Tutorial: Mengonfigurasi Workday untuk provisi pengguna otomatis

  • Artikel

Tujuan dari tutorial ini adalah untuk menunjukkan langkah-langkah yang perlu Anda lakukan guna menyediakan profil pekerja dari Workday ke Active Directory lokal.

Catatan

Gunakan tutorial ini, jika pengguna yang ingin Anda provisikan dari Workday memerlukan akun AD lokal dan akun Microsoft Entra.

Video berikut ini memberikan gambaran umum singkat tentang langkah-langkah yang terlibat saat merencanakan integrasi provisi Anda dengan Workday.

Gambaran Umum

Layanan provisi pengguna Microsoft Entra terintegrasi dengan Api Sumber Daya Manusia Workday untuk memprovisikan akun pengguna. Alur kerja provisi pengguna Workday yang didukung oleh layanan provisi pengguna Microsoft Entra memungkinkan otomatisasi sumber daya manusia dan skenario manajemen siklus hidup identitas berikut:

  • Mempekerjakan karyawan baru - Saat karyawan baru ditambahkan ke Workday, akun pengguna secara otomatis dibuat di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra, dengan tulis balik informasi kontak yang dikelola IT ke Workday.

  • Pembaruan atribut dan profil karyawan - Saat catatan karyawan diperbarui di Workday (seperti nama, judul, atau manajer mereka), akun pengguna mereka akan diperbarui secara otomatis di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

  • Penghentian karyawan - Saat karyawan dihentikan di Workday, akun pengguna mereka secara otomatis dinonaktifkan di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

  • Perekrutan ulang karyawan - Saat karyawan di-rehired di Workday, akun lama mereka dapat diaktifkan kembali atau disediakan kembali secara otomatis (tergantung pada preferensi Anda) ke Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

Yang baru

Bagian ini menangkap peningkatan integrasi Workday baru-baru ini. Untuk daftar pembaruan komprehensif, perubahan dan arsip yang direncanakan, silakan kunjungi halaman Apa yang baru di ID Microsoft Entra?

  • Okt 2020 - Penyediaan yang diaktifkan sesuai permintaan untuk Workday: Dengan menggunakan penyediaan sesuai permintaan, Anda sekarang dapat menguji penyediaan end-to-end untuk profil pengguna tertentu di Workday guna memverifikasi pemetaan atribut dan logika ekspresi Anda.

  • Mei 2020 - Kemampuan untuk menulis balik nomor telepon ke Workday: Selain email dan nama pengguna, Anda sekarang dapat menulis balik nomor telepon kantor dan nomor ponsel dari ID Microsoft Entra ke Workday. Untuk detail lebih lanjut, lihat tutorial aplikasi writeback.

  • April 2020 - Dukungan untuk versi terbaru Workday Web Services (WWS) API: Dua kali setahun pada bulan Maret dan September, Workday memberikan pembaruan kaya fitur yang membantu Anda memenuhi tujuan bisnis Anda dan mengubah tuntutan tenaga kerja. Untuk mengikuti fitur baru yang dikirimkan oleh Workday, Anda sekarang dapat langsung menentukan versi API WWS yang ingin Anda gunakan di URL koneksi. Untuk detail tentang cara menentukan versi Workday API, lihat bagian tentang mengonfigurasi konektivitas Workday.

Paling cocok untuk siapakah solusi penyediaan pengguna ini?

Solusi penyediaan pengguna Workday ini sangat cocok untuk:

  • Organisasi yang menginginkan solusi berbasis cloud bawaan untuk provisi pengguna Workday

  • Organisasi yang memerlukan provisi pengguna langsung dari Workday ke Direktori Aktif, atau ID Microsoft Entra

  • Organisasi yang mengharuskan pengguna untuk mendapat penyediaan menggunakan data yang diperoleh dari modul HCM Workday (lihat Get_Workers)

  • Organisasi yang mengharuskan bergabung, memindahkan, dan membiarkan pengguna disinkronkan ke satu atau beberapa Forest Direktori Aktif, Domain, dan OUs hanya berdasarkan informasi perubahan yang terdeteksi dalam modul HCM Workday (lihat Get_Workers)

  • Organisasi menggunakan Microsoft 365 untuk email

Arsitektur Solusi

Bagian ini menjelaskan arsitektur solusi provisi pengguna end-to-end untuk lingkungan hibrid umum. Ada dua aliran terkait:

  • Aliran data SDM otoritatif – dari Workday ke Active Directory lokal: Dalam peristiwa pekerja alur ini (seperti Karyawan Baru, Transfer, Penghentian) pertama kali terjadi di penyewa SDM Workday cloud lalu data peristiwa mengalir ke Active Directory lokal melalui ID Microsoft Entra dan Agen Provisi. Bergantung peristiwa tersebut, hal ini dapat menyebabkan operasi buat/perbarui/aktifkan/nonaktifkan dalam AD.
  • Alur tulis balik – dari Active Directory lokal ke Workday: Setelah pembuatan akun selesai di Direktori Aktif, alur tersebut disinkronkan dengan ID Microsoft Entra melalui Microsoft Entra Koneksi dan informasi seperti email, nama pengguna, dan nomor telepon dapat ditulis kembali ke Workday.

Gambaran Umum

Alur data pengguna akhir

  1. Tim SDM melakukan transaksi pekerja (Joiners/Movers/Leavers atau New Hires/Transfers/Terminations) di Workday HCM
  2. Layanan provisi Microsoft Entra menjalankan sinkronisasi identitas terjadwal dari SDM Workday dan mengidentifikasi perubahan yang perlu diproses untuk sinkronisasi dengan Active Directory lokal.
  3. Layanan provisi Microsoft Entra memanggil Microsoft Entra Koneksi Provisioning Agent lokal dengan payload permintaan yang berisi operasi buat/perbarui/aktifkan/nonaktifkan akun AD.
  4. Microsoft Entra Koneksi Provisioning Agent menggunakan akun layanan untuk menambahkan/memperbarui data akun AD.
  5. Mesin Microsoft Entra Koneksi / AD Sync menjalankan sinkronisasi delta untuk menarik pembaruan di AD.
  6. Pembaruan Direktori Aktif disinkronkan dengan ID Microsoft Entra.
  7. Jika aplikasi Workday Writeback dikonfigurasi, aplikasi ini menulis balik atribut seperti email, nama pengguna, dan nomor telepon ke Workday.

Merencanakan penyebaran Anda

Mengonfigurasi penyediaan pengguna Workday to Direktori Aktif memerlukan perencanaan yang cukup besar yang mencakup berbagai aspek seperti:

  • Penyiapan agen provisi Microsoft Entra Koneksi
  • Jumlah Workday ke aplikasi penyediaan pengguna AD untuk diterapkan
  • Memilih pengidentifikasi pencocokan, pemetaan atribut, transformasi, dan filter cakupan yang tepat

Lihat rencana penerapan SDM cloud untuk pedoman komprehensif dan praktik terbaik yang direkomendasikan.

Mengonfigurasi pengguna sistem integrasi di Workday

Persyaratan umum dari semua konektor penyediaan Workday adalah memerlukan kredensial pengguna sistem integrasi Workday untuk terhubung ke API Sumber Daya Manusia Workday. Bagian ini menjelaskan cara membuat pengguna sistem integrasi di Workday dan memiliki bagian berikut:

Catatan

Dimungkinkan untuk melewati prosedur ini dan sebaliknya menggunakan akun administrator global Workday sebagai akun integrasi sistem. Ini mungkin berfungsi dengan baik untuk demo, tetapi tidak disarankan untuk penerapan produksi.

Membuat pengguna sistem integrasi

Untuk membuat pengguna sistem integrasi:

  1. Masuk ke penyewa Workday Anda menggunakan akun administrator. Dalam Aplikasi Workday, ketikkan buat pengguna di kotak pencarian, lalu klik Membuat Pengguna Sistem Integrasi.

    Buat pengguna

  2. Selesaikan tugas Membuat Pengguna Sistem Integrasi dengan memberikan nama pengguna dan kata sandi untuk Pengguna Sistem Integrasi baru.

    • Biarkan opsi Perlu Kata Sandi Baru saat Masuk Berikutnya tidak dicentang, karena pengguna ini akan log masuk secara terprogram.
    • Biarkan Menit Batas Waktu Sesi dengan nilai default 0, yang akan mencegah sesi pengguna kehabisan waktu sebelum waktunya.
    • Pilih opsi Jangan Perbolehkan Sesi UI karena menyediakan lapisan keamanan tambahan yang mencegah pengguna dengan kata sandi sistem integrasi masuk ke Workday.

