Tutorial: Mengonfigurasi Workday untuk provisi pengguna otomatis
Tujuan dari tutorial ini adalah untuk menunjukkan langkah-langkah yang perlu Anda lakukan guna menyediakan profil pekerja dari Workday ke Active Directory lokal.
Catatan
Gunakan tutorial ini, jika pengguna yang ingin Anda provisikan dari Workday memerlukan akun AD lokal dan akun Microsoft Entra.
- Jika pengguna dari Workday hanya memerlukan akun Microsoft Entra (pengguna khusus cloud), lihat tutorial tentang mengonfigurasi Workday ke provisi pengguna MICROSOFT Entra ID .
- Untuk mengonfigurasi tulis balik atribut seperti alamat email, nama pengguna, dan nomor telepon dari ID Microsoft Entra ke Workday, silakan lihat tutorial tentang mengonfigurasi tulis balik Workday.
Video berikut ini memberikan gambaran umum singkat tentang langkah-langkah yang terlibat saat merencanakan integrasi provisi Anda dengan Workday.
Gambaran Umum
Layanan provisi pengguna Microsoft Entra terintegrasi dengan Api Sumber Daya Manusia Workday untuk memprovisikan akun pengguna. Alur kerja provisi pengguna Workday yang didukung oleh layanan provisi pengguna Microsoft Entra memungkinkan otomatisasi sumber daya manusia dan skenario manajemen siklus hidup identitas berikut:
Mempekerjakan karyawan baru - Saat karyawan baru ditambahkan ke Workday, akun pengguna secara otomatis dibuat di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra, dengan tulis balik informasi kontak yang dikelola IT ke Workday.
Pembaruan atribut dan profil karyawan - Saat catatan karyawan diperbarui di Workday (seperti nama, judul, atau manajer mereka), akun pengguna mereka secara otomatis diperbarui di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.
Penghentian karyawan - Saat karyawan dihentikan di Workday, akun pengguna mereka secara otomatis dinonaktifkan di Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.
Perekrutan ulang karyawan - Saat karyawan di-rehired di Workday, akun lama mereka dapat diaktifkan kembali atau disediakan kembali secara otomatis (tergantung pada preferensi Anda) ke Direktori Aktif, ID Microsoft Entra, dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.
Yang baru
Bagian ini menangkap peningkatan integrasi Workday baru-baru ini. Untuk daftar pembaruan komprehensif, perubahan dan arsip yang direncanakan, kunjungi Apa yang baru di ID Microsoft Entra?
Okt 2020 - Penyediaan yang diaktifkan sesuai permintaan untuk Workday: Dengan menggunakan penyediaan sesuai permintaan, Anda sekarang dapat menguji penyediaan end-to-end untuk profil pengguna tertentu di Workday guna memverifikasi pemetaan atribut dan logika ekspresi Anda.
Mei 2020 - Kemampuan untuk menulis balik nomor telepon ke Workday: Selain email dan nama pengguna, Anda sekarang dapat menulis balik nomor telepon kantor dan nomor ponsel dari ID Microsoft Entra ke Workday. Untuk detail lebih lanjut, lihat tutorial aplikasi writeback.
April 2020 - Dukungan untuk versi terbaru Workday Web Services (WWS) API: Dua kali setahun pada bulan Maret dan September, Workday memberikan pembaruan kaya fitur yang membantu Anda memenuhi tujuan bisnis Anda dan mengubah tuntutan tenaga kerja. Untuk mengikuti fitur baru yang dikirimkan oleh Workday, Anda dapat langsung menentukan versi API WWS yang ingin Anda gunakan di URL koneksi. Untuk detail tentang cara menentukan versi Workday API, lihat bagian tentang mengonfigurasi konektivitas Workday.
Paling cocok untuk siapakah solusi penyediaan pengguna ini?
Solusi penyediaan pengguna Workday ini sangat cocok untuk:
Organisasi yang menginginkan solusi berbasis cloud bawaan untuk provisi pengguna Workday
Organisasi yang memerlukan provisi pengguna langsung dari Workday ke Direktori Aktif, atau ID Microsoft Entra
Organisasi yang mengharuskan pengguna untuk mendapat penyediaan menggunakan data yang diperoleh dari modul HCM Workday (lihat Get_Workers)
Organisasi yang memerlukan gabungan, pemindahan, dan meninggalkan pengguna untuk disinkronkan ke satu atau beberapa Forest Direktori Aktif, Domain, dan OU hanya berdasarkan perubahan yang terdeteksi dalam modul HCM Workday (lihat Get_Workers)
Organisasi menggunakan Microsoft 365 untuk email
Solusi Arsitektur
Bagian ini menjelaskan arsitektur solusi provisi pengguna end-to-end untuk lingkungan hibrid umum. Ada dua aliran terkait:
- Aliran data SDM otoritatif – dari Workday ke Active Directory lokal: Dalam alur ini, peristiwa pekerja seperti Karyawan Baru, Transfer, Penghentian pertama kali terjadi di penyewa SDM Workday cloud lalu data peristiwa mengalir ke Active Directory lokal melalui ID Microsoft Entra dan Agen Provisi. Bergantung peristiwa tersebut, hal ini dapat menyebabkan operasi buat/perbarui/aktifkan/nonaktifkan dalam AD.
- Alur tulis balik – dari Active Directory lokal ke Workday: Setelah pembuatan akun selesai di Direktori Aktif, alur tersebut disinkronkan dengan ID Microsoft Entra melalui Microsoft Entra Connect dan informasi seperti email, nama pengguna, dan nomor telepon dapat ditulis kembali ke Workday.
Alur data pengguna akhir
- Tim SDM melakukan transaksi pekerja (Joiners/Movers/Leavers atau New Hires/Transfers/Terminations) di Workday HCM
- Layanan provisi Microsoft Entra menjalankan sinkronisasi identitas terjadwal dari SDM Workday dan mengidentifikasi perubahan yang perlu diproses untuk sinkronisasi dengan Active Directory lokal.
- Layanan provisi Microsoft Entra memanggil Microsoft Entra Connect Provisioning Agent lokal dengan payload permintaan yang berisi operasi buat/perbarui/aktifkan/nonaktifkan akun AD.
- Microsoft Entra Connect Provisioning Agent menggunakan akun layanan untuk menambahkan/memperbarui data akun AD.
- Mesin Microsoft Entra Connect /AD Sync menjalankan sinkronisasi delta untuk menarik pembaruan di AD.
- Pembaruan Direktori Aktif disinkronkan dengan ID Microsoft Entra.
- Jika aplikasi Workday Writeback dikonfigurasi, aplikasi ini menulis balik atribut seperti email, nama pengguna, dan nomor telepon ke Workday.
Merencanakan penyebaran Anda
Mengonfigurasi penyediaan pengguna Workday to Direktori Aktif memerlukan perencanaan yang cukup besar yang mencakup berbagai aspek seperti:
- Penyiapan agen provisi Microsoft Entra Connect
- Jumlah Workday ke aplikasi penyediaan pengguna AD untuk diterapkan
- Memilih pengidentifikasi pencocokan, pemetaan atribut, transformasi, dan filter cakupan yang tepat
Lihat rencana penerapan SDM cloud untuk pedoman komprehensif dan praktik terbaik yang direkomendasikan.
Mengonfigurasi pengguna sistem integrasi di Workday
Persyaratan umum dari semua konektor penyediaan Workday adalah memerlukan kredensial pengguna sistem integrasi Workday untuk terhubung ke API Sumber Daya Manusia Workday. Bagian ini menjelaskan cara membuat pengguna sistem integrasi di Workday dan memiliki bagian berikut:
- Membuat pengguna sistem integrasi
- Membuat grup keamanan integrasi
- Mengonfigurasi izin kebijakan keamanan domain
- Mengonfigurasi izin kebijakan keamanan proses bisnis
- Mengaktifkan perubahan kebijakan keamanan
Catatan
Anda dapat melewati prosedur ini dan sebaliknya menggunakan akun administrator Workday sebagai akun integrasi sistem. Ini mungkin berfungsi dengan baik untuk demo, tetapi tidak disarankan untuk penyebaran produksi.
Membuat pengguna sistem integrasi
Untuk membuat pengguna sistem integrasi:
Masuk ke penyewa Workday Anda menggunakan akun administrator. Dalam Aplikasi Workday, ketikkan buat pengguna di kotak pencarian, lalu klik Membuat Pengguna Sistem Integrasi.
Selesaikan tugas Membuat Pengguna Sistem Integrasi dengan memberikan nama pengguna dan kata sandi untuk Pengguna Sistem Integrasi baru.
- Biarkan opsi Wajibkan Kata Sandi Baru di Masuk Berikutnya tidak dicentang, karena pengguna ini masuk secara terprogram.
- Biarkan Menit Batas Waktu Sesi dengan nilai default 0, yang mencegah sesi pengguna kehabisan waktu sebelum waktunya.
- Pilih opsi Jangan Perbolehkan Sesi UI karena menyediakan lapisan keamanan tambahan yang mencegah pengguna dengan kata sandi sistem integrasi masuk ke Workday.
Membuat grup keamanan integrasi
Dalam langkah ini, Anda akan membuat grup keamanan sistem integrasi yang tidak dibatasi atau dibatasi di Workday dan menetapkan pengguna sistem integrasi yang dibuat pada langkah sebelumnya ke grup ini.
