SAP SuccessFactors Connector

Categorie: API Connectors

Inleiding

Dit document helpt u bij het opzetten van een mindzieDataDesigner-connector naar SAP SuccessFactors. De mindzieDataDesigner is de ETL-tool die door mindzieStudio wordt gebruikt om data om te zetten naar process mining event logs. SAP SuccessFactors is een cloudgebaseerde Human Experience Management (HXM) suite die HR-, salarisadministratie-, talentmanagement- en workforce analytics-mogelijkheden biedt. Deze connector gebruikt de SuccessFactors OData API met OAuth 2.0 authenticatie om HR-gegevens voor process mining te extraheren.

Overzicht

De SAP SuccessFactors-connector gebruikt de OData v2 API om veilige, alleen-lezen toegang te bieden tot SuccessFactors-gegevens. Deze connector ondersteunt OAuth 2.0 authenticatie met SAML 2.0 bearer assertion via X.509-certificaten, wat de aanbevolen authenticatiemethode is voor server-naar-server integraties.

Belangrijke mogelijkheden:

  • Gegevens uit Employee Central extraheren (medewerkersprofielen, arbeidsverleden, organisatiestructuur)
  • Toegang tot tijdbeheer, salarisadministratie en talentgegevens
  • Alleen-lezen toegang ter borging van data-integriteit
  • Veilige OAuth 2.0 authenticatie met X.509-certificaten

Systeemvereisten

  • SAP SuccessFactors-instantie met ingeschakelde API-toegang
  • Beheerdersrechten voor SuccessFactors Admin Center
  • Mogelijkheid om API-gebruikers en OAuth-applicaties aan te maken en te beheren

Voorwaarden

Voordat u de connector configureert, zorg ervoor dat u:

  • Toegang tot Admin Center: machtiging om het SuccessFactors Admin Center te openen
  • Gebruikersbeheer: machtiging om technische/API-gebruikers aan te maken
  • OAuth-configuratie: machtiging om OAuth2 client-applicaties te registreren
  • Rolgebaseerde machtigingen (RBP): machtiging om permissiegroepen en rollen aan te maken en toe te wijzen
  • Certificaatbeheer: mogelijkheid om X.509-certificaten te genereren of te verkrijgen

Door mindzie Vereiste Inloggegevens

Na voltooiing van de setup dient u de volgende inloggegevens aan mindzie te verstrekken:

Inloggegeven Beschrijving Voorbeeld
Company ID Uw SuccessFactors bedrijfs-ID mycompanyPROD
API Server URL OData API endpoint voor uw datacenter https://api15.sapsf.com
Technische Gebruikers-ID Gebruikersnaam van het API serviceaccount mindzie_api_user
API Key Client ID van de OAuth-applicatieregistratie NGYzNzg1YjctZDM4...
Private Key Privésleutel van het X.509-certificaat (Certificate.pem) (PEM-bestandsinhoud)

Stap 1: Bepaal uw API Server URL

SAP SuccessFactors maakt gebruik van verschillende datacenters. Uw API server URL is afhankelijk van welk datacenter uw instantie host.

Mapping Datacenter naar API-URL

Datacenter Locatie API Server URL
DC2 Amsterdam https://api2.successfactors.eu
DC4 Ashburn https://api4.successfactors.com
DC5 Sydney https://api5.successfactors.com
DC8 Frankfurt https://api8.successfactors.eu
DC10 Ashburn (VS Overheid) https://api10.successfactors.com
DC12 Amsterdam https://api012.successfactors.eu
DC15 Shanghai https://api15.sapsf.cn
DC17 Ashburn https://api17.sapsf.com
DC18 Rot https://api18.sapsf.eu
DC19 Sydney https://api19.sapsf.com
DC20 Tokyo https://api20.sapsf.com
DC22 Riyadh https://api22.sapsf.com
DC23 Moskou https://api23.sapsf.com
DC24 Frankfurt https://api24.sapsf.eu
DC25 VAE https://api25.sapsf.com
DC26 Singapore https://api26.sapsf.com
DC27 Mumbai https://api27.sapsf.com
DC28 Canada https://api28.sapsf.com

