3. Configurez le groupe :
    • Group Name : mindzie_API_Access (ou similaire)
    • Description : Groupe de permissions pour l’accès API process mining mindzie
  4. Ajoutez l’utilisateur technique créé à l’Étape 3 dans ce groupe
  5. Sauvegardez le groupe de permissions

Étape 5 : Créez un rôle de permission en lecture seule

Créez un rôle accordant un accès en lecture seule aux données nécessaires pour le process mining.

  1. Allez dans Admin Center -> Manage Permission Roles

  2. Cliquez sur Create New pour créer un nouveau rôle

  3. Configurez le rôle :

    • Role Name : mindzie_ReadOnly_Role
    • Description : Accès en lecture seule pour intégration mindzie process mining

  4. Attribuez le groupe de permissions : Assignez le groupe créé à l’Étape 4

  5. Configurez les permissions : Activez les permissions suivantes selon vos besoins en données :

Permissions administrateur

Permission Description
Admin access to OData API Nécessaire pour l’accès API
Admin access to Metadata Framework Accès aux métadonnées des entités

Permissions utilisateur

Permission Description
Employee Central OData API Accès aux données Employee Central
Time Management OData API Accès aux données de suivi du temps
Compensation OData API Accès aux données de rémunération

Permissions données employés

Permission Description
Employee Data - View Voir les informations de profil employé
Employment Details - View Voir l’historique d’emploi
Job Information - View Voir les données emploi et poste
Organizational Data - View Voir la structure organisationnelle
Personal Information - View Voir les détails personnels
Compensation Information - View Voir les données de salaire et rémunération

Note : Accordez uniquement les permissions minimales requises pour votre cas d’usage process mining. Les permissions spécifiques dépendent des modules et données SuccessFactors à analyser.

  1. Sauvegardez le rôle de permissions

Étape 6 : Enregistrez l’application client OAuth2

Enregistrez une application client OAuth2 pour une authentification API sécurisée.

6.1 Génération du certificat X.509

Vous avez besoin d’un certificat X.509 pour l’authentification OAuth. Vous pouvez soit :

  • Utiliser un certificat d’entreprise existant
  • Générer un certificat auto-signé

Pour générer un certificat auto-signé (avec OpenSSL) :

# Génère clé privée et certificat (valide 2 ans)
openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 730 -out certificate.pem -subj "/CN=mindzie-sf-integration/O=Your Company/C=US"

Important : Gardez la clé privée (private_key.pem) en sécurité. Elle sera fournie à mindzie.

6.2 Enregistrement de l’application OAuth

  1. Allez dans Admin Center -> Manage OAuth2 Client Applications

  2. Cliquez sur Register Client Application

  3. Configurez l’application :

    • Application Name : mindzie Process Mining Integration
    • Description : Client OAuth2 pour extraction de données mindzie
    • Application URL : https://mindzie.com (ou selon indication de mindzie)

  4. Importez le certificat X.509 :

    • Importez le fichier certificate.pem généré précédemment
    • Le certificat est utilisé pour signer l’assertion SAML

  5. Accès API :

    • Sélectionnez les API accessibles par cette application
    • Au minimum, activez l’accès OData API

  6. Cliquez sur Register pour finaliser l’enregistrement

  7. Notez l’API Key : Après l’enregistrement, le système affiche une API Key (aussi appelée Client ID). Conservez cette valeur – elle sera donnée à mindzie.

Étape 7 : Fournissez les identifiants à mindzie

Transmettez de manière sécurisée les identifiants suivants à mindzie :

Identifiant Valeur
Company ID Identifiant entreprise de l’Étape 2
API Server URL URL de votre centre de données de l’Étape 1
Technical User ID Nom d’utilisateur de l’Étape 3
API Key Client ID de l’Étape 6
Private Key Contenu de private_key.pem de l’Étape 6.1

Recommandations de sécurité :

  • Utilisez un transfert de fichier sécurisé ou un email chiffré
  • Ne transmettez jamais tous les identifiants dans un même message
  • Envisagez un service sécurisé de partage d’identifiants
  • Supprimez les copies temporaires après transmission

Résumé des permissions requises dans SuccessFactors

Les permissions suivantes sont nécessaires pour l’intégration mindzie :

Permissions minimales requises

  • Admin access to OData API
  • Employee Central OData API (données Employee Central)
  • Employee Data - View
  • Employment Details - View

Permissions additionnelles recommandées (selon cas d’usage)