    Buat Pengguna Sistem Integrasi

Membuat grup keamanan integrasi

Pada langkah ini, Anda akan membuat grup keamanan sistem integrasi yang tidak dibatasi atau dibatasi di Workday dan menetapkan pengguna sistem integrasi yang dibuat pada langkah sebelumnya ke grup ini.

Untuk membuat grup keamanan:

  1. Ketikkan buat grup keamanan di kotak pencarian, lalu klik Buat Grup Keamanan.

    Cuplikan layar yang menunjukkan

  2. Menyelesaikan tugas Buat Grup Keamanan.

    • Ada dua jenis grup keamanan di Workday:

      • Tidak dibatasi: Semua anggota grup keamanan dapat mengakses semua instans data yang diamankan oleh grup keamanan.
      • Dibatasi: Semua anggota grup keamanan memiliki akses kontekstual ke subset instans data (baris) yang dapat diakses oleh grup keamanan.

    • Tanyakan kepada mitra integrasi Workday Anda untuk memilih jenis grup keamanan yang sesuai untuk integrasi.

    • Setelah Anda mengetahui jenis grup, pilih Grup Keamanan Sistem Integrasi (Tidak Dibatasi) atau Grup Keamanan Sistem Integrasi (Dibatasi) dari menu dropdown Jenis bawah Grup Keamanan Penyewa.

      Grup CreateSecurity

  3. Setelah berhasil membuat Grup Keamanan, Anda akan melihat halaman tempat Anda dapat menetapkan anggota ke Grup Keamanan. Tambahkan pengguna sistem integrasi baru yang dibuat pada langkah sebelumnya ke grup keamanan ini. Jika Anda menggunakan grup keamanan yang dibatasi, Anda juga harus memilih cakupan organisasi yang sesuai.

    Edit Grup Keamanan

Mengonfigurasi izin kebijakan keamanan domain

Dalam langkah ini, Anda akan memberikan izin kebijakan "keamanan domain" untuk data pekerja ke grup keamanan.

Untuk mengonfigurasi izin kebijakan keamanan domain:

  1. Masukkan Keanggotaan dan Akses Grup Keamanan di kotak pencarian dan klik link laporan.

    Keanggotaan Kelompok Keamanan

  2. Cari dan pilih grup keamanan yang dibuat di langkah sebelumnya.

    Pilih Kelompok Keamanan

  3. Klik elipsis (...) di samping nama grup dan dari menu, pilih Grup > Keamanan Pertahankan Izin Domain untuk Grup Keamanan

    Pilih Pertahankan Izin Domain

  4. Pada Izin Integrasi, tambahkan domain berikut ke daftar Kebijakan Keamanan Domain yang mengizinkan Akses

    • Penyediaan Akun Eksternal
    • Data Pekerja: Laporan Pekerja Publik
    • Data Orang: Informasi Kontak Kerja (diperlukan jika Anda berencana menulis balik data kontak dari ID Microsoft Entra ke Workday)
    • Akun Workday (diperlukan jika Anda berencana untuk menulis balik nama pengguna/UPN dari ID Microsoft Entra ke Workday)

  5. Pada Izin Integrasi, tambahkan domain berikut ke daftar Kebijakan Keamanan Domain yang mengizinkan Dapatkan akses

    • Data Pekerja: Pekerja
    • Data Pekerja: Semua Posisi
    • Data Pekerja: Informasi Kepegawaian Saat Ini
    • Data Pekerja: Judul Bisnis di Profil Pekerja
    • Data Pekerja: Pekerja yang Memenuhi Syarat (Opsional - tambahkan ini untuk mengambil data kualifikasi pekerja untuk penyediaan)
    • Data Pekerja: Keterampilan dan Pengalaman (Opsional - tambahkan ini untuk mengambil data keterampilan pekerja untuk penyediaan)

  6. Setelah menyelesaikan langkah-langkah di atas, layar izin akan muncul seperti yang ditunjukkan di bawah ini:

    Semua Izin Keamanan Domain

  7. Klik OK dan Selesai pada layar berikutnya untuk menyelesaikan konfigurasi.

Mengonfigurasi izin kebijakan keamanan proses bisnis

Dalam langkah ini, Anda akan memberikan izin kebijakan "keamanan proses bisnis" untuk data pekerja ke grup keamanan.

Catatan

Langkah ini hanya diperlukan untuk menyiapkan konektor aplikasi Workday Writeback.

Untuk mengonfigurasi izin kebijakan keamanan proses bisnis:

  1. Ketikkan Kebijakan Proses Bisnis di kotak pencarian, lalu klik tautan tugas Edit Kebijakan Keamanan Proses Bisnis.

    Cuplikan layar yang memperlihatkan

  2. Dalam kotak teks Jenis Proses Bisnis, cari Kontak dan pilih proses bisnis Perubahan Kontak Kerja dan klik OK.

    Cuplikan layar yang memperlihatkan halaman

  3. Pada halaman Edit Kebijakan Keamanan Proses Bisnis, gulir ke bagian Ubah Informasi Kontak Kerja (Layanan Web).

  4. Pilih dan tambahkan grup keamanan sistem integrasi baru ke daftar grup keamanan yang bisa memulai permintaan layanan web.

    Kebijakan Keamanan Proses Bisnis

  5. Klik Selesai.

Mengaktifkan perubahan kebijakan keamanan

Untuk mengaktifkan perubahan kebijakan keamanan:

  1. Ketikkan aktifkan di kotak pencarian, lalu klik tautan Aktifkan Perubahan Kebijakan Keamanan Tertunda.

    Aktifkan

  2. Mulai tugas Aktifkan Perubahan Kebijakan Keamanan Tertunda dengan memasukkan komentar untuk tujuan audit, lalu klik OK.

  3. Selesaikan tugas di layar berikutnya dengan mencentang kotak centang Konfirmasi, lalu klik OK.

    Aktifkan Keamanan Tertunda

Prasyarat penginstalan Agen Penyediaan

Tinjau prasyarat penginstalan agen penyediaan sebelum melanjutkan ke bagian berikutnya.

Mengonfigurasi penyediaan pengguna dari Workday ke Direktori Aktif

Bagian ini menyediakan langkah-langkah untuk penyediaan akun pengguna dari Workday ke setiap domain Direktori Aktif dalam cakupan integrasi Anda.

Bagian 1: Menambahkan aplikasi konektor provisi dan mengunduh Provisioning Agent

Untuk mengonfigurasi penyediaan Workday ke Direktori Aktif:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.

  3. Cari Workday ke Penyediaan Pengguna Direktori Aktif, dan tambahkan aplikasi tersebut dari galeri.

  4. Setelah aplikasi ditambahkan dan layar detail aplikasi ditampilkan, pilih provisi.

  5. Ubah ModeProvisi ke Otomatis.

  6. Klik pada spanduk informasi yang ditampilkan untuk mengunduh Agen Penyediaan.

    Unduh Agen

Bagian 2: Menginstal dan mengonfigurasi Provisioning Agent lokal

Untuk memprovisi ke Active Directory lokal, Provisioning Agent harus diinstal pada server, yang bergabung dengan domain yang memiliki akses jaringan ke domain Active Directory yang diinginkan.

Transfer alat penginstal agen yang diunduh ke host server dan ikuti langkah-langkah yang tercantum di bagian Pasang Agen untuk menyelesaikan konfigurasi agen.

Bagian 3: Di aplikasi penyediaan, konfigurasikan konektivitas ke Workday dan Direktori Aktif

Dalam langkah ini, kami membangun konektivitas dengan Workday dan Active Directory.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identity>Applications>Enterprise Workday ke Aplikasi Provisi Pengguna Direktori Aktif yang dibuat di Bagian 1.

  3. Lengkapi bagian info masuk Admin sebagai berikut:

    • Nama Pengguna Workday - Masukkan nama pengguna akun sistem integrasi Workday, dengan nama domain penyewa ditambahkan. Nama pengguna akan terlihat seperti: namapengguna@nama_penyewa

    • Kata sandi Workday - Masukkan kata sandi akun sistem integrasi Workday

    • URL API Layanan Web Workday – Masukkan URL ke titik akhir layanan web Workday untuk penyewa Anda. URL menentukan versi API Layanan Web Workday yang digunakan oleh konektor.

      Format URL WWS versi API yang digunakan Perubahan XPATH diperlukan
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Ya

      Catatan

      Jika tidak ada informasi versi yang ditentukan dalam URL, aplikasi menggunakan Workday Web Services (WWS) v21.1 dan tidak ada perubahan yang diperlukan untuk ekspresi API XPATH default yang dikirim dengan aplikasi. Untuk menggunakan versi API WWS tertentu, tentukan nomor versi di URL
      Contoh: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Jika Anda menggunakan WWS API v30.0+, sebelum mengaktifkan pekerjaan provisi, harap perbarui ekspresi API XPATH di bawah Pemetaan Atribut -> Opsi Lanjutan -> Edit daftar atribut untuk Workday yang mengacu pada bagian Mengelola konfigurasi Anda dan referensi atribut Workday.

