Esercitazione: Configurare Workday per il provisioning utenti automatico

Questa esercitazione illustra le procedure da eseguire per effettuare il provisioning dei profili dei lavoratori da Workday a un'istanza locale di Active Directory (AD).

Nota

Usare questa esercitazione se gli utenti di cui si vuole eseguire il provisioning da Workday necessitano di un account AD locale e di un account Microsoft Entra.

• Se gli utenti di Workday necessitano solo dell'account Microsoft Entra (utenti solo cloud), fare riferimento all'esercitazione sulla configurazione del provisioning utenti di Workday in Microsoft Entra ID .
• Per configurare il writeback di attributi, ad esempio indirizzo di posta elettronica, nome utente e numero di telefono da Microsoft Entra ID a Workday, vedere l'esercitazione sulla configurazione del writeback di Workday.

Il video seguente offre una rapida panoramica dei passaggi necessari per la pianificazione dell'integrazione del provisioning con Workday.

Panoramica

Il servizio di provisioning utenti di Microsoft Entra si integra con l'API Workday Human Resources per effettuare il provisioning degli account utente. I flussi di lavoro di provisioning utenti di Workday supportati dal servizio di provisioning utenti di Microsoft Entra consentono l'automazione degli scenari di gestione del ciclo di vita delle risorse umane e delle identità seguenti:

• Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a Workday, un account utente viene creato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID, con writeback delle informazioni di contatto gestite dall'IT in Workday.

• Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in Workday (ad esempio il nome, il titolo o il manager), il proprio account utente verrà aggiornato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, in Microsoft 365 e in altre applicazioni SaaS supportate da Microsoft Entra ID.

• Terminazioni dei dipendenti: quando un dipendente viene terminato in Workday, l'account utente viene disabilitato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

• Riesezioni dei dipendenti: quando un dipendente viene assunto in Workday, il vecchio account può essere riattivato o sottoposto di nuovo a provisioning automatico (a seconda delle preferenze) ad Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

Novità

Questa sezione illustra i recenti miglioramenti apportati all'integrazione con Workday. Per un elenco di aggiornamenti completi, modifiche pianificate e archivi, visitare la pagina Novità di Microsoft Entra ID?

• Ottobre 2020 - Abilitazione del provisioning su richiesta per Workday: usando il provisioning su richiesta è ora possibile testare il provisioning end-to-end per un profilo utente specifico in Workday per verificare il mapping degli attributi e la logica dell'espressione.

• Maggio 2020 - Possibilità di eseguire il writeback dei numeri di telefono in Workday: oltre alla posta elettronica e al nome utente, è ora possibile eseguire il writeback del numero di telefono di lavoro e il numero di telefono cellulare da Microsoft Entra ID a Workday. Per informazioni dettagliate, vedere l'esercitazione sull'app Writeback.

• Aprile 2020 - Supporto per l'ultima versione dell'API di Workday Web Services (WWS): due volte l'anno a marzo e settembre, Workday offre aggiornamenti avanzati delle funzionalità che consentono di soddisfare gli obiettivi aziendali e modificare le esigenze della forza lavoro. Per rimanere sempre aggiornati sulle nuove funzionalità offerte da Workday, è ora possibile specificare direttamente la versione dell'API WWS da usare nell'URL della connessione. Per informazioni dettagliate su come specificare la versione dell'API Workday, vedere la sezione sulla configurazione della connettività di Workday.

Per chi è più adatta questa soluzione di provisioning utenti?

Questa soluzione di provisioning utenti Workday è idealmente la più appropriata per:

• Organizzazioni che desiderano una soluzione predefinita basata sul cloud per il provisioning utenti Workday

• Organizzazioni che richiedono il provisioning utenti diretto da Workday ad Active Directory o ID Microsoft Entra

• Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti dal modulo Workday HCM. Vedere Get_Workers

• Organizzazioni che richiedono l'aggiunta o lo spostamento degli utenti o che devono lasciare gli utenti sincronizzati con uno o più domini, foreste o unità organizzative di Active Directory solo in base alle informazioni sulle modifiche rilevate nel modulo Workday HCM. Vedere Get_Workers

• Organizzazioni che usano Microsoft 365 per la posta elettronica

Architettura della soluzione

Questa sezione descrive l'architettura della soluzione end-to-end di provisioning degli utenti per ambienti ibridi comuni. Esistono due flussi correlati:

• Flusso di dati HR autorevole: da Workday a Active Directory locale: in questo flusso di eventi di lavoro (ad esempio New Hires, Transfers, Terminations) si verificano prima nel tenant hr di Workday cloud e quindi i dati degli eventi passano in Active Directory locale tramite Microsoft Entra ID e l'agente di provisioning. A seconda dell'evento, può determinare operazioni di creazione/aggiornamento/abilitazione o disabilitazione in Active Directory.
• Flusso di writeback: da Active Directory locale a Workday: una volta completata la creazione dell'account in Active Directory, viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connessione e informazioni quali posta elettronica, nome utente e numero di telefono possono essere riscritto in Workday.

Flusso di dati end-to-end dell'utente

1. Il team delle risorse umane esegue transazioni di ruoli di lavoro (nuovi ingressi/spostamenti/abbandoni oppure nuove assunzioni/trasferimenti/risoluzioni) in Workday HCM
2. Il servizio di provisioning Microsoft Entra esegue sincronizzazioni pianificate delle identità da Workday HR e identifica le modifiche che devono essere elaborate per la sincronizzazione con Active Directory locale.
3. Il servizio di provisioning Microsoft Entra richiama l'istanza locale di Microsoft Entra Connessione Provisioning Agent con un payload di richiesta contenente operazioni di creazione/aggiornamento/abilitazione/disabilitazione dell'account AD.
4. Microsoft Entra Connessione Provisioning Agent usa un account del servizio per aggiungere/aggiornare i dati dell'account AD.
5. Il motore microsoft Entra Connessione/AD Sync esegue la sincronizzazione differenziale per eseguire il pull degli aggiornamenti in AD.
6. Gli aggiornamenti di Active Directory vengono sincronizzati con Microsoft Entra ID.
7. Se è configurata, l'app Writeback di Workday esegue il writeback in Workday di attributi come l'indirizzo di posta elettronica, il nome utente e il numero di telefono.

Pianificazione della distribuzione

La configurazione del provisioning utenti da Workday ad Active Directory richiede una pianificazione considerevole che tenga conto di diversi aspetti, quali:

• Installazione dell'agente di provisioning di Microsoft Entra Connessione
• Numero di app di provisioning utenti da Workday ad AD da distribuire
• Selezione dell'identificatore corrispondente corretto, mapping degli attributi, trasformazione e filtri di ambito

Per le linee guida complete e le procedure consigliate, vedere il piano di distribuzione delle applicazioni per la gestione di risorse umane basate sul cloud.

Configurare un utente del sistema di integrazione in Workday

Un requisito comune di tutti i connettori di provisioning Workday è la richiesta di credenziali di un utente del sistema di integrazione Workday per la connessione all'API Human Resources di Workday. Questa sezione descrive come creare un utente del sistema di integrazione in Workday e contiene le sezioni seguenti:

• Creazione di un utente del sistema di integrazione
• Creazione di un gruppo di sicurezza del sistema di integrazione
• Configurazione delle autorizzazioni dei criteri di sicurezza del dominio
• Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali
• Attivazione delle modifiche apportate ai criteri di sicurezza

Nota

È possibile evitare di eseguire questa procedura usando un account di amministratore globale di Workday come account di integrazione dei sistemi. Questa soluzione è utilizzabile a scopo dimostrativo, ma non è consigliata per le distribuzioni di produzione.

Creazione di un utente del sistema di integrazione

Per creare un utente di sistema di integrazione, seguire questa procedura:

1. Accedere al tenant di Workday usando un account amministratore. Nell'applicazione Workday immettere "create user" nella casella di ricerca e quindi fare clic su Create Integration System User (Crea utente del sistema di integrazione).

   

2. Completare l'attività Create Integration System User specificando un nome utente e una password per un nuovo utente del sistema di integrazione.

