Freigeben über

Konfigurieren von Workday für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Workday mit Microsoft Entra ID integrieren. Die Integration von Workday mit Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf Workday hat.
  • Sie können Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Workday anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Workday-Abonnement, für das einmaliges Anmelden (SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • Workday unterstützt SP-initiiertes SSO.

  • Die mobile Workday-Anwendung kann nun mit Microsoft Entra ID konfiguriert werden, um einmaliges Anmelden zu ermöglichen. Weitere Informationen zur Konfiguration finden Sie unter diesem Link.

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, daher kann in einem Mandanten nur eine Instanz konfiguriert werden.

Um die Integration von Workday mit Microsoft Entra ID zu konfigurieren, müssen Sie Workday aus dem Katalog Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt "Aus Katalog hinzufügen " im Suchfeld " Workday " ein.
  4. Wählen Sie "Workday " aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für Workday

Konfigurieren und testen Sie Microsoft Entra SSO mit Workday mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Workday eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Workday die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO , damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer , um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon für die Verwendung von Microsoft Entra Single Sign-On zu aktivieren.
  2. Konfigurieren Sie Workday , um die SSO-Einstellungen auf Anwendungsseite zu konfigurieren.
    1. Erstellen Sie einen Workday-Testbenutzer , um ein Gegenstück von B.Simon in Workday zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. Testen Sie SSO , um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zur Seite "Workday-Anwendungsintegration" der >>, suchen Sie den Abschnitt "Verwalten", und wählen Sie "Einmaliges Anmelden" aus.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite " Einzel-Sign-On mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Screenshot mit

  5. Geben Sie auf der Seite "Grundlegende SAML-Konfiguration " die Werte für die folgenden Felder ein:

    a) Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein: https://impl.workday.com/<tenant>/login-saml2.flex

    b. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://impl.workday.com/<tenant>/login-saml.htmld

    Abschnitt c. Geben Sie im Textfeld "Abmelde-URL " eine URL mit dem folgenden Muster ein: https://impl.workday.com/<tenant>/login-saml.htmld

    Hinweis

    Diese Werte sind nicht real. Ersetzen Sie diese Werte durch die tatsächlichen Werte für die Anmelde-URL, die Antwort-URL und die Abmelde-URL. Ihre Antwort-URL muss eine Unterdomäne aufweisen (z.B. www, wd2, wd3, wd3-impl, wd5, wd5-impl). Die Verwendung von etwas wie http://www.myworkday.com funktioniert, aber http://myworkday.com funktioniert nicht. Wenden Sie sich an das Workday Client-Supportteam , um diese Werte abzurufen. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

  6. Die Workday-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute, während nameidentifier mit user.userprincipalname zugeordnet ist. Die Workday-Anwendung erwartet, dass nameidentifier mit user.mail, UPN usw. zugeordnet wird. Daher müssen Sie die Attributzuordnung bearbeiten, indem Sie das Symbol "Bearbeiten" auswählen und die Attributzuordnung ändern.

    Screenshot: Benutzerattribute mit ausgewähltem Symbol

    Hinweis

    Hier ist die Namens-ID mit Benutzerprinzipalname (user.userprincipalname) als Standard zugeordnet. Sie müssen die Namens-ID der tatsächlichen Benutzer-ID in Ihrem Workday-Konto (E-Mail-Adresse, UPN usw.) zuordnen, damit einmaliges Anmelden funktioniert.

  7. Suchen Sie auf der Seite Einzelne Sign-On mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Föderationsmetadaten-XML und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Screenshot mit dem Link zum Herunterladen des Zertifikats.

  8. Um die Signaturoptionen gemäß Ihrer Anforderung zu ändern, wählen Sie die Schaltfläche "Bearbeiten " aus, um das Dialogfeld "SAML-Signaturzertifikat " zu öffnen.

    Screenshot mit Zertifikat.

    a) Wählen Sie die SAML-Antwort und -Assertion für die Signaturoption aus.

    b. Wählen Sie "Speichern" aus.

  9. Kopieren Sie im Abschnitt "Workday einrichten " die entsprechenden URL(n) basierend auf Ihrer Anforderung.

    Screenshot mit URLs zum Kopieren der Konfiguration.

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Erstellen und Zuweisen eines Benutzerkontos, Schnellstart zum Erstellen eines Testbenutzerkontos namens B.Simon.

