Cómo se integra el aprovisionamiento de Microsoft Entra ID con Workday
El servicio de aprovisionamiento de usuarios de Microsoft Entra se integra con el Administrador de conexiones híbridas de Workday para administrar el ciclo de vida de identidad de los usuarios. Microsoft Entra ID ofrece tres integraciones precompiladas:
- Aprovisionamiento de usuarios de Workday a Active Directory en el entorno local
- Aprovisionamiento de usuarios de Workday a Microsoft Entra
- Escritura diferida de Workday
En este artículo se explica cómo funciona la integración y cómo puedes personalizar el comportamiento de aprovisionamiento para diferentes escenarios de recursos humanos.
El servicio de aprovisionamiento de Microsoft Entra usa la autenticación básica para conectarse a los puntos de conexión de la API de Workday Web Services.
Para proteger aún más la conectividad entre el servicio de aprovisionamiento de Microsoft Entra y Workday, puedes restringir el acceso para que el usuario del sistema de integración designado solo tenga acceso a las API de Workday desde intervalos IP permitidos de Microsoft Entra. Ponte en contacto con el administrador de Workday para completar la siguiente configuración en el inquilino de Workday.
- Descarga los intervalos IP más recientes para la nube pública de Azure.
- Abra el archivo y busque la etiqueta
AzureActiveDirectory
. - Copia todos los intervalos de direcciones IP que aparecen en el elemento addressPrefixes y usa el intervalo para crear una lista de direcciones IP.
- Inicia sesión en el portal de administración de Workday.
- Accede a la tarea Mantener intervalos IP para crear un nuevo intervalo de direcciones IP para los centros de datos de Azure. Especifica los intervalos IP (mediante la notación CIDR) como una lista separada por comas.
- Accede a la tarea Administrar directivas de autenticación para crear una nueva directiva de autenticación. En la directiva de autenticación, usa la lista de permitidos de autenticación para especificar el intervalo IP de Microsoft Entra y el grupo de seguridad a los que se permite el acceso desde este intervalo IP. Guarda los cambios.
- Accede a la tarea Activar todos los cambios de directivas de autenticación pendientes para confirmar los cambios.
Limitación del acceso a los datos de trabajadores de Workday mediante grupos de seguridad restringidos
Los pasos predeterminados para configurar el usuario del sistema de integración de Workday conceden acceso para recuperar todos los usuarios del inquilino de Workday. En determinados escenarios de integración, es posible que desee limitar el acceso. Por ejemplo, solo devuelve usuarios de determinadas organizaciones supervisoras desde la llamada API Get_Workers
.
Puedes limitar el acceso trabajando con el administrador de Workday y configurando los grupos de seguridad del sistema de integración restringido. Para obtener más información, consulta la sección de seguridad contextual de Get_Workers en este documento de Workday de concepto: Obtener directrices de servicio web SOAP de trabajadores (se necesita acceso a la comunidad de Workday para este artículo).
Esta estrategia de limitar el acceso mediante ISSG (grupos de seguridad del sistema de integración) restringidos es útil en los escenarios siguientes:
- Escenario de lanzamiento por fases: tienes un inquilino de Workday de gran tamaño y planeas realizar un lanzamiento por fases de Workday en el aprovisionamiento automatizado de Microsoft Entra ID. En este escenario, en lugar de excluir a los usuarios que no están en el ámbito de la fase actual con filtros de ámbito de Microsoft Entra ID, se recomienda configurar ISSG restringidos para que solo los trabajadores en el ámbito estén visibles para Microsoft Entra ID.
- Escenario con varios trabajos de aprovisionamiento: tienes un inquilino de Workday de gran tamaño y varios dominios de AD, cada uno de los cuales respalda a una unidad de negocio, división o compañía diferente. Para admitir esta topología, te gustaría ejecutar varios trabajos de aprovisionamiento de Workday en Microsoft Entra con cada trabajo, aprovisionando un conjunto específico de trabajadores. En este escenario, en lugar de usar los filtros de ámbito de Microsoft Entra ID para excluir los datos de trabajadores, se recomienda configurar ISSG restringidos para que solo los datos de trabajadores pertinentes estén visibles en Microsoft Entra ID.