   • Lasciare l'opzione Require New Password at Next Sign In (Richiedi nuova password al prossimo accesso) non selezionata, perché l'accesso dell'utente verrà eseguito a livello di codice.
   • Lasciare l'opzione Minuti di timeout della sessione impostata sul valore predefinito 0, in modo da evitare un timeout prematuro delle sessioni dell'utente.
   • Selezionare l'opzione Do Not Allow UI Sessions (Non consentire sessioni di interfaccia utente) in quanto aggiunge un livello di sicurezza che impedisce a un utente con la password del sistema di integrazione di accedere a Workday.

   

Creazione di un gruppo di sicurezza del sistema di integrazione

In questo passaggio si creerà un gruppo di sicurezza del sistema di integrazione non vincolato o vincolato in Workday e si assegnerà l'utente del sistema di integrazione creato nel passaggio precedente a questo gruppo.

Per creare un gruppo di sicurezza, seguire questa procedura:

1. Immettere "create security group" nella casella di ricerca e quindi fare clic su Create Security Group(Crea gruppo di sicurezza).

   

2. Completare l'attività Creare un gruppo di sicurezza.

   • Esistono due tipi di gruppi di sicurezza in Workday:

     • Non vincolato: tutti i membri del gruppo di sicurezza possono accedere a tutte le istanze di dati protette dal gruppo di sicurezza.
     • Vincolato: tutti i membri del gruppo di sicurezza hanno accesso contestuale a un subset di istanze di dati (righe) a cui il gruppo di sicurezza può accedere.

   • Verificare il partner di integrazione di Workday per selezionare il tipo di gruppo di sicurezza appropriato per l'integrazione.

   • Una volta appurato il tipo di gruppo, selezionare Integration System Security Group (Unconstrained) (Gruppo di sicurezza del sistema di integrazione - Non vincolato) o Integration System Security Group (Constrained) (Gruppo di sicurezza del sistema di integrazione - Vincolato) dall'elenco a discesa Type of Tenanted Security Group (Tipo di gruppo di sicurezza con tenant).

     

3. Dopo aver creato il gruppo di sicurezza, verrà visualizzata una pagina in cui sarà possibile assegnare membri al gruppo. Aggiungere il nuovo utente di sistema di integrazione creato nel passaggio precedente per questo gruppo di sicurezza. Se si usa il gruppo di sicurezza vincolato, è necessario anche selezionare l'ambito dell'organizzazione appropriato.

   

Configurazione delle autorizzazioni dei criteri di sicurezza del dominio

In questo passaggio si concedono al gruppo di sicurezza le autorizzazioni dei criteri di sicurezza del dominio per i dati del ruolo di lavoro.

Per configurare le autorizzazioni dei criteri di sicurezza del dominio:

1. Immettere Security Group Membership and Access nella casella di ricerca e fare clic sul collegamento al report.

   

2. Cercare e selezionare il gruppo di sicurezza creato nel passaggio precedente.

   

3. Fare clic sui puntini di sospensione (...) accanto al nome del gruppo e dal menu selezionare Security Group > Maintain Domain Permissions for Security Group (Gestisci autorizzazioni di dominio per il gruppo di sicurezza)

   

4. In Integration Permissions (Autorizzazioni di integrazione) aggiungere i domini seguenti all'elenco Domain Security Policies permitting Put access (Criteri di sicurezza che consentono l'accesso Put)

   • External Account Provisioning (Provisioning account esterno)
   • Worker Data: Public Worker Reports (Dati ruolo di lavoro: report ruoli di lavoro pubblici)
   • Dati delle persone: informazioni sul contatto aziendale (obbligatorio se si prevede di eseguire il writeback dei dati dei contatti da Microsoft Entra ID a Workday)
   • Account Workday (obbligatorio se si prevede di eseguire il writeback del nome utente/UPN da Microsoft Entra ID a Workday)

5. In Integration Permissions (Autorizzazioni di integrazione) aggiungere i domini seguenti all'elenco Domain Security Policies permitting Get access (Criteri di sicurezza che consentono l'accesso Get)

   • Dati del ruolo di lavoro: ruoli di lavoro
   • Worker Data: All Positions (Dati ruolo di lavoro: tutte le posizioni)
   • Worker Data: Current Staffing Information (Dati ruolo di lavoro: informazioni del personale correnti)
   • Worker Data: Business Title on Worker Profile (Dati ruolo di lavoro: qualifica riportata sul profilo)
   • Dati del ruolo di lavoro: ruoli di lavoro qualificati (facoltativo: aggiungere questa opzione per recuperare i dati di qualificazione dei lavoratori per il provisioning)
   • Dati del ruolo di lavoro: competenze ed esperienza (facoltativo: aggiungere questa opzione per recuperare i dati delle competenze del ruolo di lavoro per il provisioning)

6. Dopo aver completato i passaggi precedenti, verrà visualizzata la schermata delle autorizzazioni, come illustrato di seguito:

   

7. Fare clic su OK e su Done (Fatto) nella schermata successiva per completare la configurazione.

Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali

In questo passaggio si concedono al gruppo di sicurezza le autorizzazioni dei criteri di sicurezza dei processi aziendali per i dati del ruolo di lavoro.

Nota

Questo passaggio è necessario solo per configurare il connettore dell'app Writeback di Workday.

Per configurare le autorizzazioni dei criteri di sicurezza dei processi aziendali:

1. Immettere Business Process Policy (Criteri di processi aziendali) nella casella di ricerca e quindi fare clic sul collegamento Edit Business Process Security Policy (Modifica criteri di sicurezza dei processi aziendali).

   

2. Nella casella di testo Tipo di processo aziendale, cercare Contatto e selezionare il processo aziendale Modifica contatto di lavoro, quindi fare clic su OK.

   

3. Nella pagina Modifica criteri di sicurezza dei processi aziendali scorrere fino alla sezione Cambia informazioni di contatto di lavoro (servizio Web).

4. Selezionare e aggiungere il nuovo gruppo di sicurezza del sistema di integrazione all'elenco dei gruppi di sicurezza che possono avviare la richiesta di servizi Web.

   

5. Fare clic su Done (Fine).

Attivazione delle modifiche apportate ai criteri di sicurezza

Per attivare le modifiche apportate ai criteri di sicurezza, seguire questa procedura:

1. Immettere "activate" (attiva) nella casella di ricerca e quindi fare clic sul collegamento Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza).

   

2. Avviare l'attività Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza) immettendo un commento a scopo di controllo e quindi fare clic su OK.

3. Completare l'attività nella schermata successiva selezionando la casella di controllo Confirm (Conferma) e quindi facendo clic su OK.

   

Prerequisiti per l'installazione dell'agente di provisioning

Prima di procedere con la sezione successiva, esaminare i prerequisiti per l'installazione dell'agente di provisioning.

Configurazione del provisioning utenti da Workday in Active Directory

Questa sezione fornisce i passaggi per configurare il provisioning degli account utente da Workday in ogni dominio di Active Directory nell'ambito dell'integrazione.

• Aggiungere l'app di connettori di provisioning e scaricare l'agente di provisioning
• Installare e configurare gli agenti di provisioning locali
• Configurare la connettività in Workday e Active Directory
• Configurare i mapping degli attributi
• Abilitare e avviare il provisioning utenti

Parte 1: Aggiungere l'app connettore di provisioning e scaricare l'agente di provisioning

Per configurare il provisioning da Workday in Active Directory:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.

3. Cercare Workday to Active Directory User Provisioning (Provisioning utenti da Workday ad Active Directory) e aggiungere tale app dalla raccolta.

4. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning.

5. Impostare Modalità di provisioningsu Automatico.

6. Fare clic sul banner di informazioni visualizzato per scaricare l'agente di provisioning.

   

Parte 2: Installare e configurare gli agenti di provisioning locali

Per effettuare il provisioning in Active Directory locale, è necessario installare l'agente di provisioning in un server aggiunto al dominio e con accesso di rete ai domini di Active Directory richiesti.

Trasferire il programma di installazione dell'agente scaricato nell'host del server e seguire i passaggi indicati nella sezione Installare l'agente per completare la configurazione dell'agente.

