Tutoriel: configurer l’approvisionnement des utilisateurs de Workday vers Microsoft Entra

Ce tutoriel a pour objectif d’expliquer les étapes à suivre pour approvisionner des données d’employés de Workday vers Microsoft Entra ID.

Remarque

Utilisez ce tutoriel si les utilisateurs que vous souhaitez attribuer à partir de Workday sont des utilisateurs cloud uniquement qui n’ont pas besoin de compte AD local. Si les utilisateurs n’ont besoin que d’un compte AD local ou d’un compte AD et Microsoft Entra, consultez le tutoriel sur la façon de configurer l'attribution d’utilisateurs Workday vers Active Directory.

La vidéo suivante fournit une vue d’ensemble rapide des étapes impliquées dans la planification de votre intégration de provisionnement avec Workday.

Vue d’ensemble

Le service d’approvisionnement utilisateur Microsoft Entra s’intègre aux API de ressources humaines Workday afin d’approvisionner des comptes d’utilisateur. Les flux de travail d’approvisionnement de l’utilisateur Workday pris en charge par le service d’approvisionnement utilisateur Microsoft Entra autorisent l’automatisation des scénarios de gestion du cycle de vie des identités et des ressources humaines suivants :

• Nouvelles embauches : lorsqu’un nouvel employé est ajouté à Workday, un compte d’utilisateur est automatiquement créé dans Microsoft Entra ID et, éventuellement, Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID, avec la réécriture de l’adresse e-mail pour Workday.

• Mises à jour du profil et des attributs de l’employé : lorsque le dossier d’un employé est mis à jour dans Workday (par exemple le nom, la fonction ou le responsable), son compte d’utilisateur est mis à jour automatiquement dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

• Résiliations de contrats d’employés : lorsque le contrat d’un employé est résilié dans Workday, son compte d’utilisateur est désactivé automatiquement dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

• Employés réembauchés : lorsqu’un employé est réembauché dans Workday, son ancien compte peut être réactivé ou réapprovisionné automatiquement (en fonction de votre préférence) dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

À qui cette solution d’attribution d’utilisateurs convient-elle le mieux ?

Cette solution de Workday à l’approvisionnement d’utilisateurs Microsoft Entra est idéale pour :

• les organisations qui souhaitent une solution cloud prédéfinie pour l’attribution d’utilisateurs Workday ;

• Les organisations qui ont besoin d'une attribution directe d’utilisateurs de Workday vers Microsoft Entra ID

• Les organisations qui ont besoin d'une attribution d’utilisateurs à l’aide de données provenant de Workday.

• Organisations utilisant Microsoft 365 pour la messagerie

Architecture de solution

Cette section décrit l’architecture de la solution de provisionnement d’utilisateurs de bout en bout pour les utilisateurs du cloud uniquement. Il existe deux flux connexes :

• Flux de données Authoritative HR - de Workday vers Microsoft Entra ID :  dans ce flux, les événements concernant les employés (comme les nouveaux recrutements, les transferts, les fins de contrat) se produisent d’abord dans Workday, puis les données des événements transitent dans Microsoft Entra ID. Selon l’événement, cela peut provoquer des opérations de création/mise à jour/activation/désactivation dans Microsoft Entra ID.

• Flux d’écriture différée - d’Active Directory local vers Workday : Une fois le compte créé dans Active Directory, il est synchronisé avec Microsoft Entra ID par le biais de Microsoft Entra Connect et des informations telles que l’e-mail, le nom d’utilisateur et le numéro de téléphone peuvent être réécrites dans Workday.

  

Flux de données utilisateur de bout en bout

1. L’équipe RH effectue des transactions sur les employés (entrants/changements de poste/sortants ou recrutements/transferts/arrêts) dans Workday Employee Central
2. Le service d'approvisionnement Microsoft Entra effectue des synchronisations planifiées des identités à partir de Workday EC et identifie les modifications qui doivent être traitées pour la synchronisation avec Active Directory local.
3. Le service d’approvisionnement Microsoft Entra détermine la modification et appelle l’opération de création/mise à jour/activation/désactivation pour l’utilisateur dans Microsoft Entra ID.
4. Si l'application d’écriture différée est configurée, elle récupère des attributs tels que la messagerie, le nom d’utilisateur et le numéro de téléphone depuis Microsoft Entra.
5. Le service d'approvisionnement Microsoft Entra définit la messagerie, le nom d’utilisateur et le numéro de téléphone dans Workday.