  • Job Information - View
  • Organizational Data - View
  • Personal Information - View
  • Compensation Information - View
  • Time Management OData API
  • Compensation OData API

Tester la connexion (optionnel)

Vous pouvez vérifier votre configuration API avec le SAP Business Accelerator Hub :

  1. Rendez-vous sur SAP Business Accelerator Hub
  2. Recherchez les API "SAP SuccessFactors"
  3. Utilisez la fonction "Try Out" avec vos identifiants
  4. Testez une requête simple, comme la récupération de l’entité d’information sur l’entreprise

Alternative : utiliser cURL

# Exemple simplifié – le flux OAuth réel est plus complexe
curl -X GET "https://[your-api-server]/odata/v2/User?$top=1" \
  -H "Authorization: Bearer [your-oauth-token]" \
  -H "Accept: application/json"

Configuration du pare-feu

Accès sortant requis

Les serveurs mindzie ont besoin d’un accès HTTPS sortant vers votre centre de données SuccessFactors :

Port Protocole Destination But
443 HTTPS Votre API Server URL (de l’Étape 1) Appels API OData

Aucun port entrant requis

L’intégration mindzie est entièrement sortante depuis mindzie vers SuccessFactors. Aucune règle de pare-feu entrante n’est requise sur votre réseau.

Liste blanche IP (optionnel)

Pour plus de sécurité, vous pouvez restreindre l’accès API aux adresses IP mindzie :

  1. Contactez le support mindzie pour obtenir les adresses IP actuelles
  2. Configurez les restrictions IP dans le SuccessFactors Admin Center si disponible
  3. Ou configurez votre pare-feu réseau pour autoriser uniquement les IP mindzie vers SuccessFactors

Révocation d’accès

Si vous devez désactiver l’intégration mindzie :

Révocation immédiate

  1. Allez dans Admin Center -> Manage OAuth2 Client Applications
  2. Trouvez l’application mindzie
  3. Cliquez sur Revoke ou Disable pour invalider immédiatement les identifiants OAuth

Suppression complète

  1. Révoquez l’application OAuth (ci-dessus)
  2. Supprimez ou désactivez l’utilisateur API technique créé à l’Étape 3
  3. Supprimez le rôle de permissions créé à l’Étape 5
  4. Supprimez le groupe de permissions créé à l’Étape 4

Dépannage

Erreurs d’authentification OAuth

« Invalid client credentials »

  • Vérifiez que l’API Key (Client ID) est correcte
  • Assurez-vous que l’application OAuth n’est pas révoquée ou désactivée
  • Vérifiez que le certificat X.509 n’est pas expiré

« SAML assertion failed »

  • Vérifiez que la clé privée correspond au certificat enregistré dans SuccessFactors
  • Assurez-vous que le Technical User ID est correct et que l’utilisateur est actif
  • Vérifiez que le Company ID est correct

Erreurs de permission refusée

« Insufficient privileges »

  • Vérifiez que l’utilisateur technique est dans le groupe de permissions correct
  • Vérifiez que le rôle de permission a les droits API requis activés
  • Assurez-vous que l’accès admin à l’API OData est accordé

« Entity not accessible »

  • L’entité spécifique peut nécessiter des permissions supplémentaires
  • Vérifiez les réglages RBP pour l’entité concernée
  • Consultez la documentation SAP pour les permissions spécifiques par entité

Problèmes de certificat

« Certificate expired »

  • Générez un nouveau certificat X.509
  • Mettez à jour le certificat dans l’enregistrement de l’application OAuth
  • Fournissez la nouvelle clé privée à mindzie

« Certificate not trusted »

  • Pour les certificats auto-signés, assurez-vous que le certificat est correctement importé
  • Pour les certificats d’entreprise, vérifiez la chaîne de confiance

Limites de taux API

SAP SuccessFactors applique des limites de taux API. En cas de limitation :

  • mindzie applique un contrôle d’accès approprié
  • Contactez le support SAP pour une augmentation des quotas si nécessaire
  • Envisagez de filtrer les données au niveau de la requête pour réduire les appels API

Délai d’attente de connexion

« Connection timed out »

  • Vérifiez que l’URL du serveur API correspond à votre centre de données
  • Contrôlez la connectivité réseau et les règles de pare-feu
  • Assurez-vous que SuccessFactors ne connaît pas de panne

Informations complémentaires

Sources et références

Cette documentation est basée sur les sources suivantes :

Documentation officielle SAP

Ressources de la communauté SAP