Untuk membuat grup keamanan:
Ketikkan buat grup keamanan di kotak pencarian, lalu klik Buat Grup Keamanan.
Menyelesaikan tugas Buat Grup Keamanan.
Ada dua jenis grup keamanan di Workday:
- Tidak dibatasi: Semua anggota grup keamanan dapat mengakses semua instans data yang diamankan oleh grup keamanan.
- Dibatasi: Semua anggota grup keamanan memiliki akses kontekstual ke subset instans data (baris) yang dapat diakses oleh grup keamanan.
Tanyakan kepada mitra integrasi Workday Anda untuk memilih jenis grup keamanan yang sesuai untuk integrasi.
Setelah Anda mengetahui jenis grup, pilih Grup Keamanan Sistem Integrasi (Tidak Dibatasi) atau Grup Keamanan Sistem Integrasi (Dibatasi) dari menu dropdown Jenis bawah Grup Keamanan Penyewa.
Setelah pembuatan Grup Keamanan berhasil, Anda akan melihat halaman tempat Anda dapat menetapkan anggota ke Grup Keamanan. Tambahkan pengguna sistem integrasi baru yang dibuat pada langkah sebelumnya ke grup keamanan ini. Jika Anda menggunakan grup keamanan yang dibatasi , Anda harus memilih cakupan organisasi yang sesuai.
Mengonfigurasi izin kebijakan keamanan domain
Dalam langkah ini, Anda akan memberikan izin kebijakan keamanan domain untuk data pekerja ke grup keamanan.
Untuk mengonfigurasi izin kebijakan keamanan domain:
Masukkan Keanggotaan dan Akses Grup Keamanan di kotak pencarian dan klik link laporan.
Cari dan pilih grup keamanan yang dibuat di langkah sebelumnya.
Klik elipsis (
...
) di samping nama grup dan dari menu, pilih Grup > Keamanan Pertahankan Izin Domain untuk Grup KeamananPada Izin Integrasi, tambahkan domain berikut ke daftar Kebijakan Keamanan Domain yang mengizinkan Akses
- Penyediaan Akun Eksternal
- Data Pekerja: Laporan Pekerja Publik
- Data Orang: Informasi Kontak Kerja (diperlukan jika Anda berencana menulis balik data kontak dari ID Microsoft Entra ke Workday)
- Akun Workday (diperlukan jika Anda berencana untuk menulis balik nama pengguna/UPN dari ID Microsoft Entra ke Workday)
Pada Izin Integrasi, tambahkan domain berikut ke daftar Kebijakan Keamanan Domain yang mengizinkan Dapatkan akses
- Data Pekerja: Pekerja
- Data Pekerja: Semua Posisi
- Data Pekerja: Informasi Kepegawaian Saat Ini
- Data Pekerja: Judul Bisnis di Profil Pekerja
- Data Pekerja: Pekerja yang Memenuhi Syarat (Opsional - tambahkan ini untuk mengambil data kualifikasi pekerja untuk penyediaan)
- Data Pekerja: Keterampilan dan Pengalaman (Opsional - tambahkan ini untuk mengambil data keterampilan pekerja untuk penyediaan)
Setelah menyelesaikan langkah-langkah di atas, layar izin muncul seperti yang ditunjukkan di bawah ini:
Klik OK dan Selesai pada layar berikutnya untuk menyelesaikan konfigurasi.
Mengonfigurasi izin kebijakan keamanan proses bisnis
Dalam langkah ini, Anda akan memberikan izin kebijakan "keamanan proses bisnis" untuk data pekerja ke grup keamanan.
Catatan
Langkah ini hanya diperlukan untuk menyiapkan konektor aplikasi Workday Writeback.
Untuk mengonfigurasi izin kebijakan keamanan proses bisnis:
Ketikkan Kebijakan Proses Bisnis di kotak pencarian, lalu klik tautan tugas Edit Kebijakan Keamanan Proses Bisnis.
Dalam kotak teks Jenis Proses Bisnis, cari Kontak dan pilih proses bisnis Perubahan Kontak Kerja dan klik OK.
Pada halaman Edit Kebijakan Keamanan Proses Bisnis, gulir ke bagian Ubah Informasi Kontak Kerja (Layanan Web).
Pilih dan tambahkan grup keamanan sistem integrasi baru ke daftar grup keamanan yang bisa memulai permintaan layanan web.
Klik Selesai.
Mengaktifkan perubahan kebijakan keamanan
Untuk mengaktifkan perubahan kebijakan keamanan:
Ketikkan aktifkan di kotak pencarian, lalu klik tautan Aktifkan Perubahan Kebijakan Keamanan Tertunda.
Mulai tugas Aktifkan Perubahan Kebijakan Keamanan Tertunda dengan memasukkan komentar untuk tujuan audit, lalu klik OK.
Selesaikan tugas di layar berikutnya dengan mencentang kotak centang Konfirmasi, lalu klik OK.
Prasyarat penginstalan Agen Penyediaan
Tinjau prasyarat penginstalan agen penyediaan sebelum melanjutkan ke bagian berikutnya.
Mengonfigurasi penyediaan pengguna dari Workday ke Direktori Aktif
Bagian ini menyediakan langkah-langkah untuk penyediaan akun pengguna dari Workday ke setiap domain Direktori Aktif dalam cakupan integrasi Anda.
- Tambahkan aplikasi konektor penyediaan dan unduh Agen Penyediaan
- Menginstal dan mengonfigurasi Provisioning Agent lokal
- Mengonfigurasi konektivitas ke Workday dan Direktori Aktif
- Mengonfigurasi pemetaan atribut
- Mengaktifkan dan meluncurkan provisi pengguna
Bagian 1: Menambahkan aplikasi konektor provisi dan mengunduh Provisioning Agent
Untuk mengonfigurasi penyediaan Workday ke Direktori Aktif:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
Cari Workday ke Penyediaan Pengguna Direktori Aktif, dan tambahkan aplikasi tersebut dari galeri.
Setelah aplikasi ditambahkan dan layar detail aplikasi ditampilkan, pilih provisi.
Atur Provisi Mode ke Otomatis.
Klik pada spanduk informasi yang ditampilkan untuk mengunduh Agen Penyediaan.
Bagian 2: Menginstal dan mengonfigurasi Provisioning Agent lokal
Untuk memprovisi ke Active Directory lokal, Provisioning Agent harus diinstal pada server, yang bergabung dengan domain yang memiliki akses jaringan ke domain Active Directory yang diinginkan.
Transfer alat penginstal agen yang diunduh ke host server dan ikuti langkah-langkah yang tercantum di bagian Pasang Agen untuk menyelesaikan konfigurasi agen.
Bagian 3: Di aplikasi penyediaan, konfigurasikan konektivitas ke Workday dan Direktori Aktif
Dalam langkah ini, kami membangun konektivitas dengan Workday dan Active Directory.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi >Identity>Applications>Enterprise Workday ke Aplikasi Provisi Pengguna Direktori Aktif yang dibuat di Bagian 1.
Lengkapi bagian info masuk Admin sebagai berikut:
Nama Pengguna Workday - Masukkan nama pengguna akun sistem integrasi Workday, dengan nama domain penyewa ditambahkan. Nama pengguna akan terlihat seperti: namapengguna@nama_penyewa
Kata sandi Workday - Masukkan kata sandi akun sistem integrasi Workday
URL API Layanan Web Workday – Masukkan URL ke titik akhir layanan web Workday untuk penyewa Anda. URL menentukan versi API Layanan Web Workday yang digunakan oleh konektor.
Format URL WWS versi API yang digunakan Perubahan XPATH diperlukan https://####.workday.com/ccx/service/tenantName v21.1 No https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Ya Catatan
Jika tidak ada informasi versi yang ditentukan dalam URL, aplikasi menggunakan Workday Web Services (WWS) v21.1 dan tidak ada perubahan yang diperlukan untuk ekspresi API XPATH default yang dikirim dengan aplikasi. Untuk menggunakan versi API WWS tertentu, tentukan nomor versi di URL
Contoh:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Jika Anda menggunakan WWS API v30.0+, sebelum mengaktifkan pekerjaan provisi, perbarui ekspresi XPATH API di bawah Pemetaan Atribut -> Opsi Tingkat Lanjut -> Edit daftar atribut untuk Workday yang mengacu pada bagian Mengelola konfigurasi dan referensi atribut Workday Anda.Forest Direktori Aktif - "Nama" domain Direktori Aktif Anda, seperti yang terdaftar di agen. Gunakan menu tarik-turun untuk memilih domain target untuk provisi. Nilai ini biasanya merupakan string seperti: contoso.com
Kontainer Active Directory - Masukkan kontainer DN di mana agen harus membuat akun pengguna secara default. Contoh: OU=Standard Users,OU=Users,DC=contoso,DC=test
Catatan
Pengaturan ini hanya diputar untuk pembuatan akun pengguna jika atribut parentDistinguishedName tidak dikonfigurasi dalam pemetaan atribut. Pengaturan ini tidak digunakan untuk operasi pencarian atau pembaruan pengguna. Seluruh sub pohon domain berada di dalam cakupan operasi pencarian.
