Configurare Workday per il provisioning automatico degli utenti con Microsoft Entra ID

2025-06-18

Questo articolo descrive i passaggi da eseguire per effettuare il provisioning dei profili di lavoro da Workday in Active Directory (AD) locale.

Nota

Usare questo articolo se gli utenti di cui si vuole eseguire il provisioning da Workday necessitano di un account AD locale e di un account Microsoft Entra.

Se gli utenti di Workday hanno bisogno solo di un account Microsoft Entra (utenti esclusivamente cloud), fare riferimento all'articolo relativo alla configurazione del provisioning degli utenti di Workday in Microsoft Entra ID.
Per configurare il writeback di attributi, ad esempio indirizzo di posta elettronica, nome utente e numero di telefono da Microsoft Entra ID a Workday, vedere l'articolo relativo alla configurazione del writeback di Workday.

Il video seguente offre una rapida panoramica dei passaggi necessari per la pianificazione dell'integrazione del provisioning con Workday.

Panoramica

Il servizio di provisioning utenti di Microsoft Entra si integra con l'API Workday Human Resources per il provisioning degli account utente. I flussi di lavoro di provisioning utenti di Workday supportati dal servizio di provisioning utenti Microsoft Entra consentono l'automazione dei seguenti scenari di gestione del ciclo di vita delle risorse umane e delle identità:

Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a Workday, un account utente viene creato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID, con writeback delle informazioni di contatto gestite dall'IT in Workday.
Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in Workday (ad esempio il nome, il titolo o il manager), il proprio account utente viene aggiornato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, in Microsoft 365 e in altre applicazioni SaaS supportate da Microsoft Entra ID.
Terminazioni dei dipendenti: quando un dipendente viene terminato in Workday, l'account utente viene disabilitato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.
Nuove assunzioni dei dipendenti - Quando un dipendente viene riassunto in Workday, il suo vecchio account può essere automaticamente ripristinato o re-provisionato (a seconda della vostra preferenza) in Active Directory, Microsoft Entra ID e, opzionalmente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

Novità

Questa sezione illustra i recenti miglioramenti apportati all'integrazione con Workday. Per un elenco di aggiornamenti completi, modifiche pianificate e archivi, visitare Novità di Microsoft Entra ID?

Ottobre 2020 - Abilitato il provisioning su richiesta per Workday: Ora è possibile utilizzare il provisioning su richiesta per testare il provisioning end-to-end per un profilo utente specifico in Workday e verificare il mapping degli attributi e la logica delle espressioni.
Maggio 2020 - Possibilità di eseguire il writeback dei numeri di telefono in Workday: oltre alla posta elettronica e al nome utente, è ora possibile eseguire il writeback del numero di telefono di lavoro e il numero di telefono cellulare da Microsoft Entra ID a Workday. Per ulteriori dettagli, consultare l'esercitazione sull'app Writeback.
Aprile 2020 - Supporto per l'ultima versione dell'API di Workday Web Services (WWS): due volte l'anno a marzo e settembre, Workday offre aggiornamenti avanzati delle funzionalità che consentono di soddisfare gli obiettivi aziendali e modificare le esigenze della forza lavoro. Per mantenere il passo con le nuove funzionalità fornite da Workday, è possibile specificare direttamente la versione dell'API WWS che si vuole usare nell'URL di connessione. Per informazioni dettagliate su come specificare la versione dell'API Workday, vedere la sezione sulla configurazione della connettività di Workday.

Per chi è più adatta questa soluzione di provisioning utenti?

Questa soluzione di provisioning utenti Workday è particolarmente adatta per:

Organizzazioni che desiderano una soluzione predefinita basata sul cloud per il provisioning degli utenti di Workday
Le organizzazioni che richiedono il provisioning diretto degli utenti da Workday ad Active Directory o a Microsoft Entra ID
Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti dal modulo Workday HCM. Vedere Get_Workers
Organizzazioni che richiedono di aggiungere, spostare e rimuovere utenti per sincronizzare con una o più foreste, domini e unità organizzative di Active Directory basandosi solo su una modifica rilevata nel modulo Workday HCM (vedere Get_Workers)
Organizzazioni che usano Microsoft 365 per la posta elettronica

