Leer en inglés

Compartir a través de


Cómo se integra el aprovisionamiento de Microsoft Entra ID con Workday

El servicio de aprovisionamiento de usuarios de Microsoft Entra se integra con el Administrador de conexiones híbridas de Workday para administrar el ciclo de vida de identidad de los usuarios. Microsoft Entra ID ofrece tres integraciones precompiladas:

En este artículo se explica cómo funciona la integración y cómo puedes personalizar el comportamiento de aprovisionamiento para diferentes escenarios de recursos humanos.

Establecimiento de la conectividad

Restricción del acceso de la API de Workday a puntos de conexión de Microsoft Entra

El servicio de aprovisionamiento de Microsoft Entra usa la autenticación básica para conectarse a los puntos de conexión de la API de Workday Web Services.

Para proteger aún más la conectividad entre el servicio de aprovisionamiento de Microsoft Entra y Workday, puedes restringir el acceso para que el usuario del sistema de integración designado solo tenga acceso a las API de Workday desde intervalos IP permitidos de Microsoft Entra. Ponte en contacto con el administrador de Workday para completar la siguiente configuración en el inquilino de Workday.

  1. Descarga los intervalos IP más recientes para la nube pública de Azure.
  2. Abra el archivo y busque la etiqueta AzureActiveDirectory.
  3. Copia todos los intervalos de direcciones IP que aparecen en el elemento addressPrefixes y usa el intervalo para crear una lista de direcciones IP.
  4. Inicia sesión en el portal de administración de Workday.
  5. Accede a la tarea Mantener intervalos IP para crear un nuevo intervalo de direcciones IP para los centros de datos de Azure. Especifica los intervalos IP (mediante la notación CIDR) como una lista separada por comas.
  6. Accede a la tarea Administrar directivas de autenticación para crear una nueva directiva de autenticación. En la directiva de autenticación, usa la lista de permitidos de autenticación para especificar el intervalo IP de Microsoft Entra y el grupo de seguridad a los que se permite el acceso desde este intervalo IP. Guarda los cambios.
  7. Accede a la tarea Activar todos los cambios de directivas de autenticación pendientes para confirmar los cambios.

Limitación del acceso a los datos de trabajadores de Workday mediante grupos de seguridad restringidos

Los pasos predeterminados para configurar el usuario del sistema de integración de Workday conceden acceso para recuperar todos los usuarios del inquilino de Workday. En determinados escenarios de integración, es posible que desee limitar el acceso. Por ejemplo, solo devuelve usuarios de determinadas organizaciones supervisoras desde la llamada API Get_Workers.

Puedes limitar el acceso trabajando con el administrador de Workday y configurando los grupos de seguridad del sistema de integración restringido. Para obtener más información, consulta la sección de seguridad contextual de Get_Workers en este documento de Workday de concepto: Obtener directrices de servicio web SOAP de trabajadores (se necesita acceso a la comunidad de Workday para este artículo).

Esta estrategia de limitar el acceso mediante ISSG (grupos de seguridad del sistema de integración) restringidos es útil en los escenarios siguientes:

  • Escenario de lanzamiento por fases: tienes un inquilino de Workday de gran tamaño y planeas realizar un lanzamiento por fases de Workday en el aprovisionamiento automatizado de Microsoft Entra ID. En este escenario, en lugar de excluir a los usuarios que no están en el ámbito de la fase actual con filtros de ámbito de Microsoft Entra ID, se recomienda configurar ISSG restringidos para que solo los trabajadores en el ámbito estén visibles para Microsoft Entra ID.
  • Escenario con varios trabajos de aprovisionamiento: tienes un inquilino de Workday de gran tamaño y varios dominios de AD, cada uno de los cuales respalda a una unidad de negocio, división o compañía diferente. Para admitir esta topología, te gustaría ejecutar varios trabajos de aprovisionamiento de Workday en Microsoft Entra con cada trabajo, aprovisionando un conjunto específico de trabajadores. En este escenario, en lugar de usar los filtros de ámbito de Microsoft Entra ID para excluir los datos de trabajadores, se recomienda configurar ISSG restringidos para que solo los datos de trabajadores pertinentes estén visibles en Microsoft Entra ID.

