Configuración de Workday para el aprovisionamiento automático de usuarios con microsoft Entra ID

2025-06-18

El objetivo de este artículo es mostrar los pasos que debe realizar para aprovisionar perfiles de trabajo de Workday en Active Directory (AD) local.

Nota:

Use este artículo, si los usuarios a los que quiere aprovisionar desde Workday necesitan una cuenta de AD local y una cuenta de Microsoft Entra.

Si los usuarios de Workday solo necesitan una cuenta de Microsoft Entra (usuarios solo en la nube), consulte el artículo sobre la configuración del aprovisionamiento de usuarios de Workday a Microsoft Entra ID .
Para configurar la escritura diferida de atributos como la dirección de correo electrónico, el nombre de usuario y el número de teléfono de Microsoft Entra ID a Workday, consulte el artículo sobre la configuración de la escritura diferida de Workday.

En el vídeo siguiente se proporciona información general rápida de los pasos necesarios al planear la integración del aprovisionamiento con Workday.

Información general

El servicio de aprovisionamiento de usuarios de Microsoft Entra se integra con la API de recursos humanos de Workday para aprovisionar cuentas de usuario. El flujo de trabajo de aprovisionamiento de usuarios de Workday compatible con el servicio de aprovisionamiento de usuarios de Microsoft Entra permite la automatización de los siguientes escenarios de recursos humanos y de administración del ciclo de vida de identidades:

Contratación de nuevos empleados - cuando se agrega un nuevo empleado a Workday, se crea automáticamente una cuenta de usuario en Active Directory, Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID, con la retroalimentación de la información de contacto gestionada por TI a Workday.
Actualizaciones de perfiles y atributos de empleado: cuando se actualiza un registro de empleado en Workday (por ejemplo, su nombre, título o administrador), su cuenta de usuario se actualiza automáticamente en Active Directory, Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con microsoft Entra ID.
Despidos de empleados: cuando un empleado finaliza en Workday, su cuenta de usuario se deshabilita automáticamente en Active Directory, el id. de Microsoft Entra y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con el identificador de Microsoft Entra.
Recontratos de empleados: cuando un empleado se vuelve a contratar en Workday, su cuenta antigua se puede reactivar o volver a aprovisionar automáticamente (según sus preferencias) a Active Directory, Microsoft Entra ID y, opcionalmente, Microsoft 365 y otras aplicaciones SaaS compatibles con Microsoft Entra ID.

Novedades

En esta sección se capturan las mejoras recientes de la integración de Workday. Para obtener una lista de actualizaciones completas, cambios planeados y archivos, visite Novedades de Microsoft Entra ID?

Octubre de 2020: se habilitó el aprovisionamiento a demanda para Workday: Con el aprovisionamiento a demanda, ahora puede probar el aprovisionamiento completo para un perfil de usuario específico en Workday para verificar el mapeo de atributos y la lógica de expresión.
Mayo de 2020: Capacidad para sincronizar números de teléfono en Workday: Además del correo electrónico y el nombre de usuario, ahora puede sincronizar de retorno el número de teléfono de trabajo y el número de teléfono móvil desde Microsoft Entra ID a Workday. Para más información, consulte el tutorial de la aplicación de reescritura.
Abril de 2020: compatibilidad con la versión más reciente de Workday Web Services (WWS): Dos veces al año en marzo y septiembre, Workday ofrece actualizaciones enriquecidas con características que le ayudarán a cumplir sus objetivos empresariales y a cambiar las demandas de los empleados. Para estar al día con las nuevas características que ofrece Workday, puede especificar directamente la versión de la API de WWS que le gustaría usar en la dirección URL de conexión. Para más información sobre cómo especificar la versión de la API de Workday, consulte la sección sobre cómo configurar la conectividad de Workday.

¿Para quién es más adecuada esta solución de aprovisionamiento de usuarios?

Esta solución de aprovisionamiento de usuarios de Workday resulta adecuada para:

Organizaciones que desean una solución basada en la nube precompilada para el aprovisionamiento de usuarios de Workday
Organizaciones que necesitan aprovisionamiento de usuarios directo de Workday a Active Directory, o a Microsoft Entra ID
Organizaciones que requieren que los usuarios se aprovisionen utilizando datos obtenidos del módulo HCM de Workday (consulte Get_Workers)
Organizaciones que requieren que los usuarios que se unan, cambien o salgan se sincronicen con uno o varios bosques, dominios y Unidades Organizativas de Active Directory, basándose únicamente en un cambio detectado en el módulo HCM de Workday (consulte Get_Workers)
Organizaciones que usan Microsoft 365 para el correo electrónico

Arquitectura de la solución

En esta sección se describe la arquitectura de la solución de aprovisionamiento de usuarios de un extremo a otro para entornos híbridos comunes. Hay dos flujos relacionados:

Flujo de datos de RR. HH. autoritativos: de Workday a Active Directory local: En este flujo, los eventos de trabajo como Nuevas Contrataciones, Transferencias, Terminaciones se producen primero en la instancia de RR. HH. de Workday en la nube y, a continuación, los datos de eventos fluyen a Active Directory local a través de Microsoft Entra ID y el Agente de Aprovisionamiento. En función del evento, puede dar lugar a las operaciones de creación, actualización, habilitación o deshabilitación en AD.
Flujo de escritura diferida: desde Active Directory local a Workday: Una vez completada la creación de la cuenta en Active Directory, se sincroniza con el identificador de Entra de Microsoft a través de Microsoft Entra Connect y se puede escribir información como correo electrónico, nombre de usuario y número de teléfono en Workday.

Diagrama conceptual de información general.

Flujo de datos de usuarios de un extremo a otro

El equipo de RR.HH. realiza las transacciones de trabajo (empleados que se incorporan a la empresa, se trasladan o la se van, o nuevas contrataciones, transferencias o terminaciones de contratos) en Workday HCM
El servicio de aprovisionamiento de Microsoft Entra ejecuta las sincronizaciones programadas de las identidades de RR.HH. de Workday e identifica los cambios que deben procesarse para la sincronización con Active Directory local.
El servicio de aprovisionamiento de Microsoft Entra invoca al agente de aprovisionamiento local Microsoft Entra Connect con una carga de solicitud que contiene las operaciones de creación, actualización, habilitación y deshabilitación de la cuenta de AD.
El agente de aprovisionamiento de Microsoft Entra Connect usa una cuenta de servicio para agregar o actualizar los datos de la cuenta de AD.
El motor de Microsoft Entra Connect / AD Sync ejecuta una sincronización diferencial para extraer las actualizaciones de AD.
Las actualizaciones de Active Directory se sincronizan con Microsoft Entra id.
Si la aplicación de escritura diferida de Workday está configurada, escribe atributos como correo electrónico, nombre de usuario y número de teléfono en Workday.

Planeamiento de la implementación

La configuración del aprovisionamiento de usuarios de Workday a Active Directory requiere un planeamiento considerable que abarca distintos aspectos, como:

Configuración del agente de aprovisionamiento de Microsoft Entra Connect
El número de aplicaciones de aprovisionamiento de usuarios de Workday a AD que se van a implementar.
La selección del identificador de coincidencia, la asignación de atributos, y los filtros de transformación y ámbito adecuados

Consulte el plan de implementación de RR. HH . en la nube para obtener instrucciones completas y procedimientos recomendados.

Configuración de un usuario de integración en Workday

Un requisito común de todos los conectores de aprovisionamiento de Workday es que requieren credenciales de un usuario del sistema de integración de Workday para poder conectarse a la API de recursos humanos de Workday. En esta sección se describe cómo crear un usuario del sistema de integración de Workday y tiene las siguientes secciones:

Creación de un usuario del sistema de integración
Creación de un grupo de seguridad de integración
Configuración de permisos de directiva de seguridad de dominio
Configuración de permisos de directiva de seguridad de procesos empresariales
Activación de cambios en la directiva de seguridad

Nota:

Es posible omitir este procedimiento y, en su lugar, usar una cuenta de administrador de Workday como cuenta de integración del sistema. Esto puede funcionar bien para demostraciones, pero no se recomienda para las implementaciones de producción.

Creación de un usuario del sistema de integración

Para crear un usuario del sistema de integración:

Inicie sesión en el inquilino de Workday usando una cuenta de administrador. En la aplicación Workday, escriba create user (crear usuario) en el cuadro de búsqueda y, a continuación, haga clic en Create Integration System User (Crear usuario del sistema de integración).
Complete la tarea Crear usuario del sistema de integración proporcionando un nombre de usuario y una contraseña para un nuevo usuario del sistema de integración.
- Deje desactivada la opción Requerir nueva contraseña en el siguiente inicio de sesión, ya que este usuario inicia sesión mediante programación.
- Deje los minutos de tiempo de espera de sesión con su valor predeterminado 0, lo que impide que las sesiones del usuario agoten el tiempo de espera prematuramente.
- Seleccione la opción No permitir sesiones de interfaz de usuario, ya que proporciona una capa adicional de seguridad que impide que un usuario con la contraseña del sistema de integración inicie sesión en Workday.

