Integrazione del provisioning di Microsoft Entra con Workday
Il servizio di provisioning utenti di Microsoft Entra si integra con Workday HCM per gestire il ciclo di vita delle identità degli utenti. Microsoft Entra ID offre tre integrazioni predefinite:
- Workday per Active Directory locale provisioning utenti
- Provisioning utenti da Workday a Microsoft Entra
- Workday Writeback
Questo articolo illustra il funzionamento dell'integrazione e come personalizzare il comportamento di provisioning per diversi scenari hr.
Stabilire la connettività
Limitazione dell'accesso dell'API Workday agli endpoint di Microsoft Entra
Il servizio di provisioning Microsoft Entra usa l'autenticazione di base per connettersi agli endpoint dell'API dei servizi Web Workday.
Per proteggere ulteriormente la connettività tra il servizio di provisioning Microsoft Entra e Workday, è possibile limitare l'accesso in modo che l'utente del sistema di integrazione designato accesa solo alle API workday dagli intervalli IP di Microsoft Entra consentiti. Contattare l'amministratore di Workday per completare la configurazione seguente nel tenant di Workday.
- Scaricare gli intervalli IP più recenti per il cloud pubblico di Azure.
- Aprire il file e cercare il tag Microsoft Entra ID
- Copiare tutti gli intervalli di indirizzi IP elencati all'interno degli indirizzi dell'elementoPrefixes e usare l'intervallo per compilare l'elenco di indirizzi IP.
- Accedere al portale di amministrazione di Workday.
- Accedere all'attività Mantieni intervalli IP per creare un nuovo intervallo IP per i data center di Azure. Specificare gli intervalli IP (usando la notazione CIDR) come elenco delimitato da virgole.
- Accedere all'attività Gestisci criteri di autenticazione per creare un nuovo criterio di autenticazione. Nei criteri di autenticazione usare l'elenco consenti di autenticazione per specificare l'intervallo IP di Microsoft Entra e il gruppo di sicurezza a cui è consentito l'accesso da questo intervallo IP. Salvare le modifiche.
- Accedere all'attività Attiva tutte le modifiche dei criteri di autenticazione in sospeso per confermare le modifiche.
Limitazione dell'accesso ai dati del ruolo di lavoro in Workday tramite gruppi di sicurezza vincolati
La procedura predefinita per configurare l'utente del sistema di integrazione Workday concede l'accesso per recuperare tutti gli utenti nel tenant di Workday. In alcuni scenari di integrazione può essere necessario limitare l'accesso. Ad esempio, restituisce solo gli utenti di determinate organizzazioni di supervisione dalla Get_Workers chiamata API.
È possibile limitare l'accesso usando l'amministratore di Workday e configurando gruppi di sicurezza del sistema di integrazione vincolati. Per altre informazioni su Workday, vedere Community di Workday (Accesso alla community di Workday richiesto per questo articolo).
Questa strategia di limitazione dell'accesso tramite ISSG vincolato (gruppi di sicurezza del sistema di integrazione) è utile negli scenari seguenti:
- Scenario di implementazione in più fasi: si dispone di un tenant di Workday di grandi dimensioni e si prevede di eseguire un'implementazione graduale del provisioning automatizzato di Workday in Microsoft Entra ID. In questo scenario, anziché escludere gli utenti che non rientrano nell'ambito della fase corrente con i filtri di ambito microsoft Entra ID, è consigliabile configurare ISSG vincolato in modo che solo i ruoli di lavoro nell'ambito siano visibili all'ID di Microsoft Entra.
- Scenario di più processi di provisioning: si dispone di un tenant di Workday di grandi dimensioni e di più domini di Active Directory che supportano una business unit/divisione/azienda diversa. Per supportare questa topologia, si vuole eseguire più processi di provisioning di Workday in Microsoft Entra con ogni processo di provisioning di un set specifico di ruoli di lavoro. In questo scenario, invece di usare filtri di ambito di Microsoft Entra ID per escludere i dati del ruolo di lavoro, è consigliabile configurare ISSG vincolato in modo che solo i dati di lavoro pertinenti siano visibili all'ID Microsoft Entra.