Architettura della soluzione

Questa sezione descrive l'architettura della soluzione di provisioning end-to-end degli utenti per i comuni ambienti ibridi. Esistono due flussi correlati:

Flusso di dati HR autorevole: da Workday a Active Directory locale: in questo flusso, eventi di lavoro come New Hires, Transfers, Terminations si verificano prima nel tenant hr di Workday cloud e quindi i dati degli eventi passano a Active Directory locale tramite Microsoft Entra ID e l'agente di provisioning. A seconda dell'evento, può determinare operazioni di creazione/aggiornamento/abilitazione o disabilitazione in Active Directory.
Flusso di writeback: da Active Directory locale a Workday: una volta completata la creazione dell'account in Active Directory, viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connect e informazioni quali posta elettronica, nome utente e numero di telefono possono essere riscritto in Workday.

Diagramma concettuale della panoramica.

Flusso di dati completo dell'utente

Il team delle risorse umane esegue transazioni di ruoli di lavoro (nuovi ingressi/spostamenti/abbandoni oppure nuove assunzioni/trasferimenti/risoluzioni) in Workday HCM
Il servizio di provisioning Microsoft Entra esegue sincronizzazioni pianificate delle identità da Workday HR e identifica le modifiche che devono essere elaborate per la sincronizzazione con Active Directory locale.
Il servizio di provisioning Microsoft Entra richiama l'agente locale di provisioning Microsoft Entra Connect con un payload di richiesta che contiene le operazioni di creazione/aggiornamento/abilitazione/disabilitazione dell'account AD.
Microsoft Entra Connect Provisioning Agent usa un account del servizio per aggiungere/aggiornare i dati dell'account AD.
Il motore di Sincronizzazione Microsoft Entra Connect/AD esegue la sincronizzazione differenziale per ottenere gli aggiornamenti da AD.
Gli aggiornamenti di Active Directory vengono sincronizzati con Microsoft Entra ID.
Se l'app Writeback di Workday è configurata, esegue il writeback di attributi come l'indirizzo di posta elettronica, il nome utente e il numero di telefono su Workday.

Pianificazione della distribuzione

La configurazione del provisioning degli utenti da Workday ad Active Directory richiede una pianificazione considerevole che tenga conto di diversi aspetti, quali:

Installazione dell'agente di provisioning di Microsoft Entra Connect
Numero di applicazioni per il provisioning degli utenti da Workday ad AD da distribuire
Selezione del corretto identificatore corrispondente, mappatura degli attributi, trasformazione e filtri di ambito

Per le linee guida complete e le procedure consigliate, vedere il piano di distribuzione delle applicazioni per la gestione di risorse umane basate sul cloud.

Configurare un utente del sistema di integrazione in Workday

Un requisito comune di tutti i connettori di provisioning Workday è la richiesta di credenziali di un utente del sistema di integrazione Workday per la connessione all'API Human Resources di Workday. Questa sezione descrive come creare un utente del sistema di integrazione in Workday e contiene le sezioni seguenti:

Creazione di un utente del sistema di integrazione
Creazione di un gruppo di sicurezza del sistema di integrazione
Configurazione delle autorizzazioni dei criteri di sicurezza del dominio
Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali
Attivazione delle modifiche apportate ai criteri di sicurezza

Nota

è possibile ignorare questa procedura e usare invece un account amministratore di Workday come account di integrazione del sistema. Questa operazione può funzionare correttamente per le demo, ma non è consigliata per le distribuzioni di produzione.

Creazione di un utente del sistema di integrazione

Per creare un utente di sistema di integrazione, seguire questa procedura:

Accedere al tenant di Workday usando un account amministratore. Nell'applicazione Workday immettere "create user" nella casella di ricerca e quindi fare clic su Create Integration System User (Crea utente del sistema di integrazione).
Completare l'attività Create Integration System User specificando un nome utente e una password per un nuovo utente del sistema di integrazione.
- Lascia deselezionata l'opzione Richiedi nuova password all'accesso successivo, perché l'utente accede tramite programmazione.
- Lasciare il valore predefinito di Minuti di Timeout della Sessione pari a 0, che impedisce il timeout prematuro delle sessioni dell'utente.
- Selezionare l'opzione Do Not Allow UI Sessions (Non consentire sessioni di interfaccia utente) in quanto aggiunge un livello di sicurezza che impedisce a un utente con la password del sistema di integrazione di accedere a Workday.