Consulta de conexión de prueba de Workday

Para probar la conectividad con Workday, Microsoft Entra ID envía la siguiente solicitud Get_Workers de Workday Web Services.

<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
    <p1:Exclude_Employees>true</p1:Exclude_Employees>
    <p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
    <p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>1</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
  </p1:Response_Group>
</Get_Workers_Request>

Cómo funciona la sincronización completa

La sincronización completa en el contexto del aprovisionamiento controlado por Workday hace referencia al proceso de captura de todas las identidades de Workday y determina qué reglas de aprovisionamiento se aplican a cada objeto de trabajador. La sincronización completa se produce cuando se activa el aprovisionamiento por primera vez y también cuando reinicias el aprovisionamiento desde el Centro de administración Microsoft Entra o mediante Graph API.

Para recuperar los datos de trabajadores, Microsoft Entra ID envía la siguiente solicitud Get_Workers de Workday Web Services. La consulta busca el registro de transacciones de Workday de todas las entradas de trabajadores con fecha de entrada en vigor a partir del momento correspondiente a la ejecución de la sincronización completa.

<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Type_References>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
        </p1:Transaction_Type_Reference>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
        </p1:Transaction_Type_Reference>
      </p1:Transaction_Type_References>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

El nodo Response_Group se usa para especificar los atributos de trabajo que se van a capturar de Workday. Para obtener una descripción de cada una de las marcas del nodo Response_Group, consulta la documentación de la API de Get_Workers de Workday.

Algunos valores de marca especificados en el nodo Response_Group se calculan en función de los atributos configurados en la aplicación de aprovisionamiento de Microsoft Entra para Workday. Consulta la sección Entidades admitidas para ver los criterios que se usan para establecer los valores de las marcas.

La respuesta de Get_Workers de Workday para la consulta anterior incluye el número de registros de trabajo y el de páginas.

  <wd:Response_Results>
    <wd:Total_Results>509</wd:Total_Results>
    <wd:Total_Pages>17</wd:Total_Pages>
    <wd:Page_Results>30</wd:Page_Results>
    <wd:Page>1</wd:Page>
  </wd:Response_Results>

Para recuperar la página siguiente del conjunto de resultados, la siguiente consulta Get_Workers especifica el número de páginas como un parámetro de Response_Filter.

  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Page>2</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>

El servicio de aprovisionamiento de Microsoft Entra procesa cada página e itera todos los trabajos efectivos durante la sincronización completa. Para cada entrada de trabajador importada desde Workday:

  • Se aplica la expresión XPATH para recuperar los valores de atributo de Workday.
  • Se aplican la asignación de atributos y las reglas de coincidencia.
  • El servicio determina la operación que se realizará en el destino (Microsoft Entra ID / Active Directory).

Una vez completado el procesamiento, guarda la marca de tiempo asociada al inicio de la sincronización completa como una marca de agua. Esta marca de agua sirve como punto inicial del ciclo de sincronización incremental.

Cómo funciona la sincronización incremental

Después de una sincronización completa, el servicio de aprovisionamiento de Microsoft Entra mantiene LastExecutionTimestamp y lo usa para crear consultas delta para recuperar los cambios incrementales. Durante la sincronización incremental, Microsoft Entra ID envía los siguientes tipos de consultas a Workday:

Consulta de actualizaciones manuales

La siguiente solicitud Get_Workers consulta las actualizaciones manuales que se produjeron entre la última ejecución y el momento de ejecución actual.

<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Consulta de actualizaciones y bajas con fecha de entrada en vigor

La siguiente solicitud Get_Workers consulta las actualizaciones con fecha de vigencia que se produjeron entre la última ejecución y la hora de ejecución actual.

<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
        <p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Consulta de contrataciones con fecha futura

Si alguna de las consultas anteriores devuelve un contrato con fecha futura, se utilizará la siguiente solicitud Get_Workers para obtener información sobre un nuevo contrato con fecha futura. El atributo WID del nuevo contrato se usa para realizar la búsqueda y la fecha de entrada en vigor se establece en la fecha y hora de contratación.