Zo vindt u uw datacenter:

  1. Log in op SuccessFactors
  2. Bekijk de URL in uw browser – het datacenter wordt meestal aangeduid in het domein (bijv. performancemanager4.successfactors.com wijst op DC4)
  3. Of neem contact op met uw SuccessFactors-beheerder

Stap 2: Zoek uw Company ID

  1. Log in op SAP SuccessFactors Admin Center
  2. Navigeer naar Bedrijfsinstellingen of Company System and Logo Settings
  3. De Company ID wordt op deze pagina weergegeven
  4. Dit is meestal een string zoals mycompanyPROD of ACME_Corp_Production

Alternatieve methode:

  • Controleer uw SuccessFactors-login-URL – de company ID maakt vaak deel uit van de URL
  • Neem contact op met uw SuccessFactors-beheerder

Stap 3: Maak een Technische API-gebruiker aan

Maak een dedicated serviceaccount voor de mindzie-integratie aan. Deze gebruiker mag nooit gebruikt worden voor interactieve logins.

  1. Ga naar Admin Center -> Manage Employees
  2. Klik op Add New Employee of Add New User
  3. Vul de verplichte velden in:
    • Gebruikersnaam: mindzie_api_user (of een eigen naamgevingsconventie)
    • Voornaam: mindzie
    • Achternaam: API Service
    • E-mail: Een gemonitord serviceaccount e-mailadres
  4. Stel een veilig wachtwoord in (dit wordt alleen voor de initiële setup gebruikt)
  5. Belangrijk: Markeer deze gebruiker als een "technische gebruiker" of "serviceaccount" als uw instantie dit onderscheid ondersteunt
  6. Sla de gebruiker op

Opmerking: Noteer de gebruikersnaam – deze wordt aan mindzie gegeven als Technische Gebruikers-ID.

Stap 4: Maak een Permissiegroep aan

Maak een permissiegroep aan om API-toegangsrechten te beheren.

  1. Ga naar Admin Center -> Manage Permission Groups
  2. Klik op Create New om een nieuwe permissiegroep aan te maken
  3. Configureer de groep:
    • Groepsnaam: mindzie_API_Access (of vergelijkbaar)
    • Omschrijving: Permissiegroep voor mindzie process mining API-toegang
  4. Voeg de technische gebruiker uit Stap 3 toe aan deze groep
  5. Sla de permissiegroep op

Stap 5: Maak een Alleen-Lezen Permissierol aan

Maak een rol aan die alleen-lezen toegang verleent tot de data die nodig is voor process mining.

  1. Ga naar Admin Center -> Manage Permission Roles

  2. Klik op Create New om een nieuwe rol aan te maken

  3. Configureer de rol:

    • Rolnaam: mindzie_ReadOnly_Role
    • Omschrijving: Alleen-lezen toegang voor mindzie process mining-integratie

  4. Verleen Permissiegroep: Ken de permissiegroep uit Stap 4 toe

  5. Configureer Permissies: Schakel de volgende permissies in gebaseerd op uw databehoeften:

Administrator Permissies

Permissie Beschrijving
Admin toegang tot OData API Vereist voor API-toegang
Admin toegang tot Metadata Framework Toegang tot entiteit-metadata

Gebruikerspermissies

Permissie Beschrijving
Employee Central OData API Toegang tot Employee Central-gegevens
Time Management OData API Toegang tot tijdregistratiedata
Compensation OData API Toegang tot beloningsdata

Medewerkergegevens Permissies

Permissie Beschrijving
Medewerkersgegevens - Bekijken Bekijk medewerkersprofielinformatie
Arbeidsdetails - Bekijken Bekijk arbeidsverleden
Functie-informatie - Bekijken Bekijk functie- en positiedata
Organisatiegegevens - Bekijken Bekijk organisatiestructuur
Persoonlijke informatie - Bekijken Bekijk persoonlijke gegevens
Beloningsinformatie - Bekijken Bekijk salaris- en beloningsdata

Opmerking: Verleen alleen de minimale permissies die nodig zijn voor uw process mining gebruikssituatie. De benodigde specifieke permissies hangen af van welke SuccessFactors-modules en data u wilt analyseren.