    • Forest Direktori Aktif - "Nama" domain Direktori Aktif Anda, seperti yang terdaftar di agen. Gunakan menu tarik-turun untuk memilih domain target untuk provisi. Nilai ini biasanya merupakan string seperti: contoso.com

    • Kontainer Active Directory - Masukkan kontainer DN di mana agen harus membuat akun pengguna secara default. Contoh: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Catatan

      Pengaturan ini hanya efektif untuk pembuatan akun pengguna jika atribut parentDistinguishedName tidak dikonfigurasi dalam pemetaan atribut. Pengaturan ini tidak digunakan untuk operasi pencarian pengguna atau pembaruan. Seluruh sub pohon domain berada di dalam cakupan operasi pencarian.

    • Email Pemberitahuan – Masukkan alamat email Anda, dan centang kotak centang "kirim email jika terjadi kegagalan".

      Catatan

      Layanan provisi Microsoft Entra mengirim pemberitahuan email jika pekerjaan provisi masuk ke status karantina .

    • Klik tombol Uji Koneksi. Jika pengujian koneksi berhasil, klik tombol Simpan di bagian atas. Jika gagal, periksa kembali apakah kredensial Workday dan kredensial AD yang dikonfigurasi pada penyetelan agen valid.

      Cuplikan layar yang menampilkan halaman

    • Setelah kredensial berhasil disimpan, bagian Pemetaan akan menampilkan pemetaan default Sinkronkan Pekerja Workday ke Direktori Aktif Lokal

Bagian 4: Mengonfigurasi pemetaan atribut

Di bagian ini, Anda akan mengonfigurasi bagaimana data pengguna mengalir dari Workday ke Direktori Aktif.

  1. Pada tab Penyediaan di bawah Pemetaan, klik Sinkronkan Pekerja Workday ke Direktori Aktif Lokal.

  2. Di bidang Cakupan Objek Sumber, Anda dapat memilih set pengguna mana di Workday yang harus berada dalam cakupan provisi ke AD, dengan menentukan set filter berbasis atribut. Cakupan default adalah “semua pengguna di Workday”. Contoh filter:

    • Contoh: Cakupan untuk pengguna dengan ID Pekerja antara 1000000 dan 2000000 (tidak termasuk 2000000)

      • Atribut: WorkerID

      • Operator: REGEX Match

      • Nilai: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Contoh: Hanya karyawan dan bukan pekerja kontingen

      • Atribut: EmployeeID

      • Operator: TIDAK NIHIL

    Tip

    Saat mengonfigurasi aplikasi provisi untuk pertama kalinya, Anda harus menguji dan memverifikasi pemetaan serta ekspresi atribut untuk memastikan bahwa aplikasi ini memberi Anda hasil yang diinginkan. Microsoft merekomendasikan penggunaan filter scoping di bawah Cakupan Objek Sumber dan penyediaan sesuai permintaan untuk menguji pemetaan Anda dengan beberapa pengguna uji dari Workday. Setelah memverifikasi bahwa pemetaan berfungsi, Anda dapat menghapus filter atau memperluasnya secara bertahap untuk menyertakan lebih banyak pengguna.

    Perhatian

    Perilaku default dari mesin provisi adalah untuk menonaktifkan/menghapus pengguna yang keluar dari cakupan. Ini mungkin tidak diinginkan dalam integrasi Workday ke AD Anda. Untuk menimpa perilaku default ini, lihat artikel Lewati penghapusan akun pengguna yang keluar dari cakupan

  3. Di bidang Tindakan Objek Target, Anda dapat memfilter secara global tindakan apa yang dilakukan pada Direktori Aktif. Buat dan Perbarui adalah paling umum.

  4. Di bagian Pemetaan atribut, Anda dapat menentukan bagaimana masing-masing atribut Workday memetakan atribut Direktori Aktif.

  5. Klik pemetaan atribut yang ada untuk memperbaruinya, atau klik Tambahkan pemetaan baru di bagian bawah layar untuk menambahkan pemetaan baru. Pemetaan atribut individual mendukung properti ini:

    • Jenis Pemetaan

      • Langsung – Menulis nilai atribut Workday ke atribut AD, tanpa perubahan

      • Konstanta - Tulis nilai string statis dan konstan ke atribut AD

      • Ekspresi – Memungkinkan Anda menulis nilai kustom ke atribut AD, didasarkan pada satu atau beberapa atribut Workday. Untuk informasi selengkapnya, lihat artikel ini tentang ekspresi.

    • Atribut sumber - Atribut pengguna dari Workday. Jika atribut yang Anda cari tidak ada, lihat Menyesuaikan daftar atribut pengguna Workday.

    • Nilai default – Opsional. Jika atribut sumber nilainya kosong, pemetaan akan menuliskan nilai ini sebagai gantinya. Konfigurasi yang paling umum adalah membiarkannya kosong.

    • Atribut target – Atribut Pengguna di Active Directory.

    • Cocokkan objek menggunakan atribut ini – Apakah pemetaan ini harus digunakan untuk mengidentifikasi pengguna antara Workday dan Direktori Aktif secara unik atau tidak. Nilai ini biasanya ditetapkan pada bidang ID Pekerja untuk Workday, yang biasanya dipetakan ke salah satu atribut ID Karyawan di Active Directory.

    • Pencocokan diutamakan - Beberapa atribut yang cocok dapat diatur. Ketika ada beberapa atribut, maka dievaluasi dalam urutan yang ditentukan oleh bidang ini. Segera setelah ditemukan kecocokan, tidak ada atribut pencocokan lebih lanjut yang dievaluasi.

    • Terapkan pemetaan ini

      • Selalu – Terapkan pemetaan ini pada tindakan pembuatan dan pembaruan pengguna

      • Hanya selama pembuatan - Terapkan pemetaan ini hanya pada tindakan pembuatan pengguna

  6. Untuk menyimpan pemetaan Anda, klik Simpan di bagian atas Atribut-Pemetaan Anda.

    Cuplikan layar yang menampilkan halaman

Di bawah ini adalah beberapa contoh pemetaan atribut antara Workday dan Direktori Aktif, dengan beberapa ekspresi umum

  • Ekspresi yang memetakan ke atribut parentDistinguishedName digunakan untuk menyediakan pengguna ke OUs yang berbeda berdasarkan satu atau beberapa atribut sumber Workday. Contoh ini di sini menempatkan pengguna di OUs yang berbeda berdasarkan kota tempat mereka berada.

  • Atribut userPrincipalName di Direktori Aktif dihasilkan menggunakan fungsi pembatalan duplikasi SelectUniqueValue yang memeriksa keberadaan nilai yang dihasilkan dalam domain AD target dan hanya mengaturnya jika unik.

  • Ada dokumentasi tentang cara menulis ekspresi di sini. Bagian ini menyertakan contoh tentang cara menghapus karakter khusus.

WORKDAY ATTRIBUTE ATRIBUT ACTIVE DIRECTORY MATCHING ID? CREATE / UPDATE
WorkerID EmployeeID Ya Ditulis hanya pada buat
PreferredNameData cn Ditulis hanya pada buat
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Ditulis hanya pada buat
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) NamaAkunsAM Ditulis hanya pada buat
Switch([Active], , "0", "True", "1", "False") accountDisabled Buat + perbarui
FirstName givenName Buat + perbarui
NamaBelakang sn Buat + perbarui
PreferredNameData displayName Buat + perbarui
Firma company Buat + perbarui
SupervisoryOrganization departemen Buat + perbarui
ManagerReference manajer Buat + perbarui
BusinessTitle title Buat + perbarui
AddressLineData streetAddress Buat + perbarui
Municipality l Buat + perbarui
CountryReferenceTwoLetter co Buat + perbarui
CountryReferenceTwoLetter c Buat + perbarui
CountryRegionReference st Buat + perbarui
WorkSpaceReference physicalDeliveryOfficeName Buat + perbarui
Kode Pos Kode Pos Buat + perbarui
PrimaryWorkTelephone telephoneNumber Buat + perbarui
Fax facsimileTelephoneNumber Buat + perbarui
Platform mobile Buat + perbarui
LocalReference preferredLanguage Buat + perbarui
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Buat + perbarui

Setelah konfigurasi pemetaan atribut Anda selesai, Anda dapat menguji provisi untuk satu pengguna menggunakan provisi sesuai permintaan dan kemudian mengaktifkan dan meluncurkan layanan provisi pengguna.