Nota

Las contrataciones con fecha futura en Workday tienen el campo Activo establecido en "0" y este cambia a "1" en la fecha de contratación. El conector por diseño consulta la información de contrataciones futuras vigentes en la fecha de contratación y, por eso, siempre obtiene el perfil de trabajador de contrataciones futuras con el campo Activo establecido en "1". Esto le permite configurar el perfil de Microsoft Entra para contrataciones futuras por adelantado, con toda la información adecuada previamente rellena. Si quiere retrasar la habilitación de la cuenta de Microsoft Entra para contrataciones futuras, use la función de transformación DateDiff.

<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_References>
    <p1:Worker_Reference>
      <p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
    </p1:Worker_Reference>
  </p1:Request_References>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Recuperación de atributos de datos de trabajadores

Get_Workers API puede devolver conjuntos de datos diferentes asociados a un trabajador. Según las expresiones de XPATH API configuradas en el esquema de aprovisionamiento, el servicio de aprovisionamiento de Microsoft Entra determina qué conjuntos de datos se van a recuperar de Workday. En consecuencia, las marcas de Response_Group se establecen en la solicitud Get_Workers.

La tabla proporciona instrucciones sobre la configuración de la asignación que se utiliza para recuperar un conjunto de datos concreto.

# Entidad de Workday Se incluye de manera predeterminada Patrón XPATH que se va a especificar en la asignación para capturar entidades no predeterminadas
1 Personal Data wd:Worker_Data/wd:Personal_Data
2 Employment Data wd:Worker_Data/wd:Employment_Data
3 Additional Job Data wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]
4 Organization Data wd:Worker_Data/wd:Organization_Data
5 Management Chain Data wd:Worker_Data/wd:Management_Chain_Data
6 Supervisory Organization SUPERVISORY
7 Company COMPANY
8 Business Unit No BUSINESS_UNIT
9 Business Unit Hierarchy No BUSINESS_UNIT_HIERARCHY
10 Company Hierarchy No COMPANY_HIERARCHY
11 Cost Center No COST_CENTER
12 Cost Center Hierarchy No COST_CENTER_HIERARCHY
13 Fund No FUND
14 Fund Hierarchy No FUND_HIERARCHY
15 Gift No GIFT
16 Gift Hierarchy No GIFT_HIERARCHY
17 Grant No GRANT
18 Grant Hierarchy No GRANT_HIERARCHY
19 Business Site Hierarchy No BUSINESS_SITE_HIERARCHY
20 Matrix Organization No MATRIX
21 Pay Group No PAY_GROUP
22 Programs No PROGRAMS
23 Program Hierarchy No PROGRAM_HIERARCHY
24 Region No REGION_HIERARCHY
25 Location Hierarchy No LOCATION_HIERARCHY
26 Account Provisioning Data No wd:Worker_Data/wd:Account_Provisioning_Data
27 Background Check Data No wd:Worker_Data/wd:Background_Check_Data
28 Benefit Eligibility Data No wd:Worker_Data/wd:Benefit_Eligibility_Data
29 Benefit Enrollment Data No wd:Worker_Data/wd:Benefit_Enrollment_Data
30 Career Data No wd:Worker_Data/wd:Career_Data
31 Compensation Data No wd:Worker_Data/wd:Compensation_Data
32 Contingent Worker Tax Authority Data No wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data
33 Development Item Data No wd:Worker_Data/wd:Development_Item_Data
34 Employee Contracts Data No wd:Worker_Data/wd:Employee_Contracts_Data
35 Employee Review Data No wd:Worker_Data/wd:Employee_Review_Data
36 Feedback Received Data No wd:Worker_Data/wd:Feedback_Received_Data
37 Worker Goal Data No wd:Worker_Data/wd:Worker_Goal_Data
38 Photo Data No wd:Worker_Data/wd:Photo_Data
39 Qualification Data No wd:Worker_Data/wd:Qualification_Data
40 Related Persons Data No wd:Worker_Data/wd:Related_Persons_Data
41 Role Data No wd:Worker_Data/wd:Role_Data
42 Skill Data No wd:Worker_Data/wd:Skill_Data
43 Succession Profile Data No wd:Worker_Data/wd:Succession_Profile_Data
44 Talent Assessment Data No wd:Worker_Data/wd:Talent_Assessment_Data
45 User Account Data No wd:Worker_Data/wd:User_Account_Data
46 Worker Document Data No wd:Worker_Data/wd:Worker_Document_Data