Query di connessione di test di Workday
Per testare la connettività a Workday, Microsoft Entra ID invia la richiesta di servizi Web workday seguente Get_Workers .
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Funzionamento della sincronizzazione completa
La sincronizzazione completa nel contesto del provisioning basato su Workday si riferisce al processo di recupero di tutte le identità da Workday e alla determinazione delle regole di provisioning da applicare a ogni oggetto di lavoro. La sincronizzazione completa si verifica quando si attiva il provisioning per la prima volta e anche quando si riavvia il provisioning dall'interfaccia di amministrazione di Microsoft Entra o si usano le API Graph.
Microsoft Entra ID invia la seguente Get_Workers richiesta di Servizi Web Workday per recuperare i dati del ruolo di lavoro. La query cerca il log delle transazioni di Workday per tutte le voci di lavoro datate valide a partire dall'ora corrispondente all'esecuzione della sincronizzazione completa.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Il nodo Response_Group viene usato per specificare gli attributi di lavoro da recuperare da Workday. Per una descrizione di ogni flag nel nodo Response_Group, vedere la documentazione dell'API workday Get_Workers.
Alcuni valori di flag specificati nel nodo Response_Group vengono calcolati in base agli attributi configurati nell'applicazione di provisioning Microsoft Entra di Workday. Fare riferimento alla sezione Entità supportate per i criteri usati per impostare i valori del flag.
La risposta Get_Workers di Workday per la query precedente include il numero di record di lavoro e il numero di pagine.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Per recuperare la pagina successiva del set di risultati, la query Get_Workers successiva specifica il numero di pagina come parametro nella Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
Il servizio di provisioning Di Microsoft Entra elabora ogni pagina e scorre tutti i ruoli di lavoro efficaci durante la sincronizzazione completa. Per ogni voce di lavoro importata da Workday:
- L'espressione XPATH viene applicata per recuperare i valori degli attributi da Workday.
- Vengono applicati il mapping degli attributi e le regole di corrispondenza
- Il servizio determina l'operazione da eseguire nella destinazione (Microsoft Entra ID/Active Directory).
Al termine dell'elaborazione, salva il timestamp associato all'inizio della sincronizzazione completa come filigrana. Questa filigrana funge da punto di partenza per il ciclo di sincronizzazione incrementale.
Funzionamento della sincronizzazione incrementale
Dopo la sincronizzazione completa, il servizio di provisioning Di Microsoft Entra gestisce LastExecutionTimestamp e lo usa per creare query differenziali per recuperare le modifiche incrementali. Durante la sincronizzazione incrementale, Microsoft Entra ID invia i tipi di query seguenti a Workday:
- Eseguire una query per gli aggiornamenti manuali
- Eseguire una query per aggiornamenti e terminazioni datati efficaci
- Query per assunzioni datate future
Eseguire una query per gli aggiornamenti manuali
Di seguito Get_Workers richiedere query per gli aggiornamenti manuali che si sono verificati tra l'ultima esecuzione e il tempo di esecuzione corrente.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Eseguire una query per aggiornamenti e terminazioni datati efficaci
L'Get_Workers seguente richiede query per gli aggiornamenti datati effettivi che si sono verificati tra l'ultima esecuzione e il tempo di esecuzione corrente.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Query per assunzioni datate future
Se una delle query precedenti restituisce un'assunzione datata futura, la richiesta di Get_Workers seguente viene usata per recuperare informazioni su un nuovo assunto datato futuro. L'attributo WID del nuovo assunto viene usato per eseguire la ricerca e la data di validità viene impostata sulla data e l'ora di assunzione.