Creación de un grupo de seguridad de integración

En este paso creará un grupo de seguridad del sistema de integración sin o con restricciones en Workday y asignará a este grupo el usuario del sistema de integración creado en el paso anterior.

Para crear un grupo de seguridad:

Escriba create security group (Crear grupo de seguridad) en el cuadro de búsqueda y, a continuación, haga clic en Create Security Group (Crear grupo de seguridad).
Complete la tarea Crear grupo de seguridad .
- Hay dos tipos de grupos de seguridad en Workday:
  - Sin restricciones: Todos los miembros del grupo de seguridad pueden acceder a todas las instancias de datos protegidas por el grupo de seguridad.
  - Restringido: Todos los miembros del grupo de seguridad tienen acceso contextual a un subconjunto de instancias de datos (filas) que el grupo de seguridad puede acceder.
- Consulte con su asociado de integración de Workday cuál es el tipo de grupo de seguridad apropiado que debe seleccionar para la integración.
- Una vez que conozca el tipo de grupo, seleccione Grupo de seguridad del sistema de integración (sin restricciones) o Grupo de seguridad del sistema de integración (restringido) en la lista desplegable Tipo de grupo de seguridad inquilino .
Una vez que se haya creado correctamente el grupo de seguridad, verá una página donde puede asignar miembros al grupo de seguridad. Agregue a este grupo de seguridad el usuario del sistema de integración creado en el paso anterior. Si usa un grupo de seguridad restringido , deberá seleccionar el ámbito de la organización adecuado.

Configuración de permisos de directiva de seguridad de dominio

En este paso, concederá permisos de directiva de seguridad de dominio para los datos del trabajador al grupo de seguridad.

Para configurar permisos de directiva de seguridad de dominio:

Escriba Pertenencia a grupos de seguridad y Acceso en el cuadro de búsqueda y haga clic en el vínculo del informe.
Busque y seleccione el grupo de seguridad creado en el paso anterior.
Haga clic en los puntos suspensivos (...) situados junto al nombre del grupo y, en el menú, seleccione Security Group Maintain Domain Permissions for Security Group > (Mantener permisos de dominio para el grupo de seguridad).
En Permisos de integración, agregue los siguientes dominios a la lista Directivas de seguridad de dominio que permiten el acceso Put.
- Aprovisionamiento de cuentas externas
- Datos de trabajo: informes de trabajo públicos
- Datos de persona: información de contacto profesional (necesaria si tiene previsto reescribar los datos de contacto de Microsoft Entra ID a Workday)
- Cuentas de Workday (necesarias si tiene previsto escribir nombre de usuario o UPN de Microsoft Entra ID a Workday)
En Permisos de integración, agregue los siguientes dominios a la lista Directivas de seguridad de dominio que permiten obtener acceso.
- Datos de los trabajadores: Trabajadores
- Datos de trabajo: todas las posiciones
- Datos de trabajo: información de personal actual
- Datos de trabajo: Título empresarial en el perfil de trabajo
- Datos de trabajo: trabajadores calificados (opcional: agregue esto para recuperar los datos de calificación de trabajo para el aprovisionamiento)
- Datos de trabajo: Aptitudes y experiencia (opcional: agregue esto para recuperar datos de aptitudes de trabajo para el aprovisionamiento)
Después de completar los pasos anteriores, aparece la pantalla de permisos como se muestra a continuación:
Haga clic en Aceptar y listo en la siguiente pantalla para completar la configuración.

Configuración de los permisos de directiva de seguridad del proceso de negocio

En ese paso, concederá permisos de directiva "seguridad de proceso de negocio" al grupo de seguridad para los datos de trabajo.

Nota:

Este paso es necesario solo para configurar el conector de aplicaciones de escritura diferida de Workday.

Para configurar los permisos de la política de seguridad del proceso empresarial:

Escriba Directiva de proceso de negocio en el cuadro de búsqueda y, a continuación, haga clic en el vínculo Editar directiva de seguridad de procesos empresariales.
En el cuadro de texto Tipo de Proceso de Negocio, busque Contacto y seleccione el proceso de negocio Cambio de Contacto Laboral y haga clic en Aceptar.
En la página Editar directiva de seguridad del proceso de negocio, desplácese hasta la sección Cambiar información de contacto laboral (servicio web).
Seleccione y agregue el nuevo grupo de seguridad del sistema de integración a la lista de grupos de seguridad que pueden iniciar la solicitud de servicios web.
Haga clic en Listo.

Activación de cambios en directiva de seguridad

Para activar los cambios de directiva de seguridad:

Escriba activate (Activar) en el cuadro de búsqueda y haga clic en el vínculo Activate Pending Security Policy Changes (Activar cambios pendientes de directiva de seguridad).
Para iniciar la tarea Activar cambios de directiva de seguridad pendientes, escriba un comentario con fines de auditoría y, a continuación, haga clic en Aceptar.
Complete la tarea en la siguiente pantalla activando la casilla Confirmar y, a continuación, haga clic en Aceptar.

Requisitos previos para la instalación del agente de aprovisionamiento

Revise los requisitos previos de instalación del agente de aprovisionamiento antes de continuar con la sección siguiente.

Configuración del aprovisionamiento de usuarios de Workday a Active Directory

En esta sección se describen los pasos para el aprovisionamiento de cuentas de usuario desde Workday en cada dominio de Active Directory dentro del ámbito de su integración.

Añadir la aplicación del conector de aprovisionamiento y descargar el agente de aprovisionamiento
Instalación y configuración de agentes de aprovisionamiento locales
Configuración de la conectividad a Workday y Active Directory
Configuración de asignaciones de atributos
Habilitación e inicio del aprovisionamiento de usuarios

Parte 1: Incorporación de la aplicación de conector de aprovisionamiento y descarga del agente de aprovisionamiento

Para configurar el aprovisionamiento de Workday en Active Directory:

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
Busque Workday en Aprovisionamiento de usuarios de Active Directory y agregue esa aplicación desde la galería.
Una vez agregada la aplicación y se muestra la pantalla de detalles de la aplicación, seleccione Aprovisionamiento.
Cambie el modode aprovisionamiento a Automático.
Haga clic en el banner de información que se muestra para descargar el agente de aprovisionamiento.

Parte 2: Instalación y configuración de agentes de aprovisionamiento en el entorno local

Para realizar el aprovisionamiento en Active Directory local, el agente de aprovisionamiento debe estar instalado en un servidor unido a un dominio que tenga acceso de red a los dominios de Active Directory deseados.

Transfiera el instalador del agente descargado al host del servidor y siga los pasos indicados en la sección Instalar agente para completar la configuración del agente.

Parte 3: En la aplicación de aprovisionamiento, configuración de la conectividad con WorkDay y Active Directory

En este paso, se establecerá la conectividad con Workday y Active Directory.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>, luego a Workday, y la aplicación de aprovisionamiento de usuarios de Active Directory creada en la Parte 1.

Complete la sección Credenciales de administrador de la manera siguiente:

Nombre de usuario de Workday : escriba el nombre de usuario de la cuenta del sistema de integración de Workday, con el nombre de dominio de inquilino anexado. Debería tener un aspecto similar al siguiente: username@tenant_name
Contraseña de Workday: Escriba la contraseña de la cuenta del sistema de integración de Workday.

URL de API de servicios web de Workday: Escriba la URL del punto de conexión de servicios web de Workday para el arrendatario. La dirección URL determina la versión de la API de Workday Web Services utilizada por el conector.

Formato de dirección URL	Versión de la API WWS usada	Cambios de XPATH necesarios
https://####.workday.com/ccx/service/tenantName	v21.1	No
https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	No
https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##. #	Sí

Nota:

Si no se especifica ninguna información de versión en la dirección URL, la aplicación usa Workday Web Services (WWS) v21.1 y no se requieren cambios en las expresiones de la API XPATH predeterminadas que se incluyen con la aplicación. Para usar una versión específica de la API WWS, especifique el número de versión en la dirección URL.
Ejemplo: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

Si usa una API de WWS v30.0 y versiones posteriores, antes de activar el trabajo de aprovisionamiento, actualice las expresiones de la API XPATH en Asignación de atributos - Opciones avanzadas ->> Editar lista de atributos para Workday, que hace referencia a la sección Administración de la configuración y referencia de atributos de Workday.

Bosque de Active Directory - El "Nombre" de su dominio de Active Directory, tal y como está registrado con el agente. Use la lista desplegable para seleccionar el dominio de destino para el aprovisionamiento. Este valor suele ser una cadena como : contoso.com
Contenedor de Active Directory: Escriba el DN de contenedor donde el agente debe crear cuentas de usuario de forma predeterminada. Ejemplo: OU=Standard Users,OU=Users,DC=contoso,DC=test

Nota:

Esta configuración solo entra en juego para las creaciones de cuentas de usuario si el atributo parentDistinguishedName no está configurado en las asignaciones de atributos. Esta configuración no se usa para la búsqueda de usuarios o las operaciones de actualización. El subárbol de todo el dominio se encuentra en el ámbito de la operación de búsqueda.
Correo electrónico de notificación: Escriba su dirección de correo electrónico y active la casilla "Enviar correo electrónico si se produce un error".