Email Pemberitahuan – Masukkan alamat email Anda, dan centang kotak centang "kirim email jika terjadi kegagalan".
Catatan
Layanan provisi Microsoft Entra mengirim pemberitahuan email jika pekerjaan provisi masuk ke status karantina .
Klik tombol Uji Koneksi. Jika pengujian koneksi berhasil, klik tombol Simpan di bagian atas. Jika gagal, periksa kembali apakah kredensial Workday dan kredensial AD yang dikonfigurasi pada penyetelan agen valid.
Setelah kredensial berhasil disimpan, bagian Pemetaan menampilkan pemetaan default Menyinkronkan Pekerja Workday ke Direktori Aktif Lokal
Bagian 4: Mengonfigurasi pemetaan atribut
Di bagian ini, Anda mengonfigurasi bagaimana data pengguna mengalir dari Workday ke Direktori Aktif.
Pada tab Penyediaan di bawah Pemetaan, klik Sinkronkan Pekerja Workday ke Direktori Aktif Lokal.
Di bidang Cakupan Objek Sumber, Anda dapat memilih set pengguna mana di Workday yang harus berada dalam cakupan provisi ke AD, dengan menentukan set filter berbasis atribut. Cakupan default adalah “semua pengguna di Workday”. Contoh filter:
Contoh: Cakupan untuk pengguna dengan ID Pekerja antara 1000000 dan 2000000 (tidak termasuk 2000000)
Atribut: WorkerID
Operator: REGEX Match
Nilai: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Contoh: Hanya karyawan dan bukan pekerja kontingen
Atribut: EmployeeID
Operator: bukan NULL
Tip
Saat mengonfigurasi aplikasi provisi untuk pertama kalinya, Anda perlu menguji dan memverifikasi pemetaan dan ekspresi atribut Anda untuk memastikan bahwa aplikasi tersebut memberi Anda hasil yang diinginkan. Microsoft merekomendasikan penggunaan filter scoping di bawah Cakupan Objek Sumber dan penyediaan sesuai permintaan untuk menguji pemetaan Anda dengan beberapa pengguna uji dari Workday. Setelah memverifikasi bahwa pemetaan berfungsi, Anda dapat menghapus filter atau memperluasnya secara bertahap untuk menyertakan lebih banyak pengguna.
Perhatian
Perilaku default dari mesin provisi adalah untuk menonaktifkan/menghapus pengguna yang keluar dari cakupan. Ini mungkin tidak diinginkan dalam integrasi Workday ke AD Anda. Untuk menimpa perilaku default ini, lihat artikel Lewati penghapusan akun pengguna yang keluar dari cakupan
Di bidang Tindakan Objek Target, Anda dapat memfilter secara global tindakan apa yang dilakukan pada Direktori Aktif. Buat dan Perbarui adalah paling umum.
Di bagian Pemetaan atribut, Anda dapat menentukan bagaimana masing-masing atribut Workday memetakan atribut Direktori Aktif.
Klik pemetaan atribut yang ada untuk memperbaruinya, atau klik Tambahkan pemetaan baru di bagian bawah layar untuk menambahkan pemetaan baru. Pemetaan atribut individual mendukung properti ini:
Jenis Pemetaan
Langsung – Menulis nilai atribut Workday ke atribut AD, tanpa perubahan
Konstanta - Tulis nilai string statis dan konstan ke atribut AD
Ekspresi – Memungkinkan Anda menulis nilai kustom ke atribut AD, didasarkan pada satu atau beberapa atribut Workday. Untuk informasi selengkapnya, lihat artikel ini tentang ekspresi.
Atribut sumber - Atribut pengguna dari Workday. Jika atribut yang Anda cari tidak ada, lihat Menyesuaikan daftar atribut pengguna Workday.
Nilai default – Opsional. Jika atribut sumber memiliki nilai kosong, pemetaan menulis nilai ini sebagai gantinya. Konfigurasi yang paling umum adalah membiarkannya kosong.
Atribut target – Atribut Pengguna di Active Directory.
Cocokkan objek menggunakan atribut ini – Apakah pemetaan ini harus digunakan untuk mengidentifikasi pengguna antara Workday dan Direktori Aktif secara unik atau tidak. Nilai ini biasanya ditetapkan pada bidang ID Pekerja untuk Workday, yang biasanya dipetakan ke salah satu atribut ID Karyawan di Active Directory.
Pencocokan diutamakan - Beberapa atribut yang cocok dapat diatur. Ketika ada beberapa, mereka akan dievaluasi dalam urutan yang ditentukan oleh bidang ini. Segera setelah ditemukan kecocokan, tidak ada atribut pencocokan lebih lanjut yang dievaluasi.
Terapkan pemetaan ini
Selalu – Terapkan pemetaan ini pada tindakan pembuatan dan pembaruan pengguna
Hanya selama pembuatan - Terapkan pemetaan ini hanya pada tindakan pembuatan pengguna
Untuk menyimpan pemetaan Anda, klik Simpan di bagian atas Atribut-Pemetaan Anda.
Di bawah ini adalah beberapa contoh pemetaan atribut antara Workday dan Direktori Aktif, dengan beberapa ekspresi umum
Ekspresi yang memetakan ke atribut parentDistinguishedName digunakan untuk menyediakan pengguna ke OUs yang berbeda berdasarkan satu atau beberapa atribut sumber Workday. Contoh ini di sini menempatkan pengguna di OU yang berbeda berdasarkan kota tempat mereka berada.
Atribut userPrincipalName di Direktori Aktif dihasilkan menggunakan fungsi de-duplikasi SelectUniqueValue yang memeriksa keberadaan nilai yang dihasilkan di domain AD target dan hanya mengaturnya jika unik.
ada dokumentasi tentang menulis ekspresi di sini. Bagian ini menyertakan contoh tentang cara menghapus karakter khusus.
WORKDAY ATTRIBUTE | ATRIBUT ACTIVE DIRECTORY | MATCHING ID? | CREATE / UPDATE |
---|---|---|---|
WorkerID | EmployeeID | Ya | Ditulis hanya pada buat |
PreferredNameData | cn | Ditulis hanya pada buat | |
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) | userPrincipalName | Ditulis hanya pada buat | |
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) |
NamaAkunsAM | Ditulis hanya pada buat | |
Switch([Active], , "0", "True", "1", "False") | accountDisabled | Buat + perbarui | |
FirstName | givenName | Buat + perbarui | |
NamaBelakang | sn | Buat + perbarui | |
PreferredNameData | displayName | Buat + perbarui | |
Firma | company | Buat + perbarui | |
SupervisoryOrganization | departemen | Buat + perbarui | |
ManagerReference | manajer | Buat + perbarui | |
BusinessTitle | title | Buat + perbarui | |
AddressLineData | streetAddress | Buat + perbarui | |
Municipality | l | Buat + perbarui | |
CountryReferenceTwoLetter | co | Buat + perbarui | |
CountryReferenceTwoLetter | c | Buat + perbarui | |
CountryRegionReference | st | Buat + perbarui | |
WorkSpaceReference | physicalDeliveryOfficeName | Buat + perbarui | |
Kode Pos | Kode Pos | Buat + perbarui | |
PrimaryWorkTelephone | telephoneNumber | Buat + perbarui | |
Fax | facsimileTelephoneNumber | Buat + perbarui | |
Platform | mobile | Buat + perbarui | |
LocalReference | preferredLanguage | Buat + perbarui | |
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") | parentDistinguishedName | Buat + perbarui |
Setelah konfigurasi pemetaan atribut Anda selesai, Anda dapat menguji provisi untuk satu pengguna menggunakan provisi sesuai permintaan dan kemudian mengaktifkan dan meluncurkan layanan provisi pengguna.
Mengaktifkan dan meluncurkan provisi pengguna
Setelah konfigurasi aplikasi provisi Workday selesai dan Anda telah memverifikasi provisi untuk satu pengguna dengan provisi sesuai permintaan, Anda dapat mengaktifkan layanan provisi.
Tip
Secara default saat Anda mengaktifkan layanan provisi, layanan ini memulai operasi provisi untuk semua pengguna dalam cakupan. Jika ada kesalahan dalam pemetaan atau masalah data Workday, maka pekerjaan penyediaan mungkin gagal dan masuk ke status karantina. Untuk menghindari hal ini, sebagai praktik terbaik, kami sarankan untuk mengonfigurasi filter Cakupan Objek Sumber dan menguji pemetaan atribut Anda dengan beberapa pengguna penguji menggunakan provisi sesuai permintaan sebelum meluncurkan sinkronisasi penuh untuk semua pengguna. Setelah Anda memverifikasi bahwa pemetaan berfungsi dan memberi Anda hasil yang diinginkan, maka Anda dapat menghapus filter atau secara bertahap memperluasnya untuk menyertakan lebih banyak pengguna.
Buka bilah Penyediaan dan klik Mulai penyediaan.
Operasi ini memulai sinkronisasi awal, yang dapat memakan waktu jumlah jam variabel tergantung pada berapa banyak pengguna di penyewa Workday. Anda dapat memeriksa bilah kemajuan untuk melacak kemajuan siklus sinkronisasi.