Creazione di un gruppo di sicurezza del sistema di integrazione

In questo passaggio si creerà un gruppo di sicurezza del sistema di integrazione non vincolato o vincolato in Workday e si assegnerà l'utente del sistema di integrazione creato nel passaggio precedente a questo gruppo.

Per creare un gruppo di sicurezza, seguire questa procedura:

Immettere "create security group" nella casella di ricerca e quindi fare clic su Create Security Group(Crea gruppo di sicurezza).
Completare l'attività Creare un gruppo di sicurezza.
- Esistono due tipi di gruppi di sicurezza in Workday:
  - Non vincolato: tutti i membri del gruppo di sicurezza possono accedere a tutte le istanze di dati protette dal gruppo di sicurezza.
  - Vincolato: tutti i membri del gruppo di sicurezza hanno accesso contestuale a un subset di istanze di dati (righe) a cui il gruppo di sicurezza può accedere.
- Verificare il partner di integrazione di Workday per selezionare il tipo di gruppo di sicurezza appropriato per l'integrazione.
- Una volta appurato il tipo di gruppo, selezionare Integration System Security Group (Unconstrained) (Gruppo di sicurezza del sistema di integrazione - Non vincolato) o Integration System Security Group (Constrained) (Gruppo di sicurezza del sistema di integrazione - Vincolato) dall'elenco a discesa Type of Tenanted Security Group (Tipo di gruppo di sicurezza con tenant).
Al termine della creazione del gruppo di sicurezza, verrà visualizzata una pagina in cui è possibile assegnare membri al gruppo di sicurezza. Aggiungere il nuovo utente del sistema di integrazione creato nel passaggio precedente a questo gruppo di sicurezza. Se si usa un gruppo di sicurezza vincolato , è necessario selezionare l'ambito dell'organizzazione appropriato.

Configurazione delle autorizzazioni dei criteri di sicurezza del dominio

In questo passaggio concederai al gruppo di sicurezza le autorizzazioni dei criteri di sicurezza del dominio per i dati dei lavoratori.

Per configurare le autorizzazioni dei criteri di sicurezza del dominio:

Immettere Security Group Membership and Access nella casella di ricerca e fare clic sul collegamento al report.
Cercare e selezionare il gruppo di sicurezza creato nel passaggio precedente.
Fare clic sui puntini di sospensione (...) accanto al nome del gruppo e dal menu selezionare Security Group > Maintain Domain Permissions for Security Group (Gestisci autorizzazioni di dominio per il gruppo di sicurezza)
In Integration Permissions (Autorizzazioni di integrazione) aggiungere i domini seguenti all'elenco Domain Security Policies permitting Put access (Criteri di sicurezza che consentono l'accesso Put)
- External Account Provisioning (Provisioning account esterno)
- Dati dei lavoratori: Rapporti pubblici sui lavoratori
- Dati delle persone: informazioni sul contatto aziendale (obbligatorio se si prevede di eseguire il writeback dei dati dei contatti da Microsoft Entra ID a Workday)
- Account Workday (obbligatori se si prevede di restituire il nome utente/UPN da Microsoft Entra ID a Workday)
In Integration Permissions (Autorizzazioni di integrazione) aggiungere i domini seguenti all'elenco Domain Security Policies permitting Get access (Criteri di sicurezza che consentono l'accesso Get)
- Dati dei lavoratori: Lavoratori
- Worker Data: All Positions (Dati ruolo di lavoro: tutte le posizioni)
- Dati dei Lavoratori: Informazioni Attuali sul Personale
- Dati del lavoratore: Titolo aziendale nel Profilo del Lavoratore
- Dati lavoratore: lavoratori qualificati (facoltativo: aggiungere per recuperare i dati sulla qualificazione dei lavoratori per il provisioning)
- Dati del ruolo di lavoro: competenze ed esperienza (facoltativo: aggiungere questa opzione per recuperare i dati delle competenze del ruolo di lavoro per il provisioning)
Dopo aver completato i passaggi precedenti, la schermata delle autorizzazioni viene visualizzata come illustrato di seguito:
Fare clic su OK e su Done (Fatto) nella schermata successiva per completare la configurazione.

Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali

In questo passaggio si concedono al gruppo di sicurezza le autorizzazioni della politica di sicurezza dei processi aziendali per i dati dei lavoratori.