Nota:

El servicio de aprovisionamiento de Microsoft Entra envía una notificación por correo electrónico si el trabajo de aprovisionamiento entra en un estado de cuarentena .
Haga clic en el botón Probar conexión . Si la prueba de conexión se realiza correctamente, haga clic en el botón Guardar de la parte superior. Si se produce un error, compruebe que las credenciales de Workday y las credenciales de AD configuradas en la instalación del agente sean válidas.
Una vez que las credenciales se guardan correctamente, la sección Asignaciones muestra la asignación predeterminada Synchronize Workday Workers to On Premises Active Directory (Sincronizar trabajos de Workday con Active Directory local).

Parte 4: configuración de las asignaciones de atributos

En esta sección se configura cómo fluyen los datos de los usuarios de Workday a Active Directory.

En la pestaña Aprovisionamiento, en Asignaciones, haga clic en Sincronizar trabajos de Workday con Active Directory local.
En el campo Ámbito de Objeto de Origen, puede seleccionar qué conjuntos de usuarios de Workday deberían estar incluidos en el ámbito para el aprovisionamiento en AD, definiendo un conjunto de filtros basados en atributos. El ámbito predeterminado es "todos los usuarios de Workday". Filtros de ejemplo:
- Ejemplo: Ámbito de los usuarios que tengan los id. de trabajador comprendidos entre 1000000 y 2000000 (sin incluir 2000000)
  - Atributo: WorkerID
  - Operador: REGEX Match
  - Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])
- Ejemplo: solo los empleados, no los trabajadores temporales
  - Atributo: EmployeeID
  - Operador: no es NULL
Sugerencia

Al configurar la aplicación de aprovisionamiento por primera vez, deberá probar y comprobar las asignaciones de atributos y expresiones para asegurarse de que le proporciona el resultado deseado. Microsoft recomienda usar filtros de ámbito en Ámbito de objeto de origen y aprovisionamiento a petición para probar las asignaciones con algunos usuarios de prueba de Workday. Una vez haya verificado que las asignaciones funcionan, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

Precaución

El comportamiento predeterminado del motor de aprovisionamiento es deshabilitar o eliminar usuarios que salen del ámbito. Puede que esta no sea la situación deseable en la integración de Workday con AD. Para invalidar este comportamiento predeterminado, consulte el artículo Omitir la eliminación de cuentas de usuario que salen del ámbito.
En el campo Acciones de objeto de destino, puede filtrar globalmente qué acciones se realizan en Active Directory. Crear y actualizar son más comunes.
En la sección Asignaciones de atributos, puede definir cómo los atributos individuales de Workday se asignan a los atributos de Active Directory.
Haga clic en una asignación de atributos existente para actualizarla o haga clic en Agregar nueva asignación en la parte inferior de la pantalla para agregar nuevas asignaciones. Las asignaciones de atributos admiten estas propiedades:
- Tipo de asignación
  - Directo : escribe el valor del atributo Workday en el atributo AD, sin cambios.
  - Constante : escriba un valor estático de cadena constante en el atributo de AD.
  - Expresión : permite escribir un valor personalizado en el atributo de AD, en función de uno o varios atributos de Workday. Para obtener más información, consulte este artículo sobre expresiones.
- Atributo de origen : atributo de usuario de Workday. Si el atributo que busca no está presente, consulte Personalización de la lista de atributos de usuario de Workday.
- Valor predeterminado : opcional. Si el atributo de origen tiene un valor vacío, la asignación escribirá este valor. La configuración más habitual consiste en dejarlo en blanco.
- Atributo de destino : atributo de usuario en Active Directory.
- Buscar coincidencias con objetos que usan este atributo : indica si esta asignación se debe usar para identificar de forma única a los usuarios entre Workday y Active Directory. Este valor se suele establecer en el campo Id. del trabajador de Workday, que se suele asignar a uno de los atributos de id. de empleado de Active Directory.
- Precedencia de coincidencia : se pueden establecer varios atributos coincidentes. Si hay varios, se evalúan en el orden definido por este campo. En el momento en que se encuentre una coincidencia, no se evaluarán más atributos coincidentes.
- Aplicar esta asignación
  - Siempre : aplique esta asignación en las acciones de creación y actualización del usuario.
  - Solo durante la creación : aplique esta asignación solo en las acciones de creación de usuarios.
Para guardar las asignaciones, haga clic en Guardar en la parte superior de la sección Attribute-Mapping.

A continuación se muestran algunos ejemplos de asignaciones de atributos entre Workday y Active Directory, con algunas expresiones comunes.

La expresión que se asigna al atributo parentDistinguishedName se usa para provisionar un usuario a diferentes OUs según uno o más atributos de origen de Workday. Este ejemplo aquí coloca a los usuarios en distintas Unidades organizativas en función de la ciudad en la que se encuentra.
El atributo userPrincipalName de Active Directory se genera mediante la función de desduplicación SelectUniqueValue que comprueba si existe un valor generado en el dominio de AD de destino y solo lo establece si es único.
hay documentación sobre cómo escribir expresiones aquí. Esta sección incluye ejemplos sobre cómo quitar caracteres especiales.

ATRIBUTO DE WORKDAY	ATRIBUTO DE ACTIVE DIRECTORY	¿IDENTIFICADOR COINCIDENTE?	CREAR / ACTUALIZAR
WorkerID	ID de Empleado	Sí	Escrito únicamente en Crear
PreferredNameData	China		Escrito únicamente en Crear
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, [LastName]), "contoso.com"))	nombre principal de usuario		Escrito únicamente en Crear
`Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\\|\\=\\,\\+\\\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)$", , "", , )`	sAMAccountName		Escrito únicamente en Crear
Switch([Activo], , "0", "Verdadero", "1", "Falso")	Cuenta deshabilitada		Crear y Actualizar
FirstName	givenName		Crear y Actualizar
LastName	Sn		Crear y Actualizar
PreferredNameData	DisplayName		Crear y Actualizar
Compañía	empresa		Crear y Actualizar
Organización de Supervisión	departamento		Crear y Actualizar
ManagerReference	gerente		Crear y Actualizar
BusinessTitle	título		Crear y Actualizar
DatosDeLíneaDeDirección	dirección		Crear y Actualizar
Municipio	l		Crear y Actualizar
CountryReferenceTwoLetter	co		Crear y Actualizar
CountryReferenceTwoLetter	c		Crear y Actualizar
CountryRegionReference	calle		Crear y Actualizar
WorkSpaceReference	NombreDeLaOficinaDeEnvíoFísico		Crear y Actualizar
PostalCode	Código postal		Crear y Actualizar
TeléfonoDeTrabajoPrincipal	número de teléfono		Crear y Actualizar
Fax	númeroDeTeléfonoDeFax		Crear y Actualizar
Móvil	móvil		Crear y Actualizar
LocalReference	idiomaPreferido		Crear y Actualizar
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")	nombreDistinguidoPadre		Crear y Actualizar

Una vez completada la configuración de asignación de atributos, puede probar el aprovisionamiento de un solo usuario mediante el aprovisionamiento a petición y, a continuación, habilitar e iniciar el servicio de aprovisionamiento de usuarios.

Habilitar e iniciar el aprovisionamiento de usuarios

Una vez completadas las configuraciones de la aplicación de aprovisionamiento de Workday y ha comprobado el aprovisionamiento de un solo usuario con aprovisionamiento a petición, puede activar el servicio de aprovisionamiento.

Sugerencia

De forma predeterminada, al activar el servicio de aprovisionamiento, se inician las operaciones de aprovisionamiento para todos los usuarios del ámbito. Si hay errores en la asignación o problemas con los datos de Workday, puede que se produzcan errores con el trabajo de aprovisionamiento y que entre en estado de cuarentena. Para evitar esto, como procedimiento recomendado, se recomienda configurar el filtro Ámbito de objeto de origen y probar las asignaciones de atributos con algunos usuarios de prueba que usan el aprovisionamiento a petición antes de iniciar la sincronización completa para todos los usuarios. Una vez haya verificado que las asignaciones funcionan y que obtiene los resultados deseados, puede quitar el filtro o expandirlo gradualmente para incluir más usuarios.