Mengaktifkan dan meluncurkan provisi pengguna

Setelah konfigurasi aplikasi provisi Workday selesai dan Anda telah memverifikasi provisi untuk satu pengguna dengan provisi sesuai permintaan, Anda dapat mengaktifkan layanan provisi.

Tip

Secara default saat Anda mengaktifkan layanan provisi, layanan akan memulai operasi provisi untuk semua pengguna dalam cakupan. Jika ada kesalahan dalam pemetaan atau masalah data Workday, maka pekerjaan penyediaan mungkin gagal dan masuk ke status karantina. Untuk menghindari hal ini, sebagai praktik terbaik, kami sarankan untuk mengonfigurasi filter Cakupan Objek Sumber dan menguji pemetaan atribut Anda dengan beberapa pengguna penguji menggunakan provisi sesuai permintaan sebelum meluncurkan sinkronisasi penuh untuk semua pengguna. Setelah Anda memverifikasi bahwa pemetaan berfungsi dan memberi Anda hasil yang diinginkan, maka Anda dapat menghapus filter atau secara bertahap memperluasnya untuk menyertakan lebih banyak pengguna.

  1. Buka bilah Penyediaan dan klik Mulai penyediaan.

  2. Operasi ini akan memulai sinkronisasi awal, yang dapat memakan waktu jumlah jam variabel tergantung berapa banyak pengguna dalam penyewa Workday. Anda dapat memeriksa bilah kemajuan untuk melacak kemajuan siklus sinkronisasi.

  3. Sewaktu-waktu, periksa tab Log audit di portal Microsoft Azure untuk melihat tindakan yang telah dilakukan layanan provisi. Log audit mencantumkan semua kejadian sinkronisasi individual yang dilakukan oleh layanan penyediaan, seperti pengguna mana yang dibaca dari Workday lalu ditambahkan atau diperbarui ke Direktori Aktif. Lihat bagian Pemecahan Masalah untuk mendapatkan petunjuk tentang cara meninjau log audit dan memperbaiki kesalahan penyediaan.

  4. Setelah sinkronisasi awal selesai, laporan ringkasan audit di tab Penyediaan akan ditulis, seperti yang ditunjukkan di bawah ini.

    Bilah kemajuan provisi

Tanya Jawab Umum (FAQ)

Pertanyaan kemampuan solusi

Saat memproses karyawan baru dari Workday, bagaimana solusi mengatur kata sandi untuk akun pengguna baru di Direktori Aktif?

Ketika agen penyediaan lokal mendapatkan permintaan untuk membuat akun AD baru, secara otomatis menghasilkan kata sandi acak kompleks yang dirancang untuk memenuhi persyaratan kompleksitas kata sandi yang ditentukan oleh server AD dan mengatur ini pada objek pengguna. Kata sandi ini tidak dicatat di mana pun.

Apakah solusi mendukung pengiriman pemberitahuan email setelah operasi penyediaan selesai?

Tidak, mengirim pemberitahuan email setelah menyelesaikan operasi penyediaan tidak didukung dalam rilis saat ini.

Apakah profil pengguna Workday cache solusi di cloud Microsoft Entra atau di lapisan agen provisi?

Tidak, solusinya tidak menyimpan cache profil pengguna. Layanan provisi Microsoft Entra hanya bertindak sebagai pemroses data, membaca data dari Workday dan menulis ke Direktori Aktif target atau ID Microsoft Entra. Lihat bagian Mengelola data pribadi untuk detail yang terkait dengan privasi pengguna dan retensi data.

Apakah solusi mendukung penetapan grup AD lokal untuk pengguna?

Fungsi ini tidak didukung untuk saat ini. Solusi yang direkomendasikan adalah menggunakan skrip PowerShell yang meminta titik akhir Microsoft Graph API untuk data log audit dan menggunakannya untuk memicu skenario seperti penetapan grup. Skrip PowerShell ini dapat dilampirkan ke penjadwal tugas dan digunakan pada kotak yang sama yang menjalankan agen penyediaan.

API Workday mana yang digunakan solusi untuk mengirim kueri dan memperbarui profil pekerja Workday?

Solusi saat ini menggunakan API Workday berikut:

  • Format URL API Layanan Web Workday yang digunakan di bagian Kredensial Admin, menentukan versi API yang digunakan untuk Get_Workers

    • Jika format URL adalah: https://####.workday.com/ccx/service/tenantName , maka API v21.1 akan digunakan.
    • Jika format URL adalah: https://####.workday.com/ccx/service/tenantName/Human_Resources , maka API v21.1 akan digunakan
    • Jika format URL adalah: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# , maka versi API yang ditentukan akan digunakan. (Contoh: jika v34.0 ditentukan, maka itu digunakan.)

  • Fitur Workday Email Writeback menggunakan Change_Work_Contact_Information (v30.0)

  • Fitur Workday Username Writeback Update_Workday_Account (v31.2)

Bisakah saya mengonfigurasi penyewa HCM Workday saya dengan dua penyewa Microsoft Entra?

Ya, konfigurasi ini didukung. Berikut adalah langkah-langkah tingkat tinggi untuk mengonfigurasi skenario ini:

  • Sebarkan agen provisi #1 dan daftarkan dengan penyewa Microsoft Entra #1.
  • Sebarkan agen provisi #2 dan daftarkan dengan penyewa Microsoft Entra #2.
  • Berdasarkan "Domain Anak" yang akan dikelola oleh setiap Agen Penyediaan, konfigurasikan setiap agen dengan domain. Satu agen dapat menangani beberapa domain.
  • Di portal Microsoft Azure, siapkan Workday ke Aplikasi Penyediaan Pengguna AD di setiap penyewa dan konfigurasikan dengan domain masing-masing.

Umpan balik Anda sangat dihargai karena membantu kami mengatur arah untuk rilis dan peningkatan di masa mendatang. Kami menyambut semua umpan balik dan mendorong Anda untuk mengirimkan saran ide atau peningkatan Anda di forum umpan balik ID Microsoft Entra. Untuk umpan balik khusus yang terkait dengan integrasi Workday, pilih kategori Aplikasi SaaS dan cari menggunakan kata kunci Workday untuk menemukan umpan balik yang ada terkait dengan Workday.

Aplikasi SaaS UserVoice

UserVoice Workday

Ketika menyarankan ide baru, periksa dahulu untuk melihat apakah orang lain telah menyarankan fitur serupa. Dalam hal ini, Anda dapat memilih fitur atau permintaan peningkatan. Anda juga dapat meninggalkan komentar mengenai kasus penggunaan spesifik Anda untuk menunjukkan dukungan Anda terhadap ide tersebut dan menunjukkan bagaimana fitur tersebut akan berharga bagi Anda juga.

Pertanyaan Agen Penyediaan

Apa versi GA dari Agen Penyediaan?

Lihat Microsoft Entra Koneksi Provisioning Agent: Riwayat rilis versi untuk versi GA terbaru dari Agen Provisi.

Bagaimana cara mengetahui versi Agen Penyediaan saya?

  • Masuk ke server Windows tempat penginstalan Agen Penyediaan.

  • Buka Panel Kontrol - menu >Hapus Instalan atau Ubah Program

  • Cari versi yang sesuai dengan entri Microsoft Entra Koneksi Provisioning Agent

    Portal Azure

Apakah Microsoft secara otomatis mendorong pembaruan Agen Penyediaan?

Ya, Microsoft secara otomatis memperbarui agen provisi jika layanan Windows Microsoft Entra Koneksi Agent Updater aktif dan berjalan.

Dapatkah saya menginstal Agen Provisi di server yang sama yang menjalankan Microsoft Entra Koneksi?

Ya, Anda dapat menginstal Agen Provisi di server yang sama yang menjalankan Microsoft Entra Koneksi.

Pada saat konfigurasi, Agen Provisi meminta kredensial admin Microsoft Entra. Apakah Agen menyimpan kredensial secara lokal di server?

Selama konfigurasi, Agen Provisi meminta kredensial admin Microsoft Entra hanya untuk menyambungkan ke penyewa Microsoft Entra Anda. Agen Penyediaan tidak menyimpan kredensial secara lokal pada server. Namun mempertahankan kredensial yang digunakan untuk menyambungkan ke domain Direktori Aktif lokal di vault kata sandi Windows lokal.

Bagaimana cara mengonfigurasi Agen Penyediaan untuk menggunakan server proksi untuk komunikasi HTTP outbound?