Nota
I assunti con data futura in Workday hanno il campo Attivo impostato su "0" e cambia in "1" nella data di assunzione. Il connettore progetta query per informazioni future-hire valide per la data di assunzione e questo è il motivo per cui ottiene sempre il profilo di lavoro assunto futuro con campo Attivo impostato su "1". In questo modo è possibile configurare il profilo Microsoft Entra per le assunzioni future in anticipo con tutte le informazioni corrette prepopolato. Se si vuole ritardare l'abilitazione dell'account Microsoft Entra per assunzioni future, usare la funzione di trasformazione DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Recupero degli attributi dei dati del ruolo di lavoro
L'API Get_Workers può restituire set di dati diversi associati a un ruolo di lavoro. A seconda delle espressioni DELL'API XPATH configurate nello schema di provisioning, il servizio di provisioning Microsoft Entra determina quali set di dati recuperare da Workday. Di conseguenza, i flag di Response_Group vengono impostati nella richiesta di Get_Workers .
La tabella fornisce indicazioni sulla configurazione del mapping da usare per recuperare un set di dati specifico.
| # | Entità Workday | Inclusa per impostazione predefinita | Modello XPATH da specificare nel mapping per recuperare entità non predefinite |
|---|---|---|---|
| 1 | Personal Data |
Sì | wd:Worker_Data/wd:Personal_Data |
| 2 | Employment Data |
Sì | wd:Worker_Data/wd:Employment_Data |
| 3 | Additional Job Data |
Sì | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
| 4 | Organization Data |
Sì | wd:Worker_Data/wd:Organization_Data |
| 5 | Management Chain Data |
Sì | wd:Worker_Data/wd:Management_Chain_Data |
| 6 | Supervisory Organization |
Sì | SUPERVISORY |
| 7 | Company |
Sì | COMPANY |
| 8 | Business Unit |
No | BUSINESS_UNIT |
| 9 | Business Unit Hierarchy |
No | BUSINESS_UNIT_HIERARCHY |
| 10 | Company Hierarchy |
No | COMPANY_HIERARCHY |
| 11 | Cost Center |
No | COST_CENTER |
| 12 | Cost Center Hierarchy |
No | COST_CENTER_HIERARCHY |
| 13 | Fund |
No | FUND |
| 14 | Fund Hierarchy |
No | FUND_HIERARCHY |
| 15 | Gift |
No | GIFT |
| 16 | Gift Hierarchy |
No | GIFT_HIERARCHY |
| 17 | Grant |
No | GRANT |
| 18 | Grant Hierarchy |
No | GRANT_HIERARCHY |
| 19 | Business Site Hierarchy |
No | BUSINESS_SITE_HIERARCHY |
| 20 | Matrix Organization |
No | MATRIX |
| 21 | Pay Group |
No | PAY_GROUP |
| 22 | Programs |
No | PROGRAMS |
| 23 | Program Hierarchy |
No | PROGRAM_HIERARCHY |
| 24 | Region |
No | REGION_HIERARCHY |
| 25 | Location Hierarchy |
No | LOCATION_HIERARCHY |
| 26 | Account Provisioning Data |
No | wd:Worker_Data/wd:Account_Provisioning_Data |
| 27 | Background Check Data |
No | wd:Worker_Data/wd:Background_Check_Data |
| 28 | Benefit Eligibility Data |
No | wd:Worker_Data/wd:Benefit_Eligibility_Data |
| 29 | Benefit Enrollment Data |
No | wd:Worker_Data/wd:Benefit_Enrollment_Data |
| 30 | Career Data |
No | wd:Worker_Data/wd:Career_Data |
| 31 | Compensation Data |
No | wd:Worker_Data/wd:Compensation_Data |
| 32 | Contingent Worker Tax Authority Data |
No | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
| 33 | Development Item Data |
No | wd:Worker_Data/wd:Development_Item_Data |
| 34 | Employee Contracts Data |
No | wd:Worker_Data/wd:Employee_Contracts_Data |
| 35 | Employee Review Data |
No | wd:Worker_Data/wd:Employee_Review_Data |
| 36 | Feedback Received Data |
No | wd:Worker_Data/wd:Feedback_Received_Data |
| 37 | Worker Goal Data |
No | wd:Worker_Data/wd:Worker_Goal_Data |
| 38 | Photo Data |
No | wd:Worker_Data/wd:Photo_Data |
| 39 | Qualification Data |
No | wd:Worker_Data/wd:Qualification_Data |
| 40 | Related Persons Data |
No | wd:Worker_Data/wd:Related_Persons_Data |
| 41 | Role Data |
No | wd:Worker_Data/wd:Role_Data |
| 42 | Skill Data |
No | wd:Worker_Data/wd:Skill_Data |