Kapan saja, periksa tab Provisi di pusat admin Microsoft Entra untuk melihat tindakan apa yang telah dilakukan layanan provisi. Log provisi mencantumkan semua peristiwa sinkronisasi individual yang dilakukan oleh layanan provisi, seperti pengguna mana yang dibaca keluar dari Workday lalu kemudian ditambahkan atau diperbarui ke Direktori Aktif. Lihat bagian Pemecahan Masalah untuk petunjuk tentang cara meninjau log provisi dan memperbaiki kesalahan provisi.
Setelah sinkronisasi awal selesai, sinkronisasi menulis laporan ringkasan audit di tab Provisi , seperti yang ditunjukkan di bawah ini.
Tanya Jawab Umum (FAQ)
Pertanyaan kemampuan solusi
- Saat memproses karyawan baru dari Workday, bagaimana solusi mengatur kata sandi untuk akun pengguna baru di Direktori Aktif?
- Apakah solusi mendukung pengiriman pemberitahuan email setelah operasi penyediaan selesai?
- Apakah profil pengguna Workday cache solusi di cloud Microsoft Entra atau di lapisan agen provisi?
- Apakah solusi mendukung penetapan grup AD lokal untuk pengguna?
- API Workday mana yang digunakan solusi untuk mengirim kueri dan memperbarui profil pekerja Workday?
- Bisakah saya mengonfigurasi penyewa HCM Workday saya dengan dua penyewa Microsoft Entra?
- Bagaimana cara menyarankan peningkatan atau meminta fitur baru yang terkait dengan integrasi Workday dan Microsoft Entra?
Pertanyaan Agen Penyediaan
- Apa versi GA dari Agen Penyediaan?
- Bagaimana cara mengetahui versi Agen Penyediaan saya?
- Apakah Microsoft secara otomatis mendorong pembaruan Agen Penyediaan?
- Dapatkah saya menginstal Agen Provisi di server yang sama yang menjalankan Microsoft Entra Connect?
- Bagaimana cara mengonfigurasi Agen Penyediaan untuk menggunakan server proksi untuk komunikasi HTTP outbound?
- Bagaimana cara memastikan bahwa Agen Provisi dapat berkomunikasi dengan penyewa Microsoft Entra dan tidak ada firewall yang memblokir port yang diperlukan oleh agen?
- Bagaimana cara menghapus pendaftaran domain yang terkait dengan Agen Penyediaan saya?
- Bagaimana cara menghapus instalasi Agen Penyediaan?
Workday untuk pemetaan atribut AD dan pertanyaan konfigurasi
- Bagaimana cara mencadangkan atau mengekspor salinan kerja Pemetaan dan Skema Atribut Penyediaan Workday saya?
- Saya memiliki atribut khusus di Workday dan Direktori Aktif. Bagaimana cara mengonfigurasi solusi untuk bekerja dengan atribut kustom saya?
- Bisakah saya menyediakan foto pengguna dari Workday ke Direktori Aktif?
- Bagaimana cara menyinkronkan nomor ponsel dari Workday berdasarkan persetujuan pengguna untuk penggunaan publik?
- Bagaimana cara memformat nama tampilan dalam AD berdasarkan atribut departemen/negara/kota pengguna dan menangani varians regional?
- Bagaimana cara menggunakan SelectUniqueValue untuk menghasilkan nilai unik untuk atribut samAccountName?
- Bagaimana cara menghapus karakter dengan diakritik dan mengonversinya menjadi alfabet bahasa Inggris normal?
Pertanyaan kemampuan solusi
Saat memproses karyawan baru dari Workday, bagaimana solusi mengatur kata sandi untuk akun pengguna baru di Direktori Aktif?
Ketika agen penyediaan lokal mendapatkan permintaan untuk membuat akun AD baru, secara otomatis menghasilkan kata sandi acak kompleks yang dirancang untuk memenuhi persyaratan kompleksitas kata sandi yang ditentukan oleh server AD dan mengatur ini pada objek pengguna. Kata sandi ini tidak dicatat di mana pun.
Apakah solusi mendukung pengiriman pemberitahuan email setelah operasi penyediaan selesai?
Tidak, mengirim pemberitahuan email setelah menyelesaikan operasi provisi tidak didukung dalam rilis saat ini.
Apakah profil pengguna Workday cache solusi di cloud Microsoft Entra atau di lapisan agen provisi?
Tidak, solusi tidak mempertahankan cache profil pengguna. Layanan provisi Microsoft Entra hanya bertindak sebagai pemroses data, membaca data dari Workday dan menulis ke Direktori Aktif target atau ID Microsoft Entra. Lihat bagian Mengelola data pribadi untuk detail yang terkait dengan privasi pengguna dan retensi data.
Apakah solusi mendukung penetapan grup AD lokal untuk pengguna?
Fungsionalitas ini saat ini tidak didukung. Solusi yang direkomendasikan adalah menyebarkan skrip PowerShell yang meminta titik akhir Microsoft Graph API untuk menyediakan data log dan menggunakannya untuk memicu skenario seperti penetapan grup. Skrip PowerShell ini dapat dilampirkan ke penjadwal tugas dan digunakan pada kotak yang sama yang menjalankan agen penyediaan.
API Workday mana yang digunakan solusi untuk mengirim kueri dan memperbarui profil pekerja Workday?
Solusi saat ini menggunakan API Workday berikut:
Format URL API Layanan Web Workday yang digunakan di bagian Kredensial Admin, menentukan versi API yang digunakan untuk Get_Workers
- Jika format URL adalah: https://####.workday.com/ccx/service/tenantName , maka API v21.1 akan digunakan.
- Jika format URL adalah: https://####.workday.com/ccx/service/tenantName/Human_Resources , maka API v21.1 akan digunakan
- Jika format URL adalah: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# , maka versi API yang ditentukan akan digunakan. (Contoh: jika v34.0 ditentukan, maka digunakan.)
Fitur Workday Email Writeback menggunakan Change_Work_Contact_Information (v30.0)
Fitur Workday Username Writeback Update_Workday_Account (v31.2)
Bisakah saya mengonfigurasi penyewa HCM Workday saya dengan dua penyewa Microsoft Entra?
Ya, konfigurasi ini didukung. Berikut adalah langkah-langkah tingkat tinggi untuk mengonfigurasi skenario ini:
- Sebarkan agen provisi #1 dan daftarkan dengan penyewa Microsoft Entra #1.
- Sebarkan agen provisi #2 dan daftarkan dengan penyewa Microsoft Entra #2.
- Berdasarkan "Domain Anak" yang dikelola setiap Agen Provisi, konfigurasikan setiap agen dengan domain. Satu agen dapat menangani beberapa domain.
- Di pusat admin Microsoft Entra, siapkan Aplikasi Provisi Pengguna Workday ke AD di setiap penyewa dan konfigurasikan dengan domain masing-masing.
Bagaimana cara menyarankan peningkatan atau meminta fitur baru yang terkait dengan integrasi Workday dan Microsoft Entra?
Umpan balik Anda sangat dihargai karena membantu kami mengatur arah untuk rilis dan peningkatan di masa mendatang. Kami menyambut semua umpan balik dan mendorong Anda untuk mengirimkan saran ide atau peningkatan Anda di forum umpan balik ID Microsoft Entra. Untuk umpan balik khusus yang terkait dengan integrasi Workday, pilih kategori Aplikasi SaaS dan cari menggunakan kata kunci Workday untuk menemukan umpan balik yang ada terkait dengan Workday.
Ketika menyarankan ide baru, periksa dahulu untuk melihat apakah orang lain telah menyarankan fitur serupa. Dalam hal ini, Anda dapat memilih fitur atau permintaan peningkatan. Anda juga dapat meninggalkan komentar mengenai kasus penggunaan spesifik Anda untuk menunjukkan dukungan Anda atas ide tersebut dan menunjukkan bagaimana fitur tersebut berharga bagi Anda juga.
Pertanyaan Agen Penyediaan
Apa versi GA dari Agen Penyediaan?
Lihat Microsoft Entra Connect Provisioning Agent: Riwayat rilis versi untuk versi GA terbaru dari Agen Provisi.
Bagaimana cara mengetahui versi Agen Penyediaan saya?
Masuk ke server Windows tempat penginstalan Agen Penyediaan.
Buka Panel Kontrol - menu >Hapus Instalan atau Ubah Program
Cari versi yang sesuai dengan entri Microsoft Entra Connect Provisioning Agent
Apakah Microsoft secara otomatis mendorong pembaruan Agen Penyediaan?
Ya, Microsoft secara otomatis memperbarui agen provisi jika layanan Windows Microsoft Entra Connect Agent Updater aktif dan berjalan.
Dapatkah saya menginstal Agen Provisi di server yang sama yang menjalankan Microsoft Entra Connect?
Ya, Anda dapat menginstal Agen Provisi di server yang sama yang menjalankan Microsoft Entra Connect.
Pada saat konfigurasi, Agen Provisi meminta kredensial admin Microsoft Entra. Apakah Agen menyimpan kredensial secara lokal di server?
Selama konfigurasi, Agen Provisi meminta kredensial admin Microsoft Entra hanya untuk menyambungkan ke penyewa Microsoft Entra Anda. Ini tidak menyimpan kredensial secara lokal di server. Namun mempertahankan kredensial yang digunakan untuk menyambungkan ke domain Direktori Aktif lokal di vault kata sandi Windows lokal.