Agen Penyediaan mendukung penggunaan proxy keluar. Anda dapat mengonfigurasinya dengan mengedit file konfigurasi agen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Tambahkan baris berikut ke dalamnya, menjelang akhir file tepat sebelum tag </configuration> penutup. Ganti variabel [proxy-server] dan [proxy-port] dengan nama server proksi dan nilai port.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Bagaimana cara memastikan bahwa Agen Provisi dapat berkomunikasi dengan penyewa Microsoft Entra dan tidak ada firewall yang memblokir port yang diperlukan oleh agen?

Anda juga dapat memeriksa apakah semua port yang diperlukan terbuka.

Dapatkah satu Agen Penyediaan dikonfigurasi untuk menyediakan beberapa domain AD?

Ya, satu Agen Penyediaan dapat dikonfigurasi untuk menangani beberapa domain AD selama agen memiliki garis pandang ke pengendali domain masing-masing. Microsoft merekomendasikan penyiapan grup dengan 3 agen penyediaan yang melayani kumpulan domain AD yang sama untuk memastikan ketersediaan tinggi dan memberikan dukungan fail-over.

Bagaimana cara menghapus pendaftaran domain yang terkait dengan Agen Penyediaan saya?

*, dapatkan ID penyewa penyewa Microsoft Entra Anda.

  • Masuk ke server Windows yang menjalankan Agen Penyediaan.

  • Buka PowerShell sebagai Administrator Windows.

  • Ubah ke direktori yang berisi skrip pendaftaran dan jalankan perintah berikut menggantikan parameter [ID penyewa] dengan nilai ID penyewa Anda.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Dari daftar agen yang muncul - salin nilai bidang id dari sumber daya yang resourceName-nya sama dengan nama domain AD Anda.

  • Tempelkan nilai ID ke dalam perintah ini dan jalankan perintah di PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Jalankan ulang wizard konfigurasi Agen.

  • Agen lain, yang sebelumnya ditetapkan ke domain ini perlu dikonfigurasi ulang.

Bagaimana cara menghapus instalasi Agen Penyediaan?

  • Masuk ke server Windows tempat penginstalan Agen Penyediaan.
  • Buka Panel Kontrol - menu >Hapus Instalan atau Ubah Program
  • Hapus instalan program berikut:
    • Microsoft Entra Koneksi Provisioning Agent
    • Microsoft Entra Koneksi Agent Updater
    • Paket Microsoft Entra Koneksi Provisioning Agent

Workday untuk pemetaan atribut AD dan pertanyaan konfigurasi

Bagaimana cara mencadangkan atau mengekspor salinan kerja Pemetaan dan Skema Atribut Penyediaan Workday saya?

Anda dapat menggunakan Microsoft Graph API untuk mengekspor konfigurasi Penyediaan Pengguna Workday Anda. Lihat langkah-langkah di bagian Mengekspor dan Mengimpor konfigurasi Pemetaan Atribut Penyediaan Pengguna Workday Anda untuk detailnya.

Saya memiliki atribut khusus di Workday dan Direktori Aktif. Bagaimana cara mengonfigurasi solusi untuk bekerja dengan atribut kustom saya?

Solusi ini mendukung atribut Workday dan Direktori Aktif kustom. Untuk menambahkan atribut khusus ke skema pemetaan, buka bilah Pemetaan Atribut dan gulir ke bawah untuk memperluas bagian Tampilkan opsi lanjutan.

Mengedit Daftar Atribut

Untuk menambahkan atribut Workday kustom Anda, pilih opsi Edit daftar atribut untuk Workday dan untuk menambahkan atribut AD kustom Anda, pilih opsi Edit daftar atribut untuk Direktori Aktif Lokal.

Lihat juga:

Bagaimana cara mengonfigurasi solusi untuk hanya memperbarui atribut di AD berdasarkan perubahan Workday dan tidak membuat akun AD baru?

Konfigurasi ini dapat dicapai dengan mengatur Tindakan Objek Target di bilah Pemetaan Atribut seperti yang ditunjukkan di bawah ini:

Memperbarui tindakan

Pilih kotak centang "Perbarui" hanya untuk memperbarui operasi agar mengalir dari Workday ke AD.

Bisakah saya menyediakan foto pengguna dari Workday ke Direktori Aktif?

Solusi saat ini tidak mendukung pengaturan atribut biner seperti thumbnailPhoto dan jpegPhoto di Direktori Aktif.

  • Buka bilah "Penyediaan" aplikasi Penyediaan Workday Anda.

  • Klik Pemetaan Atribut

  • Di bawah Pemetaan, pilih Sinkronkan Pekerja Workday ke Direktori Aktif Lokal (atau Sinkronkan Pekerja Workday ke ID Microsoft Entra).

  • Pada halaman Pemetaan Atribut, gulir ke bawah dan centang kotak "Tampilkan Opsi Tingkat Lanjut". Klik Edit daftar atribut untuk Workday

  • Di bilah yang terbuka, temukan atribut "Seluler" dan klik pada baris sehingga Anda dapat mengedit Ekspresi APIGDPR Seluler

  • Ganti API Expression dengan ekspresi baru berikut, yang mengambil nomor ponsel kantor hanya jika "Bendera Penggunaan Publik" diatur ke "True" di Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Simpan Daftar Atribut.

  • Simpan Pemetaan Atribut.

  • Bersihkan status saat ini dan hidupkan ulang sinkronisasi penuh.

Bagaimana cara memformat nama tampilan dalam AD berdasarkan atribut departemen/negara/kota pengguna dan menangani varians regional?

Ini adalah persyaratan umum untuk mengonfigurasi atribut displayName di AD sehingga juga menyediakan informasi tentang departemen dan negara/wilayah pengguna. Misalnya, jika John Smith bekerja di Departemen Pemasaran di AS, Anda mungkin ingin displayName-nya muncul sebagai Smith, John (Marketing-US).

Berikut cara Anda dapat menangani persyaratan tersebut untuk membangun CN atau displayName untuk menyertakan atribut seperti perusahaan, unit bisnis, kota, atau negara/wilayah.

  • Setiap atribut Workday diambil menggunakan ekspresi API XPATH yang mendasarinya, yang dapat dikonfigurasi di Pemetaan Atribut -> Bagian Tingkat Lanjut-> Edit daftar atribut untuk Workday. Berikut ekspresi API XPATH default untuk atribut Workday PreferredFirstName, PreferredLastName, Company dan SupervisoryOrganization.

    Atribut Workday Ekspresi API XPATH
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Perusahaan wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Konfirmasikan dengan tim Workday Anda bahwa ekspresi API di atas valid untuk konfigurasi penyewa Workday Anda. Jika perlu, Anda dapat mengeditnya seperti yang dijelaskan di bagian Mengustomisasi daftar atribut pengguna Workday.

  • Demikian pula informasi negara/kawasan yang ada di Workday diambil menggunakan XPATH berikut: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Ada 5 atribut terkait negara/kawasan yang tersedia di bagian Daftar atribut Workday.

    Atribut Workday Ekspresi API XPATH
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Konfirmasikan dengan tim Workday Anda bahwa ekspresi API di atas valid untuk konfigurasi penyewa Workday Anda. Jika perlu, Anda dapat mengeditnya seperti yang dijelaskan di bagian Mengustomisasi daftar atribut pengguna Workday.

  • Untuk membangun ekspresi pemetaan atribut yang tepat, identifikasi atribut Workday mana yang "secara otoritatif" mewakili nama depan, nama belakang, negara/wilayah, dan departemen pengguna. Katakanlah atributnya adalah PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter, dan SupervisoryOrganization masing-masing. Anda dapat menggunakan ini untuk membangun ekspresi untuk atribut AD displayName sebagai berikut untuk mendapatkan nama tampilan seperti Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Setelah Anda memiliki ekspresi yang tepat, edit tabel Pemetaan Atribut dan ubah pemetaan atribut displayName seperti yang ditunjukkan di bawah ini: Pemetaan DisplayName

  • Memperluas contoh di atas, katakanlah Anda ingin mengonversi nama kota yang berasal dari Workday menjadi nilai singkat dan kemudian menggunakannya untuk membangun nama tampilan seperti Smith, John (CHI) atau Doe, Jane (NYC), maka hasil ini dapat dicapai menggunakan ekspresi Switch dengan atribut Workday Municipality sebagai variabel penentu.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Lihat juga:

Bagaimana cara menggunakan SelectUniqueValue untuk menghasilkan nilai unik untuk atribut samAccountName?

Katakanlah Anda ingin menghasilkan nilai unik untuk atribut samAccountName menggunakan kombinasi atribut FirstName dan LastName dari Workday. Mengingat di bawah ini adalah ekspresi yang dapat Anda mulai dengan:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Cara kerja ekspresi di atas: Jika penggunanya adalah John Smith, nama pengguna pertama yang dihasilkan adalah JSmith, jika JSmith sudah ada, maka diubah menjadi JoSmith, jika nama tersebut sudah digunakan, maka akan menghasilkan JohSmith. Ekspresi juga memastikan bahwa nilai yang dihasilkan memenuhi pembatasan panjang dan pembatasan karakter khusus yang terkait dengan samAccountName.