Planification de votre déploiement

La configuration de l'attribution d’utilisateurs pilotée par le Cloud RH de Workday vers Microsoft Entra ID nécessite une planification minutieuse couvrant différents aspects tels que :

• Détermination de l’ID correspondant
• Mappage d’attributs
• Transformation d’attributs
• Filtres d’étendue

Pour obtenir des instructions complètes sur ces sujets, consultez le plan de déploiement cloud des RH.

Configurer un utilisateur du système d’intégration dans Workday

Reportez-vous à la section Configurer un utilisateur du système d’intégration pour la création d’un compte d’utilisateur du système d’intégration Workday, doté des autorisations permettant de récupérer des données d’employés.

Configurer l’approvisionnement d’utilisateurs de Workday vers Microsoft Entra ID

Les sections suivantes décrivent les étapes à suivre afin de configurer l'approvisionnement d'utilisateurs de Workday vers Microsoft Entra ID pour les déploiements uniquement dans le cloud.

• Ajouter l'application de connecteur d'approvisionnement Microsoft Entra et établir la connexion avec Workday
• Configurer les mappages d’attributs Workday et Microsoft Entra
• Activer et lancer l'approvisionnement des utilisateurs

Partie 1 : ajout de l’application de connecteur d’approvisionnement Microsoft Entra et création de la connexion à Workday

Pour configurer Workday pour l’approvisionnement des utilisateurs uniquement dans le cloud de Microsoft Entra :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.

3. Recherchez Attribution d'utilisateurs de Workday vers Microsoft Entra et ajoutez cette application à partir de la galerie.

4. Une fois l’application ajoutée et l’écran de détails de l’application affiché, sélectionnez Provisionnement.

5. Définissez le ModeApprovisionnement sur Automatique.

6. Fermez la section Informations d’identification de l’administrateur, comme suit :

   • Nom d'utilisateur Workday : entrez le nom d'utilisateur du compte du système d'intégration Workday, avec le nom de domaine du locataire. Le résultat doit ressembler à : username@contoso4

   • Mot de passe Workday : entrez le mot de passe du compte du système d'intégration Workday.

   • URL de l'API des services web Workday : entrez l'URL du point de terminaison des services web Workday de votre locataire. L’URL détermine la version de l’API Workday Web Services utilisée par le connecteur.

     Format d’URL	Version d'API WWS utilisée	Modifications XPATH requises
     https://####.workday.com/ccx/service/tenantName	Version 21.1	Non
     https://####.workday.com/ccx/service/tenantName/Human_Resources	Version 21.1	Non
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Oui

     Notes

     Si aucune information de version n’est spécifiée dans l’URL, l’application utilise Workday Web Services (WWS) version 21.1, et aucune modification n’est requise pour les expressions de l’API XPATH par défaut fournies avec l’application. Pour utiliser une version spécifique de l’API WWS, spécifiez le numéro de version dans l’URL.
     Exemple : https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Si vous utilisez une API WWS v30.0, avant d’activer le travail d’approvisionnement, mettez à jour les expressions API XPATH sous Mappage d’attributs -> Options avancées -> Modifier la liste d’attributs de Workday en vous reportant à la section Gestion de votre configuration et aux Informations de référence sur l’attribut Workday.

   • E-mail de notification : entrez votre adresse e-mail et activez la case à cocher « Envoyer un e-mail en cas de défaillance ».

   • Cliquez sur le bouton Tester la connexion.

   • Si le test de connexion réussit, cliquez sur le bouton Enregistrer en haut. En cas d’échec, vérifiez que l’URL et les informations d’identification Workday sont valides dans Workday.

Partie 2: configurer les mappages d’attributs Workday et Microsoft Entra

Dans cette section, vous allez configurer le flux des données de Workday vers Microsoft Entra ID pour les utilisateurs uniquement dans le cloud.

1. Dans l’onglet Approvisionnement sous Mappages, cliquez sur Synchroniser les Workers avec Microsoft Entra ID.

2. Dans le champ Portée de l'objet source, vous pouvez sélectionner les ensembles d'utilisateurs de Workday concernés par l'approvisionnement vers Microsoft Entra ID, en définissant des filtres basés sur des attributs. L’étendue par défaut est « tous les utilisateurs de Workday ». Exemples de filtres :

   • Exemple : étendue pour les utilisateurs avec des ID d’employés entre 1000000 et 2000000

     • Attribut : WorkerID

     • Opérateur : REGEX Match

     • Valeur : (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exemple : Uniquement les employés occasionnels et pas les employés réguliers

     • Attribut : ContingentID

     • Opérateur : IS NOT NULL

3. Dans le champ Actions de l'objet cible, vous pouvez filtrer globalement les actions exécutées sur Microsoft Entra ID. Les actions Créer et Mettre à jour sont les plus courantes.