  1. Sla de permissierol op

Stap 6: Registreer OAuth2 Client Applicatie

Registreer een OAuth2 client applicatie voor veilige API-authenticatie.

6.1 Genereer X.509 Certificaat

U heeft een X.509-certificaat nodig voor OAuth-authenticatie. U kunt ofwel:

  • Een bestaand bedrijfs-certificaat gebruiken
  • Een zelfondertekend certificaat genereren

Om een zelfondertekend certificaat te genereren (met OpenSSL):

# Genereer privésleutel en certificaat (geldig voor 2 jaar)
openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 730 -out certificate.pem -subj "/CN=mindzie-sf-integration/O=Your Company/C=US"

Belangrijk: Bewaar de privésleutel (private_key.pem) veilig. Deze wordt aan mindzie verstrekt.

6.2 Registreer de OAuth Applicatie

  1. Ga naar Admin Center -> Manage OAuth2 Client Applications

  2. Klik op Register Client Application

  3. Configureer de applicatie:

    • Applicatienaam: mindzie Process Mining Integration
    • Omschrijving: OAuth2 client voor mindzie data-extractie
    • Applicatie URL: https://mindzie.com (of zoals door mindzie verstrekt)

  4. Upload het X.509 Certificaat:

    • Upload het eerder gegenereerde certificate.pem
    • Het certificaat wordt gebruikt voor het ondertekenen van de SAML-assertion

  5. API Toegang:

    • Selecteer de API's waartoe de applicatie toegang moet hebben
    • Selecteer minimaal OData API

  6. Klik op Register om de registratie te voltooien

  7. Noteer de API Key: Na registratie toont het systeem een API Key (ook Client ID genoemd). Noteer deze waarde; deze wordt aan mindzie verstrekt.

Stap 7: Verstrek de Inloggegevens aan mindzie

Stuur de volgende inloggegevens op een beveiligde manier naar mindzie:

Inloggegeven Waarde
Company ID Uw bedrijfs-ID uit Stap 2
API Server URL Uw datacenter-URL uit Stap 1
Technische Gebruikers-ID Gebruikersnaam uit Stap 3
API Key Client ID uit Stap 6
Private Key Inhoud van private_key.pem uit Stap 6.1

Beveiligingsaanbevelingen:

  • Gebruik beveiligde bestandsoverdracht of versleutelde e-mail
  • Verstuur nooit alle inloggegevens in één bericht
  • Overweeg een beveiligde dienst voor delen van inloggegevens
  • Verwijder tijdelijke kopieën na transmissie

Vereiste SuccessFactors Permissies Samenvatting

De volgende permissies zijn vereist voor de mindzie-integratie:

Minimaal Vereiste Permissies

  • Admin toegang tot OData API
  • Employee Central OData API (voor Employee Central gegevens)
  • Medewerkersgegevens - Bekijken
  • Arbeidsdetails - Bekijken

Aanbevolen Extra Permissies (afhankelijk van gebruikssituatie)

  • Functie-informatie - Bekijken
  • Organisatiegegevens - Bekijken
  • Persoonlijke informatie - Bekijken
  • Beloningsinformatie - Bekijken
  • Time Management OData API
  • Compensation OData API

Verbinding Testen (Optioneel)

U kunt uw API-configuratie verifiëren met de SAP Business Accelerator Hub:

  1. Ga naar SAP Business Accelerator Hub
  2. Zoek naar "SAP SuccessFactors" API's
  3. Gebruik de "Try Out" functie met uw inloggegevens
  4. Test een eenvoudige query zoals het ophalen van de bedrijfsinformatie-entiteit