| 43 | Succession Profile Data |
No | wd:Worker_Data/wd:Succession_Profile_Data |
| 44 | Talent Assessment Data |
No | wd:Worker_Data/wd:Talent_Assessment_Data |
| 45 | User Account Data |
No | wd:Worker_Data/wd:User_Account_Data |
| 46 | Worker Document Data |
No | wd:Worker_Data/wd:Worker_Document_Data |
Nota
Ogni entità Workday elencata nella tabella è protetta da criteri di sicurezza del dominio in Workday. Se non è possibile recuperare qualsiasi attributo associato all'entità dopo l'impostazione di XPATH corretto, rivolgersi all'amministratore di Workday per assicurarsi che i criteri di sicurezza del dominio appropriati siano configurati per l'utente del sistema di integrazione associato all'app di provisioning. Ad esempio, per recuperare i dati delle competenze, è necessario ottenere l'accesso nei dati del ruolo di lavoro del dominio Workday: competenze ed esperienza.
Ecco alcuni esempi su come estendere l'integrazione di Workday per soddisfare requisiti specifici.
Esempio 1: Recupero delle informazioni sul centro di costo e sul gruppo di pagamento
Si supponga di voler recuperare i set di dati seguenti da Workday e usarli nelle regole di provisioning:
- Centro di costo
- Gerarchia del centro di costo
- Gruppo di pagamento
I set di dati precedenti non sono inclusi per impostazione predefinita. Per recuperare questi set di dati:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali.
Selezionare l'applicazione di provisioning utenti Workday in Active Directory/Microsoft Entra.
Selezionare Provisioning.
Modificare i mapping e aprire l'elenco di attributi workday dalla sezione avanzata.
Aggiungere le definizioni di attributi seguenti e contrassegnarle come "Obbligatorio". Questi attributi non vengono mappati ad alcun attributo in Active Directory o in Microsoft Entra ID. Vengono usati come segnali al connettore per recuperare le informazioni sul centro di costo, sulla gerarchia del centro di costo e sul gruppo di pagamento.
Nome attributo Espressione API XPATH CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Quando il set di dati Centro di costo e gruppo di pagamento è disponibile nella risposta Get_Workers , è possibile usare i valori XPATH per recuperare il nome del centro di costo, il codice del centro di costo e il gruppo di pagamento.
Nome attributo Espressione API XPATH CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Esempio 2: Recupero di dati di qualificazione e competenze
Si supponga di voler recuperare le certificazioni associate a un utente. Queste informazioni sono disponibili come parte del set di dati di qualificazione. Per ottenere questo set di dati come parte della risposta Get_Workers , usare il codice XPATH seguente:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Esempio 3: Recupero delle assegnazioni dei gruppi di provisioning
Si supponga di voler recuperare i gruppi di provisioning assegnati a un ruolo di lavoro. Queste informazioni sono disponibili come parte del set di dati di provisioning account. Per ottenere questi dati, come parte della risposta Get_Workers , usare il codice XPATH seguente:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Gestione di diversi scenari di risorse umane
Questa sezione illustra come personalizzare l'app di provisioning per gli scenari HR seguenti:
- Supporto per le conversioni di lavoro
- Recupero delle assegnazioni di lavoro internazionali e dei dettagli dei processi secondari
Supporto per le conversioni di lavoro
In questa sezione viene descritto il supporto del servizio di provisioning di Microsoft Entra per gli scenari in cui un lavoratore esegue la conversione da un dipendente a tempo pieno (FTE) a un lavoratore contingente (CW) o viceversa. A seconda del modo in cui vengono elaborate le conversioni di lavoro in Workday, potrebbero essere presenti aspetti di implementazione diversi da considerare.