Vaya a la hoja Aprovisionamiento y haga clic en Iniciar aprovisionamiento.
Esta operación inicia la sincronización inicial, que puede tardar una cantidad de horas variable, según el número de usuarios que haya en el inquilino de Workday. Puede consultar en la barra de progreso el seguimiento del progreso del ciclo de sincronización.
En cualquier momento, compruebe la pestaña Aprovisionamiento del Centro de administración de Microsoft Entra para ver qué acciones ha realizado el servicio de aprovisionamiento. Los registros de aprovisionamiento muestran todos los eventos de sincronización individuales realizados por el servicio de aprovisionamiento, por ejemplo, los usuarios que se leen fuera de Workday y que luego se agregan o actualizan en Active Directory. Consulte la sección Solución de problemas para obtener instrucciones sobre cómo revisar los registros de aprovisionamiento y corregir los errores de aprovisionamiento.
Una vez completada la sincronización inicial, escribe un informe de resumen de auditoría en la pestaña Aprovisionamiento , como se muestra a continuación.

Preguntas más frecuentes (P+F)

Preguntas sobre la funcionalidad de la solución
Preguntas sobre el agente de aprovisionamiento
Preguntas sobre asignación y configuración de atributos de Workday a AD

Preguntas sobre la funcionalidad de la solución

Al procesar una nueva contratación en Workday, ¿cómo configura la solución la contraseña para la nueva cuenta de usuario en Active Directory?

Cuando el agente de aprovisionamiento local obtiene una solicitud para crear una cuenta de AD, genera automáticamente una contraseña aleatoria compleja diseñada para satisfacer los requisitos de complejidad de contraseña definidos por el servidor de AD y la define en el objeto de usuario. Esta contraseña no se registra en ningún lugar.

¿La solución admite el envío de notificaciones de correo electrónico una vez finalizadas las operaciones de aprovisionamiento?

No, el envío de notificaciones por correo electrónico después de completar las operaciones de aprovisionamiento no se admite en la versión actual.

¿La solución almacena en memoria caché los perfiles de usuario de Workday en la nube de Microsoft Entra o en la capa del agente de aprovisionamiento?

No, la solución no mantiene una caché de perfiles de usuario. El servicio de aprovisionamiento de Microsoft Entra ID solo actúa como procesador de datos, de tal forma que lee los datos en Workday y los escribe en la instancia de destino de Active Directory o Microsoft Entra ID. Consulte la sección Administración de datos personales para obtener más información relacionada con la privacidad del usuario y la retención de datos.

¿La solución permite asignar grupos de AD locales al usuario?

Esta funcionalidad no se admite actualmente. La solución alternativa recomendada es implementar un script de PowerShell que consulta el punto de conexión de Microsoft Graph API para aprovisionar datos de registro y usarlos para desencadenar escenarios como la asignación de grupos. Este script de PowerShell puede anexarse a un programador de tareas e implementarse en el mismo equipo que ejecuta el agente de aprovisionamiento.

¿Qué API de Workday usa la solución para consultar y actualizar los perfiles de trabajo de Workday?

Actualmente, la solución utiliza las siguientes API de Workday:

El formato de dirección URL de la API de servicios web de Workday que se usa en la sección Credenciales de administrador determina la versión de API que se usa para Get_Workers
- Si el formato de dirección URL es: https://####.workday.com/ccx/service/tenantName, se usa la API v21.1.
- Si el formato de dirección URL es: https://####.workday.com/ccx/service/tenantName/Human_Resources, se usa la API v21.1.
- Si el formato de dirección URL es : https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#, se usa la versión de API especificada. (Ejemplo: si se especifica v34.0, se usa).
La característica de escritura diferida de correo electrónico de Workday usa Change_Work_Contact_Information (v30.0).
La característica de escritura diferida de nombre de usuario de Workday utiliza Update_Workday_Account (v31.2).

¿Puede configurar mi inquilino de HCM en Workday con dos inquilinos de Microsoft Entra?

Sí, esta configuración es compatible. Estos son los pasos de alto nivel para configurar este escenario:

Implemente el agente de aprovisionamiento 1 y regístrelo en el inquilino de Microsoft Entra N°1.
Implemente el agente de aprovisionamiento 2 y regístrelo en el inquilino de Microsoft Entra N°2.
En función de los "dominios secundarios" que administre cada agente de aprovisionamiento, configure cada agente con los dominios. Un agente puede controlar varios dominios.
En el Centro de administración de Microsoft Entrada, configure la aplicación de aprovisionamiento de usuarios de Workday en AD en cada inquilino y configúrela con los dominios correspondientes.

Sus comentarios son muy valiosos porque nos ayudan a definir la dirección de las futuras versiones y mejoras. Le damos la bienvenida a todos los comentarios y le animamos a enviar su idea o sugerencia de mejora en el foro de comentarios de Microsoft Entra ID. Para obtener comentarios específicos relacionados con la integración de Workday, seleccione la categoría Aplicaciones SaaS y busque las palabras clave Workday para encontrar los comentarios existentes relacionados con Workday .

Captura de pantalla de UserVoice Workday.

Al sugerir una nueva idea, compruebe si alguien ha sugerido ya una característica similar. En su caso, puede votar a favor de la solicitud de característica o mejora. También puede dejar un comentario sobre su caso de uso específico para mostrar su apoyo a la idea y demostrar que la característica también es valiosa para usted.

Preguntas sobre el agente de aprovisionamiento

¿Cuál es la versión de disponibilidad general del agente de aprovisionamiento?

Consulte Microsoft Entra Connect Provisioning Agent: Historial de versiones para obtener la versión más reciente de disponibilidad general del Agente de aprovisionamiento.

¿Cómo puedo saber la versión de mi agente de aprovisionamiento?

Inicie sesión en el servidor de Windows en el que está instalado el agente de aprovisionamiento.
Vaya al menúDesinstalar o cambiar un programa en > de control.
Busque la versión correspondiente a la entrada Microsoft Entra Connect Provisioning Agent.

¿Microsoft inserta automáticamente las actualizaciones del agente de aprovisionamiento?

Sí, Microsoft actualiza automáticamente el agente de aprovisionamiento si el servicio de Windows Microsoft Entra Connect Agent Updater está en funcionamiento.

¿Puedo instalar el agente de aprovisionamiento en el mismo servidor que ejecuta Microsoft Entra Connect?

Sí, puede instalar el agente de aprovisionamiento en el mismo servidor que ejecuta Microsoft Entra Connect.

En el momento de la configuración, el agente de aprovisionamiento solicita las credenciales de administrador de Microsoft Entra. ¿El agente almacena las credenciales localmente en el servidor?

Durante la configuración, el agente de aprovisionamiento solicita las credenciales de administrador de Microsoft Entra solo para conectarse al inquilino de Microsoft Entra. No almacena las credenciales localmente en el servidor. Sin embargo, conserva las credenciales usadas para conectarse al dominio de Active Directory local en un almacén de contraseñas de Windows local.

¿Cómo se puede configurar el agente de aprovisionamiento para usar un servidor proxy para la comunicación HTTP saliente?

El agente de aprovisionamiento admite el uso de un proxy de salida. Puede configurarlo editando el archivo de configuración del agente C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Agregue las siguientes líneas a él, hacia el final del archivo justo antes de la etiqueta de cierre </configuration> . Reemplace las variables [proxy-server] y [proxy-port] con los valores del puerto y el nombre del servidor proxy.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

¿Cómo se puede garantizar que el agente de aprovisionamiento sea capaz de comunicarse con el inquilino de Microsoft Entra y que ningún firewall bloquee los puertos requeridos por el agente?

También puede comprobar si todos los puertos necesarios están abiertos.

¿Un agente de aprovisionamiento se puede configurar para aprovisionar varios dominios de AD?

Sí, un agente de aprovisionamiento puede configurarse para controlar varios dominios de AD, siempre que el agente tenga una línea de visión de los controladores de dominio correspondientes. Microsoft recomienda configurar un grupo de tres agentes de aprovisionamiento que abastezca al mismo conjunto de dominios de AD para garantizar una alta disponibilidad y proporcionar soporte técnico para la conmutación por error.

¿Cómo puedo anular el registro del dominio asociado con mi agente de aprovisionamiento?

*, obtenga el identificador de inquilino de su inquilino de Microsoft Entra.

Inicie sesión en el servidor de Windows que ejecuta el agente de aprovisionamiento.
Abra PowerShell como administrador de Windows.

Cambie al directorio que contiene los scripts de registro y ejecute los siguientes comandos reemplazando el parámetro [Id. de inquilino] con el valor del identificador del inquilino.

cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

En la lista de agentes que aparecen, copie el valor del campo id de ese recurso cuyo resourceName sea igual al nombre de dominio de AD.
Pegue el valor del identificador en este comando y ejecute el comando en PowerShell.
```
Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
```
Vuelva a ejecutar el asistente de configuración del agente.
Es necesario volver a configurar los demás agentes asignados anteriormente a este dominio.

¿Cómo puedo desinstalar el agente de aprovisionamiento?

