Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con Workday Mobile Application

  • Artículo

En este tutorial aprenderá a integrar Microsoft Entra ID, el acceso condicional e Intune con la aplicación móvil Workday. Al integrar la aplicación móvil Workday con Microsoft, podrá:

  • Asegurarse de que los dispositivos cumplan sus directivas antes de iniciar sesión.
  • Agregar controles a la aplicación móvil Workday para asegurarse de que los usuarios accedan de forma segura a los datos corporativos.
  • Controlar en Microsoft Entra ID quién tiene acceso a Workday.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Workday con sus cuentas de Microsoft Entra.
  • Administrar sus cuentas en una ubicación central: Azure Portal.

Requisitos previos

Primeros pasos:

Descripción del escenario

En este tutorial, configurará y probará las directivas de acceso condicional de Microsoft Entra e Intune con la aplicación móvil de Workday.

Para habilitar el inicio de sesión único (SSO), puede configurar la aplicación federada Workday con Microsoft Entra ID. Para más información, consulte Integración del inicio de sesión único (SSO) de Microsoft Entra con Workday.

Nota:

Workday no es compatible con las directivas de protección de la aplicación de Intune. Debe usar la administración de dispositivos móviles para utilizar el acceso condicional.

Garantía de que los usuarios tienen acceso a la aplicación móvil Workday

Configure Workday para permitir el acceso a las aplicaciones móviles. Tendrá que configurar las siguientes directivas para la aplicación móvil Workday:

  1. Acceda a las directivas de seguridad del dominio para el informe de área funcional.
  2. Seleccione la directiva de seguridad adecuada:
    • Uso móvil: Android
    • Uso móvil: iPad
    • Uso móvil: iPhone
  3. Seleccione Editar permisos.
  4. Active la casilla View or Modify (Ver o Modificar) para conceder a los grupos de seguridad acceso a los elementos protegibles de informes o tareas.
  5. Active la casilla Get or Put (Obtener o Poner) para conceder a los grupos de seguridad acceso a las acciones protegibles de informes o tareas y a la integración.

Ejecute Activate Pending Security Policy Changes (Activar cambios en la directiva de seguridad pendientes) para activar los cambios en la directiva de seguridad pendientes.

Apertura de la página de inicio de sesión de Workday en el explorador móvil de Workday

Para aplicar el acceso condicional a la aplicación móvil Workday, debe abrir la aplicación en un explorador externo. En Edit Tenant Setup - Security (Editar configuración de inquilino – Seguridad), seleccione Enable Mobile Browser SSO for Native Apps (Habilitar SSO de explorador móvil para aplicaciones nativas). Esto requiere que haya instalado un explorador aprobado por Intune en el dispositivo para iOS y en el perfil de trabajo para Android.

Screenshot of Workday Mobile Browser sign-in.

Configuración de la directiva de acceso condicional

Esta directiva solo afecta al inicio de sesión en un dispositivo iOS o Android. Si desea extenderla a todas las plataformas, seleccione Cualquier dispositivo. Esta directiva requiere que el dispositivo cumpla la directiva y lo comprueba mediante Intune. Como Android tiene perfiles de trabajo, impide que los usuarios inicien sesión en WorkDay, a menos que lo hagan mediante su perfil de trabajo y hayan instalado la aplicación mediante el portal de empresa de Intune. Para iOS, se necesita un paso adicional para garantizar que ocurra lo mismo.

Workday admite los siguientes controles de acceso:

  • Requiere autenticación multifactor
  • Requerir que el dispositivo esté marcado como compatible

La aplicación Workday no admite lo siguiente:

  • Requerir aplicación cliente aprobada
  • Requerir una directiva de protección de aplicaciones (versión preliminar)

Para configurar Workday como dispositivo administrado, realice los pasos siguientes:

Screenshot of Managed Devices Only and Cloud apps or actions.

  1. Seleccione Inicio>Microsoft Intune>Conditional Access-Policies (Directiva de acceso condicional). A continuación, seleccione Managed Devices Only (Solo dispositivos administrados).

  2. En Managed Devices Only (Solo dispositivos administrados), en Name (Nombre), seleccione Managed Devices Only (Solo dispositivos administrados) y Cloud apps or actions (Aplicaciones o acciones en la nube).

  3. En Cloud apps or actions (Aplicaciones o acciones en la nube):

    1. Cambie Seleccione a qué se aplica esta directiva a Aplicaciones en la nube.

    2. En Incluir, elija Seleccionar aplicaciones.

    3. En la lista Seleccionar, elija Workday.

    4. Seleccione Listo.

  4. Establezca Habilitar directiva en Activado.

  5. Seleccione Guardar.

Para conceder acceso, siga estos pasos:

Screenshot of Managed Devices Only and Grant.

  1. Seleccione Inicio>Microsoft Intune>Conditional Access-Policies (Directiva de acceso condicional). A continuación, seleccione Managed Devices Only (Solo dispositivos administrados).