Nota

Questo passaggio è necessario solo per configurare il connettore dell'app Writeback di Workday.

Per configurare le autorizzazioni dei criteri di sicurezza dei processi aziendali:

Immettere Business Process Policy (Criteri di processi aziendali) nella casella di ricerca e quindi fare clic sul collegamento Edit Business Process Security Policy (Modifica criteri di sicurezza dei processi aziendali).
Nella casella di testo Tipo di processo aziendale, cercare Contatto e selezionare il processo aziendale Modifica contatto di lavoro, quindi fare clic su OK.
Nella pagina Modifica criteri di sicurezza dei processi aziendali scorrere fino alla sezione Cambia informazioni di contatto di lavoro (servizio Web).
Selezionare e aggiungere il nuovo gruppo di sicurezza del sistema di integrazione all'elenco dei gruppi di sicurezza che possono avviare la richiesta di servizi Web.
Fare clic su Done (Fine).

Attivazione delle modifiche apportate ai criteri di sicurezza

Per attivare le modifiche apportate ai criteri di sicurezza, seguire questa procedura:

Immettere "activate" (attiva) nella casella di ricerca e quindi fare clic sul collegamento Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza).
Avviare l'attività Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza) immettendo un commento a scopo di controllo e quindi fare clic su OK.
Completare l'attività nella schermata successiva selezionando la casella di controllo Confirm (Conferma) e quindi facendo clic su OK.

Prerequisiti per l'installazione dell'agente di provisioning

Prima di procedere con la sezione successiva, esaminare i prerequisiti per l'installazione dell'agente di provisioning.

Configurazione del provisioning utenti da Workday a Active Directory

Questa sezione descrive i passaggi per il provisioning degli account utente da Workday in ogni dominio di Active Directory nell'ambito della tua integrazione.

Aggiungere l'app del connettore di provisioning e scaricare l'agente di provisioning
Installare e configurare gli agenti di provisioning locali
Configurare la connettività in Workday e Active Directory
Configurare i mapping degli attributi
Abilitare e avviare il provisioning degli utenti

Parte 1: Aggiungere l'app connettore di provisioning e scaricare l'Agente di Provisioning

Per configurare il provisioning da Workday in Active Directory:

Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Naviga su Entra ID>Applicazioni aziendali>Nuova applicazione.
Cercare Workday to Active Directory User Provisioning e aggiungere tale app dalla raccolta.
Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning.
Modificare Modalità di provisioning su Automatico.
Fare clic sul banner di informazioni visualizzato per scaricare l'agente di provisioning.

Parte 2: Installare e configurare gli agenti di provisioning locali

Per effettuare il provisioning in Active Directory locale, è necessario installare l'agente di provisioning in un server aggiunto al dominio e con accesso di rete ai domini di Active Directory richiesti.

Trasferire il programma di installazione dell'agente scaricato nell'host del server e seguire i passaggi indicati nella sezione Installare l'agente per completare la configurazione dell'agente.

Parte 3: Nell'app di provisioning configurare la connettività a Workday e Active Directory

In questo passaggio viene stabilita la connettività con Workday e Active Directory.

Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Entra ID>App aziendali>, quindi all'app di provisioning dell'utente di Workday in Active Directory creata nella Parte 1.

Completare la sezione Credenziali amministratore come segue:

Nome utente Workday: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant. Dovrebbe essere simile al seguente: username@tenant_name
Password Workday: immettere la password dell'account del sistema di integrazione Workday

URL dell'API Workday Web Services: immettere l'URL dell'endpoint di Workday Web Services per il tenant. L'URL determina la versione dell'API Workday Web Services usata dal connettore.

Formato di URL	Versione dell'API Workday Web Services usata	Modifiche XPATH necessarie
https://####.workday.com/ccx/service/tenantName	v21.1	NO
https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	NO
https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##. #	Sì

Nota

Se non sono specificate informazioni sulla versione nell'URL, l'app usa Workday Web Services (WWS) v21.1 e non è necessario apportare modifiche alle espressioni predefinite dell'API XPATH fornite con l'app. Per usare una versione specifica dell'API WWS, specificare il numero di versione nell'URL
Esempio: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

Se stai utilizzando un'API WWS v30.0+, prima di attivare il job di provisioning, aggiorna le espressioni dell'API XPATH in facendo riferimento alla sezione > e >.