Para probar la conectividad con Workday, Microsoft Entra ID envía la siguiente solicitud Get_Workers de Workday Web Services.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
La sincronización completa en el contexto del aprovisionamiento controlado por Workday hace referencia al proceso de captura de todas las identidades de Workday y determina qué reglas de aprovisionamiento se aplican a cada objeto de trabajador. La sincronización completa se produce cuando se activa el aprovisionamiento por primera vez y también cuando reinicias el aprovisionamiento desde el Centro de administración Microsoft Entra o mediante Graph API.
Para recuperar los datos de trabajadores, Microsoft Entra ID envía la siguiente solicitud Get_Workers de Workday Web Services. La consulta busca el registro de transacciones de Workday de todas las entradas de trabajadores con fecha de entrada en vigor a partir del momento correspondiente a la ejecución de la sincronización completa.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
El nodo Response_Group se usa para especificar los atributos de trabajo que se van a capturar de Workday. Para obtener una descripción de cada una de las marcas del nodo Response_Group, consulta la documentación de la API de Get_Workers de Workday.
Algunos valores de marca especificados en el nodo Response_Group se calculan en función de los atributos configurados en la aplicación de aprovisionamiento de Microsoft Entra para Workday. Consulta la sección Entidades admitidas para ver los criterios que se usan para establecer los valores de las marcas.
La respuesta de Get_Workers de Workday para la consulta anterior incluye el número de registros de trabajo y el de páginas.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Para recuperar la página siguiente del conjunto de resultados, la siguiente consulta Get_Workers especifica el número de páginas como un parámetro de Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
El servicio de aprovisionamiento de Microsoft Entra procesa cada página e itera todos los trabajos efectivos durante la sincronización completa. Para cada entrada de trabajador importada desde Workday:
- Se aplica la expresión XPATH para recuperar los valores de atributo de Workday.
- Se aplican la asignación de atributos y las reglas de coincidencia.
- El servicio determina la operación que se realizará en el destino (Microsoft Entra ID / Active Directory).
Una vez completado el procesamiento, guarda la marca de tiempo asociada al inicio de la sincronización completa como una marca de agua. Esta marca de agua sirve como punto inicial del ciclo de sincronización incremental.
Después de una sincronización completa, el servicio de aprovisionamiento de Microsoft Entra mantiene LastExecutionTimestamp
y lo usa para crear consultas delta para recuperar los cambios incrementales. Durante la sincronización incremental, Microsoft Entra ID envía los siguientes tipos de consultas a Workday:
- Consulta de actualizaciones manuales
- Consulta de actualizaciones y bajas con fecha de entrada en vigor
- Consulta de contrataciones con fecha futura
La siguiente solicitud Get_Workers consulta las actualizaciones manuales que se produjeron entre la última ejecución y el momento de ejecución actual.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
La siguiente solicitud Get_Workers consulta las actualizaciones con fecha de vigencia que se produjeron entre la última ejecución y la hora de ejecución actual.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Si alguna de las consultas anteriores devuelve un contrato con fecha futura, se utilizará la siguiente solicitud Get_Workers para obtener información sobre un nuevo contrato con fecha futura. El atributo WID del nuevo contrato se usa para realizar la búsqueda y la fecha de entrada en vigor se establece en la fecha y hora de contratación.
Nota
Las contrataciones con fecha futura en Workday tienen el campo Activo establecido en "0" y este cambia a "1" en la fecha de contratación. El conector por diseño consulta la información de contrataciones futuras vigentes en la fecha de contratación y, por eso, siempre obtiene el perfil de trabajador de contrataciones futuras con el campo Activo establecido en "1". Esto le permite configurar el perfil de Microsoft Entra para contrataciones futuras por adelantado, con toda la información adecuada previamente rellena. Si quiere retrasar la habilitación de la cuenta de Microsoft Entra para contrataciones futuras, use la función de transformación DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Get_Workers API puede devolver conjuntos de datos diferentes asociados a un trabajador. Según las expresiones de XPATH API configuradas en el esquema de aprovisionamiento, el servicio de aprovisionamiento de Microsoft Entra determina qué conjuntos de datos se van a recuperar de Workday. En consecuencia, las marcas de Response_Group se establecen en la solicitud Get_Workers.