Lihat juga:

Bagaimana cara menghapus karakter dengan diakritik dan mengonversinya menjadi alfabet bahasa Inggris normal?

Gunakan fungsi NormalizeDiacritics untuk menghapus karakter khusus dalam nama depan dan nama belakang pengguna, sambil membuat alamat email atau nilai CN untuk pengguna.

Tips Pemecahan Masalah

Bagian ini menyediakan panduan khusus tentang cara memecahkan masalah provisi dengan integrasi Workday Anda menggunakan log audit Microsoft Entra dan log Pemantau Peristiwa Windows Server. Bagian tersebut dibangun di atas langkah-langkah pemecahan masalah umum dan konsep yang direkam dalam Tutorial: Melaporkan tentang penyediaan akun pengguna otomatis

Bagian ini mencakup aspek pemecahan masalah berikut:

Mengonfigurasi agen penyediaan untuk memancarkan log Pemantau Peristiwa

  1. Masuk ke komputer Windows Server tempat agen penyediaan digunakan

  2. Hentikan layanan Microsoft Entra Koneksi Provisioning Agent.

  3. Buat salinan file konfigurasi asli: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Ganti bagian <system.diagnostics> yang sudah ada dengan yang berikut ini.

    • Konfigurasi listener etw memancarkan pesan ke log EventViewer
    • Konfigurasi Listener textWriterListener mengirim jejak pesan ke file ProvAgentTrace.log. Hapsu komentar baris yang terkait dengan textWriterListener hanya untuk pemecahan masalah tingkat lanjut.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Mulai layanan Microsoft Entra Koneksi Provisioning Agent.

Menyiapkan Pemantau Peristiwa Windows untuk pemecahan masalah agen

  1. Masuk ke komputer Windows Server tempat Agen Penyediaan diterapkan

  2. Buka aplikasi desktop Pemantau Peristiwa Windows Server.

  3. Pilih Aplikasi > Log Windows.

  4. Gunakan opsi Filter Log Saat Ini... untuk melihat semua peristiwa yang dicatat di bawah sumber Microsoft Entra Koneksi Provisioning Agent dan mengecualikan peristiwa dengan ID Peristiwa "5", dengan menentukan filter "-5" seperti yang ditunjukkan di bawah ini.

    Catatan

    ID Peristiwa 5 menangkap pesan bootstrap agen ke layanan cloud Microsoft Entra dan karenanya kami memfilternya saat menganalisis file log.

    Pemantau Peristiwa Windows

  5. Klik OK dan urutkan tampilan hasil menurut kolom Tanggal dan Waktu.

Menyiapkan Log Audit portal Microsoft Azure untuk pemecahan masalah layanan

  1. Luncurkan portal Microsoft Azure, dan navigasi ke bagian Log audit dari aplikasi penyediaan Workday Anda.

  2. Gunakan tombol Kolom di halaman Log Audit untuk menampilkan hanya kolom berikut dalam tampilan (Tanggal, Aktivitas, Status, Alasan Status). Konfigurasi ini memastikan Anda hanya fokus pada data yang relevan untuk pemecahan masalah.

    Kolom log audit

  3. Gunakan parameter kueri Target dan Rentang Tanggal untuk memfilter tampilan.

    • Atur parameter kueri Target ke "ID Pekerja" atau "ID Karyawan" dari objek pekerja Workday.
    • Atur Rentang Tanggal ke periode waktu yang sesuai yang ingin Anda selidiki apakah ada kesalahan atau masalah dengan penyediaan.

    Filter log audit

Memahami log untuk operasi pembuatan Akun Pengguna AD

Ketika karyawan baru di Workday terdeteksi (katakanlah dengan ID Karyawan 21023), layanan provisi Microsoft Entra mencoba membuat akun pengguna AD baru untuk pekerja dan dalam prosesnya membuat 4 catatan log audit seperti yang dijelaskan di bawah ini:

Operasi pembuatan log audit

Saat Anda mengklik salah satu rekaman log audit, halaman Detail Aktivitas akan terbuka. Berikut apa yang ditampilkan halaman Detail Aktivitas untuk setiap jenis rekaman log.

  • Rekaman Impor Workday: Rekaman log ini menampilkan informasi pekerja yang diambil dari Workday. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah pengambilan data dari Workday. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • Rekaman Impor AD: Rekaman log ini menampilkan informasi akun yang diambil dari AD. Karena selama pembuatan pengguna awal tidak ada akun AD, Alasan Status Aktivitas akan menunjukkan bahwa tidak ada akun dengan nilai atribut ID yang cocok yang ditemukan di Direktori Aktif. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah pengambilan data dari Workday. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object was not found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Untuk menemukan catatan log Agen Penyedia yang terkait dengan operasi impor AD ini, buka log Windows Pemantau Peristiwa dan gunakan opsi menu Temukan… untuk menemukan entri log yang berisi nilai atribut ID Pencocokan/Properti Penggabungan (dalam hal ini 21023).

    Find

    Cari entri dengan Event ID= 9, yang akan memberi Anda filter pencarian LDAP yang digunakan oleh agen untuk mengambil akun AD. Anda dapat memverifikasi apakah ini adalah filter pencarian yang tepat untuk mengambil entri pengguna yang unik.

    Pencarian LDAP

    Rekaman yang segera mengikutinya dengan Event ID = 2 mencatat hasil operasi pencarian dan jika mengembalikan hasil apa pun.

    Hasil LDAP

  • Rekaman tindakan aturan sinkronisasi: Rekaman log ini menampilkan hasil aturan pemetaan atribut dan filter scoping yang dikonfigurasi bersama dengan tindakan penyediaan yang akan diambil untuk memproses acara Workday yang masuk. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah dengan tindakan sinkronisasi. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object will be added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Jika ada masalah dengan ekspresi pemetaan atribut Anda atau data Workday yang masuk memiliki masalah (misalnya: nilai kosong atau kosong untuk atribut yang diperlukan), maka Anda akan mengamati kegagalan pada tahap ini dengan ErrorCode yang memberikan detail kegagalan.

  • Rekaman Ekspor AD: Rekaman log ini menampilkan hasil operasi pembuatan akun AD bersama dengan nilai atribut yang ditetapkan dalam proses. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah dengan operasi buat akun. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang. Di bagian "Detail Tambahan", "EventName" diatur ke "EntryExportAdd", "JoiningProperty" diatur ke nilai atribut Matching ID, "SourceAnchor" diatur ke WorkdayID (WID) yang terkait dengan rekaman dan "TargetAnchor" diatur ke nilai atribut AD "ObjectGuid" dari pengguna yang baru dibuat.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object will be created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user

    Untuk menemukan catatan log Agen Penyedia yang sesuai dengan operasi ekspor AD ini, buka log Pemantau Peristiwa Windows dan gunakan opsi menu Temukan… untuk menemukan entri log yang berisi nilai atribut ID Pencocokan/Properti Penggabungan (dalam hal ini 21023).

    Cari rekaman HTTP POST yang sesuai dengan tanda waktu operasi ekspor dengan ID Peristiwa = 2. Rekaman ini akan berisi nilai atribut yang dikirim oleh layanan penyediaan kepada agen penyediaan.

    Cuplikan layar yang memperlihatkan rekaman 'HTTP POST' di log 'Provisioning Agent'.

    Segera setelah peristiwa di atas, harus ada peristiwa lain yang menangkap respons operasi buat akun AD. Kejadian ini mengembalikan objectGuid baru yang dibuat dalam AD dan ditetapkan sebagai atribut TargetAnchor dalam layanan penyediaan.

    Cuplikan layar yang memperlihatkan log 'Provisioning Agent' dengan objectGuid yang dibuat di AD disorot.

Memahami log untuk operasi pembaruan manajer

Atribut manager adalah atribut referensi dalam AD. Layanan penyediaan tidak menetapkan atribut manajer sebagai bagian dari operasi pembuatan pengguna. Sebaliknya atribut manager diatur sebagai bagian dari operasi pembaruan setelah akun AD dibuat untuk pengguna. Memperluas contoh di atas, katakanlah karyawan baru dengan ID Karyawan "21451" diaktifkan di Workday dan manajer karyawan baru (21023) sudah memiliki akun AD. Dalam skenario ini, mencari log Audit untuk pengguna 21451 muncul 5 entri.