Alternatief: met cURL

# Dit is een vereenvoudigd voorbeeld - de werkelijke OAuth-flow is complexer
curl -X GET "https://[your-api-server]/odata/v2/User?$top=1" \
  -H "Authorization: Bearer [your-oauth-token]" \
  -H "Accept: application/json"

Firewallconfiguratie

Uitgaande Toegang Vereist

mindzie-servers hebben uitgaande HTTPS-toegang nodig tot uw SuccessFactors datacenter:

Poort Protocol Bestemming Doel
443 HTTPS Uw API Server URL (uit Stap 1) OData API-aanroepen

Geen Inkomende Poorten Vereist

De mindzie-integratie maakt uitsluitend uitgaande verbindingen van mindzie naar SuccessFactors. Er zijn geen inkomende firewallregels vereist op uw netwerk.

IP Whitelisting (Optioneel)

Voor verbeterde beveiliging kunt u API-toegang beperken tot mindzie IP-adressen:

  1. Neem contact op met mindzie support voor de actuele IP-adressen
  2. Configureer IP-restricties in SuccessFactors Admin Center indien ondersteund
  3. Of configureer uw netwerkfirewall om alleen mindzie IP's toe te staan tot SuccessFactors

Toegang Intrekken

Als u de mindzie-integratie wilt uitschakelen:

Onmiddellijke Intrekking

  1. Ga naar Admin Center -> Manage OAuth2 Client Applications
  2. Zoek de mindzie-applicatie
  3. Klik op Revoke of Disable om de OAuth-credentials direct ongeldig te maken

Volledige Verwijdering

  1. Intrek de OAuth-applicatie (zoals hierboven)
  2. Verwijder of deactiveer de technische API-gebruiker uit Stap 3
  3. Verwijder de permissierol uit Stap 5
  4. Verwijder de permissiegroep uit Stap 4

Problemen Oplossen

OAuth Authenticatiefouten

"Invalid client credentials"

  • Controleer of de API Key (Client ID) correct is
  • Zorg dat de OAuth-applicatie niet ingetrokken of uitgeschakeld is
  • Controleer of het X.509-certificaat niet verlopen is

"SAML assertion failed"

  • Controleer of de privésleutel overeenkomt met het certificaat dat in SuccessFactors is geregistreerd
  • Zorg dat de Technische Gebruikers-ID juist is en dat de gebruiker actief is
  • Controleer of de Company ID correct is

Permissies Geweigerd Fouten

"Insufficient privileges"

  • Controleer of de technische gebruiker is toegewezen aan de juiste permissiegroep
  • Controleer of de permissierol de benodigde API-permissies heeft ingeschakeld
  • Zorg dat admin toegang tot OData API is verleend

"Entity not accessible"

  • De specifieke entiteit kan aanvullende permissies vereisen
  • Controleer RBP-instellingen voor de betreffende entiteit
  • Raadpleeg SAP-documentatie voor entiteit-specifieke permissies

Certificaatproblemen

"Certificate expired"

  • Genereer een nieuw X.509-certificaat
  • Update het certificaat in de OAuth-applicatieregistratie
  • Lever de nieuwe privésleutel aan mindzie

"Certificate not trusted"

  • Bij zelfondertekende certificaten, zorg dat het certificaat correct is geüpload
  • Bij bedrijfs-certificaten, controleer de certificaatketen

API Rate Limits

SAP SuccessFactors hanteert API rate limits. Bij rate limiting:

  • mindzie implementeert gepaste throttling
  • Neem contact op met SAP support voor verhoging van limieten indien nodig
  • Overweeg filtering van data op queryniveau om API-aanroepen te verminderen

Verbindings Time-out

"Connection timed out"

  • Verifieer dat de API Server URL correct is voor uw datacenter
  • Controleer netwerkconnectiviteit en firewallregels
  • Controleer of SuccessFactors geen storing heeft

Gerelateerde Informatie

Bronnen en Referenties

Deze documentatie is gebaseerd op de volgende bronnen:

Officiële SAP Documentatie

SAP Community Bronnen