- Scenario 1: conversione backdated da FTE a CW o viceversa
- Scenario 2: attualmente i lavoratori impiegati come CW/FTE, cambiano in FTE/CW oggi
- Scenario 3: il lavoratore impiegato come CW/FTE viene terminato, si rielabora come FTE/CW dopo un gap significativo
- Scenario 4: Conversione datata futura, quando il ruolo di lavoro è attivo CW/FTE
Scenario 1: conversione backdated da FTE a CW o viceversa
Il team delle risorse umane può eseguire il backdate di una transazione di conversione del ruolo di lavoro in Workday per motivi aziendali validi. Gli esempi includono l'elaborazione delle retribuzioni, la conformità del budget, i requisiti legali e la gestione dei vantaggi. Ecco un esempio per illustrare come viene gestito il provisioning per lo scenario.
- È il 15 gennaio 2023 e Jane Doe è impiegato come lavoratore contingente. Le risorse umane offrono a Jane una posizione a tempo pieno.
- Le condizioni del contratto di Jane richiedono il backup della transazione in modo che sia allineata all'inizio del mese corrente. HR avvia una transazione di conversione del ruolo di lavoro backdated Workday il 15 gennaio 2023 con data di validità il 1° gennaio 2023. Ora sono disponibili due profili di lavoro in Workday per Jane. Il profilo CW è inattivo, mentre il profilo FTE è attivo.
- Il servizio di provisioning Microsoft Entra rileva questa modifica nel log delle transazioni di Workday il 15 gennaio 2023. Il servizio effettua automaticamente il provisioning degli attributi del nuovo profilo FTE nel ciclo di sincronizzazione successivo.
- Non sono necessarie modifiche nella configurazione dell'app di provisioning per gestire questo scenario.
Scenario 2: attualmente i lavoratori impiegati come CW/FTE, cambiano in FTE/CW oggi
Questo scenario è simile allo scenario precedente, ad eccezione del fatto che invece di eseguire il backup della transazione, hr esegue immediatamente una conversione del ruolo di lavoro effettiva. Il servizio di provisioning Microsoft Entra rileva questa modifica nel log delle transazioni di Workday. Nel ciclo di sincronizzazione successivo, il servizio effettua automaticamente il provisioning di tutti gli attributi associati a un profilo FTE attivo. Non sono necessarie modifiche nella configurazione dell'app di provisioning per gestire questo scenario.
Scenario 3: il lavoratore impiegato come CW/FTE viene terminato, si rielabora come FTE/CW dopo un gap significativo
È comune che i lavoratori inizino a lavorare in un'azienda come lavoratore contingente, lascino l'azienda e poi si ricongiundono dopo diversi mesi come dipendente a tempo pieno. Ecco un esempio per illustrare come viene gestito il provisioning per questo scenario.
- È il 1° gennaio 2023 e John Smith inizia a lavorare come lavoratore contingente. Poiché non esiste alcun account AD associato all'attributo WorkerID di John (attributo corrispondente), il servizio di provisioning crea un nuovo account AD e collega il ruolo di lavoro contingente di John (WorkdayID) all'account AD di John.
- Il contratto di John termina il 31 gennaio 2023. Nel ciclo di provisioning eseguito dopo la fine del 31 gennaio, l'account AD di John è disabilitato.
- John si applica per un'altra posizione e decide di ricongiurre l'azienda come dipendente a tempo pieno a partire dal 1° maggio 2023. Il 15 aprile 2023 l'HR immette le informazioni di John come dipendente pre-assunto. Ora sono disponibili due profili di lavoro in Workday per John. Il profilo CW è inattivo, mentre il profilo FTE è attivo. I due record hanno lo stesso ID di lavoro, ma widdiversi.
- Il 15 aprile, durante il ciclo incrementale, il servizio di provisioning Microsoft Entra trasferisce automaticamente la proprietà dell'account AD al profilo di lavoro attivo. In questo caso, scollega il profilo di lavoro contingente dall'account AD e stabilisce un nuovo collegamento tra il profilo di lavoro dipendente attivo di John e l'account ad di John.