Pembaruan Manajer

4 rekaman pertama seperti yang kami jelajahi sebagai bagian dari operasi buat pengguna. Rekaman ke-5 adalah ekspor yang terkait dengan pembaruan atribut manajer. Rekaman log menampilkan hasil operasi pembaruan manajer akun AD, yang dilakukan menggunakan atribut objectGuid manajer.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Mengatasi kesalahan yang umum ditemui

Bagian ini mencakup kesalahan yang umum dilihat dengan penyediaan pengguna Workday dan cara mengatasinya. Kesalahan dikelompokkan sebagai berikut:

Kesalahan agen penyediaan

# Skenario Kesalahan Kemungkinan Penyebabnya Resolusi yang Direkomendasikan
1. Kesalahan saat menginstal agen provisi dengan pesan kesalahan: Layanan 'Microsoft Entra Koneksi Provisioning Agent' (AAD Koneksi ProvisioningAgent) gagal dimulai. Verifikasi bahwa Anda memiliki hak istimewa yang memadai untuk memulai sistem. Kesalahan ini biasanya muncul jika Anda mencoba memasang agen penyediaan pada pengendali domain dan kebijakan grup mencegah layanan dimulai. Hal ini juga terlihat jika Anda menjalankan versi agen sebelumnya dan Anda belum menghapusnya sebelum memulai instalasi baru. Pasang agen penyediaan di server non-DC. Pastikan versi agen sebelumnya dicopot sebelum memasang agen baru.
2. Layanan Windows 'Microsoft Entra Koneksi Provisioning Agent' dalam status Mulai dan tidak beralih ke status Berjalan. Sebagai bagian dari penginstalan, wizard agen membuat akun lokal (NT Service\AADConnectProvisioningAgent) di server dan ini adalah akun masuk yang digunakan untuk memulai layanan. Jika kebijakan keamanan pada server Windows mencegah akun lokal menjalankan layanan ini, Anda akan menemui kesalahan ini. Buka konsol Layanan. Klik kanan pada Layanan Windows 'Microsoft Entra Koneksi Provisioning Agent' dan di tab masuk tentukan akun administrator domain untuk menjalankan layanan. Memulai ulang server
3. Saat mengonfigurasi Agen Penyediaan dengan domain AD Anda dalam langkah Sambungkan Direktori Aktif, wizard membutuhkan waktu lama untuk mencoba memuat skema AD dan akhirnya kehabisan waktu. Galat ini biasanya muncul jika wizard tidak dapat menghubungi server pengendali domain AD karena masalah firewall. Pada layar wizard Sambungkan Direktori Aktif, sambil memberikan kredensial untuk domain AD Anda, ada opsi yang disebut Pilih prioritas pengendali domain. Gunakan opsi ini untuk memilih pengendali domain yang berada di situs yang sama dengan server agen penyediaan dan pastikan bahwa tidak ada aturan firewall yang memblokir komunikasi.

Kesalahan konektivitas

Jika layanan penyediaan tidak dapat terhubung ke Workday atau Active Directory, hal itu dapat menyebabkan penyediaan masuk ke keadaan yang dikarantina. Gunakan tabel di bawah ini untuk memecahkan masalah konektivitas.

# Skenario Kesalahan Kemungkinan Penyebabnya Resolusi yang Direkomendasikan
1. Saat mengklik Uji Koneksi, Anda mendapatkan pesan: Terjadi kesalahan saat menyambungkan ke Direktori Aktif. Pastikan bahwa Agen Penyediaan lokal berjalan dan dikonfigurasi dengan domain Direktori Aktif yang benar. Kesalahan ini biasanya muncul jika agen provisi tidak berjalan atau ada komunikasi pemblokiran firewall antara ID Microsoft Entra dan agen provisi. Anda mungkin juga melihat kesalahan ini, jika domain tidak dikonfigurasi dalam Wizard Agen. Buka konsol Layanan di server Windows untuk mengonfirmasi bahwa agen sedang berjalan. Buka wizard agen penyediaan dan konfirmasikan bahwa domain yang tepat terdaftar di agen.
2. Pekerjaan penyediaan berada dalam kondisi karantina selama akhir pekan (Jum-Sab) dan kami mendapatkan pemberitahuan email tentang adanya kesalahan pada sinkronisasi. Salah satu penyebab umum untuk kesalahan ini adalah waktu henti Workday. Jika Anda menggunakan penyewa implementasi Workday, harap dicatat bahwa Workday telah menjadwalkan waktu henti untuk penyewa implementasinya selama akhir pekan (biasanya dari Jumat malam hingga Sabtu pagi) dan selama periode itu aplikasi provisi Workday dapat berada dalam kondisi karantina karena tidak dapat terhubung ke Workday. Keadaan ini kembali normal setelah penyewa implementasi Workday kembali online. Pada kasus yang jarang terjadi, Anda mungkin juga melihat kesalahan ini, jika kata sandi Pengguna Sistem Integrasi berubah karena refresh penyewa atau jika akun dalam keadaan terkunci atau kedaluwarsa. Tanyakan kepada mitra integrasi atau administrator Workday Anda untuk melihat kapan Workday menjadwalkan waktu henti untuk mengabaikan pesan peringatan selama periode waktu henti dan mengonfirmasi ketersediaan setelah instans Workday kembali online.

Kesalahan pembuatan akun pengguna AD

# Skenario Kesalahan Kemungkinan Penyebabnya Resolusi yang Direkomendasikan
1. Kegagalan operasi ekspor dalam log audit dengan pesan Error: OperationsError-SvcErr: Terjadi kesalahan operasi. Tidak ada referensi superior yang dikonfigurasi untuk layanan direktori. Oleh karena itu, layanan direktori tidak dapat mengeluarkan rujukan ke objek di luar forest ini. Kesalahan ini biasanya muncul jika OU Kontainer Active Directory tidak diatur dengan benar atau jika ada masalah dengan Pemetaan Ekspresi yang digunakan untuk parentDistinguishedName. Periksa parameter Kontainer Direktori Aktif OU apakah ada kesalahan ketik. Jika Anda menggunakan parentDistinguishedName dalam pemetaan atribut, pastikan ini selalu dievaluasi untuk kontainer yang diketahui dalam domain AD. Periksa Peristiwa ekspor dalam log audit untuk melihat nilai yang dihasilkan.
2. Kegagalan operasi ekspor dalam log audit dengan kode kesalahan: SystemForCrossDomainIdentityManagementBadResponse dan pesan Error: ConstraintViolation-AtrErr: Nilai dalam permintaan tidak valid. Nilai untuk atribut tidak berada dalam rentang nilai yang dapat diterima. \nError Details: CONSTRAINT_ATT_TYPE - company. Meskipun kesalahan ini khusus untuk atribut company, Anda mungkin melihat kesalahan ini untuk atribut lain seperti CN juga. Kesalahan ini muncul karena batasan skema diberlakukan AD. Secara default, atribut seperti companu dan CN dalam AD memiliki batas maksimal 64 karakter. Jika nilai yang berasal dari Workday lebih dari 64 karakter, maka Anda akan melihat pesan kesalahan ini. Periksa peristiwa Ekspor di log audit untuk melihat nilai atribut yang dilaporkan dalam pesan kesalahan. Pertimbangkan untuk memotong nilai yang berasal dari Workday menggunakan fungsi Mid atau mengubah pemetaan menjadi atribut AD yang tidak memiliki batasan panjang yang sama.

Kesalahan pembaruan akun pengguna AD

Selama proses pembaruan akun pengguna AD, layanan penyediaan membaca informasi dari Workday dan AD, menjalankan aturan pemetaan atribut dan menentukan apakah ada perubahan yang perlu diterapkan. Oleh karena itu, peristiwa pembaruan dipicu. Jika salah satu langkah ini mengalami kegagalan, maka akan dicatat dalam log audit. Gunakan tabel di bawah ini untuk memecahkan masalah kesalahan pembaruan umum.

# Skenario Kesalahan Kemungkinan Penyebabnya Resolusi yang Direkomendasikan
1. Kegagalan tindakan aturan sinkronisasi di log audit dengan pesan EventName = EntrySynchronizationError dan ErrorCode = EndpointUnavailable. Kesalahan ini muncul jika layanan penyediaan tidak dapat mengambil data profil pengguna dari Direktori Aktif karena kesalahan pemrosesan yang ditemui oleh agen penyediaan di tempat. Periksa log Pemantau Peristiwa Agen Penyediaan untuk kejadian kesalahan yang mengindikasikan masalah pada operasi baca (Filter menurut Event ID #2).
2. Atribut manager di AD tidak diperbarui untuk pengguna tertentu di AD. Penyebab paling mungkin dari kesalahan ini adalah jika Anda menggunakan aturan scoping dan manajer pengguna bukan bagian dari cakupan. Anda juga dapat mengalami masalah ini jika atribut ID yang cocok dengan manajer (misalnya EmployeeID) tidak ditemukan di domain AD target atau tidak diatur ke nilai yang benar. Tinjau filter scoping dan tambahkan pengguna manajer dalam cakupan. Periksa profil manajer di AD untuk memastikan bahwa ada nilai untuk atribut ID yang cocok.