Parte 3: Nell'app di provisioning configurare la connettività a Workday e Active Directory

In questo passaggio viene stabilita la connettività con Workday e Active Directory.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali> Workday in App di provisioning utenti active Directory creata nella parte 1.

3. Completare la sezione Credenziali amministratore come segue:

   • Nome utente Workday: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant. Dovrebbe essere simile al seguente: username@tenant_name

   • Password Workday: immettere la password dell'account del sistema di integrazione Workday

   • URL dell'API Workday Web Services: immettere l'URL dell'endpoint di Workday Web Services per il tenant. L'URL determina la versione dell'API Workday Web Services usata dal connettore.

     Formato di URL	Versione dell'API Workday Web Services usata	Modifiche XPATH necessarie
     https://####.workday.com/ccx/service/tenantName	v21.1	No
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	No
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Sì

     Nota

     Se non sono specificate informazioni sulla versione nell'URL, l'app usa Workday Web Services (WWS) v21.1 e non è necessario apportare modifiche alle espressioni predefinite dell'API XPATH fornite con l'app. Per usare una versione specifica dell'API WWS, specificare il numero di versione nell'URL
     Esempio: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Se si usa un'API WWS v30.0+, prima di attivare il processo di provisioning, aggiornare le espressioni DELL'API XPATH in Mapping attributi -> Opzioni avanzate -> Modificare l'elenco di attributi per Workday facendo riferimento alla sezione Gestione della configurazione e riferimento all'attributo di Workday.

   • Foresta di Active Directory: il "nome" del dominio di Active Directory, così come registrato con l'agente. Usare l'elenco a discesa per selezionare il dominio di destinazione per il provisioning. In genere, il valore corrisponde a una stringa simile a: contoso.com

   • Contenitore di Active Directory: immettere il nome distinto del contenitore in cui l'agente deve creare gli account utente per impostazione predefinita. Esempio: OU=Standard Users,OU=Users,DC=contoso,DC=test

     Nota

     Questa impostazione deve essere usata per la creazione degli account utente solo se l'attributo parentDistinguishedName non è configurato nel mapping degli attributi. Questa impostazione non viene usata per la ricerca di utenti o per le operazioni di aggiornamento. L'intero sottoalbero del dominio rientra nell'ambito dell'operazione di ricerca.

   • Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

     Nota

     Il servizio di provisioning Microsoft Entra invia una notifica tramite posta elettronica se il processo di provisioning entra in uno stato di quarantena .

   • Fare clic sul pulsante Test connessione. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. In caso contrario, verificare che le credenziali di Workday e Active Directory configurate nel programma di installazione dell'agente siano valide.

     

   • Dopo che le credenziali vengono salvate correttamente, la sezione Mapping mostrerà il mapping predefinito Synchronize Workday Workers to On Premises (Sincronizza ruoli di lavoro Workday in Active Directory locale)

Parte 4: Configurare i mapping degli attributi

In questa sezione verrà configurato il flusso dei dati utente da Workday in Active Directory.

1. Nella scheda Provisioning in Mapping fare clic su Synchronize Workday Workers to On Premises (Sincronizza ruoli di lavoro Workday in Active Directory locale).

2. Nel campo Source Object Scope (Ambito dell'oggetto di origine) è possibile selezionare i set di utenti in Workday da includere nell'ambito per il provisioning in AD, definendo un set di filtri basati su attributi. L'ambito predefinito è "tutti gli utenti in Workday". Filtri di esempio:

   • Esempio: ambito per gli utenti con ID di lavoro compreso tra 1000000 e 2000000 (escluso 2000000)

     • Attributo: WorkerID

     • Operatore: Corrispondenza REGEX

     • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Esempio: Solo i dipendenti, senza i lavoratori occasionali

     • Attributo: EmployeeID

     • Operatore: NON È NULL

   Suggerimento

   Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping degli attributi e le espressioni per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare filtri di ambito in Ambito oggetto di origine e provisioning su richiesta per testare i mapping con alcuni utenti di test di Workday. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

   Attenzione

   Il comportamento predefinito del motore di provisioning è disabilitare/eliminare gli utenti che non rientrano nell'ambito. Questa operazione è sconsigliabile per l'integrazione da Workday ad Active Directory. Per eseguire l'override di questo comportamento predefinito, fare riferimento all'articolo Ignorare l'eliminazione di account utente che non rientrano nell'ambito

3. Nel campo Target Object Actions (Azioni oggetto di destinazione) è possibile applicare un filtro a livello globale per le azioni che vengono eseguite in Active Directory. Create (Crea) e Update (Aggiorna) sono le più comuni.

4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.

5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping. Il mapping di un singolo attributo supporta queste proprietà:

   • Tipo di mapping

     • Direct (Diretto): scrive il valore dell'attributo di Workday nell'attributo di AD, senza modifiche

     • Costant (Costante): scrive un valore stringa costante statico nell'attributo di AD

     • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday. Per altre informazioni, vedere questo articolo sulle espressioni.

   • Attributo di origine: l'attributo utente in Workday. Se l'attributo che si sta cercando non è presente, vedere Personalizzazione dell'elenco di attributi utente di Workday.

   • Valore predefinito: facoltativo. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.

   • Attributo di destinazione: l'attributo utente in Active Directory.

   • Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Active Directory. In genere, è impostato sul campo ID ruolo di lavoro per Workday, che solitamente è associato a uno degli attributi ID dipendente in Active Directory.

   • Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.

   • Applica questo mapping

     • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente

     • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente

6. Per salvare i mapping, fare clic su Save, Salva, nella parte superiore della sezione Attribute-Mapping, Mapping attributi.

   

Di seguito sono riportati alcuni esempi di mapping degli attributi tra Workday e Active Directory, con alcune espressioni comuni

• L'espressione che esegue il mapping all'attributo parentDistinguishedName viene usata per effettuare il provisioning di un utente in diverse unità organizzative in base a uno o più attributi di origine di Workday. L'esempio qui colloca gli utenti in diverse unità organizzative in base alla città in cui si trovano.

• L'attributo userPrincipalName in Active Directory viene generato usando la funzione di deduplicazione SelectUniqueValue che controlla l'esistenza di un valore generato nel dominio di destinazione di AD e lo imposta solo se univoco.

• La documentazione sulla scrittura di espressioni è disponibile qui. Questa sezione include alcuni esempi di come rimuovere i caratteri speciali.

ATTRIBUTO DI WORKDAY	ATTRIBUTO DI ACTIVE DIRECTORY	ID CORRISPONDENTE?	CREAZIONE / AGGIORNAMENTO
WorkerID	EmployeeID	Sì	Scritto solo al momento della creazione
PreferredNameData	cn		Scritto solo al momento della creazione
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com"))	userPrincipalName		Scritto solo al momento della creazione
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )	sAMAccountName		Scritto solo al momento della creazione
Switch([Active], , "0", "True", "1", "False")	accountDisabled		Creazione e aggiornamento
FirstName	givenName		Creazione e aggiornamento
LastName	sn		Creazione e aggiornamento
PreferredNameData	displayName		Creazione e aggiornamento
Azienda	company		Creazione e aggiornamento
SupervisoryOrganization	department		Creazione e aggiornamento
ManagerReference	manager		Creazione e aggiornamento
BusinessTitle	title		Creazione e aggiornamento
AddressLineData	streetAddress		Creazione e aggiornamento
Municipality	l		Creazione e aggiornamento
CountryReferenceTwoLetter	co		Creazione e aggiornamento
CountryReferenceTwoLetter	c		Creazione e aggiornamento
CountryRegionReference	st		Creazione e aggiornamento
WorkSpaceReference	physicalDeliveryOfficeName		Creazione e aggiornamento
PostalCode	postalCode		Creazione e aggiornamento
PrimaryWorkTelephone	telephoneNumber		Creazione e aggiornamento
Fax	facsimileTelephoneNumber		Creazione e aggiornamento
Dispositivi mobili	per dispositivi mobili		Creazione e aggiornamento
LocalReference	preferredLanguage		Creazione e aggiornamento
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "SEATTLE", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso=com")	parentDistinguishedName		Creazione e aggiornamento

Una volta completata la configurazione del mapping degli attributi, è possibile testare il provisioning per un singolo utente usando il provisioning su richiesta e quindi abilitare e avviare il servizio di provisioning utenti.