Konfigurieren von Workday

  1. Melden Sie sich in einem anderen Webbrowserfenster auf der Workday-Unternehmenswebsite als Administrator an.

  2. Suchen Sie im Suchfeld mit dem Namen "Mandanteneinrichtung bearbeiten" – Sicherheit auf der oberen linken Seite der Startseite.

    Screenshot mit

  3. Wählen Sie im Abschnitt "SAML Setup " die Option "Identitätsanbieter importieren" aus.

    Screenshot des SAML-Setups.

  4. Führen Sie im Abschnitt "Identitätsanbieter importieren " die folgenden Schritte aus:

    Screenshot des Importidentitätsanbieters.

    a) Geben Sie den Identitätsanbieternamen wie AzureAD im Textfeld ein.

    b. Wählen Sie im Textfeld "Verwendet für Umgebungen " die entsprechenden Umgebungsnamen aus der Dropdownliste aus.

    Abschnitt c. Wählen Sie "Dateien auswählen ", um die heruntergeladene XML-Datei für Verbundmetadaten hochzuladen.

    d. Wählen Sie "OK" aus.

  5. Nachdem Sie "OK" ausgewählt haben, wird eine neue Zeile in den SAML-Identitätsanbietern hinzugefügt, und Sie können dann die folgenden Schritte für die neu erstellte Zeile hinzufügen.

    Screenshot mit SAML-Identitätsanbietern.

    a) Aktivieren Sie das Kontrollkästchen "IdP-initiiertes Abmelden aktivieren ".

    b. Geben Sie im Textfeld "Logout-Antwort-URL" die Zeichenfolge http://www.workday.com ein.

    Abschnitt c. Aktivieren Sie das Kontrollkästchen "Workday-initiierte Abmeldung aktivieren".

    d. Fügen Sie im Textfeld " URL der Abmeldeanforderung " den Wert der Abmelde-URL ein.

    e. Aktivieren Sie das Kontrollkästchen "SP Initiiert ".

    f. Geben Sie im Textfeld " Dienstanbieter-ID " die Zeichenfolge http://www.workday.comein.

    g. Wählen Sie "SP-initiierte Authentifizierungsanforderung nicht verzögern" aus.

    h. Wählen Sie "OK" aus.

    I. Wenn die Aufgabe erfolgreich abgeschlossen wurde, wählen Sie "Fertig" aus.

    Hinweis

    Stellen Sie sicher, dass Sie das einmalige Anmelden ordnungsgemäß eingerichtet haben. Wenn Sie das einmalige Anmelden mit dem falschen Setup aktivieren, können Sie die Anwendung möglicherweise nicht mit Ihren Anmeldeinformationen öffnen und gesperrt werden. In diesem Fall stellt Workday eine Sicherungs-Anmelde-URL bereit, mit der sich Benutzer*innen mit ihrem normalen Benutzernamen und Kennwort im folgenden Format anmelden können: [Ihre Workday-URL]/login.flex?redirect=n

Erstellen eines Workday-Testbenutzers

  1. Melden Sie sich bei der Workday-Unternehmenswebsite als Administrator an.

  2. Wählen Sie "Profil" in der oberen rechten Ecke aus, wählen Sie " Start " und " Verzeichnis auswählen" auf der Registerkarte "Anwendungen " aus.

  3. Wählen Sie auf der Seite "Verzeichnis " die Option " Mitarbeiter suchen " auf der Registerkarte "Ansicht" aus.

    Screenshot mit

  4. Wählen Sie auf der Seite " Mitarbeiter suchen " den Benutzer aus den Ergebnissen aus.

  5. Wählen Sie auf der folgenden Seite "Job > Worker Security " aus, und das Workday-Konto muss mit der Microsoft Entra-ID als Name ID-Wert übereinstimmen.

    Screenshot von Worker Security.

Hinweis

Weitere Informationen zum Erstellen eines Arbeitstag-Testbenutzers finden Sie im Supportteam von Workday Client.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur Workday-Anmelde-URL um, unter der Sie den Anmeldeablauf initiieren können.

  • Rufen Sie direkt die Workday-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Kachel "Arbeitstag" in den "Meine Apps" auswählen, sollten Sie automatisch beim Workday angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Nach dem Konfigurieren von Workday können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.