  2. En Managed Devices Only (Solo dispositivos administrados), en Name (Nombre), selecciones Managed Devices Only (Solo dispositivos administrados). En Controles de acceso, seleccione Conceder.

  3. En Grant (Concesión):

    1. Seleccione los controles que se aplicarán como Conceder acceso.

    2. Seleccione Requerir que el dispositivo esté marcado como compatible.

    3. Seleccione Requerir uno de los controles seleccionados.

    4. Elija Seleccionar.

  4. Establezca Habilitar directiva en Activado.

  5. Seleccione Guardar.

Configuración de la directiva de cumplimiento de dispositivos

Para asegurarse de que los dispositivos iOS solo pueden iniciar sesión mediante una aplicación Workday administrada de la administración de dispositivos móviles, agregue com.workday.workdayapp a la lista de aplicaciones restringidas para bloquear la aplicación App Store. Esto garantiza que solo los dispositivos que tengan la aplicación Workday instalada mediante el portal de empresa puedan acceder a ella. Si se utiliza un explorador, los dispositivos solo podrán acceder a Workday si están administrados por Intune y se usa un explorador administrado.

Screenshot of iOS device compliance policy.

Configuración de las directivas de configuración de aplicaciones de Intune

Escenario Pares clave-valor
Rellene automáticamente los campos Inquilino y Dirección web para:
• Workday en Android al habilitar perfiles de Android for work.
• Workday en iPad y iPhone.		 Use estos valores para configurar el inquilino:
● Clave de configuración = UserGroupCode
● Tipo de valor = String
● Valor de configuración = Nombre del inquilino Ejemplo: gms
Use estos valores para configurar la dirección web:
● Clave de configuración = AppServiceHost
● Tipo de valor = String
● Valor de configuración = Dirección URL base para el inquilino Ejemplo: https://www.myworkday.com
Deshabilite estas acciones para Workday en iPad y iPhone:
● Cortar, copiar y pegar
● Imprimir		 Establezca el valor (booleano) en False en estas claves para deshabilitar la funcionalidad:
AllowCutCopyPaste
AllowPrint
Deshabilite las capturas de pantalla para Workday en Android. Establezca el valor (booleano) en False en la clave AllowScreenshots para deshabilitar la funcionalidad.
Deshabilite las actualizaciones sugeridas para los usuarios. Establezca el valor (booleano) en False en la clave AllowSuggestedUpdates para deshabilitar la funcionalidad.
Personalice la dirección URL de la tienda de aplicaciones para dirigir a los usuarios móviles a la tienda de aplicaciones de su elección. Use estos valores para cambiar la dirección URL de la tienda de aplicaciones:
● Clave de configuración = AppUpdateURL
● Tipo de valor = String
● Valor de configuración = Dirección URL de App Store

Directivas de configuración de iOS

  1. Inicie sesión en Azure Portal.

  2. Busque Intune o seleccione el widget de la lista.

  3. Vaya a Aplicaciones cliente>Aplicaciones>Directivas de configuración de la aplicación. A continuación, seleccione + Agregar>Managed Devices (Dispositivos administrados).

  4. Escriba un nombre.

  5. En Plataforma, elija iOS/iPadOS.

  6. En Associated App (Aplicación asociada), elija la aplicación Workday para iOS que ha agregado.

  7. Seleccione Opciones de configuración. En Configuration settings format (Formato de opciones de configuración), seleccione Enter XML Data (Escribir datos XML).

  8. A continuación se incluye un archivo XML de ejemplo. Agregue las configuraciones que desee aplicar. Reemplace STRING_VALUE por el nombre que desea usar. Reemplace <true /> or <false /> por <true /> o <false />. Si no agrega una configuración, este ejemplo funciona como si estuviera establecida en True.

    <dict>
<key>UserGroupCode</key>
<string>STRING_VALUE</string>
<key>AppServiceHost</key>
<string>STRING_VALUE</string>
<key>AllowCutCopyPaste</key>
<true /> or <false />
<key>AllowPrint</key>
<true /> or <false />
<key>AllowSuggestedUpdates</key>
<true /> or <false />
<key>AppUpdateURL</key>
<string>STRING_VALUE</string>
</dict>

  9. Seleccione Agregar.

  10. Actualice la página y seleccione la directiva recién creada.

  11. Seleccione Tareas y elija a quién desea que se aplique la aplicación.

  12. Seleccione Guardar.

Directivas de configuración de Android

  1. Inicie sesión en Azure Portal.
  2. Busque Intune o seleccione el widget de la lista.
  3. Vaya a Aplicaciones cliente>Aplicaciones>Directivas de configuración de la aplicación. A continuación, seleccione + Agregar>Managed Devices (Dispositivos administrados).
  4. Escriba un nombre.
  5. En Plataforma, seleccione Android.
  6. En Associated App (Aplicación asociada), elija la aplicación Workday para Android que ha agregado.
  7. Seleccione Opciones de configuración. En Formato de opciones de configuración, seleccione Enter JSON Data (Escribir datos JSON).