La tabla proporciona instrucciones sobre la configuración de la asignación que se utiliza para recuperar un conjunto de datos concreto.
# | Entidad de Workday | Se incluye de manera predeterminada | Patrón XPATH que se va a especificar en la asignación para capturar entidades no predeterminadas |
---|---|---|---|
1 | Personal Data |
Sí | wd:Worker_Data/wd:Personal_Data |
2 | Employment Data |
Sí | wd:Worker_Data/wd:Employment_Data |
3 | Additional Job Data |
Sí | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
4 | Organization Data |
Sí | wd:Worker_Data/wd:Organization_Data |
5 | Management Chain Data |
Sí | wd:Worker_Data/wd:Management_Chain_Data |
6 | Supervisory Organization |
Sí | SUPERVISORY |
7 | Company |
Sí | COMPANY |
8 | Business Unit |
No | BUSINESS_UNIT |
9 | Business Unit Hierarchy |
No | BUSINESS_UNIT_HIERARCHY |
10 | Company Hierarchy |
No | COMPANY_HIERARCHY |
11 | Cost Center |
No | COST_CENTER |
12 | Cost Center Hierarchy |
No | COST_CENTER_HIERARCHY |
13 | Fund |
No | FUND |
14 | Fund Hierarchy |
No | FUND_HIERARCHY |
15 | Gift |
No | GIFT |
16 | Gift Hierarchy |
No | GIFT_HIERARCHY |
17 | Grant |
No | GRANT |
18 | Grant Hierarchy |
No | GRANT_HIERARCHY |
19 | Business Site Hierarchy |
No | BUSINESS_SITE_HIERARCHY |
20 | Matrix Organization |
No | MATRIX |
21 | Pay Group |
No | PAY_GROUP |
22 | Programs |
No | PROGRAMS |
23 | Program Hierarchy |
No | PROGRAM_HIERARCHY |
24 | Region |
No | REGION_HIERARCHY |
25 | Location Hierarchy |
No | LOCATION_HIERARCHY |
26 | Account Provisioning Data |
No | wd:Worker_Data/wd:Account_Provisioning_Data |
27 | Background Check Data |
No | wd:Worker_Data/wd:Background_Check_Data |
28 | Benefit Eligibility Data |
No | wd:Worker_Data/wd:Benefit_Eligibility_Data |
29 | Benefit Enrollment Data |
No | wd:Worker_Data/wd:Benefit_Enrollment_Data |
30 | Career Data |
No | wd:Worker_Data/wd:Career_Data |
31 | Compensation Data |
No | wd:Worker_Data/wd:Compensation_Data |
32 | Contingent Worker Tax Authority Data |
No | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
33 | Development Item Data |
No | wd:Worker_Data/wd:Development_Item_Data |
34 | Employee Contracts Data |
No | wd:Worker_Data/wd:Employee_Contracts_Data |
35 | Employee Review Data |
No | wd:Worker_Data/wd:Employee_Review_Data |
36 | Feedback Received Data |
No | wd:Worker_Data/wd:Feedback_Received_Data |
37 | Worker Goal Data |
No | wd:Worker_Data/wd:Worker_Goal_Data |
38 | Photo Data |
No | wd:Worker_Data/wd:Photo_Data |
39 | Qualification Data |
No | wd:Worker_Data/wd:Qualification_Data |
40 | Related Persons Data |
No | wd:Worker_Data/wd:Related_Persons_Data |
41 | Role Data |
No | wd:Worker_Data/wd:Role_Data |
42 | Skill Data |
No | wd:Worker_Data/wd:Skill_Data |
43 | Succession Profile Data |
No | wd:Worker_Data/wd:Succession_Profile_Data |
44 | Talent Assessment Data |
No | wd:Worker_Data/wd:Talent_Assessment_Data |
45 | User Account Data |
No | wd:Worker_Data/wd:User_Account_Data |
46 | Worker Document Data |
No | wd:Worker_Data/wd:Worker_Document_Data |
Nota
Cada entidad de Workday que se enumera en la tabla está protegida por una directiva de seguridad de dominio en Workday. Si no puede recuperar ningún atributo asociado a la entidad después de establecer la XPATH adecuada, consulte con el administrador de Workday para asegurarse de que la directiva de seguridad de dominio adecuada esté configurada para el usuario del sistema de integración asociado a la aplicación de aprovisionamiento. Por ejemplo, para recuperar Datos de aptitudes, se necesita acceso Get en el dominio de Workday Datos del trabajador: aptitudes y experiencia.