Inicie sesión en el servidor de Windows en el que está instalado el agente de aprovisionamiento.
Vaya al menúDesinstalar o cambiar un programa del > de control.
Desinstale los programas siguientes:
- Agente de aprovisionamiento de Microsoft Entra Connect
- Actualizador del agente de Microsoft Entra Connect
- Paquete del agente de aprovisionamiento de Microsoft Entra Connect

Preguntas sobre la asignación y configuración de atributos de Workday en AD

¿Cómo puedo realizar una copia de seguridad o exportar una copia de trabajo del esquema y la asignación de atributos de aprovisionamiento de Workday?

Puede usar Microsoft Graph API para exportar la configuración de aprovisionamiento de usuarios de Workday. Consulte los pasos de la sección Exportación e importación de la configuración de asignación de atributos de aprovisionamiento de usuarios de Workday para obtener más información.

Tengo atributos personalizados en Workday y Active Directory. ¿Cómo se puede configurar la solución para que funcione con los atributos personalizados?

La solución es compatible con los atributos personalizados de Workday y Active Directory. Para agregar los atributos personalizados al esquema de asignación, abra la hoja Asignación de atributos y desplácese hacia abajo para expandir la sección Mostrar opciones avanzadas.

Captura de pantalla de Editar lista de atributos.

Para agregar los atributos personalizados de Workday, seleccione la opción Editar lista de atributos para Workday y para agregar los atributos de AD personalizados, seleccione la opción Editar lista de atributos para On Premises Active Directory.

Consulte también:

Personalización de la lista de atributos de usuario de Workday

¿Cómo se puede configurar la solución para actualizar solo los atributos de AD según los cambios de Workday sin crear cuentas de AD?

Esta configuración se puede lograr estableciendo las acciones de objeto de destino en la hoja Asignaciones de atributos , como se muestra a continuación:

Captura de pantalla de la acción Actualizar.

Active la casilla "Actualizar" solo para que las operaciones de actualización fluyan de Workday a AD.

¿Puedo aprovisionar la foto de un usuario desde Workday en Active Directory?

Actualmente, la solución no admite la configuración de atributos binarios como thumbnailPhoto y jpegPhoto en Active Directory.

Vaya a la hoja "Aprovisionamiento" de la aplicación de aprovisionamiento de Workday.
Haga clic en las asignaciones de atributos.
En Mapeos, seleccione Sincronizar trabajadores de Workday con Active Directory local (o Sincronizar trabajadores de Workday con Microsoft Entra ID).
En la página Asignaciones de atributos, desplácese hacia abajo y active la casilla "Mostrar opciones avanzadas". Haga clic en Editar lista de atributos para Workday.
En la hoja que se abre, localiza el atributo "Mobile" y haz clic en la fila para editar la expresión de API

Reemplace la expresión de API por la siguiente nueva expresión, que recupera el número móvil de trabajo solo si la "marca de uso público" está establecida en "True" en Workday.

 wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

Guarde la lista de atributos.
Guarde la asignación de atributos.
Borre el estado actual y reinicie la sincronización completa.

¿Cómo puedo dar formato a los nombres para mostrar en AD según los atributos de departamento/país/ciudad del usuario y administrar las variaciones regionales?

Es un requisito común configurar el atributo displayName en AD para que también proporcione información sobre el departamento y el país o región del usuario. Por ejemplo, si John Smith trabaja en el Departamento de Marketing de EE. UU., es posible que desee que su displayName aparezca como Smith, John (Marketing-US).

Aquí se muestra cómo puede controlar estos requisitos para construir CN o displayName para incluir atributos como empresa, unidad de negocio, ciudad o país o región.

Cada atributo de Workday se recupera mediante una expresión de API XPATH subyacente, que se puede configurar en Asignación de atributos:> sección avanzada:> editar lista de atributos para Workday. Esta es la expresión de API XPATH predeterminada para los atributos PreferredFirstName, PreferredLastName, Company y SupervisoryOrganization de Workday.

Atributo de Workday	Expresión de API XPATH
Nombre Preferido	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
ApellidoPreferido	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
Compañía	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
Organización de Supervisión	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

Confirme con su equipo de Workday que la expresión de API anterior es válida para la configuración de su inquilino de Workday. Si es necesario, puede editarlos como se describe en la sección Personalización de la lista de atributos de usuario de Workday.

Del mismo modo, la información de país o región presente en Workday se recupera mediante el siguiente XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

Hay cinco atributos relacionados con el país o región que se encuentran disponibles en la sección de la lista de atributos de Workday.

Atributo de Workday	Expresión de API XPATH
CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
ReferenciaNuméricaDePaís	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
ReferenciaPaísRegión	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

Confirme con su equipo de Workday que las expresiones de API anteriores son válidas para la configuración de su inquilino de Workday. Si es necesario, puede editarlos como se describe en la sección Personalización de la lista de atributos de usuario de Workday.

Para compilar la expresión de asignación de atributos correcta, identifique qué atributo de Workday representa "de forma confiable" el nombre, apellido, país o región y departamento del usuario. Supongamos que los atributos son PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter y SupervisoryOrganization respectivamente. Puede usarlo para crear una expresión para el atributo displayName de AD como se indica a continuación para obtener un nombre para mostrar como Smith, John (Marketing-US).
```
 Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
```
Una vez que tenga la expresión correcta, edite la tabla Asignaciones de atributos y modifique la asignación de atributos displayName como se muestra a continuación:
Al extender el ejemplo anterior, supongamos que le gustaría convertir nombres de ciudad procedentes de Workday en valores abreviados y, a continuación, usarlo para crear nombres para mostrar como Smith, John (CHI) o Doe, Jane (NYC) y, a continuación, este resultado se puede lograr mediante una expresión Switch con el atributo Workday Municipality como variable determinante.
```
Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)
```
Consulte también:

¿Cómo se puede usar SelectUniqueValue para generar valores únicos para el atributo samAccountName?

Supongamos que quiere generar valores únicos para el atributo samAccountName mediante una combinación de atributos FirstName y LastName de Workday. A continuación se presenta una expresión con la que puede empezar:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Cómo funciona la expresión anterior: si el usuario es John Smith, primero intenta generar JSmith; si ya existe JSmith, entonces genera JoSmith, pero si también existe, genera JohSmith. La expresión también garantiza que el valor generado cumpla la restricción de longitud y la restricción de caracteres especiales asociadas a samAccountName.

Consulte también:

¿Cómo se pueden quitar caracteres con signos diacríticos y convertirlos en caracteres habituales del alfabeto inglés?

Use la función NormalizeDiacritics para quitar caracteres especiales en nombre y apellidos del usuario, al mismo tiempo que crea la dirección de correo electrónico o el valor CN para el usuario.

Sugerencias de solución de problemas

En esta sección se proporcionan instrucciones específicas sobre cómo solucionar problemas de aprovisionamiento con la integración de Workday mediante los registros de aprovisionamiento de Microsoft Entra y los registros del Visor de eventos de Windows Server. Se basa en los pasos y conceptos genéricos de solución de problemas capturados en el Tutorial: Creación de informes sobre el aprovisionamiento automático de cuentas de usuario

En esta sección se tratan los siguientes aspectos sobre la solución de problemas:

Configuración del agente de aprovisionamiento para emitir registros del Visor de eventos
Configuración del Visor de eventos de Windows para la solución de problemas del agente
Configuración de los registros de aprovisionamiento del Centro de administración de Microsoft Entra para la solución de problemas del servicio
Descripción de los registros de las operaciones de creación de cuentas de usuario de AD
Descripción de los registros de las operaciones de actualización de Manager
Resolución de errores comunes

Configuración del agente de aprovisionamiento para emitir registros de Visor de eventos

Inicie sesión en la máquina de Windows Server en la que se ha implementado el agente de aprovisionamiento.
Detenga el servicio Microsoft Entra Connect Provisioning Agent.
Cree una copia del archivo de configuración original: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Reemplace la sección <system.diagnostics> existente por lo siguiente:

La configuración del agente de escucha etw emite mensajes a los registros de EventViewer.
La configuración del agente de escucha textWriterListener envía mensajes de seguimiento al archivo ProvAgentTrace.log. Quite las marcas de comentario de las líneas relacionadas con textWriterListener solo para la solución de problemas avanzada.

  <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

Inicie el servicio Microsoft Entra Connect Provisioning Agent.

Configuración del Visor de eventos de Windows para solucionar problemas del agente

Inicie sesión en el equipo Windows Server en el que se ha implementado el agente de aprovisionamiento.
Abra la aplicación de escritorio Visor de eventos de Windows Server .
Seleccione Registros de Windows > Aplicación.
Use la opción Filtrar registro actual... para ver todos los eventos registrados en el agente de aprovisionamiento de Microsoft Entra Connect de origen y excluir eventos con el identificador de evento "5", especificando el filtro "-5", como se muestra a continuación.

Nota:

El identificador de evento 5 captura los mensajes de arranque del agente en el servicio en la nube de Microsoft Entra y, por tanto, se filtran al analizar los archivos de registro.
Haga clic en Aceptar y ordene la vista de resultados por columna Fecha y hora .