Bagaimana cara mengonfigurasi Agen Penyediaan untuk menggunakan server proksi untuk komunikasi HTTP outbound?
Agen Penyediaan mendukung penggunaan proxy keluar. Anda dapat mengonfigurasinya dengan mengedit file konfigurasi agen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Tambahkan baris berikut ke dalamnya, menjelang akhir file tepat sebelum tag </configuration>
penutup.
Ganti variabel [proxy-server] dan [proxy-port] dengan nama server proksi dan nilai port.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Bagaimana cara memastikan bahwa Agen Provisi dapat berkomunikasi dengan penyewa Microsoft Entra dan tidak ada firewall yang memblokir port yang diperlukan oleh agen?
Anda juga dapat memeriksa apakah semua port yang diperlukan terbuka.
Dapatkah satu Agen Penyediaan dikonfigurasi untuk menyediakan beberapa domain AD?
Ya, satu Agen Penyediaan dapat dikonfigurasi untuk menangani beberapa domain AD selama agen memiliki garis pandang ke pengendali domain masing-masing. Microsoft merekomendasikan untuk menyiapkan sekelompok 3 agen provisi yang melayani sekumpulan domain AD yang sama untuk memastikan ketersediaan tinggi dan memberikan dukungan failover.
Bagaimana cara menghapus pendaftaran domain yang terkait dengan Agen Penyediaan saya?
*, dapatkan ID penyewa penyewa Microsoft Entra Anda.
Masuk ke server Windows yang menjalankan Agen Penyediaan.
Buka PowerShell sebagai Administrator Windows.
Ubah ke direktori yang berisi skrip pendaftaran dan jalankan perintah berikut menggantikan parameter [ID penyewa] dengan nilai ID penyewa Anda.
cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder" Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1" Get-PublishedResources -TenantId "[tenant ID]"
Dari daftar agen yang muncul - salin nilai bidang
id
dari sumber daya yang resourceName-nya sama dengan nama domain AD Anda.Tempelkan nilai ID ke dalam perintah ini dan jalankan perintah di PowerShell.
Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
Jalankan ulang wizard konfigurasi Agen.
Agen lain, yang sebelumnya ditetapkan ke domain ini perlu dikonfigurasi ulang.
Bagaimana cara menghapus instalasi Agen Penyediaan?
- Masuk ke server Windows tempat penginstalan Agen Penyediaan.
- Buka Panel Kontrol - menu >Hapus Instalan atau Ubah Program
- Hapus instalan program berikut:
- Agen Provisi Microsoft Entra Connect
- Microsoft Entra Connect Agent Updater
- Paket Agen Provisi Microsoft Entra Connect
Workday untuk pemetaan atribut AD dan pertanyaan konfigurasi
Bagaimana cara mencadangkan atau mengekspor salinan kerja Pemetaan dan Skema Atribut Penyediaan Workday saya?
Anda dapat menggunakan Microsoft Graph API untuk mengekspor konfigurasi Penyediaan Pengguna Workday Anda. Lihat langkah-langkah di bagian Mengekspor dan Mengimpor konfigurasi Pemetaan Atribut Penyediaan Pengguna Workday Anda untuk detailnya.
Saya memiliki atribut khusus di Workday dan Direktori Aktif. Bagaimana cara mengonfigurasi solusi untuk bekerja dengan atribut kustom saya?
Solusi ini mendukung atribut Workday dan Direktori Aktif kustom. Untuk menambahkan atribut khusus ke skema pemetaan, buka bilah Pemetaan Atribut dan gulir ke bawah untuk memperluas bagian Tampilkan opsi lanjutan.
Untuk menambahkan atribut Workday kustom Anda, pilih opsi Edit daftar atribut untuk Workday dan untuk menambahkan atribut AD kustom Anda, pilih opsi Edit daftar atribut untuk Direktori Aktif Lokal.
Lihat juga:
Bagaimana cara mengonfigurasi solusi untuk hanya memperbarui atribut di AD berdasarkan perubahan Workday dan tidak membuat akun AD baru?
Konfigurasi ini dapat dicapai dengan mengatur Tindakan Objek Target di bilah Pemetaan Atribut seperti yang ditunjukkan di bawah ini:
Pilih kotak centang "Perbarui" hanya untuk memperbarui operasi agar mengalir dari Workday ke AD.
Bisakah saya menyediakan foto pengguna dari Workday ke Direktori Aktif?
Solusi saat ini tidak mendukung pengaturan atribut biner seperti thumbnailPhoto dan jpegPhoto di Direktori Aktif.
Bagaimana cara menyinkronkan nomor ponsel dari Workday berdasarkan persetujuan pengguna untuk penggunaan publik?
Buka bilah "Penyediaan" aplikasi Penyediaan Workday Anda.
Klik Pemetaan Atribut
Di bawah Pemetaan, pilih Sinkronkan Pekerja Workday ke Direktori Aktif Lokal (atau Sinkronkan Pekerja Workday ke ID Microsoft Entra).
Pada halaman Pemetaan Atribut, gulir ke bawah dan centang kotak "Tampilkan Opsi Tingkat Lanjut". Klik Edit daftar atribut untuk Workday
Di bilah yang terbuka, temukan atribut "Seluler" dan klik pada baris sehingga Anda dapat mengedit Ekspresi API
Ganti API Expression dengan ekspresi baru berikut, yang mengambil nomor ponsel kantor hanya jika "Bendera Penggunaan Publik" diatur ke "True" di Workday.
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
Simpan Daftar Atribut.
Simpan Pemetaan Atribut.
Bersihkan status saat ini dan hidupkan ulang sinkronisasi penuh.
Bagaimana cara memformat nama tampilan dalam AD berdasarkan atribut departemen/negara/kota pengguna dan menangani varians regional?
ini adalah persyaratan umum untuk mengonfigurasi atribut displayName di AD sehingga juga menyediakan informasi tentang departemen dan negara/wilayah pengguna. Misalnya, jika John Smith bekerja di Departemen Pemasaran di AS, Anda mungkin ingin displayName-nya muncul sebagai Smith, John (Marketing-US).
Berikut adalah cara Anda dapat menangani persyaratan tersebut untuk membangun CN atau displayName untuk menyertakan atribut seperti perusahaan, unit bisnis, kota, atau negara/wilayah.
Setiap atribut Workday diambil menggunakan ekspresi API XPATH yang mendasarinya, yang dapat dikonfigurasi di Pemetaan Atribut -> Bagian Tingkat Lanjut-> Edit daftar atribut untuk Workday. Berikut adalah ekspresi API XPATH default untuk atribut Workday PreferredFirstName, PreferredLastName, Company dan SupervisoryOrganization.
Atribut Workday Ekspresi API XPATH PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text() PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text() Perusahaan wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text() Konfirmasikan dengan tim Workday Anda bahwa ekspresi API di atas valid untuk konfigurasi penyewa Workday Anda. Jika perlu, Anda dapat mengeditnya seperti yang dijelaskan di bagian Mengustomisasi daftar atribut pengguna Workday.
Demikian pula informasi negara/kawasan yang ada di Workday diambil menggunakan XPATH berikut: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference
Ada 5 atribut terkait negara/kawasan yang tersedia di bagian Daftar atribut Workday.
Atribut Workday Ekspresi API XPATH CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text() CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text() CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text() CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor Konfirmasikan dengan tim Workday Anda bahwa ekspresi API di atas valid untuk konfigurasi penyewa Workday Anda. Jika perlu, Anda dapat mengeditnya seperti yang dijelaskan di bagian Mengustomisasi daftar atribut pengguna Workday.
Untuk membangun ekspresi pemetaan atribut yang tepat, identifikasi atribut Workday mana yang "secara otoritatif" mewakili nama depan, nama belakang, negara/wilayah, dan departemen pengguna. Katakanlah atributnya adalah PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter, dan SupervisoryOrganization masing-masing. Anda dapat menggunakan ini untuk membangun ekspresi untuk atribut AD displayName sebagai berikut untuk mendapatkan nama tampilan seperti Smith, John (Marketing-US).
Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
Setelah Anda memiliki ekspresi yang tepat, edit tabel Pemetaan Atribut dan ubah pemetaan atribut displayName seperti yang ditunjukkan di bawah ini:
Memperluas contoh di atas, katakanlah Anda ingin mengonversi nama kota yang berasal dari Workday menjadi nilai singkat dan kemudian menggunakannya untuk membangun nama tampilan seperti Smith, John (CHI) atau Doe, Jane (NYC), maka hasil ini dapat dicapai menggunakan ekspresi Switch dengan atribut Workday Municipality sebagai variabel penentu.
Switch ( [Municipality], Join(", ", [PreferredLastName], [PreferredFirstName]), "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"), "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"), "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)") )
Lihat juga:
Bagaimana cara menggunakan SelectUniqueValue untuk menghasilkan nilai unik untuk atribut samAccountName?
Katakanlah Anda ingin menghasilkan nilai unik untuk atribut samAccountName menggunakan kombinasi atribut FirstName dan LastName dari Workday. Mengingat di bawah ini adalah ekspresi yang dapat Anda mulai dengan:
SelectUniqueValue(
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)
Cara kerja ekspresi di atas: Jika penggunanya adalah John Smith, nama pengguna pertama yang dihasilkan adalah JSmith, jika JSmith sudah ada, maka diubah menjadi JoSmith, jika nama tersebut sudah digunakan, maka akan menghasilkan JohSmith. Ekspresi juga memastikan bahwa nilai yang dihasilkan memenuhi pembatasan panjang dan pembatasan karakter khusus yang terkait dengan samAccountName.