Estos son algunos ejemplos sobre cómo puede ampliar la integración con Workday para que cumpla requisitos específicos.
Supongamos que desea recuperar los siguientes conjuntos de datos de Workday y usarlos en las reglas de aprovisionamiento:
- Centro de costos
- Jerarquía del centro de costo
- Grupo de pago
Los conjuntos de datos anteriores no se incluyen de forma predeterminada. Para recuperar estos conjuntos de datos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
Seleccione su aplicación de aprovisionamiento de usuarios de Workday a Active Directory o Microsoft Entra.
Seleccione Aprovisionamiento.
Edite las asignaciones y abra la lista de atributos de Workday en la sección Opciones avanzadas.
Agregue las siguientes definiciones de atributos y márquelas como "Obligatorio". Estos atributos no se asignan a ningún atributo de Active Directory o Microsoft Entra ID. Sirven como señales para el conector para recuperar el centro de coste, la jerarquía del centro de coste y la información del grupo de pago.
Nombre del atributo Expresión de XPATH API CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Una vez que el conjunto de datos del centro de coste y el grupo de pagos está disponible en la respuesta de Get_Workers, puede usar los valores de XPATH para recuperar el nombre del centro de coste, el código de este y el grupo de pago.
Nombre del atributo Expresión de XPATH API CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Supongamos que desea recuperar las certificaciones asociadas a un usuario. Esta información está disponible como parte del conjunto Datos de cualificación. Para obtener este conjunto de datos como parte de la respuesta de Get_Workers, utilice el siguiente código de XPATH:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Supongamos que desea recuperar los grupos de aprovisionamiento asignados a un trabajador. Esta información está disponible como parte del conjunto de datos de aprovisionamiento de cuentas. Para obtener estos datos como parte de la respuesta de Get_Workers, use el siguiente código de XPATH:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
En esta sección se explica cómo puede personalizar la aplicación de aprovisionamiento para los siguientes escenarios de recursos humanos:
- Compatibilidad con conversiones de trabajador
- Recuperación de asignaciones de trabajos internacionales y detalles de trabajos secundarios
En esta sección se describe la compatibilidad del servicio de aprovisionamiento de Microsoft Entra para escenarios en los que un trabajador pasa de ser empleado a tiempo completo (FTE) a trabajador temporal (CW) o viceversa. Dependiendo de cómo se procesan las conversiones de trabajador en Workday, puede haber diferentes aspectos de implementación que se deben tener en cuenta.
- Escenario 1: Conversión con fecha pasada de FTE a CW o viceversa
- Escenario 2: el trabajador contratado como CW/FTE hoy, cambiará a FTE/CW hoy mismo
- Escenario 3: Se despide al trabajador contratado como CW/FTE, vuelve a unirse a la empresa como FTE/CW después de un espacio de tiempo significativo
- Escenario 4: Conversión con fecha futura, cuando el trabajador es un CW/FTE activo
Su equipo de recursos humanos podría antedatar una transacción de conversión de trabajadores en Workday por razones comerciales válidas. Entre los ejemplos se incluyen el procesamiento de nóminas, el cumplimiento presupuestario, los requisitos legales y la administración de beneficios. Este es un ejemplo para ilustrar cómo se controla el aprovisionamiento en el escenario.