Nota

Cada entidad de Workday que se enumera en la tabla está protegida por una directiva de seguridad de dominio en Workday. Si no puede recuperar ningún atributo asociado a la entidad después de establecer la XPATH adecuada, consulte con el administrador de Workday para asegurarse de que la directiva de seguridad de dominio adecuada esté configurada para el usuario del sistema de integración asociado a la aplicación de aprovisionamiento. Por ejemplo, para recuperar Datos de aptitudes, se necesita acceso Get en el dominio de Workday Datos del trabajador: aptitudes y experiencia.

Estos son algunos ejemplos sobre cómo puede ampliar la integración con Workday para que cumpla requisitos específicos.

Ejemplo 1: Recuperación de la información del centro de coste y del grupo de pago

Supongamos que desea recuperar los siguientes conjuntos de datos de Workday y usarlos en las reglas de aprovisionamiento:

  • Centro de costos
  • Jerarquía del centro de costo
  • Grupo de pago

Los conjuntos de datos anteriores no se incluyen de forma predeterminada. Para recuperar estos conjuntos de datos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

  3. Seleccione su aplicación de aprovisionamiento de usuarios de Workday a Active Directory o Microsoft Entra.

  4. Seleccione Aprovisionamiento.

  5. Edite las asignaciones y abra la lista de atributos de Workday en la sección Opciones avanzadas.

  6. Agregue las siguientes definiciones de atributos y márquelas como "Obligatorio". Estos atributos no se asignan a ningún atributo de Active Directory o Microsoft Entra ID. Sirven como señales para el conector para recuperar el centro de coste, la jerarquía del centro de coste y la información del grupo de pago.

    Nombre del atributo Expresión de XPATH API
    CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor
    CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text()
    PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text()
  7. Una vez que el conjunto de datos del centro de coste y el grupo de pagos está disponible en la respuesta de Get_Workers, puede usar los valores de XPATH para recuperar el nombre del centro de coste, el código de este y el grupo de pago.

    Nombre del atributo Expresión de XPATH API
    CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text()
    CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text()
    PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()

Ejemplo 2: Recuperación de los datos de cualificación y aptitudes

Supongamos que desea recuperar las certificaciones asociadas a un usuario. Esta información está disponible como parte del conjunto Datos de cualificación. Para obtener este conjunto de datos como parte de la respuesta de Get_Workers, utilice el siguiente código de XPATH:

wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()

Ejemplo 3: Recuperación de asignaciones de grupos de aprovisionamiento

Supongamos que desea recuperar los grupos de aprovisionamiento asignados a un trabajador. Esta información está disponible como parte del conjunto de datos de aprovisionamiento de cuentas. Para obtener estos datos como parte de la respuesta de Get_Workers, use el siguiente código de XPATH:

wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()

Administración de distintos escenarios de recursos humanos

En esta sección se explica cómo puede personalizar la aplicación de aprovisionamiento para los siguientes escenarios de recursos humanos:

Compatibilidad con conversiones de trabajador

En esta sección se describe la compatibilidad del servicio de aprovisionamiento de Microsoft Entra para escenarios en los que un trabajador pasa de ser empleado a tiempo completo (FTE) a trabajador temporal (CW) o viceversa. Dependiendo de cómo se procesan las conversiones de trabajador en Workday, puede haber diferentes aspectos de implementación que se deben tener en cuenta.

Escenario 1: Conversión con fecha pasada de FTE a CW o viceversa

Su equipo de recursos humanos podría antedatar una transacción de conversión de trabajadores en Workday por razones comerciales válidas. Entre los ejemplos se incluyen el procesamiento de nóminas, el cumplimiento presupuestario, los requisitos legales y la administración de beneficios. Este es un ejemplo para ilustrar cómo se controla el aprovisionamiento en el escenario.