Lihat juga:
Bagaimana cara menghapus karakter dengan diakritik dan mengonversinya menjadi alfabet bahasa Inggris normal?
Gunakan fungsi NormalizeDiacritics untuk menghapus karakter khusus dalam nama depan dan nama belakang pengguna, sambil membuat alamat email atau nilai CN untuk pengguna.
Tips Pemecahan Masalah
Bagian ini menyediakan panduan khusus tentang cara memecahkan masalah provisi dengan integrasi Workday Anda menggunakan log provisi Microsoft Entra dan log Pemantau Peristiwa Windows Server. Bagian tersebut dibangun di atas langkah-langkah pemecahan masalah umum dan konsep yang direkam dalam Tutorial: Melaporkan tentang penyediaan akun pengguna otomatis
Bagian ini mencakup aspek pemecahan masalah berikut:
- Mengonfigurasi agen penyediaan untuk memancarkan log Pemantau Peristiwa
- Menyiapkan Pemantau Peristiwa Windows untuk pemecahan masalah agen
- Menyiapkan Log Provisi pusat admin Microsoft Entra untuk pemecahan masalah layanan
- Memahami log untuk operasi pembuatan Akun Pengguna AD
- Memahami log untuk operasi pembaruan Pengelola
- Mengatasi kesalahan yang umum ditemui
Mengonfigurasi agen penyediaan untuk memancarkan log Pemantau Peristiwa
Masuk ke komputer Windows Server tempat agen penyediaan digunakan
Hentikan layanan Microsoft Entra Connect Provisioning Agent.
Buat salinan file konfigurasi asli: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Ganti bagian
<system.diagnostics>
yang sudah ada dengan yang berikut ini.- Konfigurasi listener etw memancarkan pesan ke log EventViewer
- Konfigurasi Listener textWriterListener mengirim jejak pesan ke file ProvAgentTrace.log. Hapsu komentar baris yang terkait dengan textWriterListener hanya untuk pemecahan masalah tingkat lanjut.
<system.diagnostics> <sources> <source name="AAD Connect Provisioning Agent"> <listeners> <add name="console"/> <add name="etw"/> <!-- <add name="textWriterListener"/> --> </listeners> </source> </sources> <sharedListeners> <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/> <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent"> <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/> </add> <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> --> </sharedListeners> </system.diagnostics>
Mulai layanan Microsoft Entra Connect Provisioning Agent.
Menyiapkan Pemantau Peristiwa Windows untuk pemecahan masalah agen
Masuk ke komputer Windows Server tempat Agen Penyediaan diterapkan
Buka aplikasi desktop Pemantau Peristiwa Windows Server.
Pilih Aplikasi > Log Windows.
Gunakan opsi Filter Log Saat Ini... untuk melihat semua peristiwa yang dicatat di bawah sumber Microsoft Entra Connect Provisioning Agent dan kecualikan peristiwa dengan ID Peristiwa "5", dengan menentukan filter "-5" seperti yang ditunjukkan di bawah ini.
Catatan
ID Peristiwa 5 menangkap pesan bootstrap agen ke layanan cloud Microsoft Entra dan karenanya kami memfilternya saat menganalisis file log.
Klik OK dan urutkan tampilan hasil menurut kolom Tanggal dan Waktu.
Menyiapkan Log Provisi pusat admin Microsoft Entra untuk pemecahan masalah layanan
Luncurkan pusat admin Microsoft Entra, dan navigasikan ke bagian Provisi aplikasi provisi Workday Anda.
Gunakan tombol Kolom pada halaman Log Provisi untuk hanya menampilkan kolom berikut dalam tampilan (Tanggal, Aktivitas, Status, Alasan Status). Konfigurasi ini memastikan Anda hanya fokus pada data yang relevan untuk pemecahan masalah.
Gunakan parameter kueri Target dan Rentang Tanggal untuk memfilter tampilan.
- Atur parameter kueri Target ke "ID Pekerja" atau "ID Karyawan" dari objek pekerja Workday.
- Atur Rentang Tanggal ke periode waktu yang sesuai yang ingin Anda selidiki apakah ada kesalahan atau masalah dengan penyediaan.
Memahami log untuk operasi pembuatan Akun Pengguna AD
Saat karyawan baru di Workday terdeteksi (katakanlah dengan ID Karyawan 21023), layanan provisi Microsoft Entra mencoba membuat akun pengguna AD baru untuk pekerja dan dalam prosesnya membuat 4 rekaman log provisi seperti yang dijelaskan di bawah ini:
Saat Anda mengklik salah satu rekaman log provisi, halaman Detail Aktivitas terbuka. Berikut adalah halaman Detail Aktivitas yang ditampilkan untuk setiap jenis catatan log.
Rekaman Impor Workday: Rekaman log ini menampilkan informasi pekerja yang diambil dari Workday. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah pengambilan data dari Workday. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport" JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field) SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
Rekaman Impor AD: Rekaman log ini menampilkan informasi akun yang diambil dari AD. Seperti selama pembuatan pengguna awal tidak ada akun AD, Alasan Status Aktivitas menunjukkan bahwa tidak ada akun dengan nilai atribut ID pencocokan yang ditemukan di Direktori Aktif. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah pengambilan data dari Workday. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
Untuk menemukan catatan log Agen Penyedia yang terkait dengan operasi impor AD ini, buka log Windows Pemantau Peristiwa dan gunakan opsi menu Temukan… untuk menemukan entri log yang berisi nilai atribut ID Pencocokan/Properti Penggabungan (dalam hal ini 21023).
Cari entri dengan ID Peristiwa = 9, yang memberi Anda filter pencarian LDAP yang digunakan oleh agen untuk mengambil akun AD. Anda dapat memverifikasi apakah ini adalah filter pencarian yang tepat untuk mengambil entri pengguna yang unik.
Rekaman yang segera mengikutinya dengan Event ID = 2 mencatat hasil operasi pencarian dan jika mengembalikan hasil apa pun.
Rekaman tindakan aturan sinkronisasi: Rekaman log ini menampilkan hasil aturan pemetaan atribut dan filter cakupan yang dikonfigurasi bersama dengan tindakan provisi yang diambil untuk memproses peristiwa Workday yang masuk. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah dengan tindakan sinkronisasi. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang.
ErrorCode : None // Use the error code captured here to troubleshoot sync issues EventName : EntrySynchronizationAdd // Implies that the object is added JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
Jika ada masalah dengan ekspresi pemetaan atribut Anda atau data Workday yang masuk mengalami masalah (misalnya: nilai kosong atau null untuk atribut yang diperlukan), maka Anda akan mengamati kegagalan pada tahap ini dengan ErrorCode yang memberikan detail kegagalan.
Rekaman Ekspor AD: Rekaman log ini menampilkan hasil operasi pembuatan akun AD bersama dengan nilai atribut yang ditetapkan dalam proses. Gunakan informasi di bagian Detail Tambahan dari rekaman log untuk memecahkan masalah dengan operasi buat akun. Contoh rekaman diperlihatkan di bawah ini bersama dengan penunjuk tentang cara menginterpretasikan setiap bidang. Di bagian "Detail Tambahan", "EventName" diatur ke "EntryExportAdd", "JoiningProperty" diatur ke nilai atribut Matching ID, "SourceAnchor" diatur ke WorkdayID (WID) yang terkait dengan rekaman dan "TargetAnchor" diatur ke nilai atribut AD "ObjectGuid" dari pengguna yang baru dibuat.
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues EventName : EntryExportAdd // Implies that object is created JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
Untuk menemukan catatan log Agen Penyedia yang sesuai dengan operasi ekspor AD ini, buka log Pemantau Peristiwa Windows dan gunakan opsi menu Temukan… untuk menemukan entri log yang berisi nilai atribut ID Pencocokan/Properti Penggabungan (dalam hal ini 21023).
Cari rekaman HTTP POST yang sesuai dengan tanda waktu operasi ekspor dengan ID Peristiwa = 2. Rekaman ini berisi nilai atribut yang dikirim oleh layanan provisi ke agen provisi.
Segera setelah peristiwa di atas, harus ada peristiwa lain yang menangkap respons operasi buat akun AD. Kejadian ini mengembalikan objectGuid baru yang dibuat di AD dan ditetapkan sebagai atribut TargetAnchor dalam layanan provisi.
Memahami log untuk operasi pembaruan manajer
Atribut manager adalah atribut referensi dalam AD. Layanan provisi tidak mengatur atribut manajer sebagai bagian dari operasi pembuatan pengguna. Sebaliknya atribut manager diatur sebagai bagian dari operasi pembaruan setelah akun AD dibuat untuk pengguna. Memperluas contoh di atas, katakanlah karyawan baru dengan ID Karyawan "21451" diaktifkan di Workday dan manajer karyawan baru (21023) sudah memiliki akun AD. Dalam skenario ini, mencari log Provisi untuk pengguna 21451 muncul 5 entri.