Abilitare e avviare il provisioning utenti

Dopo aver completato le configurazioni dell'app di provisioning workday e aver verificato il provisioning per un singolo utente con provisioning su richiesta, è possibile attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita quando si attiva il servizio di provisioning, verranno avviate le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati in Workday, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti di test con il provisioning su richiesta prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

1. Passare al pannello Provisioning e fare clic su Start provisioning (Avvia provisioning).

2. Questa operazione avvierà la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Workday. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.

3. In qualsiasi momento è possibile controllare la scheda Log di controllo nel portale di Azure per vedere le azioni che sono state eseguite dal servizio di provisioning. I log di controllo elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio quali utenti vengono letti da Workday e successivamente aggiunti o aggiornati in Active Directory. Vedere la sezione Troubleshooting (Risoluzione dei problemi) per istruzioni su come esaminare i log di controllo e correggere gli errori di provisioning.

4. Al termine della sincronizzazione iniziale, verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.

   

Domande frequenti

• Domande relative alla funzionalità di soluzione

  • Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?
  • La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?
  • La soluzione memorizza nella cache i profili utente di Workday nel cloud Microsoft Entra o a livello dell'agente di provisioning?
  • La soluzione supporta l'assegnazione in locale di gruppi di Active Directory all'utente?
  • Quale API di Workday viene usata dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?
  • È possibile configurare il tenant di Workday HCM con due tenant di Microsoft Entra?
  • Ricerca per categorie suggerire miglioramenti o richiedere nuove funzionalità correlate all'integrazione di Workday e Microsoft Entra?

• Domande relative all'agente di provisioning

  • Qual è la versione disponibile a livello generale dell'agente di provisioning?
  • Come capire la versione dell'agente di provisioning?
  • Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?
  • È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connessione?
  • Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?
  • Ricerca per categorie assicurarsi che l'agente di provisioning sia in grado di comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?
  • Come annullare la registrazione del dominio associato all'agente di provisioning?
  • Come si disinstalla l'agente di provisioning?

• Domande relative al mapping attributi e alla configurazione Workday to Active Directory

  • Come eseguire il backup o esportare una copia di lavoro del mapping e dello schema dell'attributo di provisioning di Workday?
  • Avere attributi personalizzati in Workday e Azure Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?
  • È possibile effettuare il provisioning delle foto degli utenti da Workday ad Active Directory?
  • Come è possibile sincronizzare i numeri di telefono da Workday per uso pubblico, in base il consenso dell'utente?
  • Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?
  • Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?
  • Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?

Domande relative alla funzionalità di soluzione

Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?

Quando l'agente di provisioning locale ottiene una richiesta per creare un nuovo account di AD, viene generata automaticamente una password casuale complessa progettata per soddisfare i requisiti di complessità delle password definiti dal server AD e la imposta per l'oggetto utente. Questa password non viene registrata in un punto qualsiasi.

La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?

No, l'invio di notifiche tramite posta elettronica dopo il completamento delle operazioni di provisioning non è supportato nella versione corrente.

La soluzione memorizza nella cache i profili utente di Workday nel cloud Microsoft Entra o a livello dell'agente di provisioning?

No, la soluzione non gestisce una cache di profili utente. Il servizio di provisioning Di Microsoft Entra funge semplicemente da responsabile del trattamento dei dati, leggendo i dati da Workday e scrivendo nell'ID Active Directory o Microsoft Entra ID di destinazione. Vedere la sezione Managing personal data (Gestione dei dati personali) per dettagli relativi alla privacy e alla conservazione dei dati dell'utente.

La soluzione supporta l'assegnazione in locale di gruppi di AD all'utente?

Questa funzionalità non è attualmente supportata. La soluzione consigliata è l'implementazione di uno script di PowerShell che esegue query sull'endpoint dell'API Microsoft Graph per i dati del log di controllo e li usa per attivare scenari come l'assegnazione dei gruppi. Questo script di PowerShell può essere collegato a un'utilità di pianificazione e distribuito nella stessa finestra in cui è in esecuzione l'agente di provisioning.

Quali API di Workday vengono usate dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?

La soluzione attualmente usa le API di Workday seguenti:

• Il formato dell'URL dell'API dei servizi Web Workday usato nella sezioneCredenziali amministratore, determina la versione dell'API usata per Get_Workers

  • Se il formato dell'URL è : https://####.workday.com/ccx/service/tenantName , viene usata l'API v21.1.
  • Se il formato dell'URL è: https://####.workday.com/ccx/service/tenantName/Human_Resources , viene usata l'API v21.1
  • Se il formato dell'URL è : https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# , viene usata la versione api specificata. (Esempio: se viene specificato v34.0, verrà usata quella versione).

• La funzionalità di writeback della posta elettronica di Workday usa Change_Work_Contact_Information (v30.0)

• La funzionalità di writeback del nome utente di Workday usa Update_Workday_Account (v31.2)

È possibile configurare il tenant di Workday HCM con due tenant di Microsoft Entra?

Sì, questa configurazione è supportata. Ecco i passaggi di livello elevato per configurare questo scenario:

• Distribuire l'agente di provisioning n. 1 e registrarlo con il tenant di Microsoft Entra #1.
• Distribuire l'agente di provisioning n. 2 e registrarlo con il tenant di Microsoft Entra #2.
• Configurare ogni agente con i domini, sulla base dei "Sottodomini" che verranno gestiti da ogni agente di provisioning. Un agente può gestire più domini.
• Nel portale di Azure, impostare l'app Workday to Azure AD User Provisioning in ogni tenant e configurarla con i rispettivi domini.

Ricerca per categorie suggerire miglioramenti o richiedere nuove funzionalità correlate all'integrazione di Workday e Microsoft Entra?

I commenti sono molto apprezzati, perché aiutano a stabilire la direzione per miglioramenti e versioni future. Microsoft accoglie tutti i commenti e suggerimenti e invita l'utente a inviare un'idea o un suggerimento di miglioramento nel forum di feedback di Microsoft Entra ID. Per feedback specifici relativi all'integrazione di Workday, selezionare la categoria SaaS Applications (Applicazioni SaaS) ed effettuare la ricerca usando le parole chiave Workday per commenti e suggerimenti relativi a Workday.

Quando si suggerisce una nuova idea, verificare se altri utenti hanno già suggerito una funzionalità simile. In tal caso, è possibile votare a favore della richiesta di funzionalità o miglioramento. È anche possibile lasciare un commento riguardante il caso d'uso specifico per mostrare il supporto all'idea e dimostrare in che modo la funzionalità potrebbe essere utile per il proprio contesto.

Domande relative all'agente di provisioning

Qual è la versione disponibile a livello generale dell'agente di provisioning?

Vedere Microsoft Entra Connessione Provisioning Agent: Cronologia delle versioni per la versione disponibile a livello generale più recente dell'agente di provisioning.

Come capire la versione dell'agente di provisioning?

• Accedere al server di Windows in cui è installato l'agente di provisioning.

• Passare a Pannello di controllo -> Disinstallare o modificare un menu Programma

• Cercare la versione corrispondente alla voce Microsoft Entra Connessione Provisioning Agent

  

Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?

Sì, Microsoft aggiorna automaticamente l'agente di provisioning se il servizio Windows Entra Connessione Agent Updater è operativo.

È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connessione?

Sì, è possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connessione.

Al momento della configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra. L'agente archivia le credenziali in locale nel server?

Durante la configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra solo per connettersi al tenant di Microsoft Entra. L'agente non archivia le credenziali in locale nel server. Tuttavia mantiene le credenziali usate per connettersi al dominio locale di Active Directory in un insieme di credenziali delle password di Windows locale.

Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?