  • Es 15 de enero de 2023 y Jane Doe es contratada como trabajadora contingente. RR. HH. ofrece a Jane una posición a tiempo completo.
  • Los términos del cambio de contrato de Jane requieren que la transacción tenga una fecha pasada para que quede alineada con el inicio del mes actual. RR. HH. inicia una transacción de conversión de trabajador en Workday el 15 de enero de 2023 con fecha de vigencia a partir del 1 de enero de 2023. Ahora existen dos perfiles de trabajador en Workday para Jane. El perfil de CW está inactivo, mientras que el perfil de FTE está activo.
  • El servicio de aprovisionamiento de Microsoft Entra detecta este cambio en el registro de transacciones de Workday el 15 de enero de 2023. El servicio aprovisiona automáticamente los atributos del nuevo perfil de empleado a tiempo completo en el siguiente ciclo de sincronización.
  • No se requieren cambios en la configuración de la aplicación de aprovisionamiento para controlar este escenario.

Escenario 2: el trabajador contratado como CW/FTE hoy, cambiará a FTE/CW hoy mismo

Este escenario es similar al anterior, excepto que, en lugar de asignar una fecha pasada a la transacción, RR. HH. realiza una conversión de trabajador que es efectiva inmediatamente. El servicio de aprovisionamiento de Microsoft Entra detecta este cambio en el registro de transacciones de Workday. En el siguiente ciclo de sincronización, el servicio aprovisiona automáticamente los atributos asociados con un perfil de empleado a tiempo completo activo. No se requieren cambios en la configuración de la aplicación de aprovisionamiento para controlar este escenario.

Escenario 3: Se despide al trabajador contratado como CW/FTE, vuelve a unirse a la empresa como FTE/CW después de un espacio de tiempo significativo

Es habitual que los trabajadores comiencen a trabajar en una empresa como trabajador temporal, dejen la empresa y luego se vuelvan a unir a ella después de varios meses, como empleado a tiempo completo. Este es un ejemplo para ilustrar cómo se controla el aprovisionamiento en este escenario.

  • Es 1 de enero de 2023 y John Smith es contratado como trabajador temporal. Como no hay ninguna cuenta de AD asociada al WorkerID (atributo de coincidencia) de John, el servicio de aprovisionamiento crea una nueva cuenta de AD y vincula el WID (WorkdayID) de trabajador temporal de John a su cuenta de AD.
  • El contrato de John finaliza el 31 de enero de 2023. En el ciclo de aprovisionamiento que se ejecuta después del 31 de enero, la cuenta de AD de John queda deshabilitada.
  • John hace una solicitud para otra posición y decide volver a la empresa como empleado a tiempo completo a partir del 1 de mayo de 2023. RR. HH. introduce la información de John como empleado precontratado el 15 de abril de 2023. Ahora existen dos perfiles de trabajador en Workday para John. El perfil de CW está inactivo, mientras que el perfil de empleado a tiempo completo está activo. Los dos registros tienen el mismo WorkerID pero diferentes WID.
  • El 15 de abril, durante el ciclo incremental, el servicio de aprovisionamiento de Microsoft Entra transfiere automáticamente la propiedad de la cuenta de AD al perfil del trabajador activo. En este caso, desvincula el perfil de trabajador temporal de la cuenta de AD y establece un nuevo vínculo entre el perfil de trabajo de empleado activo de John y su cuenta de AD.
  • No se requieren cambios en la configuración de la aplicación de aprovisionamiento para controlar este escenario.

Escenario 4: Conversión con fecha futura, cuando el trabajador es un CW/empleado a tiempo completo activo

A veces, es posible que un trabajador ya sea un trabajador temporal activo, cuando RR. HH. inicia una transacción de conversión de trabajo con fecha futura. Este es un ejemplo para ilustrar cómo se controla el aprovisionamiento para este escenario y qué cambios de configuración son necesarios para admitir este escenario.