- Es 15 de enero de 2023 y Jane Doe es contratada como trabajadora contingente. RR. HH. ofrece a Jane una posición a tiempo completo.
- Los términos del cambio de contrato de Jane requieren que la transacción tenga una fecha pasada para que quede alineada con el inicio del mes actual. RR. HH. inicia una transacción de conversión de trabajador en Workday el 15 de enero de 2023 con fecha de vigencia a partir del 1 de enero de 2023. Ahora existen dos perfiles de trabajador en Workday para Jane. El perfil de CW está inactivo, mientras que el perfil de FTE está activo.
- El servicio de aprovisionamiento de Microsoft Entra detecta este cambio en el registro de transacciones de Workday el 15 de enero de 2023. El servicio aprovisiona automáticamente los atributos del nuevo perfil de empleado a tiempo completo en el siguiente ciclo de sincronización.
- No se requieren cambios en la configuración de la aplicación de aprovisionamiento para controlar este escenario.
Este escenario es similar al anterior, excepto que, en lugar de asignar una fecha pasada a la transacción, RR. HH. realiza una conversión de trabajador que es efectiva inmediatamente. El servicio de aprovisionamiento de Microsoft Entra detecta este cambio en el registro de transacciones de Workday. En el siguiente ciclo de sincronización, el servicio aprovisiona automáticamente los atributos asociados con un perfil de empleado a tiempo completo activo. No se requieren cambios en la configuración de la aplicación de aprovisionamiento para controlar este escenario.
Escenario 3: Se despide al trabajador contratado como CW/FTE, vuelve a unirse a la empresa como FTE/CW después de un espacio de tiempo significativo
Es habitual que los trabajadores comiencen a trabajar en una empresa como trabajador temporal, dejen la empresa y luego se vuelvan a unir a ella después de varios meses, como empleado a tiempo completo. Este es un ejemplo para ilustrar cómo se controla el aprovisionamiento en este escenario.
- Es 1 de enero de 2023 y John Smith es contratado como trabajador temporal. Como no hay ninguna cuenta de AD asociada al WorkerID (atributo de coincidencia) de John, el servicio de aprovisionamiento crea una nueva cuenta de AD y vincula el WID (WorkdayID) de trabajador temporal de John a su cuenta de AD.
- El contrato de John finaliza el 31 de enero de 2023. En el ciclo de aprovisionamiento que se ejecuta después del 31 de enero, la cuenta de AD de John queda deshabilitada.
- John hace una solicitud para otra posición y decide volver a la empresa como empleado a tiempo completo a partir del 1 de mayo de 2023. RR. HH. introduce la información de John como empleado precontratado el 15 de abril de 2023. Ahora existen dos perfiles de trabajador en Workday para John. El perfil de CW está inactivo, mientras que el perfil de empleado a tiempo completo está activo. Los dos registros tienen el mismo WorkerID pero diferentes WID.
- El 15 de abril, durante el ciclo incremental, el servicio de aprovisionamiento de Microsoft Entra transfiere automáticamente la propiedad de la cuenta de AD al perfil del trabajador activo. En este caso, desvincula el perfil de trabajador temporal de la cuenta de AD y establece un nuevo vínculo entre el perfil de trabajo de empleado activo de John y su cuenta de AD.
- No se requieren cambios en la configuración de la aplicación de aprovisionamiento para controlar este escenario.
Escenario 4: Conversión con fecha futura, cuando el trabajador es un CW/empleado a tiempo completo activo
A veces, es posible que un trabajador ya sea un trabajador temporal activo, cuando RR. HH. inicia una transacción de conversión de trabajo con fecha futura. Este es un ejemplo para ilustrar cómo se controla el aprovisionamiento para este escenario y qué cambios de configuración son necesarios para admitir este escenario.