Configuración de los registros de aprovisionamiento del Centro de administración de Microsoft Entra para la solución de problemas del servicio

Inicie el Centro de administración de Microsoft Entra y vaya a la sección Aprovisionamiento de la aplicación de aprovisionamiento de Workday.
Use el botón Columnas de la página Registros de aprovisionamiento para mostrar solo las columnas siguientes en la vista (Fecha, Actividad, Estado, Motivo del estado). Esta configuración garantiza que pueda centrarse solo en los datos que sean pertinentes para solucionar problemas.
Use los parámetros de consulta Target y Date Range para filtrar la vista.
- Establezca el parámetro de consulta Target en el "ID de trabajador" o "ID de empleado" del objeto trabajador de Workday.
- Establezca el intervalo de fechas en un período de tiempo adecuado durante el que desea investigar si hay errores o problemas con el aprovisionamiento.

Información sobre registros para las operaciones de creación de cuentas de usuario de AD

Cuando se detecta una nueva contratación en Workday (supongamos con el id. de empleado 21023), el servicio de aprovisionamiento de Microsoft Entra intenta crear una nueva cuenta de usuario de AD para el trabajo y en el proceso crea 4 registros de registro de aprovisionamiento, como se describe a continuación:

Al hacer clic en cualquiera de los registros de registro de aprovisionamiento, se abre la página Detalles de actividad. Esta es la página Detalles de actividad que se muestra para cada tipo de registro.

Registro de importación de Workday : este registro muestra la información de trabajo capturada de Workday. Use información en la sección Detalles adicionales del registro para solucionar problemas con la captura de datos de Workday. A continuación se muestra un registro de ejemplo junto con indicaciones sobre cómo interpretar cada campo.

ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

Registro de importación de AD : este registro muestra información de la cuenta capturada desde AD. Como durante la creación inicial del usuario no hay ninguna cuenta de AD, el Motivo del estado de actividad indica que no se encontró ninguna cuenta con el valor del atributo ID de coincidencia en Active Directory. Use información en la sección Detalles adicionales del registro para solucionar problemas con la captura de datos de Workday. A continuación se muestra un registro de ejemplo junto con indicaciones sobre cómo interpretar cada campo.
```
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
```
Para buscar los registros del Agente de aprovisionamiento correspondientes a esta operación de importación de AD, abra los registros del Visor de eventos de Windows y use la opción de menú Buscar... para buscar entradas de registro que contengan el valor del atributo Id. de coincidencia o propiedad de unión (en este caso 21023).

Busque la entrada con ID de evento = 9, que proporciona el filtro de búsqueda LDAP usado por el agente para recuperar la cuenta de Active Directory. Puede comprobar si este es el filtro de búsqueda adecuado para recuperar entradas de usuario únicas.

El registro que lo sigue inmediatamente con id. de evento = 2 captura el resultado de la operación de búsqueda y si devolvió algún resultado.
Registro de acción de regla de sincronización: Este registro muestra los resultados de las reglas de asignación de atributos y los filtros de ámbito configurados junto con la acción de provisionamiento que se realiza para procesar el evento de Workday entrante. Use información en la sección Detalles adicionales del registro para solucionar problemas con la acción de sincronización. A continuación se muestra un registro de ejemplo junto con indicaciones sobre cómo interpretar cada campo.
```
ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object is added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
```
Si hay problemas con las expresiones de asignación de atributos o los datos de Workday de entrada presentan errores (por ejemplo, valores vacíos o NULL para los atributos obligatorios), aparecerá un error en esta fase con el texto ErrorCode en el que se proporcionarán los detalles del error.
Registro de exportación de AD: este registro muestra el resultado de la operación de creación de cuentas de AD junto con los valores de atributo establecidos en el proceso. Use información en la sección Detalles adicionales del registro para solucionar problemas con la operación de creación de la cuenta. A continuación se muestra un registro de ejemplo junto con indicaciones sobre cómo interpretar cada campo. En la sección "Detalles adicionales", "EventName" se establece en "EntryExportAdd", "JoiningProperty" se establece en el valor del atributo Id. de coincidencia, "SourceAnchor" se establece en el valor WorkdayID (WID) asociado con el registro y "TargetAnchor" se establece en el valor del atributo "ObjectGuid" de AD del usuario recién creado.
```
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object is created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
```
Para buscar los registros del Agente de aprovisionamiento correspondientes a esta operación de exportación de AD, abra los registros del Visor de eventos de Windows y use la opción de menú Buscar... para buscar entradas de registro que contengan el valor del atributo Id. de coincidencia o propiedad de combinación (en este caso 21023).

Busque un registro HTTP POST correspondiente a la marca de tiempo de la operación de exportación con el identificador de evento = 2. Este registro contiene los valores de atributo enviados por el servicio de aprovisionamiento al agente de aprovisionamiento.

Inmediatamente después del evento anterior, debe haber otro evento que captura la respuesta de la operación de creación de la cuenta de AD. Este evento devuelve el nuevo objetoGuid creado en AD y se establece como el atributo TargetAnchor en el servicio de aprovisionamiento.

Información sobre registros para las operaciones de actualización del administrador

El atributo manager es un atributo de referencia en AD. El servicio de aprovisionamiento no establece el atributo manager como parte de la operación de creación de un usuario. En su lugar, el atributo manager se establece como parte de una operación de actualización después de crear la cuenta de AD para el usuario. Al expandir el ejemplo anterior, supongamos que una nueva contratación con el identificador de empleado "21451" se activa en Workday y el administrador del nuevo contrato (21023) ya tiene una cuenta de AD. En este escenario, al buscar los registros de aprovisionamiento para el usuario 21451, se muestran cinco entradas.

Los cuatro primeros registros son similares a los que hemos explorado como parte de la operación de creación del usuario. El quinto registro se corresponde con la exportación asociada con la actualización del atributo manager. El registro muestra el resultado de la operación de actualización del administrador de cuentas de AD, que se realiza mediante el atributo objectGuid del administrador.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Resolución de errores comunes

Esta sección trata los errores habituales con el aprovisionamiento de usuarios de Workday y cómo resolverlos. Los errores se agrupan como sigue:

Errores del agente de aprovisionamiento
Errores de conectividad
Errores de creación de cuentas de usuario de AD
Errores de actualización de cuentas de usuario de AD

Errores del agente de aprovisionamiento

#	Escenario de error	Causas probables	Resolución recomendada
1.	Error al instalar el agente de aprovisionamiento con el mensaje de error: No se pudo iniciar el servicio "Microsoft Entra Connect Provisioning Agent" (AADConnectProvisioningAgent). Compruebe que tiene suficientes privilegios para iniciar el sistema.	Este error suele aparecer si intenta instalar el agente de aprovisionamiento en un controlador de dominio y una directiva de grupo impide que el servicio se inicie. también se ve si tiene una versión anterior del agente en ejecución y no la ha desinstalado antes de iniciar una nueva instalación.	Instale el agente de aprovisionamiento en un servidor que no sea controlador de dominio. Asegúrese de que las versiones anteriores del agente están desinstaladas antes de instalar el nuevo agente.
2.	El servicio de Windows "Microsoft Entra Connect Provisioning Agent" está en estado De inicio y no cambia al estado En ejecución .	Como parte de la instalación, el asistente para agente crea una cuenta local (NT Service\AADConnectProvisioningAgent) en el servidor y se trata de la cuenta de inicio de sesión que se usa para iniciar el servicio. Si una directiva de seguridad del servidor de Windows impide que las cuentas locales ejecuten los servicios, se producirá este error.	Abra la consola de Servicios. Haga clic con el botón derecho en el servicio de Windows "Microsoft Entra Connect Provisioning Agent" y, en la pestaña de inicio de sesión, especifique la cuenta de un administrador de dominio para ejecutar el servicio. Reinicie el servicio.
3.	Al configurar el agente de aprovisionamiento con tu dominio AD en el paso Conectar Active Directory, el asistente tarda mucho tiempo intentando cargar el esquema de AD y, finalmente, se agota el tiempo de espera.	Este error normalmente se muestra si el asistente no puede ponerse en contacto con el servidor de controlador de dominio de AD debido a problemas de firewall.	En la pantalla Connect Active Directory wizard (Conectar Active Directory ), al proporcionar las credenciales del dominio de AD, hay una opción denominada Seleccionar prioridad del controlador de dominio. Use esta opción para seleccionar un controlador de dominio que esté en el mismo sitio que el servidor del agente y asegúrese de que no haya ninguna regla de firewall que bloquee la comunicación.

Errores de conectividad

Si el servicio de aprovisionamiento no puede conectarse a Active Directory o Workday, podría provocar que el aprovisionamiento entre en estado de cuarentena. Use la tabla siguiente para solucionar los problemas de conectividad.