  • Es 1 de enero de 2023 y John Smith es contratado como trabajador temporal. Como no hay ninguna cuenta de AD asociada al WorkerID (atributo de coincidencia) de John, el servicio de aprovisionamiento crea una nueva cuenta de AD y vincula el WID (WorkdayID) de trabajador temporal de John a su cuenta de AD.

  • El 15 de enero, RR. HH. inicia una transacción para hacer que John deje de ser trabajador temporal y pase a ser empleado a tiempo completo a partir del 1 de febrero de 2023.

  • Dado que el servicio de aprovisionamiento de Microsoft Entra procesa automáticamente contrataciones con fecha futura, procesa el nuevo perfil de trabajo de empleado a tiempo completo de John el 15 de enero y actualiza los detalles del perfil de John en AD con el empleo a tiempo completo, aunque sigue siendo trabajador temporal.

  • Para evitar este comportamiento y asegurarse de que la información de empleado a tiempo completo de John se aprovisiona el 1 de febrero de 2023, realiza los siguientes cambios de configuración.

    Cambios en la configuración

    1. Haz que el administrador de Workday se involucre y cree un grupo de aprovisionamiento denominado "Conversiones con fecha futura".
    2. Implementa una lógica en Workday para agregar registros de trabajo de empleados temporales o permanentes con conversiones de fecha futuras a este grupo de aprovisionamiento.
    3. Actualiza la aplicación de aprovisionamiento de Microsoft Entra para leer este grupo de aprovisionamiento. Consulta las instrucciones que se indican aquí sobre cómo recuperar el grupo de aprovisionamiento
    4. Crea un filtro de ámbito en Microsoft Entra ID para excluir los perfiles de trabajo que forman parte de este grupo de aprovisionamiento.
    5. En Workday, implementa una lógica para que, cuando la fecha de conversión sea efectiva, Workday quite el registro de trabajo temporal o permanente correspondiente del grupo de aprovisionamiento de Workday.
    6. Con esta configuración, el registro de trabajo de empleado temporal o permanente existente sigue siendo efectivo y el cambio de aprovisionamiento solo se produce en el día de la conversión.

Nota

Durante la sincronización completa inicial, puedes observar un comportamiento en el que los valores de atributo asociados al flujo del perfil de trabajador inactivo anterior fluyen a la cuenta de AD de los trabajadores convertidos. Esto es temporal y, a medida que progrese la sincronización completa, los valores de atributo del perfil de trabajador activo lo sobrescribirán. Una vez completada la sincronización completa y que el trabajo de aprovisionamiento alcance el estado estable, siempre seleccionará el perfil de trabajo activo durante la sincronización incremental.

Recuperación de asignaciones de trabajos internacionales y detalles de trabajos secundarios

De forma predeterminada, el conector de Workday recupera los atributos asociados con el trabajo principal del trabajador. El conector también admite la recuperación de Additional Job Data asociados con asignaciones de trabajos internacionales o trabajos secundarios.

Sigue los pasos que se indican para recuperar los atributos asociados con asignaciones de trabajos internacionales:

  1. Establece la dirección URL de conexión de Workday en la versión 30.0 o superior de la API de servicio web de Workday. Establece los valores correctos de XPATH correspondientes en la aplicación de aprovisionamiento de Workday.
  2. Usa el selector @wd:Primary_Job=0 del nodo Worker_Job_Data para recuperar el atributo correcto.
    • Ejemplo 1: Para obtener SecondaryBusinessTitle, usa el XPATH wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text()
    • Ejemplo 2: Para obtener SecondaryBusinessLocation, usa el XPATH wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor

Restricciones conocidas

En esta sección se enumeran las limitaciones conocidas actuales que pueden experimentar los clientes en su integración de Workday.

  1. El conector no admite la recuperación de los campos calculados de Workday.
  2. El conector no admite la sincronización de fotos desde Workday.
  3. El conector no admite la recuperación avanzada de los trabajadores cuyo último día de trabajo expira.
  4. Durante la sincronización incremental, puede haber un retraso en el procesamiento del evento de terminación para los trabajadores ubicados en las regiones de Asia Pacífico y Australia/Nueva Zelanda.

Pasos siguientes