L'agente di provisioning supporta l'utilizzo di proxy in uscita. È possibile configurarlo modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connessione Provisioning Agent\AAD Connessione ProvisioningAgent.exe.config. Aggiungere le righe seguenti, verso la fine del file subito prima del tag di chiusura</configuration>. Sostituire le variabili [server proxy] e [proxy-port] con il nome del server proxy e i valori della porta.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Ricerca per categorie assicurarsi che l'agente di provisioning sia in grado di comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?

È anche possibile verificare se tutte le porte necessarie sono aperte.

Un agente di provisioning può essere configurato per effettuare il provisioning di più domini di Active Directory?

Sì, un agente di provisioning può essere configurato per gestire più domini di AD purché l'agente comunichi con i controller di dominio corrispondenti. Microsoft consiglia di configurare un gruppo di 3 agenti di provisioning che gestiscono lo stesso set di domini di Active Directory per garantire la disponibilità elevata e fornire supporto in caso di failover.

Come annullare la registrazione del dominio associato all'agente di provisioning?

*, ottenere l'ID tenant del tenant di Microsoft Entra.

• Accedere al server di Windows in cui è installato l'agente di provisioning.

• Aprire PowerShell come amministratore Windows.

• Passare alla directory contenente gli script di registrazione ed eseguire i comandi seguenti sostituendo il parametro [ID tenant] con il valore dell'ID tenant.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• Nell'elenco di agenti che vengono visualizzati: copiare il valore del campo id dalla risorsa la cui proprietà resourceName è uguale al nome di dominio Active Directory.

• Incollare il valore ID in questo comando ed eseguire il comando in Powershell.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Avviare la configurazione guidata dell'agente.

• Tutti gli altri agenti assegnati precedentemente a questo dominio dovranno essere riconfigurati.

Come si disinstalla l'agente di provisioning?

• Accedere al server di Windows in cui è installato l'agente di provisioning.
• Passare a Pannello di controllo -> Disinstallare o modificare un menu Programma
• Disinstallare i programmi seguenti:
  • Microsoft Entra Connessione Provisioning Agent
  • Microsoft Entra Connessione Agent Updater
  • Pacchetto dell'agente di provisioning di Microsoft Entra Connessione

Domande relative al mapping attributi e alla configurazione da Workday ad Active Directory

Come eseguire il backup o esportare una copia di lavoro del mapping e dello schema dell'attributo di provisioning di Workday?

È possibile usare l'API Microsoft Graph per esportare la configurazione del provisioning utenti di Workday. Vedere i passaggi descritti nella sezione Exporting and Importing your Workday User Provisioning Attribute Mapping configuration (Esportare e importare la configurazione del mapping attributi di provisioning utenti di Workday) per informazioni dettagliate.

Avere attributi personalizzati in Workday e Azure Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?

La soluzione supporta gli attributi personalizzati di Workday e Active Directory. Per aggiungere attributi personalizzati allo schema di mapping, aprire il pannello Attribute Mapping (Mapping degli attributi) e scorrere verso il basso per espandere la sezione Show advanced options (Mostra opzioni avanzate).

Per aggiungere gli attributi di Workday personalizzati, selezionare l'opzione Edit attribute list for Workday (Modifica elenco attributi per Workday); per aggiungere attributi AD personalizzati, selezionare l'opzione Edit attribute list for On Premises Active Directory (Modifica elenco attributi per Active Directory locale).

Vedere anche:

• Personalizzazione dell'elenco di attributi utente di Workday

Come si configura la soluzione per aggiornare solo gli attributi in Active Directory in base ai cambiamenti di Workday per non creare nuovi account Active Directory?

Questa configurazione può essere ottenuta impostando Azioni oggetto di destinazione nel pannello Mapping degli attributi come illustrato di seguito:

Selezionare la casella di controllo "Update" (Aggiorna) solo per le operazioni di aggiornamento da Workday ad Active Directory.

È possibile effettuare il provisioning delle foto dell'utente da Workday ad Active Directory?

La soluzione attualmente non supporta l'impostazione di attributi binari come thumbnailPhoto e jpegPhoto in Active Directory.

Come è possibile sincronizzare i numeri di telefono da Workday per uso pubblico, in base il consenso dell'utente?

• Passare al pannello "Provisioning" dell'app di provisioning Workday.

• Fare clic sui mapping degli attributi

• In Mapping selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza ruoli di lavoro di Workday in Active Directory locale) o Synchronize Workday Workers to Microsoft Entra ID (Sincronizza ruoli di lavoro workday con l'ID Microsoft Entra).

• Nella pagina dei mapping degli attributi, scorrere verso il basso e selezionare la casella "Show Advanced Options" (Mostra opzioni avanzate). Selezionare Edit attribute list for Workday (Modifica elenco attributi per Workday)

• Nel pannello che si apre individuare l'attributo "Mobile" e fare clic sulla riga per poter modificare l'espressione API

• Sostituire l'espressione API con la nuova espressione seguente, che recupera il numero del cellulare di lavoro solo se "Public Usage Flag" (Flag di utilizzo pubblico) è impostato su "True" in Workday.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Salvare l'elenco attributi.

• Salvare il mapping attributi.

• Cancellare lo stato corrente e riavviare la sincronizzazione completa.

Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?

È un requisito comune configurare l'attributo displayName in AD in modo che fornisca informazioni sul reparto e il paese/area dell'utente. Ad esempio, se John Smith lavora nel Reparto marketing negli Stati Uniti, è possibile che il suo displayName venga visualizzato come Smith, John (Marketing-US).

Ecco come è possibile gestire tali requisiti per la creazione di CN o displayName in modo da includere gli attributi, ad esempio società, unità aziendale, città o paese/area.

• Ogni attributo di Workday viene recuperato usando un'espressione API XPATH sottostante, configurabile in Mapping attributi -> Sezione avanzata -> Modifica elenco di attributi per Workday. Ecco l'espressione XPATH API predefinita per Workday PreferredFirstName, PreferredLastName, Company (Azienda) e attributi SupervisoryOrganization.

  Attributo di Workday	Espressione API XPATH
  PreferredFirstName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  PreferredLastName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Company	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  SupervisoryOrganization	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Confermare assieme al proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).

• Analogamente, le informazioni relative al paese/area presenti in Workday vengono recuperate usando l'XPATH seguente: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  Sono disponibili 5 attributi relativi al paese/area che sono disponibili nella sezione dell'elenco attributi di Workday.

  Attributo di Workday	Espressione API XPATH
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Verificare con il proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).

• Per compilare la corretta espressione di mapping degli attributi, identificare quale attributo di Workday "autorevole" rappresenta il nome proprio, il cognome, il paese/area e il reparto dell'utente. Si supponga che gli attributi siano rispettivamente PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter e SupervisoryOrganization. È possibile usare questo attributo per compilare un'espressione per l'attributo di Active Directory displayName come indicato di seguito per ottenere un nome visualizzato, come Smith, John (Marketing-US).

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  Dopo aver ottenuto l'espressione corretta, modificare la tabella Mapping attributi e modificare il mapping dell'attributo displayName come illustrato di seguito:

• Ampliando l'esempio precedente, si consideri l'ipotesi di convertire i nomi di città provenienti da Workday in valori a sintassi abbreviata e usarli per creare nomi visualizzati, come Smith, John (CHI) oppure Doe, Jane (NYC), allora questo risultato può essere ottenuto usando un'espressione Switch con l'attributo Workday Municipality come variabile determinante.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  Vedere anche:

  • Sintassi della funzione Switch
  • Sintassi della funzione Join
  • Sintassi della funzione Append

Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?

Si consideri l'ipotesi di generare valori univoci per l'attributo samAccountName mediante una combinazione degli attributi FirstName e LastName da Workday. Di seguito un'espressione che è possibile iniziare con:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Funzionamento dell'espressione precedente: se l'utente è John Smith, prova prima a generare JSmith, se JSmith esiste già, quindi genera JoSmith, se esistente, genera JohSmith. L'espressione assicura anche che il valore generato soddisfi il limite di lunghezza e le limitazioni di caratteri speciali associati a samAccountName.

Vedere anche:

• Sintassi della funzione Mid
• Sintassi della funzione Replace
• Sintassi della funzione SelectUniqueValue

Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?