#	Escenario de error	Causas probables	Resolución recomendada
1.	Al hacer clic en Probar conexión, aparece el mensaje de error: Error al conectarse a Active Directory. Asegúrese de que el agente de aprovisionamiento local se está ejecutando y que está configurado con el dominio de Active Directory correcto.	Este error suele aparecer si el agente de aprovisionamiento no está en ejecución o si hay un firewall que bloquea la comunicación entre Microsoft Entra ID y el agente de aprovisionamiento. También puede ver este error si el dominio no está configurado en el Asistente para agente.	Abra la consola de Servicios en el servidor De Windows para confirmar que el agente se está ejecutando. Abra el asistente del agente de aprovisionamiento y confirme que el dominio correcto está registrado en el agente.
2.	El trabajo de aprovisionamiento entra en estado de cuarentena durante los fines de semana (Vie..-Sáb.) y obtenemos una notificación por correo electrónico de que hay un error con la sincronización.	Una de las causas comunes de este error es el tiempo de inactividad planeado de Workday. Si usa un inquilino de implementación de Workday, tenga en cuenta que Workday ha programado el tiempo de instrucciones para sus inquilinos de implementación durante los fines de semana (normalmente de viernes por la noche al sábado por la mañana) y, durante ese período, las aplicaciones de aprovisionamiento de Workday pueden entrar en estado de cuarentena, ya que no es capaz de conectarse a Workday. Vuelve a su estado habitual una vez que el inquilino de implementación de Workday puede volver a conectarse. En raras ocasiones, puede que este error también aparezca si la contraseña del usuario del sistema de integración cambió debido a la actualización del inquilino o si la cuenta tiene un estado bloqueado o expirado.	Póngase en contacto con el asociado de integración o el administrador de Workday para saber cuándo Workday tiene programados tiempos de inactividad, para ignorar los mensajes de alerta durante dicho período y confirmar la disponibilidad una vez que la instancia de Workday vuelva a recuperar la conexión.

Errores de creación de cuentas de usuario de AD

#	Escenario de error	Causas probables	Resolución recomendada
1.	Errores de operación de exportación en el registro de aprovisionamiento con el mensaje Error: OperationsError-SvcErr: Error de operación. No se ha configurado ninguna referencia superior para el servicio de directorio. Por lo tanto, el servicio de directorio no puede emitir referencias a objetos fuera de este bosque.	Este error suele aparecer si el contenedor de la Unidad Organizativa del Active Directory no está configurado correctamente o si hay problemas con el mapeo de expresiones utilizado para parentDistinguishedName.	Compruebe si hay errores tipográficos en el parámetro de la Unidad Organizativa (OU) del contenedor de Active Directory. Si usa parentDistinguishedName en la asignación de atributos, asegúrese de que siempre se evalúa como un contenedor conocido dentro del dominio de AD. Compruebe el evento Export en los registros de aprovisionamiento para ver el valor generado.
2.	Errores de operación de exportación en el registro de provisionamiento con código de error: SystemForCrossDomainIdentityManagementBadResponse y mensaje Error: ConstraintViolation-AtrErr: Un valor en la solicitud no es válido. Un valor para el atributo no estaba en el rango aceptable de valores. \nDetalles del error: CONSTRAINT_ATT_TYPE - empresa.	Aunque este error es específico del atributo de empresa , es posible que vea este error también para otros atributos, como CN . Este error aparece debido a una restricción de esquema aplicada en AD. De forma predeterminada, los atributos como company y CN en AD tienen un límite superior de 64 caracteres. Si el valor procedente de Workday tiene más de 64 caracteres, verá este mensaje de error.	Compruebe el evento Export en los registros de aprovisionamiento para ver el valor del atributo notificado en el mensaje de error. Considere la posibilidad de truncar el valor procedente de Workday mediante la función Mid o cambiar las asignaciones a un atributo de AD que no tiene restricciones de longitud similares.

Errores de actualización de cuentas de usuario de AD

Durante el proceso de actualización de cuentas de usuario de AD, el servicio de aprovisionamiento lee la información de Workday y AD, ejecuta las reglas de asignación de atributos y determina si es necesario aplicar algún cambio. En consecuencia, se desencadena un evento de actualización. Si alguno de estos pasos encuentra un error, se registra en los registros de aprovisionamiento. Use la tabla siguiente para solucionar errores de actualización comunes.

#	Escenario de error	Causas probables	Resolución recomendada
1.	Errores de acción de regla de sincronización en el registro de aprovisionamiento con el mensaje EventName = EntrySynchronizationError y ErrorCode = EndpointUnavailable.	Este error aparece si el servicio de aprovisionamiento no puede recuperar datos del perfil de usuario de Active Directory debido a un error de procesamiento detectado por el agente de aprovisionamiento local.	Consulte los registros del Visor de eventos del agente de aprovisionamiento para ver si existen eventos de error que indiquen problemas con la operación de lectura (Filtrar por id. de evento n.º 2).
2.	El atributo manager de AD no se actualiza para determinados usuarios de AD.	La causa más probable de este error es si usa reglas de ámbito y el administrador del usuario no forma parte del ámbito. También puede encontrarse con este problema si el atributo id. de coincidencia del administrador (como EmployeeID) no se encuentra en el dominio de AD de destino o no se establece en el valor correcto.	Revise el filtro de ámbito y agregue el usuario administrador al ámbito. Compruebe el perfil del administrador en AD para asegurarse de que hay un valor para el atributo id. coincidente.

Administración de la configuración

En esta sección se describe cómo puede ampliar, personalizar y administrar la configuración de aprovisionamiento de usuarios controlada por Workday. Se tratan los temas siguientes:

Personalización de la lista de atributos de usuario de Workday
Exportación e importación de la configuración

Personalización de la lista de atributos de usuario de Workday

Las aplicaciones de aprovisionamiento de Workday para Active Directory y Microsoft Entra ID incluyen ambas una lista predeterminada de atributos de usuario de Workday que puede seleccionar. Sin embargo, estas listas no son completas. Workday admite muchos cientos de posibles atributos de usuario, que pueden ser estándar o exclusivos de su inquilino de Workday.

El servicio de aprovisionamiento de Microsoft Entra admite la capacidad de personalizar tu lista o el atributo de Workday para incluir cualquier atributo expuesto en la operación Get_Workers de la API de Recursos Humanos.

Para realizar este cambio, debe usar Workday Studio para extraer las expresiones XPath que representan los atributos que desea usar y, a continuación, agregarlos a la configuración de aprovisionamiento mediante el editor de atributos avanzados.

Para recuperar una expresión XPath para un atributo de usuario de Workday:

Descargue e instale Workday Studio. Necesita una cuenta de la comunidad de Workday para acceder al instalador.
Descargue el archivo WSDL de Workday Human_Resources específico de la versión de la API de WWS que planea usar desde el directorio de servicios web de Workday.
Inicie Workday Studio.
En la barra de comandos, seleccione la opción Servicio web de prueba de Workday > en Tester .
Seleccione Externo y seleccione el Human_Resources archivo WSDL que descargó en el paso 2.
Establezca el campo Location en https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, pero reemplace "IMPL-CC" por el tipo de instancia real y "TENANT" por el nombre de su inquilino real.
Establecer Operation en Get_Workers
Haga clic en el vínculo de configuración pequeño debajo de los paneles solicitud/respuesta para establecer las credenciales de Workday. Active Autenticación y escriba el nombre de usuario y la contraseña de la cuenta del sistema de integración de Workday. Asegúrese de dar formato al nombre de usuario como name@tenant y deje seleccionada la opción WS-Security UsernameToken .
Seleccione Aceptar.

En el panel Solicitud , pegue el código XML siguiente. Establezca Employee_ID en el identificador de empleado de un usuario real en el entorno de Workday. Establezca wd:version en la versión de WWS que planea usar. Seleccione un usuario que tenga rellenado el atributo que desea extraer.

<?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

Haga clic en enviar solicitud (flecha verde) para ejecutar el comando. Si se ejecuta correctamente, la respuesta debe aparecer en el panel Respuesta . Compruebe la respuesta para asegurarse de que tiene los datos del identificador de usuario especificado y no un error.
Si se ejecuta correctamente, copie el XML desde el panel Respuesta y guárdelo como un archivo XML.
En la barra de comandos de Workday Studio, seleccione Archivo abierto archivo > ... y abra el archivo XML que guardó. Esta acción abre el archivo en el editor XML de Workday Studio.
En el árbol de archivos, navegue por /env: Envelope > env: Body > wd:Get_Workers_Response wd:Response_Data >> wd: Worker para buscar los datos del usuario.
En wd: Worker, busque el atributo que desea agregar y selecciónelo.
Copie la expresión XPath del atributo seleccionado fuera del campo Ruta de acceso del documento .
Quite el prefijo /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ de la expresión copiada.
Si el último elemento de la expresión copiada es un nodo (por ejemplo: "/wd: Birth_Date"), anexe /text() al final de la expresión. Esto no es necesario si el último elemento es un atributo (ejemplo: "/@wd: type").
El resultado debe ser similar a wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Este valor es lo que se copia y escribe en el Centro de administración de Microsoft Entra.