Foresta di Active Directory: il "Nome" del dominio di Active Directory, come registrato presso l'agente. Usare l'elenco a discesa per selezionare il dominio di destinazione per il provisioning. In genere, il valore corrisponde a una stringa simile a: contoso.com
Contenitore di Active Directory - immettere il DN del contenitore in cui l'agente deve creare gli account utente di default. Esempio: OU=Standard Users,OU=Users,DC=contoso,DC=test

Nota

Questa impostazione viene eseguita solo per le creazioni di account utente se l'attributo parentDistinguishedName non è configurato nei mapping degli attributi. Questa impostazione non viene usata per le operazioni di ricerca o aggiornamento degli utenti. L'intero sottoalbero del dominio rientra nell'ambito dell'operazione di ricerca.
Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

Nota

Il servizio di provisioning Microsoft Entra invia una notifica via email quando il processo di provisioning entra in uno stato di quarantena.
Fare clic sul pulsante Test connessione. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. Se fallisce, controllare che le credenziali di Workday e di Active Directory impostate sulla configurazione dell'agente siano valide.
Dopo aver salvato correttamente le credenziali, la sezione Mappings mostra il mapping predefinito Synchronize Workday Workers to On Premises Active Directory

Parte 4: Configurare i mapping degli attributi

In questa sezione viene configurato il flusso dei dati utente da Workday ad Active Directory.

Nella scheda Provisioning sotto Mappe, fare clic su Sincronizza i lavoratori di Workday nella Active Directory locale.
Nel campo Source Object Scope (Ambito dell'oggetto di origine) è possibile selezionare i set di utenti in Workday da includere nell'ambito per il provisioning in AD, definendo un set di filtri basati su attributi. L'ambito predefinito è "tutti gli utenti in Workday". Filtri di esempio:
- Esempio: ambito per gli utenti con ID di lavoro compreso tra 1000000 e 2000000 (escluso 2000000)
  - Attributo: WorkerID
  - Operatore: Corrispondenza REGEX
  - Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])
- Esempio: Solo i dipendenti, senza i lavoratori occasionali
  - Attributo: EmployeeID
  - Operatore: non è NULL
Suggerimento

Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping e le espressioni degli attributi per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare filtri di ambito in Ambito dell'oggetto di origine e provisioning su richiesta per testare le mappature con alcuni utenti di test di Workday. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

Attenzione

Il comportamento predefinito del motore di provisioning è disabilitare/eliminare gli utenti che non rientrano nell'ambito. Questa operazione è sconsigliabile per l'integrazione da Workday ad Active Directory. Per eseguire l'override di questo comportamento predefinito, fare riferimento all'articolo Ignorare l'eliminazione di account utente che non rientrano nell'ambito
Nel campo Target Object Actions (Azioni oggetto di destinazione) è possibile applicare un filtro a livello globale per le azioni che vengono eseguite in Active Directory. Create (Crea) e Update (Aggiorna) sono le più comuni.
Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.
Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping. Il mapping di un singolo attributo supporta queste proprietà:
- Tipo di mappatura
  - Direct (Diretto): scrive il valore dell'attributo di Workday nell'attributo di AD, senza modifiche
  - Costant (Costante): scrive un valore stringa costante statico nell'attributo di AD
  - Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday. Per altre informazioni, vedere questo articolo sulle espressioni.
- Attributo di origine: l'attributo utente in Workday. Se l'attributo che si sta cercando non è presente, vedere Personalizzazione dell'elenco degli attributi utente di Workday.
- Valore predefinito: facoltativo. Se l'attributo di origine ha un valore vuoto, il mapping scrive invece questo valore. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.
- Attributo di destinazione: l'attributo utente in Active Directory.
- Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Active Directory. In genere, è impostato nel campo ID lavoratore in Workday, che solitamente è associato a uno degli attributi ID dipendente in Active Directory.
- Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.
- Applica questa mappatura
  - Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente
  - Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente
Per salvare i mapping, fare clic su Save nella parte superiore della sezione Mapping attributi.