4 rekaman pertama seperti yang kami jelajahi sebagai bagian dari operasi buat pengguna. Rekaman ke-5 adalah ekspor yang terkait dengan pembaruan atribut manajer. Rekaman log menampilkan hasil operasi pembaruan manajer akun AD, yang dilakukan menggunakan atribut objectGuid manajer.
// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023
// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451
Mengatasi kesalahan yang umum ditemui
Bagian ini mencakup kesalahan yang umum dilihat dengan penyediaan pengguna Workday dan cara mengatasinya. Kesalahan dikelompokkan sebagai berikut:
- Kesalahan agen penyediaan
- Kesalahan konektivitas
- Kesalahan pembuatan akun pengguna AD
- Kesalahan pembaruan akun pengguna AD
Kesalahan agen penyediaan
# | Skenario Kesalahan | Kemungkinan Penyebabnya | Resolusi yang Direkomendasikan |
---|---|---|---|
1. | Kesalahan saat menginstal agen provisi dengan pesan kesalahan: Layanan 'Microsoft Entra Connect Provisioning Agent' (AADConnectProvisioningAgent) gagal dimulai. Verifikasi bahwa Anda memiliki hak istimewa yang memadai untuk memulai sistem. | Kesalahan ini biasanya muncul jika Anda mencoba menginstal agen provisi pada pengendali domain dan kebijakan grup mencegah layanan dimulai. ini juga terlihat jika Anda memiliki versi agen sebelumnya yang berjalan dan Anda belum menghapus instalannya sebelum memulai penginstalan baru. | Pasang agen penyediaan di server non-DC. Pastikan versi agen sebelumnya dicopot sebelum memasang agen baru. |
2. | Layanan Windows 'Microsoft Entra Connect Provisioning Agent' dalam status Mulai dan tidak beralih ke status Berjalan . | Sebagai bagian dari penginstalan, wizard agen membuat akun lokal (NT Service\AADConnectProvisioningAgent) di server dan ini adalah akun masuk yang digunakan untuk memulai layanan. Jika kebijakan keamanan di server Windows Anda mencegah akun lokal menjalankan layanan, Anda akan mengalami kesalahan ini. | Buka konsol Layanan. Klik kanan pada Layanan Windows 'Microsoft Entra Connect Provisioning Agent' dan di tab masuk tentukan akun administrator domain untuk menjalankan layanan. Memulai ulang server |
3. | Saat mengonfigurasi Agen Penyediaan dengan domain AD Anda dalam langkah Sambungkan Direktori Aktif, wizard membutuhkan waktu lama untuk mencoba memuat skema AD dan akhirnya kehabisan waktu. | Galat ini biasanya muncul jika wizard tidak dapat menghubungi server pengendali domain AD karena masalah firewall. | Pada layar wizard Sambungkan Direktori Aktif, saat memberikan kredensial untuk domain AD Anda, ada opsi yang disebut Pilih prioritas pengontrol domain. Gunakan opsi ini untuk memilih pengendali domain yang berada di situs yang sama dengan server agen penyediaan dan pastikan bahwa tidak ada aturan firewall yang memblokir komunikasi. |
Kesalahan konektivitas
Jika layanan penyediaan tidak dapat terhubung ke Workday atau Active Directory, hal itu dapat menyebabkan penyediaan masuk ke keadaan yang dikarantina. Gunakan tabel di bawah ini untuk memecahkan masalah konektivitas.
# | Skenario Kesalahan | Kemungkinan Penyebabnya | Resolusi yang Direkomendasikan |
---|---|---|---|
1. | Saat Anda mengklik Uji Koneksi, Anda mendapatkan pesan kesalahan: Ada kesalahan saat menyambungkan ke Direktori Aktif. Pastikan bahwa Agen Provisi lokal berjalan dan dikonfigurasi dengan domain Direktori Aktif yang benar. | Kesalahan ini biasanya muncul jika agen provisi tidak berjalan atau ada komunikasi pemblokiran firewall antara ID Microsoft Entra dan agen provisi. Anda mungkin juga melihat kesalahan ini, jika domain tidak dikonfigurasi di Wizard Agen. | Buka konsol Layanan di server Windows untuk mengonfirmasi bahwa agen sedang berjalan. Buka wizard agen penyediaan dan konfirmasikan bahwa domain yang tepat terdaftar di agen. |
2. | Pekerjaan provisi masuk ke status karantina selama akhir pekan (Fri-Sat) dan kami mendapatkan pemberitahuan email bahwa ada kesalahan dengan sinkronisasi. | Salah satu penyebab umum untuk kesalahan ini adalah waktu henti Workday. Jika Anda menggunakan penyewa implementasi Workday, harap dicatat bahwa Workday telah menjadwalkan waktu henti untuk penyewa implementasinya selama akhir pekan (biasanya dari Jumat malam hingga Sabtu pagi) dan selama periode tersebut aplikasi provisi Workday dapat masuk ke status karantina karena tidak dapat terhubung ke Workday. Keadaan ini kembali normal setelah penyewa implementasi Workday kembali online. Pada kasus yang jarang terjadi, Anda mungkin juga melihat kesalahan ini, jika kata sandi Pengguna Sistem Integrasi berubah karena refresh penyewa atau jika akun dalam keadaan terkunci atau kedaluwarsa. | Tanyakan kepada mitra integrasi atau administrator Workday Anda untuk melihat kapan Workday menjadwalkan waktu henti untuk mengabaikan pesan peringatan selama periode waktu henti dan mengonfirmasi ketersediaan setelah instans Workday kembali online. |
Kesalahan pembuatan akun pengguna AD
# | Skenario Kesalahan | Kemungkinan Penyebabnya | Resolusi yang Direkomendasikan |
---|---|---|---|
1. | Kegagalan operasi ekspor dalam log provisi dengan pesan Kesalahan: OperationsError-SvcErr: Terjadi kesalahan operasi. Tidak ada referensi unggul yang telah dikonfigurasi untuk layanan direktori. Oleh karena itu, layanan direktori tidak dapat mengeluarkan rujukan ke objek di luar forest ini. | Kesalahan ini biasanya muncul jika OU Kontainer Direktori Aktif tidak diatur dengan benar atau jika ada masalah dengan Pemetaan Ekspresi yang digunakan untuk parentDistinguishedName. | Periksa parameter Kontainer Direktori Aktif OU apakah ada kesalahan ketik. Jika Anda menggunakan parentDistinguishedName dalam pemetaan atribut, pastikan bahwa itu selalu mengevaluasi ke kontainer yang diketahui dalam domain AD. Periksa peristiwa Ekspor di log provisi untuk melihat nilai yang dihasilkan. |
2. | Kegagalan operasi ekspor dalam log provisi dengan kode kesalahan: SystemForCrossDomainIdentityManagementBadResponse dan pesan Kesalahan: ConstraintViolation-AtrErr: Nilai dalam permintaan tidak valid. Nilai untuk atribut tidak berada dalam rentang nilai yang dapat diterima. \nDetail Kesalahan: CONSTRAINT_ATT_TYPE - perusahaan. | Meskipun kesalahan ini khusus untuk atribut company, Anda mungkin melihat kesalahan ini untuk atribut lain seperti CN juga. Kesalahan ini muncul karena batasan skema diberlakukan AD. Secara default, atribut seperti companu dan CN dalam AD memiliki batas maksimal 64 karakter. Jika nilai yang berasal dari Workday lebih dari 64 karakter, maka Anda akan melihat pesan kesalahan ini. | Periksa peristiwa Ekspor di log provisi untuk melihat nilai atribut yang dilaporkan dalam pesan kesalahan. Pertimbangkan untuk memotong nilai yang berasal dari Workday menggunakan fungsi Mid atau mengubah pemetaan ke atribut AD yang tidak memiliki batasan panjang yang sama. |
Kesalahan pembaruan akun pengguna AD
Selama proses pembaruan akun pengguna AD, layanan penyediaan membaca informasi dari Workday dan AD, menjalankan aturan pemetaan atribut dan menentukan apakah ada perubahan yang perlu diterapkan. Oleh karena itu, peristiwa pembaruan dipicu. Jika salah satu langkah ini mengalami kegagalan, langkah tersebut dicatat dalam log provisi. Gunakan tabel di bawah ini untuk memecahkan masalah kesalahan pembaruan umum.
# | Skenario Kesalahan | Kemungkinan Penyebabnya | Resolusi yang Direkomendasikan |
---|---|---|---|
1. | Kegagalan tindakan aturan sinkronisasi di log provisi dengan pesan EventName = EntrySynchronizationError dan ErrorCode = EndpointUnavailable. | Kesalahan ini muncul jika layanan penyediaan tidak dapat mengambil data profil pengguna dari Direktori Aktif karena kesalahan pemrosesan yang ditemui oleh agen penyediaan di tempat. | Periksa log Pemantau Peristiwa Agen Penyediaan untuk kejadian kesalahan yang mengindikasikan masalah pada operasi baca (Filter menurut Event ID #2). |
2. | Atribut manajer di AD tidak diperbarui untuk pengguna tertentu di AD. | Penyebab paling mungkin dari kesalahan ini adalah jika Anda menggunakan aturan cakupan dan manajer pengguna bukan bagian dari cakupan. Anda juga dapat mengalami masalah ini jika atribut ID pencocokan manajer (seperti EmployeeID) tidak ditemukan di domain AD target atau tidak diatur ke nilai yang benar. | Tinjau filter scoping dan tambahkan pengguna manajer dalam cakupan. Periksa profil manajer di AD untuk memastikan bahwa ada nilai untuk atribut ID yang cocok. |
Mengelola konfigurasi Anda
Bagian ini menjelaskan bagaimana Anda dapat memperluas, menyesuaikan, dan mengelola konfigurasi penyediaan pengguna berbasis Workday lebih lanjut. Bagian ini membahas topik-topik berikut:
Mengustomisasi daftar atribut pengguna Workday
Aplikasi provisi Workday untuk Direktori Aktif dan ID Microsoft Entra menyertakan daftar default atribut pengguna Workday yang dapat Anda pilih. Namun, daftar ini tidak komprehensif. Workday mendukung ratusan atribut pengguna yang mungkin, yang dapat menjadi standar atau unik bagi penyewa Workday Anda.