4. Dans la section Mappages d’attributs, vous pouvez définir comment les attributs Workday sont mappés aux attributs Active Directory.

5. Cliquez sur un mappage d’attributs existants à mettre à jour ou cliquez sur Ajouter un nouveau mappage en bas de l’écran pour ajouter de nouveaux mappages. Un mappage d’attribut individuel prend en charge les propriétés suivantes :

   • Type de mappage

     • Direct : inscrit la valeur de l'attribut Workday dans l'attribut AD, sans aucune modification

     • Constante : inscrivez une valeur de chaîne constante et statique dans l'attribut AD

     • Expression : vous permet d’écrire une valeur personnalisée dans l’attribut AD, basée sur un ou plusieurs attributs Workday. Pour plus d’informations, consultez l’article sur les expressions.

   • Attribut source : l’attribut utilisateur dans Workday. Si l’attribut que vous recherchez n’est pas présent, consultez Personnalisation de la liste des attributs d’utilisateur Workday.

   • Valeur par défaut : facultatif. Si l’attribut source a une valeur vide, le mappage écrit cette valeur à la place. La configuration la plus courante consiste à laisser ce champ vide.

   • Attribut cible : l’attribut utilisateur dans Microsoft Entra ID.

   • Faire correspondre des objets à l'aide de cet attribut : indique si cet attribut doit être utilisé pour identifier les utilisateurs de manière unique entre Workday et Microsoft Entra ID. Cette valeur est communément définie dans le champ ID collaborateur de Workday, qui est généralement mappé avec l'attribut ID employé (nouveau) ou un attribut d'extension dans Microsoft Entra ID.

   • Priorité des correspondances : plusieurs attributs de correspondance peuvent être définis. S’il en existe plusieurs, ils sont évalués dans l’ordre défini par ce champ. Dès qu’une correspondance est trouvée, aucun autre attribut correspondant n’est évalué.

   • Appliquer ce mappage

     • Toujours : applique ce mappage à la création de l’utilisateur et des actions de mise à jour.

     • Lors de la création uniquement : applique ce mappage uniquement aux actions de création d’utilisateur.

6. Pour enregistrer vos mappages, cliquez sur Enregistrer en haut de la section Mappage d’attributs.

Activer et lancer l'approvisionnement des utilisateurs

Une fois les configurations d'application d'approvisionnement Workday effectuées, vous pouvez activer le service d'approvisionnement.

Conseil

Par défaut, lorsque vous activez le service d'approvisionnement, il lance les opérations d'approvisionnement pour tous les utilisateurs concernés. En cas d'erreur de mappage ou de problème lié aux données Workday, le travail d'approvisionnement peut échouer et être mis en quarantaine. Pour éviter ce genre de problème, nous vous recommandons de configurer le filtre Portée de l’objet source et de tester vos mappages d’attributs sur quelques utilisateurs de test avant de lancer la synchronisation complète de tous les utilisateurs. Après avoir vérifié que les mappages fonctionnent et qu'ils vous donnent les résultats souhaités, vous pouvez supprimer le filtre ou l'étendre progressivement pour inclure d'autres utilisateurs.

1. Dans l’onglet Approvisionnement, définissez État d’approvisionnement sur Activé.

2. Cliquez sur Enregistrer.

3. Cette opération permet de lancer la synchronisation initiale, dont la durée dépendra du nombre d’utilisateurs du locataire Workday. Vous pouvez consulter la barre de progression pour suivre la progression du cycle de synchronisation.

4. À tout moment, vérifiez l’onglet Approvisionnement dans le centre d’administration Entra pour voir quelles actions le service d’approvisionnement a effectuées. Les journaux d’approvisionnement répertorient tous les événements de synchronisation individuels effectués par le service d’approvisionnement, notamment les utilisateurs lus dans Workday et par la suite ajoutés ou mis à jour dans Microsoft Entra ID.

5. Au terme de la synchronisation initiale, un rapport de synthèse d'audit est créé dans l'onglet Approvisionnement, comme illustré ci-dessous.

   

Étapes suivantes

• En savoir plus sur les appels de service Web et les scénarios d’intégration de Microsoft Entra ID et Workday
• En savoir plus sur les attributs Workday pris en charge pour l'approvisionnement entrant
• Découvrez comment configurer Workday Writeback
• Découvrez comment consulter les journaux d’activité et obtenir des rapports sur l’activité d’approvisionnement
• Découvrez comment configurer l’authentification unique entre Workday et Microsoft Entra ID
• Découvrez comment exporter et importer vos configurations de provisionnement