Es 1 de enero de 2023 y John Smith es contratado como trabajador temporal. Como no hay ninguna cuenta de AD asociada al WorkerID (atributo de coincidencia) de John, el servicio de aprovisionamiento crea una nueva cuenta de AD y vincula el WID (WorkdayID) de trabajador temporal de John a su cuenta de AD.
El 15 de enero, RR. HH. inicia una transacción para hacer que John deje de ser trabajador temporal y pase a ser empleado a tiempo completo a partir del 1 de febrero de 2023.
Dado que el servicio de aprovisionamiento de Microsoft Entra procesa automáticamente contrataciones con fecha futura, procesa el nuevo perfil de trabajo de empleado a tiempo completo de John el 15 de enero y actualiza los detalles del perfil de John en AD con el empleo a tiempo completo, aunque sigue siendo trabajador temporal.
Para evitar este comportamiento y asegurarse de que la información de empleado a tiempo completo de John se aprovisiona el 1 de febrero de 2023, realiza los siguientes cambios de configuración.
Cambios en la configuración
- Haz que el administrador de Workday se involucre y cree un grupo de aprovisionamiento denominado "Conversiones con fecha futura".
- Implementa una lógica en Workday para agregar registros de trabajo de empleados temporales o permanentes con conversiones de fecha futuras a este grupo de aprovisionamiento.
- Actualiza la aplicación de aprovisionamiento de Microsoft Entra para leer este grupo de aprovisionamiento. Consulta las instrucciones que se indican aquí sobre cómo recuperar el grupo de aprovisionamiento
- Crea un filtro de ámbito en Microsoft Entra ID para excluir los perfiles de trabajo que forman parte de este grupo de aprovisionamiento.
- En Workday, implementa una lógica para que, cuando la fecha de conversión sea efectiva, Workday quite el registro de trabajo temporal o permanente correspondiente del grupo de aprovisionamiento de Workday.
- Con esta configuración, el registro de trabajo de empleado temporal o permanente existente sigue siendo efectivo y el cambio de aprovisionamiento solo se produce en el día de la conversión.
Nota
Durante la sincronización completa inicial, puedes observar un comportamiento en el que los valores de atributo asociados al flujo del perfil de trabajador inactivo anterior fluyen a la cuenta de AD de los trabajadores convertidos. Esto es temporal y, a medida que progrese la sincronización completa, los valores de atributo del perfil de trabajador activo lo sobrescribirán. Una vez completada la sincronización completa y que el trabajo de aprovisionamiento alcance el estado estable, siempre seleccionará el perfil de trabajo activo durante la sincronización incremental.
De forma predeterminada, el conector de Workday recupera los atributos asociados con el trabajo principal del trabajador. El conector también admite la recuperación de Additional Job Data
asociados con asignaciones de trabajos internacionales o trabajos secundarios.
Sigue los pasos que se indican para recuperar los atributos asociados con asignaciones de trabajos internacionales:
- Establece la dirección URL de conexión de Workday en la versión 30.0 o superior de la API de servicio web de Workday. Establece los valores correctos de XPATH correspondientes en la aplicación de aprovisionamiento de Workday.
- Usa el selector
@wd:Primary_Job=0
del nodoWorker_Job_Data
para recuperar el atributo correcto.- Ejemplo 1: Para obtener
SecondaryBusinessTitle
, usa el XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text()
- Ejemplo 2: Para obtener
SecondaryBusinessLocation
, usa el XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Ejemplo 1: Para obtener
En esta sección se enumeran las limitaciones conocidas actuales que pueden experimentar los clientes en su integración de Workday.
- El conector no admite la recuperación de los campos calculados de Workday.
- El conector no admite la sincronización de fotos desde Workday.
- El conector no admite la recuperación avanzada de los trabajadores cuyo último día de trabajo expira.
- Durante la sincronización incremental, puede haber un retraso en el procesamiento del evento de terminación para los trabajadores ubicados en las regiones de Asia Pacífico y Australia/Nueva Zelanda.