Layanan provisi Microsoft Entra mendukung kemampuan untuk menyesuaikan daftar atau atribut Workday Anda untuk menyertakan atribut apa pun yang diekspos dalam operasi Get_Workers API Sumber Daya Manusia.
Untuk melakukan perubahan ini, Anda harus menggunakan Workday Studio untuk mengekstrak ekspresi XPath yang mewakili atribut yang ingin Anda gunakan, lalu menambahkannya ke konfigurasi provisi Menggunakan editor atribut tingkat lanjut.
Untuk mengambil ekspresi XPath untuk atribut pengguna Workday:
Unduh dan pasang Workday Studio. Anda memerlukan akun komunitas Workday untuk mengakses alat penginstal.
Unduh file Workday Human_Resources WSDL khusus untuk versi API WWS yang Anda rencanakan untuk digunakan dari Direktori Layanan Web Workday
Luncurkan Workday Studio.
Dari bilah perintah, pilih opsi Layanan Web Pengujian Workday > di Penguji.
Pilih Eksternal, dan pilih Human_Resources WSDL yang Anda unduh di langkah 2.
Atur bidang Lokasi ke
https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources
, tetapi ganti "IMPL-CC" dengan jenis instans Anda yang sebenarnya, dan "TENANT" dengan nama penyewa asli Anda.Atur Operasi ke Get_Workers
Klik link konfigurasi kecil di bawah panel Permintaan/Respons untuk mengatur kredensial Workday Anda. Periksa Autentikasi, lalu masukkan nama pengguna dan kata sandi untuk akun sistem integrasi Workday Anda. Pastikan untuk memformat nama pengguna sebagai nama@tenant, dan biarkan opsi WS-Security UsernameToken dipilih.
Pilih OK.
Di panel Permintaan, tempelkan di XML di bawah. Atur Employee_ID ke ID karyawan pengguna nyata di penyewa Workday Anda. Atur wd:version ke versi WWS yang Anda rencanakan untuk digunakan. Pilih pengguna yang memiliki atribut yang diisi yang ingin Anda ekstrak.
<?xml version="1.0" encoding="UTF-8"?> <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema"> <env:Body> <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1"> <wd:Request_References wd:Skip_Non_Existing_Instances="true"> <wd:Worker_Reference> <wd:ID wd:type="Employee_ID">21008</wd:ID> </wd:Worker_Reference> </wd:Request_References> <wd:Response_Group> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Personal_Information>true</wd:Include_Personal_Information> <wd:Include_Employment_Information>true</wd:Include_Employment_Information> <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data> <wd:Include_Organizations>true</wd:Include_Organizations> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data> <wd:Include_Photo>true</wd:Include_Photo> <wd:Include_User_Account>true</wd:Include_User_Account> <wd:Include_Roles>true</wd:Include_Roles> </wd:Response_Group> </wd:Get_Workers_Request> </env:Body> </env:Envelope>
Klik Kirim Permintaan (panah hijau) untuk menjalankan perintah. Jika berhasil, respons akan muncul di panel Respons. Periksa respons untuk memastikan data ID pengguna yang Anda masukkan, dan bukan kesalahan.
Jika berhasil, salin XML dari panel Respons dan simpan sebagai file XML.
Di bilah perintah Workday Studio, pilih File > Buka File... dan buka file XML yang Anda simpan. Tindakan ini membuka file di editor XML Workday Studio.
Di pohon file, navigasikan melalui /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker untuk menemukan data pengguna Anda.
Di bawah wd: Worker, temukan atribut yang ingin Anda tambahkan, dan pilih.
Salin ekspresi XPath untuk atribut yang Anda pilih dari bidang Jalur Dokumen.
Hapus awalan /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ dari ekspresi yang disalin.
Jika item terakhir dalam ekspresi yang disalin adalah node (misalnya: "/wd: Birth_Date"), maka tambahkan /text() di akhir ekspresi. Ini tidak diperlukan jika item terakhir adalah atribut (misalnya: "/@wd: type").
Hasilnya harus seperti berikut
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
. Nilai ini adalah apa yang Anda salin dan masukkan ke pusat admin Microsoft Entra.
Untuk menambahkan atribut pengguna Workday kustom ke konfigurasi penyediaan Anda:
Luncurkan pusat admin Microsoft Entra, dan navigasikan ke bagian Provisi aplikasi provisi Workday Anda, seperti yang dijelaskan sebelumnya dalam tutorial ini.
Atur Status Penyediaan menjadi Nonaktif, dan pilih Simpan. Langkah ini membantu memastikan perubahan Anda hanya berlaku saat Anda siap.
Di bawah Pemetaan, pilih Sinkronkan Pekerja Workday ke Direktori Aktif Lokal (atau Sinkronkan Pekerja Workday ke ID Microsoft Entra).
Gulir ke bagian bawah layar berikutnya, dan pilih Perlihatkan opsi tingkat lanjut.
Pilih Edit daftar atribut untuk Workday.
Gulir ke bagian bawah daftar atribut ke tempat bidang input berada.
Untuk Nama, masukkan nama tampilan untuk atribut Anda.
Untuk Jenis, pilih jenis yang sesuai dengan atribut Anda (String paling umum).
Untuk API Expression, masukkan ekspresi XPath yang Anda salin dari Workday Studio. Contoh:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Pilih Tambahkan Atribut.
Pilih Simpan di atas, lalu Ya ke dialog. Tutup layar Pemetaan Atribut jika masih terbuka.
Kembali ke tab Provisi utama, pilih Sinkronkan Pekerja Workday ke Direktori Aktif Lokal (atau Sinkronkan Pekerja ke ID Microsoft Entra) lagi.
Pilih Tambahkan pemetaan baru.
Atribut baru Anda sekarang akan muncul di daftar atribut Sumber.
Tambahkan pemetaan untuk atribut baru sesuai keinginan Anda.
Setelah selesai, jangan lupa mengatur Status Penyediaan kembali ke Aktif dan simpan.
Mengekspor dan mengimpor konfigurasi Anda
Lihat artikel Mengekspor dan mengimpor konfigurasi penyediaan
Mengelola data pribadi
Solusi penyediaan Workday untuk Direktori Aktif mengharuskan agen penyediaan dipasang pada server Windows lokal, dan agen ini membuat log di log Kejadian Windows yang mungkin berisi data pribadi tergantung pada pemetaan atribut Workday to AD Anda. Untuk mematuhi kewajiban privasi pengguna, Anda dapat memastikan bahwa tidak ada data yang disimpan dalam log Kejadian di luar 48 jam dengan menyiapkan tugas terjadwal Windows untuk menghapus log kejadian.
Layanan provisi Microsoft Entra termasuk dalam kategori pemroses data klasifikasi GDPR. Sebagai saluran pemroses data, layanan ini menyediakan layanan pemrosesan data kepada mitra utama dan konsumen akhir. Layanan provisi Microsoft Entra tidak menghasilkan data pengguna dan tidak memiliki kontrol independen atas data pribadi apa yang dikumpulkan dan cara penggunaannya. Pengambilan data, agregasi, analisis, dan pelaporan di layanan provisi Microsoft Entra didasarkan pada data perusahaan yang ada.
Catatan
Untuk informasi tentang melihat atau menghapus data pribadi, silakan ulas panduan Microsoft tentang permintaan subjek data Windows untuk situs GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR dari Pusat Kepercayaan Microsoft dan bagian GDPR dari portal Kepercayaan Layanan.
Sehubungan dengan retensi data, layanan provisi Microsoft Entra tidak menghasilkan laporan, melakukan analitik, atau memberikan wawasan lebih dari 30 hari. Oleh karena itu, layanan provisi Microsoft Entra tidak menyimpan, memproses, atau menyimpan data apa pun melebihi 30 hari. Desain ini sesuai dengan peraturan GDPR, peraturan kepatuhan privasi Microsoft, dan kebijakan penyimpanan data Microsoft Entra.
Langkah berikutnya
- Pelajari selengkapnya tentang skenario integrasi Microsoft Entra ID dan Workday dan panggilan layanan web
- Mempelajari cara mengulas log dan mendapatkan laporan tentang aktivitas provisi
- Pelajari cara mengonfigurasi akses menyeluruh antara Workday dan MICROSOFT Entra ID
- Pelajari cara mengonfigurasi Workday Writeback
- Pelajari cara menggunakan Microsoft Graph API untuk mengelola konfigurasi penyediaan