Comment synchroniser les attributs pour les workflows de cycle de vie

  • Article

Les workflows contiennent des tâches spécifiques, qui peuvent s’exécuter automatiquement sur les utilisateurs en fonction des conditions d’exécution spécifiées. La planification automatique des workflows est prise en charge en fonction des attributs utilisateur employeeHireDate et employeeLeaveDateTime dans Microsoft Entra ID.

Pour tirer pleinement parti des workflows de cycle de vie, l’approvisionnement utilisateur doit être automatisé et les attributs pertinents de planification doivent être synchronisés.

Planification des attributs pertinents

Le tableau suivant montre les attributs pertinents de planification (déclencheurs) et les méthodes de synchronisation prises en charge.

Attribut Type Prise en charge dans l’approvisionnement entrant RH Support dans la synchronisation cloud Microsoft Entra Connect Support dans la synchronisation Microsoft Entra Connect
employeeHireDate DateTimeOffset Oui Oui Oui
employeeLeaveDateTime DateTimeOffset Oui Oui Oui

Notes

La définition manuelle de employeeLeaveDateTime pour les utilisateurs cloud exclusivement nécessite des autorisations spéciales. Pour plus d’informations, consultez Configurer la propriété employeeLeaveDateTime pour un utilisateur

Ce document explique comment configurer la synchronisation à partir de la synchronisation cloud Microsoft Entra Connect locale ou Microsoft Entra Connect pour les attributs requis.

Remarque

Il n’existe aucun attribut EmployeeHireDate ou EmployeeLeaveDateTime correspondant dans Active Directory. Si vous synchronisez à partir d’AD local, vous devez identifier un attribut dans AD qui peut être utilisé. Cet attribut doit être une chaîne.

Présentation de la mise en forme d’EmployeeHireDate et d’EmployeeLeaveDateTime

EmployeeHireDate et EmployeeLeaveDateTime contiennent des dates et des heures qui doivent être mises en forme de manière spécifique. Cela signifie que vous devrez peut-être utiliser une expression pour convertir la valeur de votre attribut source en un format accepté par EmployeeHireDate ou EmployeeLeaveDateTime. Le tableau suivant présente le format attendu et fournit un exemple d’expression sur la façon de convertir les valeurs.

Scénario Expression/Format Cible Informations complémentaires
Approvisionnement d’utilisateurs de Workday vers Active Directory FormatDateTime([StatusHireDate], ,"yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ") Attribut de chaîne AD local Mappage d’attributs pour Workday
Provisionnement d’utilisateurs SuccessFactors vers Active Directory FormatDateTime([endDate], ,"M/d/yyyy hh:mm:ss tt"," yyyyMMddHHmmss.fZ ") Attribut de chaîne AD local Mappages d’attributs pour les facteurs de réussite SAP
Importation personnalisée vers Active Directory Doit être au format « yyyyMMddHHmmss.fZ » Attribut de chaîne AD local Mappages d’attributs pour tout autre système d’enregistrement
API utilisateur Microsoft Graph Doit être au format « YYYY-MM-DDThh:mm:ssZ » EmployeeHireDate et EmployeeLeaveDateTime
Approvisionnement des utilisateurs de Workday vers Microsoft Entra Peut utiliser un mappage direct. Aucune expression n’est nécessaire, mais une expression peut être utilisée pour ajuster la partie de temps de EmployeeHireDate et EmployeeLeaveDateTime EmployeeHireDate et EmployeeLeaveDateTime
Approvisionnement des utilisateurs SuccessFactors vers Microsoft Entra Peut utiliser un mappage direct. Aucune expression n’est nécessaire, mais une expression peut être utilisée pour ajuster la partie de temps de EmployeeHireDate et EmployeeLeaveDateTime EmployeeHireDate et EmployeeLeaveDateTime

Pour obtenir plus d’informations sur les expressions, consulter Informations de référence sur l’écriture d’expressions pour les mappages d’attributs dans Microsoft Entra ID.

Les exemples d’expressions dans le tableau utilisent endDate pour SAP et StatusHireDate pour Workday. Toutefois, vous pouvez choisir d’utiliser différents attributs.

Par exemple, vous pouvez utiliser StatusContinuousFirstDayOfWork au lieu de StatusHireDate pour Workday. Dans cette instance, votre expression est la suivante :

FormatDateTime([StatusContinuousFirstDayOfWork], , "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ")

Le tableau suivant contient la liste des attributs suggérés et leurs recommandations de scénario.