Usare la funzione NormalizeDiacritics per rimuovere i caratteri speciali nel nome e cognome dell'utente durante la creazione di un indirizzo di posta elettronica o valore CN per l'utente.

Suggerimenti per la risoluzione dei problemi

Questa sezione fornisce indicazioni specifiche su come risolvere i problemi di provisioning con l'integrazione di Workday usando i log di controllo di Microsoft Entra e i log di Visualizzatore eventi di Windows Server. Si basa sui passaggi e i concetti di risoluzione dei problemi generici acquisiti nell'esercitazione : Creazione di report sul provisioning automatico degli account utente

Questa sezione contiene gli aspetti della risoluzione problemi seguenti:

• Configurare l'agente di provisioning per generare i log di Visualizzatore eventi
• Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente
• Configurazione dei log di controllo del portale di Azure per la risoluzione dei problemi di servizio
• Riconoscimento di log per operazioni di creazione per l'account utente di AD
• Riconoscimento di log per operazioni di aggiornamento manager
• Risoluzione degli errori più comuni

Configurare l'agente di provisioning per generare i log di Visualizzatore eventi

1. Accedere al computer Windows Server in cui è distribuito l'agente di provisioning

2. Arrestare il servizio Microsoft Entra Connessione Provisioning Agent.

3. Creare una copia del file di configurazione originale: C:\Programmi\Microsoft Azure AD Connessione Provisioning Agent\AAD Connessione ProvisioningAgent.exe.config.

4. Sostituire la sezione <system.diagnostics> esistente con quella seguente.

   • Il listener etw di configurazione genera messaggi nei log di EventViewer
   • Il listener textWriterListener di configurazione invia messaggi di traccia al file ProvAgentTrace.log. Rimuovere il commento dalle righe correlate a textWriterListener solo per la risoluzione avanzata dei problemi.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Avviare il servizio Microsoft Entra Connessione Provisioning Agent.

Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente

1. Accedere al computer Windows Server in cui è installato l'agente di provisioning

2. Aprire l'app desktop Visualizzatore eventi di Windows Server.

3. Selezionare Windows Logs Application (Applicazione log > di Windows).

4. Usare l'opzione Filtra log corrente per visualizzare tutti gli eventi registrati nell'origine Microsoft Entra Connessione Provisioning Agent ed escludere eventi con ID evento "5", specificando il filtro "-5" come illustrato di seguito.

   Nota

   L'ID evento 5 acquisisce i messaggi di bootstrap dell'agente nel servizio cloud Microsoft Entra e quindi lo filtra durante l'analisi dei file di log.

   

5. Fare clic su OK e ordinare la visualizzazione dei risultati dalla colonna di data e ora.

Configurazione dei log di controllo del portale di Azure per la risoluzione dei problemi di servizio

1. Avviare il portale di Azure e passare alla sezione Audit logs (Log di controllo) dell'applicazione di provisioning Workday, come descritto in precedenza in questa esercitazione.

2. Usare il pulsante Columns (Colonne)nella pagina dei log di controllo per mostrare nella visualizzazione solo le colonne seguenti: data, attività, stato, motivo dello stato. Questa configurazione permette di concentrare l'attenzione solo sui dati rilevanti per la risoluzione dei problemi.

   

3. Usare i parametri di query Destinazione e Intervallo di date per filtrare la visualizzazione.

   • Impostare il parametro di query Destinazione all' "ID ruolo di lavoro" o "ID dipendente" dell'oggetto di lavoro di Workday.
   • Impostare Date Range (Intervallo di date) per un periodo di tempo appropriato ad analizzare errori o problemi con il provisioning.

   

Riconoscimento di log per operazioni di creazione per l'account utente di AD

Quando viene rilevato un nuovo assunto in Workday (ad esempio con ID dipendente 21023), il servizio di provisioning di Microsoft Entra tenta di creare un nuovo account utente di ACTIVE Directory per il ruolo di lavoro e nel processo crea 4 record del log di controllo come descritto di seguito:

Quando si fa clic su uno dei record relativi a log di controllo, verrà visualizzata la pagina Activity Details (Dettagli attività). Ecco ciò che mostra la pagina Activity Details (Dettagli attività) per ogni tipo di record di log.

• Record di importazione workday: questo record di log visualizza le informazioni sul ruolo di lavoro recuperate da Workday. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• Record di importazione di Active Directory: questo record di log visualizza le informazioni dell'account recuperato da AD. Poiché durante la creazione iniziale dell'utente non esiste un account AD, Activity Status Reason (Motivo dello stato attività) indicherà che non è stato trovato alcun account con il valore dell'attributo ID corrispondente in Active Directory. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object was not found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Per trovare i record di log dell'agente di provisioning corrispondenti a questa operazione di importazione di ACTIVE Directory, aprire i log di Windows Visualizzatore eventi e usare l'opzione di menu Trova... per trovare le voci di log contenenti il valore dell'attributo id corrispondente/join della proprietà (in questo caso 21023).

  

  Cercare la voce con Event ID = 9, che fornirà il filtro di ricerca LDAP usato dall'agente per recuperare l'account AD. È possibile verificare se questo è il filtro di ricerca corretto per recuperare le voci univoche dell'utente.

  

  Il record che lo segue immediatamente con Event ID = 2 acquisisce il risultato dell'operazione di ricerca e comunica se ha prodotto risultati.

  

• Record azione regola di sincronizzazione: questo record di log visualizza i risultati delle regole di mapping degli attributi e i filtri di ambito configurati insieme all'azione di provisioning che verrà eseguita per elaborare l'evento Workday in ingresso. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'azione di sincronizzazione. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object will be added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Se si verificano problemi con le espressioni di mapping di attributi o i dati in ingresso di Workday presentano problemi (ad esempio: valori vuoti oppure null per gli attributi obbligatori), sarà possibile osservare un errore in questa fase con il codice di errore che ne fornisce i dettagli.

• Record di esportazione di Active Directory: questo record di log visualizza il risultato dell'operazione di creazione dell'account AD insieme ai valori di attributo impostati nel processo. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'operazione di creazione account. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo. Nella sezione "Dettagli aggiuntivi", "EventName" è impostato su "EntryExportAdd", "JoiningProperty" è impostata sul valore dell'attributo ID corrispondente, "SourceAnchor" è impostato su WorkdayID (WID) associato al record e "TargetAnchor" è impostato sul valore dell'attributo AD "ObjectGuid" dell'utente appena creato.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object will be created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
  

  Per trovare i record di log dell'agente di provisioning corrispondenti a questa operazione di esportazione di Active Directory, aprire i log di Windows Visualizzatore eventi e usare l'opzione di menu Trova per trovare le voci di log contenenti il valore dell'attributo ID corrispondente/Join della proprietà (in questo caso 21023).

  Cercare un record HTTP POST corrispondente al timestamp dell'operazione di esportazione con ID evento = 2. Questo record contiene i valori di attributo inviati dal servizio di provisioning all'agente di provisioning.

  

  Immediatamente dopo l'evento precedente, deve essere presente un altro evento che acquisisce la risposta dell'operazione di creazione account AD. Questo evento restituisce il nuovo objectGuid creato in AD e lo imposta come attributo TargetAnchor nel servizio di provisioning.

  

Riconoscimento di log per operazioni di aggiornamento manager

L'attributo manager è un attributo di riferimento in AD. Il servizio di provisioning non imposta l'attributo manager durante l'operazione di creazione dell'utente. Piuttosto l'attributo manager viene impostato come parte di un'operazione di aggiornamento dopo la creazione di account di AD per l'utente. Estendendo l'esempio precedente, si supponga che una nuova assunzione con ID dipendente "21451" venga attivata in Workday e che il manager del nuovo assunto (21023) abbia già un account AD. In questo scenario, la ricerca del log di controllo per l'utente 21451 mostra 5 voci.