- Non sono necessarie modifiche nella configurazione dell'app di provisioning per gestire questo scenario.
Scenario 4: Conversione datata futura, quando il ruolo di lavoro è attivo CW/FTE
In alcuni casi, un lavoratore potrebbe già essere un lavoratore attivo, quando hr avvia una transazione di conversione del ruolo di lavoro datata futura. Ecco un esempio per illustrare come viene gestito il provisioning per questo scenario e quali modifiche di configurazione sono necessarie per supportare questo scenario.
È il 1° gennaio 2023 e John Smith inizia a lavorare come lavoratore contingente. Poiché non esiste alcun account AD associato all'attributo WorkerID di John (attributo corrispondente), il servizio di provisioning crea un nuovo account AD e collega il ruolo di lavoro contingente di John (WorkdayID) all'account AD di John.
Il 15 gennaio, hr avvia una transazione per convertire John dal lavoratore dipendente a tempo pieno a partire dal 1° febbraio 2023.
Poiché il servizio di provisioning di Microsoft Entra elabora automaticamente assunzioni datate future, elabora il nuovo profilo di lavoro dipendente a tempo pieno di John il 15 gennaio e aggiorna il profilo di John in AD con i dettagli sull'impiego a tempo pieno anche se è ancora un lavoratore contingente.
Per evitare questo comportamento e assicurarsi che il provisioning dei dettagli fte di John venga effettuato il 1° febbraio 2023, eseguire le modifiche di configurazione seguenti.
Modifiche alla configurazione
- Contattare l'amministratore di Workday per creare un gruppo di provisioning denominato "Conversioni datate future".
- Implementare la logica in Workday per aggiungere record di lavoro dipendente/contingente con conversioni datate future a questo gruppo di provisioning.
- Aggiornare l'app di provisioning Microsoft Entra per leggere questo gruppo di provisioning. Fare riferimento alle istruzioni riportate qui su come recuperare il gruppo di provisioning
- Creare un filtro di ambito in Microsoft Entra ID per escludere i profili di lavoro che fanno parte di questo gruppo di provisioning.
- In Workday implementare la logica in modo che, quando la data di conversione sia effettiva, Workday rimuove il record di lavoro dipendente/contingente pertinente dal gruppo di provisioning in Workday.
- Con questa configurazione, il record di lavoro dipendente/dipendente esistente continua a essere efficace e le modifiche di provisioning vengono apportate solo al giorno della conversione.
Nota
Durante la sincronizzazione completa iniziale, è possibile notare un comportamento in cui i valori degli attributi associati al flusso precedente del profilo di lavoro inattivo nell'account AD dei ruoli di lavoro convertiti. Questa operazione è temporanea e, man mano che la sincronizzazione completa avanza, viene infine sovrascritta dai valori di attributo del profilo di lavoro attivo. Una volta completata la sincronizzazione completa e il processo di provisioning raggiunge lo stato stabile, seleziona sempre il profilo di lavoro attivo durante la sincronizzazione incrementale.
Recupero delle assegnazioni di lavoro internazionali e dei dettagli dei processi secondari
Per impostazione predefinita, il connettore Workday recupera gli attributi associati al processo primario del ruolo di lavoro. Il connettore supporta anche il Additional Job Data recupero associato a assegnazioni di processi internazionali o processi secondari.
Usare la procedura per recuperare gli attributi associati alle assegnazioni di processi internazionali:
- Impostare l'URL di connessione workday usa l'API del servizio Web Workday versione 30.0 o successiva. Impostare di conseguenza i valori XPATH corretti nell'app di provisioning workday.
- Usare il selettore
@wd:Primary_Job=0nelWorker_Job_Datanodo per recuperare l'attributo corretto.- Esempio 1: Per ottenere
SecondaryBusinessTitle, usare XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text() - Esempio 2: Per ottenere
SecondaryBusinessLocation, usare XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Esempio 1: Per ottenere