Attribut RH Système RH Scénario Attribut Microsoft Entra
StatusHireDate Workday Nouveau employeeHireDate
StatusContinuousFirstDayOfWork Workday Nouveau employeeHireDate
StatusDateEnteredWorkforce Workday Nouveau employeeHireDate
StatusOriginalHireDate Workday Nouveau employeeHireDate
StatusEndEmploymentDate Workday Sortant EmployeeLeaveDateTime
StatusResignationDate Workday Sortant EmployeeLeaveDateTime
StatusRetirementDate Workday Sortant EmployeeLeaveDateTime
StatusTerminationDate Workday Sortant EmployeeLeaveDateTime
startDate SAP SF Nouveau employeeHireDate
firstDateWorked SAP SF Nouveau employeeHireDate
lastDateWorked SAP SF Sortant EmployeeLeaveDateTime
endDate SAP SF Sortant EmployeeLeaveDateTime

Pour plus d’attributs, consultez la référence d’attribut Workday et la référence d’attribut SAP SuccessFactors.

Importance de l’heure

Dans un souci d’exactitude du calendrier des workflows planifiés, il est essentiel de prendre en compte les éléments suivants :

  • La partie de temps de l’attribut doit être définie en conséquence, par exemple employeeHireDate doit avoir une heure au début de la journée, comme 1 h du matin ou 5 h, et employeeLeaveDateTime doit avoir une heure à la fin de la journée, comme 21 h ou 23 h
  • Les workflows ne s’exécutent pas plus tôt que l’heure spécifiée dans l’attribut, mais la planification du locataire (par défaut, 3 h) peut retarder l’exécution des workflows. Par exemple, si vous définissez employeeHireDate sur 8 h du matin, mais que la planification du locataire ne s’exécute pas avant 9 h, le workflow ne sera traité qu’à ce moment-là. Si une nouvelle embauche commence à 8 h, vous souhaitez définir l’heure sur quelque chose comme (heure de début – planification du tenant (locataire)) pour vérifier qu’elle fonctionne avant l’arrivée de l’employé.
  • Il est recommandé d’utiliser un passe d’accès temporaire (TAP) pour lequel vous définissez la durée de vie maximale sur 24 heures. Cela permet de s’assurer que le TAP n’a pas expiré après avoir été envoyé à un employé qui peut se trouver dans un autre fuseau horaire. Pour plus d’informations, consultez Configurer un passe d’accès temporaire dans Microsoft Entra ID pour inscrire des méthodes d’authentification sans mot de passe.
  • Lors de l’importation des données, vous devez comprendre si et comment la source fournit des informations de fuseau horaire pour que vos utilisateurs puissent apporter des ajustements pour garantir la précision du minutage.

Créer une règle de synchronisation personnalisée dans la synchronisation cloud Microsoft Entra Connect pour EmployeeHireDate

Les étapes suivantes vous guident tout au long de la création d’une règle de synchronisation en tirant parti de la synchronisation cloud.

  1. Dans le Centre d’administration Microsoft Entra, accédez à >Gestion hybride>Microsoft Entra Connect.
  2. Sélectionnez Gérer la synchronisation cloud Microsoft Entra Connect.
  3. Sous Configuration, sélectionnez votre configuration.
  4. Sélectionnez Cliquez pour modifier les mappages. Ce lien permet d’ouvrir la page Mappages d’attributs.
  5. Sélectionnez Ajouter un attribut.
  6. Renseignez les informations suivantes :
    • Type de mappage : direct
    • Attribut source : msDS-cloudExtensionAttribute1
    • Valeur par défaut : laisser vide
    • Attribut cible : employeeHireDate
    • Appliquez ce mappage : Toujours Screenshot of the cloud attribute mapping.
  7. Sélectionnez Apply.
  8. Quand vous retournez dans l’écran Mappages d’attributs, vous devez voir votre nouveau mappage d’attributs.
  9. Sélectionnez Enregistrer le schéma.

Si vous souhaitez obtenir plus d’informations sur les attributs, consultez Mappage d’attributs dans la synchronisation cloud Microsoft Entra Connect.

Comment créer une règle de synchronisation personnalisée dans Microsoft Entra Connect pour EmployeeHireDate

L’exemple suivant vous guide tout au long de la configuration d’une règle de synchronisation personnalisée qui synchronise l’attribut Active Directory à l’attribut employeeHireDate dans Microsoft Entra ID.