I primi 4 record sono come quelli descritti come parte della creazione dell'utente. Il 5° record è l'esportazione associata aggiornamento dell'attributo manager. Il record del log mostra il risultato dell'operazione di aggiornamento manager dell'account AD, che viene eseguita usando l'attributo manager objectGuid.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Risoluzione degli errori più comuni

Questa sezione illustra gli errori più comuni riscontrati con il provisioning utenti Workday e la relativa risoluzione. Le macchine virtuali sono raggruppate come indicato di seguito:

• Errori agente di provisioning
• Errori di connettività
• Errori di creazione account utente AD
• Errori di aggiornamento account utente AD

Errori agente di provisioning

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Errore durante l'installazione dell'agente di provisioning con messaggio di errore: Impossibile avviare il servizio 'Microsoft Entra Connessione Provisioning Agent' (AAD Connessione ProvisioningAgent). Verificare di disporre di privilegi sufficienti per avviare il sistema.	Questo errore viene in genere visualizzato se si sta provando a installare l'agente di provisioning in un controller di dominio e il criterio di gruppo impedisce l'avvio del servizio. Viene visualizzato anche se si dispone di una versione precedente dell'agente in esecuzione e non è stato disinstallato prima di avviare una nuova installazione.	Installare l'agente di provisioning in un server non DC. Assicurarsi che le versioni precedenti dell'agente vengano disinstallate prima di installare il nuovo agente.
2.	Il servizio Windows 'Microsoft Entra Connessione Provisioning Agent' è in stato Di avvio e non passa allo stato In esecuzione.	Nell'ambito dell'installazione, la procedura guidata dell'agente crea un account locale (NT Service\AAD Connessione ProvisioningAgent) nel server e questo è l'account di accesso usato per avviare il servizio. Questo errore si verifica se un criterio di sicurezza nel server Windows impedisce agli account locali di eseguire i servizi.	Aprire la console dei servizi. Fare clic con il pulsante destro del mouse sul servizio Windows 'Microsoft Entra Connessione Provisioning Agent' e nella scheda di accesso specificare l'account di un amministratore di dominio per eseguire il servizio. Riavviare il servizio.
3.	Quando si configura l'agente di provisioning con il dominio di AD nel passaggio Connect Active Directory (Connetti Active Directory), la procedura guidata richiede troppo tempo a caricare lo schema di AD infine raggiunge il timeout.	Questo errore in genere viene visualizzato se la procedura guidata non riesce a contattare il server di controller di dominio AD a causa di problemi relativi al firewall.	Nella schermata di procedura guidata Connect Active Directory (Connetti Active Directory), pur fornendo le credenziali per il dominio AD, è presente un'opzione chiamata Select domain controller priority (Seleziona la priorità del controller di dominio). Usare questa opzione per selezionare un controller di dominio che sia presente nello stesso sito dell'agente del server e assicurarsi che non siano presenti regole firewall che bloccano la comunicazione.

Errori di connettività

Se il servizio di provisioning non è in grado di connettersi a Workday o Active Directory, ciò potrebbe causare lo stato di quarantena del provisioning stesso. Usare la tabella seguente per risolvere i problemi di connettività.

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Quando si fa clic su Test Connessione ion, viene visualizzato il messaggio di errore: Si è verificato un errore durante la connessione ad Active Directory. Assicurarsi che l'agente di provisioning locale sia in esecuzione e che sia configurato con il dominio di Active Directory corretto.	Questo errore viene in genere visualizzato se l'agente di provisioning non è in esecuzione o se è presente un firewall che blocca la comunicazione tra Microsoft Entra ID e l'agente di provisioning. È inoltre possibile visualizzare questo errore, se il dominio non è configurato nella procedura guidata dell'agente.	Aprire la console dei servizi nel server di Windows per verificare che l'agente sia in esecuzione. Aprire la configurazione guidata dell'agente di provisioning e verificare che il dominio corretto sia stato registrato con l'agente.
2.	Il processo di provisioning entra in stato di quarantena nei fine settimana (ven-sab) e si ottiene una notifica di posta elettronica che segnala la presenza di un errore con la sincronizzazione.	Una delle cause più comuni di questo errore è il tempo di inattività pianificato di Workday. Se si usa un tenant di implementazione di Workday, tenere presente che Workday ha pianificato i tempi di inattività per i suoi tenant di implementazione durante i fine settimana (in genere da venerdì sera a sabato mattina) e, in tale periodo, l'app di provisioning Workday potrebbe passare alla stato di quarantena perché non in grado di connettersi a Workday. Ritorna allo stato normale quando il tenant di implementazione di Workday torna online. In rari casi, è inoltre possibile visualizzare questo errore se la password utente del sistema di integrazione viene modificata a causa di un aggiornamento del tenant o se l'account è bloccato o scaduto.	Verificare con il proprio amministratore o partner di integrazione Workday per capire quando Workday pianifica i tempi di inattività per ignorare i messaggi di avviso durante il periodo di inattività e confermare la disponibilità una volta che l'istanza Workday è di nuovo online.

Errori di creazione account utente AD

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Errori dell'operazione di esportazione nel log di controllo con il messaggio Errore: OperationsError-SvcErr: Si è verificato un errore di operazione. Non è stato configurato alcun riferimento superiore per il servizio directory. Il servizio directory non è quindi in grado di emettere riferimenti a oggetti esterni a questa foresta.	Questo errore viene in genere visualizzato se l'unità organizzativa Contenitore di Active Directory non è impostata correttamente o se si verificano problemi con l'espressione di mapping usata per parentDistinguishedName.	Controllare il parametro unità organizzativa Contenitore Active Directory per errori di digitazione. Se si usa parentDistinguishedName nel mapping attributi, assicurarsi che esegue sempre la valutazione in un contenitore noto all'interno del dominio di AD. Verificare gli eventi di esportazione nei log di controllo per visualizzare il valore generato.
2.	Errori dell'operazione di esportazione nel log di controllo con codice errore: SystemForCrossDomainIdentityManagementBadResponse e messaggio Errore: ConstraintViolation-AtrErr: Un valore nella richiesta non è valido. Un valore per l'attributo non è compreso nell'intervallo di valori accettabile. \nError Details: CONSTRAINT_ATT_TYPE - company.	Mentre questo errore è specifico per l'attributo company (azienda) questo errore può verificarsi per gli altri attributi, ad esempio CN anche. Questo errore viene visualizzato a causa di un vincolo dello schema AD applicato. Per impostazione predefinita, come gli attributi società e CN in AD presentano un limite massimo di 64 caratteri. Se il valore proveniente da Workday conta più di 64 caratteri, verrà visualizzato il messaggio di errore.	Verificare l'evento di esportazione nei log di controllo per visualizzare il valore per l'attributo riportato nel messaggio di errore. Prendere in considerazione il troncamento di valore proveniente da Workday tramite la funzioneMid o modificare i mapping di un attributo di AD che non ha vincoli di lunghezza simili.

Errori di aggiornamento account utente AD

Durante il processo di aggiornamento dell'account utente di AD, il servizio di provisioning legge le informazioni da Workday e AD, esegue le regole di mapping degli attributi e determina se debba essere applicata una modifica. Di conseguenza si attiva un evento di aggiornamento. Se in uno di questi passaggi viene rilevato un errore, viene registrato nei log di controllo. Usare la tabella seguente per risolvere i problemi di aggiornamento.

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Errori di azione delle regole di sincronizzazione nel log di controllo con il messaggioEventName = EntrySynchronizationError ed ErrorCode = EndpointUnavailable.	Questo errore viene visualizzato se il servizio di provisioning non riesce a recuperare i dati del profilo utente da Active Directory a causa di un errore di elaborazione rilevato dagli agenti di provisioning locali.	Verificare nei log del Visualizzatore eventi dell'agente di provisioning per gli eventi di errore che indicano problemi con l'operazione di lettura (Filtra per ID evento n. 2).
2.	L'attributo manager in AD non viene aggiornato per determinati utenti in AD.	La causa più probabile di questo errore è l'uso di regole di ambito e se il responsabile dell'utente non fa parte dell'ambito. È anche possibile riscontrare questo problema se l'attributo ID corrispondente del manager (ad esempio EmployeeID) non viene trovato nella destinazione di dominio AD o non è impostato sul valore corretto.	Esaminare il filtro di ambito e aggiungere l'utente manager nell'ambito. Controllare il profilo manager in AD per assicurarsi che vi sia un valore per l'attributo ID corrispondente.