Mengelola konfigurasi Anda

Bagian ini menjelaskan bagaimana Anda dapat memperluas, menyesuaikan, dan mengelola konfigurasi penyediaan pengguna berbasis Workday lebih lanjut. Bagian ini membahas topik-topik berikut:

Mengustomisasi daftar atribut pengguna Workday

Aplikasi provisi Workday untuk Direktori Aktif dan ID Microsoft Entra menyertakan daftar default atribut pengguna Workday yang dapat Anda pilih. Namun, daftar ini tidak komprehensif. Workday mendukung ratusan atribut pengguna yang mungkin, yang dapat menjadi standar atau unik bagi penyewa Workday Anda.

Layanan provisi Microsoft Entra mendukung kemampuan untuk menyesuaikan daftar atau atribut Workday Anda untuk menyertakan atribut apa pun yang diekspos dalam operasi Get_Workers API Sumber Daya Manusia.

Untuk melakukan perubahan ini, Anda harus menggunakan Workday Studio untuk mengekstrak ekspresi XPath yang mewakili atribut yang ingin Anda gunakan, lalu menambahkannya ke konfigurasi provisi Menggunakan editor atribut tingkat lanjut.

Untuk mengambil ekspresi XPath untuk atribut pengguna Workday:

  1. Unduh dan pasang Workday Studio. Anda akan memerlukan akun komunitas Workday untuk mengakses alat penginstal.

  2. Unduh file Workday Human_Resources WSDL khusus untuk versi API WWS yang Anda rencanakan untuk digunakan dari Direktori Layanan Web Workday

  3. Luncurkan Workday Studio.

  4. Dari bilah perintah, pilih opsi Layanan Web Pengujian Workday > di Penguji.

  5. Pilih Eksternal, dan pilih Human_Resources WSDL yang Anda unduh di langkah 2.

    Cuplikan layar yang menampilkan file

  6. Atur bidang Lokasi ke https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, tetapi ganti "IMPL-CC" dengan jenis instans Anda yang sebenarnya, dan "TENANT" dengan nama penyewa asli Anda.

  7. Atur Operasi ke Get_Workers

  8. Klik link konfigurasi kecil di bawah panel Permintaan/Respons untuk mengatur kredensial Workday Anda. Periksa Autentikasi, lalu masukkan nama pengguna dan kata sandi untuk akun sistem integrasi Workday Anda. Pastikan untuk memformat nama pengguna sebagai nama@tenant, dan biarkan opsi WS-Security UsernameToken dipilih. Cuplikan layar yang menampilkan tab

  9. Pilih OK.

  10. Di panel Permintaan, tempelkan di XML di bawah. Atur Employee_ID ke ID karyawan pengguna nyata di penyewa Workday Anda. Atur wd:version ke versi WWS yang Anda rencanakan untuk digunakan. Pilih pengguna yang memiliki atribut yang diisi yang ingin Anda ekstrak.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Klik Kirim Permintaan (panah hijau) untuk menjalankan perintah. Jika berhasil, respons akan muncul di panel Respons. Periksa respons untuk memastikan data ID pengguna yang Anda masukkan, dan bukan kesalahan.

  12. Jika berhasil, salin XML dari panel Respons dan simpan sebagai file XML.

  13. Di bilah perintah Workday Studio, pilih File > Buka File... dan buka file XML yang Anda simpan. Tindakan ini akan membuka file di editor XML Workday Studio.

    Cuplikan layar file X M L terbuka di

  14. Di pohon file, navigasikan melalui /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker untuk menemukan data pengguna Anda.

  15. Di bawah wd: Worker, temukan atribut yang ingin Anda tambahkan, dan pilih.

  16. Salin ekspresi XPath untuk atribut yang Anda pilih dari bidang Jalur Dokumen.

  17. Hapus awalan /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ dari ekspresi yang disalin.

  18. Jika item terakhir dalam ekspresi yang disalin adalah node (misalnya: "/wd: Birth_Date"), maka tambahkan /text() di akhir ekspresi. Hal ini tidak diperlukan jika item terakhir adalah atribut (contoh: "/@wd: type").

  19. Hasilnya harus seperti berikut wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Nilai inilah yang akan Anda salin ke portal Microsoft Azure.

Untuk menambahkan atribut pengguna Workday kustom ke konfigurasi penyediaan Anda:

  1. Luncurkan portal Microsoft Azure, dan navigasi ke bagian Penyediaan aplikasi penyediaan Workday Anda, seperti yang dijelaskan sebelumnya dalam tutorial ini.

  2. Atur Status Penyediaan menjadi Nonaktif, dan pilih Simpan. Langkah ini akan membantu memastikan perubahan Anda hanya akan berlaku ketika Anda siap.

  3. Di bawah Pemetaan, pilih Sinkronkan Pekerja Workday ke Direktori Aktif Lokal (atau Sinkronkan Pekerja Workday ke ID Microsoft Entra).

  4. Gulir ke bagian bawah layar berikutnya, dan pilih Perlihatkan opsi tingkat lanjut.

  5. Pilih Edit daftar atribut untuk Workday.

    Cuplikan layar yang memperlihatkan halaman

  6. Gulir ke bagian bawah daftar atribut ke tempat bidang input berada.

  7. Untuk Nama, masukkan nama tampilan untuk atribut Anda.

  8. Untuk Jenis, pilih jenis yang sesuai dengan atribut Anda (String paling umum).

  9. Untuk API Expression, masukkan ekspresi XPath yang Anda salin dari Workday Studio. Contoh: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Pilih Tambahkan Atribut.

    Workday Studio

  11. Pilih Simpan di atas, lalu Ya ke dialog. Tutup Pemetaan-Atribut jika masih terbuka.

  12. Kembali ke tab Provisi utama, pilih Sinkronkan Pekerja Workday ke Direktori Aktif Lokal (atau Sinkronkan Pekerja ke ID Microsoft Entra) lagi.

  13. Pilih Tambahkan pemetaan baru.

  14. Atribut baru Anda sekarang akan muncul di daftar atribut Sumber.

  15. Tambahkan pemetaan untuk atribut baru sesuai keinginan Anda.

  16. Setelah selesai, jangan lupa mengatur Status Penyediaan kembali ke Aktif dan simpan.

Mengekspor dan mengimpor konfigurasi Anda

Lihat artikel Mengekspor dan mengimpor konfigurasi penyediaan

Mengelola data pribadi

Solusi penyediaan Workday untuk Direktori Aktif mengharuskan agen penyediaan dipasang pada server Windows lokal, dan agen ini membuat log di log Kejadian Windows yang mungkin berisi data pribadi tergantung pada pemetaan atribut Workday to AD Anda. Untuk mematuhi kewajiban privasi pengguna, Anda dapat memastikan bahwa tidak ada data yang disimpan dalam log Kejadian di luar 48 jam dengan menyiapkan tugas terjadwal Windows untuk menghapus log kejadian.

Layanan provisi Microsoft Entra termasuk dalam kategori pemroses data klasifikasi GDPR. Sebagai saluran pemroses data, layanan ini menyediakan layanan pemrosesan data kepada mitra utama dan konsumen akhir. Layanan provisi Microsoft Entra tidak menghasilkan data pengguna dan tidak memiliki kontrol independen atas data pribadi apa yang dikumpulkan dan cara penggunaannya. Pengambilan data, agregasi, analisis, dan pelaporan di layanan provisi Microsoft Entra didasarkan pada data perusahaan yang ada.

Catatan

Untuk informasi tentang melihat atau menghapus data pribadi, silakan ulas panduan Microsoft tentang permintaan subjek data Windows untuk situs GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR dari Pusat Kepercayaan Microsoft dan bagian GDPR dari portal Kepercayaan Layanan.

Sehubungan dengan retensi data, layanan provisi Microsoft Entra tidak menghasilkan laporan, melakukan analitik, atau memberikan wawasan melebihi 30 hari. Oleh karena itu, layanan provisi Microsoft Entra tidak menyimpan, memproses, atau menyimpan data apa pun melebihi 30 hari. Desain ini sesuai dengan peraturan GDPR, peraturan kepatuhan privasi Microsoft, dan kebijakan penyimpanan data Microsoft Entra.

Langkah berikutnya