  1. Ouvrez une fenêtre PowerShell en tant qu’administrateur et exécutez Set-ADSyncScheduler -SyncCycleEnabled $false pour désactiver le planificateur.
  2. Accédez à Démarrer\Microsoft Entra Connect\ et ouvrez l’Éditeur de règles de synchronisation.
  3. Vérifiez que la direction figurant en haut est définie sur Entrant.
  4. Sélectionnez Ajouter une règle.
  5. Dans l’écran Créer une règle de synchronisation entrante, entrez les informations suivantes et sélectionnez Suivant.
    • Nom : Entrant depuis AD - EmployeeHireDate
    • Système connecté : contoso.com
    • Type d’objet système connecté : utilisateur
    • Type d’objet métaverse : personne
    • Précédence : 20 Screenshot of creating an inbound synchronization rule basics.
  6. Dans l’écran Filtre d’étendue, sélectionnez Suivant.
  7. Dans l’écran Règles de jointure, sélectionnez Suivant.
  8. Dans l’écran Transformations, sous Ajouter des transformations, entrez les informations suivantes.
    • FlowType : direct
    • Attribut cible : employeeHireDate
    • Source : msDS-cloudExtensionAttribute1 Screenshot of creating inbound synchronization rule transformations.
  9. Sélectionnez Ajouter.
  10. Dans l’Éditeur de règles de synchronisation, vérifiez que la direction figurant en haut est définie sur Sortant.
  11. Sélectionnez Ajouter une règle.
  12. Dans l’écran Créer une règle de synchronisation entrante, entrez les informations suivantes et sélectionnez Suivant.
    • Nom : Vers Microsoft Entra ID – EmployeeHireDate
    • Système connecté : <votre locataire>
    • Type d’objet système connecté : utilisateur
    • Type d’objet métaverse : personne
    • Précédence : 21
  13. Dans l’écran Filtre d’étendue, sélectionnez Suivant.
  14. Dans l’écran Règles de jointure, sélectionnez Suivant.
  15. Dans l’écran Transformations, sous Ajouter des transformations, entrez les informations suivantes.
    • FlowType : direct
    • Attribut cible : employeeHireDate
    • Source : employeeHireDate Screenshot of create outbound synchronization rule transformations.
  16. Sélectionnez Ajouter.
  17. Fermez l’Éditeur de règles de synchronisation
  18. Activez à nouveau le planificateur en exécutant Set-ADSyncScheduler -SyncCycleEnabled $true.

Notes

  • msDS-cloudExtensionAttribute1 est un exemple de source.
  • À compter de Microsoft Entra Connect 2.0.3.0, employeeHireDate est ajouté à la règle « Vers Microsoft Entra ID » par défaut. Les étapes 10 à 16 ne sont donc pas nécessaires.
  • À compter de Microsoft Entra Connect 2.1.19.0, employeeLeaveDateTime est ajouté à la règle « Vers Microsoft Entra ID » par défaut. Les étapes 10 à 16 ne sont donc pas nécessaires.

Pour plus d’informations, consultez Comment personnaliser une règle de synchronisation et Apporter une modification à la configuration par défaut.

Modifier le mappage d’attributs dans l’application d’approvisionnement

Une fois votre application d’approvisionnement configurée, vous pouvez modifier son mappage d’attributs. Lorsque l’application est créée, vous obtenez une liste de mappages par défaut entre votre HRM et Active Directory. À partir de là, vous pouvez modifier le mappage existant ou ajouter un nouveau mappage.

Pour mettre à jour ce mappage, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

  2. Accédez à Identité>Applications>Applications d’entreprise.

  3. Ouvrez votre application approvisionnée.

  4. Sélectionnez Approvisionnement, puis Modifier le mappage des attributs.

  5. Sélectionnez Afficher les options avancées, puis modifier la liste Attributs pour Active Directory local. Screenshot of editing on-premises attribute.

  6. Ajoutez le ou les attributs sources créés en tant que Type String, puis sélectionnez CheckBox comme requis. Screenshot of source API list.

    Remarque

    Le nombre et le nom des attributs sources ajoutés dépendent des attributs que vous synchronisez à partir d’Active Directory.

  7. Sélectionnez Enregistrer.

  8. À partir de là, vous devez mapper les attributs HRM aux attributs Active Directory ajoutés. Pour ce faire, ajoutez un nouveau mappage à l’aide d’une expression.

  9. Votre expression doit correspondre à la mise en forme trouvée dans la section Présentation de la mise en forme d’EmployeeHireDate et d’EmployeeLeaveDateTime. Screenshot of setting attribute format.

  10. Sélectionnez OK.

Comment vérifier ces valeurs d’attribut dans Microsoft Entra ID

Pour examiner l’ensemble de valeurs définies sur ces propriétés des objets utilisateur dans Microsoft Entra ID, vous pouvez utiliser le Kit de développement logiciel (SDK) PowerShell Microsoft Graph. Par exemple :

# Import Module
Import-Module Microsoft.Graph.Users

# Define the necessary scopes
$Scopes =@("User.Read.All", "User-LifeCycleInfo.Read.All")

# Connect using the scopes defined and select the Beta API Version
Connect-MgGraph -Scopes $Scopes


# Query a user, using its user ID, and return the desired properties
$user = Get-MgUser -UserID "9093a415-2968-48b5-808b-a1a6f006f7a3" -Property EmployeeLeaveDateTime
$User.EmployeeLeaveDateTime

Screenshot of the result.

Étapes suivantes