Gestire la configurazione

Questa sezione descrive come è possibile estendere, personalizzare e gestire ulteriormente la configurazione del provisioning utenti basato su Workday. Include gli argomenti seguenti:

• Personalizzazione dell'elenco di attributi utente di Workday
• Esportazione e importazione della configurazione

Personalizzazione dell'elenco di attributi utente di Workday

Le app di provisioning di Workday per Active Directory e Microsoft Entra ID includono entrambi un elenco predefinito degli attributi utente di Workday tra cui è possibile selezionare. Questi elenchi tuttavia non sono esaustivi. Workday supporta molte centinaia di attributi utente possibili, che possono essere standard o univoci per il tenant di Workday.

Il servizio di provisioning Microsoft Entra supporta la possibilità di personalizzare l'elenco o l'attributo Workday per includere tutti gli attributi esposti nel Get_Workers funzionamento dell'API Risorse umane.

A tale scopo, è necessario usare Workday Studio per estrarre le espressioni XPath che rappresentano gli attributi da usare e quindi aggiungerli alla configurazione di provisioning usando l'editor di attributi avanzato.

Per recuperare un'espressione XPath per un attributo utente di Workday:

1. Scaricare e installare Workday Studio. Per accedere al programma di installazione, è necessario un account della community di Workday.

2. Scaricare il file WSDL specifico Human_Resources di Workday per la versione dell'API WWS che si prevede di usare dalla directory dei servizi Web Workday.

3. Avviare Workday Studio.

4. Nella barra dei comandi selezionare l'opzione Servizio Web test Workday > in Tester .

5. Selezionare External (Esterno) e quindi selezionare il file Human_Resources WSDL scaricato al passaggio 2.

   

6. Impostare il campo Location (Percorso) su https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, ma sostituendo "IMPL-CC" con il tipo di istanza effettivo e "TENANT" con il vero nome del tenant.

7. Impostare Operation (Operazione) su Get_Workers

8. Fare clic sul piccolo collegamento configure (configura) sotto i riquadri relativi a richiesta e risposta per impostare le credenziali di Workday. Selezionare Authentication (Autenticazione) e quindi immettere nome utente e password per l'account di sistema di integrazione di Workday. Assicurarsi di formattare il nome utente come name@tenant e lasciare selezionata l'opzione WS-Security UsernameToken .

9. Seleziona OK.

10. Nel riquadro Richiesta, incollare il codice XML riportato di seguito. Impostare Employee_ID sull'ID del dipendente di un utente reale nel tenant di Workday. Impostare wd: version sulla versione di WWS che si prevede di usare. Selezionare un utente per il quale l'attributo da estrarre sia popolato.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Fare clic su Send Request (Invia richiesta) (freccia verde) per eseguire il comando. Se il comando ha esito positivo, la risposta verrà visualizzata nel riquadro Response (Risposta). Controllare la risposta per assicurarsi che contenga i dati dell'ID utente immesso e non un errore.

12. In caso di esito positivo, copiare il codice XML dal riquadro Response (Risposta) e salvarlo come file XML.

13. Nella barra dei comandi di Workday Studio selezionare File > apri file e aprire il file XML salvato. Questa azione permetterà l'apertura del file nell'editor XML di Workday Studio.

    

14. Nell'albero dei file passare a /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker per trovare i dati dell'utente.

15. In wd: Worker trovare l'attributo da aggiungere e selezionarlo.

16. Copiare l'espressione XPath per l'attributo selezionato dal campo Document Path (Percorso documento).

17. Rimuovere il prefisso /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ dall'espressione copiata.

18. Se l'ultimo elemento dell'espressione copiata è un nodo (ad esempio: "/wd: Birth_Date"), aggiungere /text() alla fine dell'espressione. Questo non è necessario se l'ultimo elemento è un attributo (ad esempio: "/@wd: type").

19. Il risultato dovrebbe essere simile a wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Questo è il valore che verrà copiato nel portale di Azure.

Per aggiungere l'attributo utente Workday personalizzato alla configurazione del provisioning:

1. Avviare il portale di Azure e passare alla sezione Provisioning dell'applicazione di provisioning di Workday, come descritto in precedenza in questa esercitazione.

2. Impostare Stato del provisioning su No e selezionare Salva. In questo modo, le modifiche verranno applicate solo quando si è pronti.

3. In Mapping selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza ruoli di lavoro di Workday in Active Directory locale) o Synchronize Workday Workers to Microsoft Entra ID (Sincronizza ruoli di lavoro workday con l'ID Microsoft Entra).

4. Scorrere fino alla parte inferiore della schermata successiva e selezionare Mostra opzioni avanzate.

5. Selezionare Modifica elenco attributi per Workday.

   

6. Scorrere fino alla fine dell'elenco di attributi, dove si trovano i campi di input.

7. Per Nome immettere un nome visualizzato per l'attributo.

8. Per Tipo selezionare il tipo appropriato per l'attributo (il più comune è String).

9. Per Espressione API immettere l'espressione XPath copiata da Workday Studio. Esempio: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Selezionare Aggiungi attributo.

    

11. Selezionare Salva sopra e quindi Sì nella finestra di dialogo. Chiudere la schermata Mapping attributi, se è ancora aperta.

12. Tornare alla scheda Provisioning principale, selezionare di nuovo Synchronize Workday Workers to On Premises Active Directory (Or Synchronize Workers to Microsoft Entra ID) (Sincronizza ruoli di lavoro in Locale Active Directory o Synchronize Workers to Microsoft Entra ID).

13. Selezionare Aggiungi nuovo mapping.

14. Il nuovo attributo dovrebbe ora essere visualizzato nell'elenco Attributo di origine.

15. Aggiungere un mapping per il nuovo attributo in base alle esigenze.

16. Al termine, ricordarsi di impostare Stato del provisioning di nuovo su Sì e salvare.

Esportazione e importazione della configurazione

Fare riferimento all'articolo Esportare e importare la configurazione del provisioning

Gestione dei dati personali

La soluzione di provisioning di Workday per Active Directory richiede l'installazione di un agente di provisioning in un server locale Windows. Questo agente crea i log nel registro eventi di Windows che può contenere informazioni personali a seconda dei mapping degli attributi da Workday in agli attributi mapping di AD. Per conformità agli obblighi di privacy degli utenti, è possibile garantire che nessun dato venga conservato nei registri eventi oltre le 48 ore impostando un'attività pianificata di Windows per eliminare il log eventi.

Il servizio di provisioning Microsoft Entra rientra nella categoria del responsabile del trattamento dei dati della classificazione GDPR. In quanto pipeline di elaborazione dati, Azure AD Connect Health fornisce servizi di elaborazione dati ai principali partner e utenti finali. Il servizio di provisioning Microsoft Entra non genera dati utente e non ha alcun controllo indipendente sui dati personali raccolti e sul modo in cui vengono usati. Il recupero dei dati, l'aggregazione, l'analisi e la creazione di report nel servizio di provisioning Di Microsoft Entra si basano sui dati aziendali esistenti.

Nota

Per informazioni sulla visualizzazione o l'eliminazione di dati personali, vedere le linee guida di Microsoft sulle richieste degli interessati di Windows per il sito GDPR . Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.

Per quanto riguarda la conservazione dei dati, il servizio di provisioning di Microsoft Entra non genera report, esegue analisi o fornisce informazioni dettagliate oltre 30 giorni. Pertanto, il servizio di provisioning Microsoft Entra non archivia, elabora o conserva i dati oltre 30 giorni. Questa progettazione è conforme alle normative GDPR, alle normative sulla conformità alla privacy Microsoft e ai criteri di conservazione dei dati di Microsoft Entra.

Passaggi successivi

• Altre informazioni sugli scenari di integrazione di Microsoft Entra ID e Workday e chiamate al servizio Web
• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning
• Informazioni su come configurare l'accesso Single Sign-On tra Workday e Microsoft Entra ID
• Informazioni su come configurare il writeback di Workday
• Informazioni su come usare le API Microsoft Graph per gestire le configurazioni di provisioning