Para agregar el atributo de usuario personalizado de Workday a la configuración de aprovisionamiento:

Inicie el Centro de administración de Microsoft Entra y vaya a la sección Aprovisionamiento de la aplicación de aprovisionamiento de Workday, como se describió anteriormente en este tutorial.
Establezca Estado de aprovisionamiento en Desactivado y seleccione Guardar. Este paso ayuda a garantizar que los cambios surtan efecto solo cuando esté listo.
En Mapeos, seleccione Sincronizar trabajadores de Workday con Active Directory local (o Sincronizar trabajadores de Workday con Microsoft Entra ID).
Desplácese hasta la parte inferior de la pantalla siguiente y seleccione Mostrar opciones avanzadas.
Seleccione Editar lista de atributos para Workday.
Desplácese a la parte inferior de la lista de atributos, al lugar donde están los campos de entrada.
En Nombre, escriba un nombre para mostrar para el atributo.
En Tipo, seleccione el tipo que corresponda adecuadamente al atributo (String es más común).
En Expresión de API, escriba la expresión XPath que copió de Workday Studio. Ejemplo: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Seleccione Agregar atributo.
Seleccione Guardar arriba y, a continuación, Sí en el cuadro de diálogo. Cierre la pantalla Asignación de atributos si todavía está abierta.
De nuevo en la pestaña Aprovisionamiento principal, seleccione Sincronizar trabajadores de Workday con Active Directory local (o Sincronizar trabajadores con Microsoft Entra ID).
Seleccione Agregar nueva asociación.
El nuevo atributo debería aparecer ahora en la lista Atributo de origen .
Agregue una asignación para el nuevo atributo según sea necesario.
Cuando termine, recuerde volver a establecer Estado de aprovisionamiento en Activado y guardar.

Exportación e importación de la configuración

Consulte el artículo Exportación e importación de la configuración de aprovisionamiento.

Administración de datos personales

La solución de aprovisionamiento Workday para Active Directory requiere que se instale un agente de aprovisionamiento en un servidor de Windows local, y este agente crea registros en el registro de eventos de Windows, que puede contener datos personales en función de las asignaciones de atributos de Workday para AD. Para cumplir las obligaciones de privacidad del usuario, puede asegurarse de que no se conserva ningún dato en los registros de eventos durante más de 48 horas; para ello, configure una tarea programada de Windows para borrar el registro de eventos.

El servicio de aprovisionamiento de Microsoft Entra se encuentra en la categoría del procesador de datos de la clasificación del RGPD. Como canalización del procesador de datos, el servicio proporciona servicios de procesamiento de datos a asociados clave y consumidores finales. El servicio de aprovisionamiento de Microsoft Entra no genera datos de usuario y no tiene ningún control independiente sobre qué datos personales se recopilan y cómo se usan. La recuperación de datos, la agregación, el análisis y los informes en el servicio de aprovisionamiento de Microsoft Entra se basan en los datos empresariales existentes.

Nota:

Para obtener información sobre cómo ver o eliminar datos personales, revise las instrucciones de Microsoft sobre las solicitudes de datos de Windows para el RGPD. Para obtener información general sobre el RGPD, consulte la sección RGPD del Centro de confianza de Microsoft y la sección RGPD del portal de confianza de servicios.

Con respecto a la retención de datos, el servicio de aprovisionamiento de Microsoft Entra no genera informes, realiza análisis ni proporciona información más allá de 30 días. Por tanto, el servicio de aprovisionamiento de Microsoft Entra no almacena, procesa ni retiene ningún dato más allá de 30 días. Este diseño es compatible con el reglamento del GDPR, las regulaciones de cumplimiento de la privacidad de Microsoft y las directivas de retención de datos de Microsoft Entra.

Compartir a través de

Configuración de Workday para el aprovisionamiento automático de usuarios con microsoft Entra ID

Información general

Novedades

¿Para quién es más adecuada esta solución de aprovisionamiento de usuarios?

Arquitectura de la solución

Flujo de datos de usuarios de un extremo a otro

Planeamiento de la implementación

Configuración de un usuario de integración en Workday

Creación de un usuario del sistema de integración

Creación de un grupo de seguridad de integración

Configuración de permisos de directiva de seguridad de dominio

Configuración de los permisos de directiva de seguridad del proceso de negocio

Activación de cambios en directiva de seguridad

Requisitos previos para la instalación del agente de aprovisionamiento

Configuración del aprovisionamiento de usuarios de Workday a Active Directory

Parte 1: Incorporación de la aplicación de conector de aprovisionamiento y descarga del agente de aprovisionamiento

Parte 2: Instalación y configuración de agentes de aprovisionamiento en el entorno local

Parte 3: En la aplicación de aprovisionamiento, configuración de la conectividad con WorkDay y Active Directory

Parte 4: configuración de las asignaciones de atributos

A continuación se muestran algunos ejemplos de asignaciones de atributos entre Workday y Active Directory, con algunas expresiones comunes.

Habilitar e iniciar el aprovisionamiento de usuarios

Preguntas más frecuentes (P+F)

Preguntas sobre la funcionalidad de la solución

Al procesar una nueva contratación en Workday, ¿cómo configura la solución la contraseña para la nueva cuenta de usuario en Active Directory?

¿La solución admite el envío de notificaciones de correo electrónico una vez finalizadas las operaciones de aprovisionamiento?

¿La solución almacena en memoria caché los perfiles de usuario de Workday en la nube de Microsoft Entra o en la capa del agente de aprovisionamiento?

¿La solución permite asignar grupos de AD locales al usuario?

¿Qué API de Workday usa la solución para consultar y actualizar los perfiles de trabajo de Workday?

¿Puede configurar mi inquilino de HCM en Workday con dos inquilinos de Microsoft Entra?

¿Cómo puedo sugerir mejoras o solicitar nuevas características relacionadas con la integración de Workday y Microsoft Entra?

Preguntas sobre el agente de aprovisionamiento

¿Cuál es la versión de disponibilidad general del agente de aprovisionamiento?

¿Cómo puedo saber la versión de mi agente de aprovisionamiento?

¿Microsoft inserta automáticamente las actualizaciones del agente de aprovisionamiento?

¿Puedo instalar el agente de aprovisionamiento en el mismo servidor que ejecuta Microsoft Entra Connect?

En el momento de la configuración, el agente de aprovisionamiento solicita las credenciales de administrador de Microsoft Entra. ¿El agente almacena las credenciales localmente en el servidor?

¿Cómo se puede configurar el agente de aprovisionamiento para usar un servidor proxy para la comunicación HTTP saliente?

¿Cómo se puede garantizar que el agente de aprovisionamiento sea capaz de comunicarse con el inquilino de Microsoft Entra y que ningún firewall bloquee los puertos requeridos por el agente?

¿Un agente de aprovisionamiento se puede configurar para aprovisionar varios dominios de AD?

¿Cómo puedo anular el registro del dominio asociado con mi agente de aprovisionamiento?

¿Cómo puedo desinstalar el agente de aprovisionamiento?

Preguntas sobre la asignación y configuración de atributos de Workday en AD

¿Cómo puedo realizar una copia de seguridad o exportar una copia de trabajo del esquema y la asignación de atributos de aprovisionamiento de Workday?

Tengo atributos personalizados en Workday y Active Directory. ¿Cómo se puede configurar la solución para que funcione con los atributos personalizados?

¿Cómo se puede configurar la solución para actualizar solo los atributos de AD según los cambios de Workday sin crear cuentas de AD?

¿Puedo aprovisionar la foto de un usuario desde Workday en Active Directory?

¿Cómo se pueden sincronizar los números de móvil desde Workday según el consentimiento del usuario para su uso público?

¿Cómo puedo dar formato a los nombres para mostrar en AD según los atributos de departamento/país/ciudad del usuario y administrar las variaciones regionales?

¿Cómo se puede usar SelectUniqueValue para generar valores únicos para el atributo samAccountName?

¿Cómo se pueden quitar caracteres con signos diacríticos y convertirlos en caracteres habituales del alfabeto inglés?

Sugerencias de solución de problemas

Configuración del agente de aprovisionamiento para emitir registros de Visor de eventos

Configuración del Visor de eventos de Windows para solucionar problemas del agente

Configuración de los registros de aprovisionamiento del Centro de administración de Microsoft Entra para la solución de problemas del servicio

Información sobre registros para las operaciones de creación de cuentas de usuario de AD

Información sobre registros para las operaciones de actualización del administrador

Resolución de errores comunes

Errores del agente de aprovisionamiento

Errores de conectividad

Errores de creación de cuentas de usuario de AD

Errores de actualización de cuentas de usuario de AD

Administración de la configuración

Personalización de la lista de atributos de usuario de Workday

Exportación e importación de la configuración

Administración de datos personales

Contenido relacionado

Comentarios

Recursos adicionales