Di seguito sono riportati alcuni esempi di mapping degli attributi tra Workday e Active Directory, con alcune espressioni comuni

L'espressione che esegue il mapping all'attributo parentDistinguishedName viene usata per effettuare il provisioning di un utente in diverse unità organizzative in base a uno o più attributi di origine di Workday. Questo esempio inserisce gli utenti in unità organizzative diverse in base alla città in cui si trovano.
L'attributo userPrincipalName in Active Directory viene generato usando la funzione di deduplicazione SelectUniqueValue che verifica l'esistenza di un valore generato nel dominio di ACTIVE Directory di destinazione e lo imposta solo se è univoco.
qui è disponibile la documentazione sulla scrittura di espressioni. Questa sezione include alcuni esempi di come rimuovere i caratteri speciali.

ATTRIBUTO DI WORKDAY	ATTRIBUTO DI ACTIVE DIRECTORY	ID CORRISPONDENTE?	CREAZIONE / AGGIORNAMENTO
WorkerID	EmployeeID	Sì	Scritto solo al momento della creazione
PreferredNameData	Cina		Scritto solo al momento della creazione
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com"))	NomePrincipaleUtente		Scritto solo al momento della creazione
`Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\\|\\=\\,\\+\\\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)$", , "", , )`	sAMAccountName		Scritto solo al momento della creazione
Switch([Active], , "0", "Vero", "1", "Falso")	accountDisattivato		Creazione e aggiornamento
FirstName	givenName		Creazione e aggiornamento
LastName	Sn		Creazione e aggiornamento
PreferredNameData	nome visualizzato		Creazione e aggiornamento
Azienda	azienda		Creazione e aggiornamento
Organizzazione di Supervisione	dipartimento		Creazione e aggiornamento
ManagerReference	responsabile		Creazione e aggiornamento
BusinessTitle	titolo		Creazione e aggiornamento
AddressLineData	indirizzo		Creazione e aggiornamento
Comune	l		Creazione e aggiornamento
CountryReferenceTwoLetter	co		Creazione e aggiornamento
CountryReferenceTwoLetter	c		Creazione e aggiornamento
CountryRegionReference	Senza contesto, "st" non può essere tradotto correttamente.		Creazione e aggiornamento
WorkSpaceReference	Nome dell'Ufficio di Consegna Fisica		Creazione e aggiornamento
PostalCode	codice postale		Creazione e aggiornamento
Telefono di Lavoro Primario	numero di telefono		Creazione e aggiornamento
Fax	numero di fax		Creazione e aggiornamento
Dispositivi mobili	per dispositivi mobili		Creazione e aggiornamento
LocalReference	linguaPreferita		Creazione e aggiornamento
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "SEATTLE", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso=com")	nomeDistintoPadre		Creazione e aggiornamento

Una volta completata la configurazione del mapping degli attributi, è possibile testare il provisioning per un singolo utente usando il provisioning su richiesta e quindi abilitare e avviare il servizio di provisioning degli utenti.

Abilitare e avviare la gestione del provisioning degli utenti

Dopo aver completato le configurazioni dell'app di provisioning Workday e aver verificato il provisioning per un singolo utente con provisioning su richiesta, puoi attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita, quando si attiva il servizio di provisioning, avvia le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati in Workday, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti di test con il provisioning su richiesta prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

Passare al pannello Provisioning e fare clic su Start provisioning (Avvia provisioning).
Questa operazione avvia la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Workday. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.
In qualsiasi momento, controllare la scheda Provisioning nell'interfaccia di amministrazione di Microsoft Entra per visualizzare le azioni eseguite dal servizio di provisioning. I registri di provisioning elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio quali utenti vengono prelevati da Workday e quindi aggiunti o aggiornati su Active Directory. Vedere la sezione Risoluzione dei problemi per istruzioni su come esaminare i log di provisioning e correggere gli errori di provisioning.
Al termine della sincronizzazione iniziale, scrive un report di riepilogo del controllo nella scheda Provisioning , come illustrato di seguito.

Domande frequenti

Domande relative alla funzionalità di soluzione
Domande sull'agente di provisioning
Domande relative al mapping e alla configurazione di attributi da Workday per Active Directory

Domande relative alla funzionalità di soluzione

Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?

Quando l'agente di provisioning locale ottiene una richiesta per creare un nuovo account di AD, viene generata automaticamente una password casuale complessa progettata per soddisfare i requisiti di complessità delle password definiti dal server AD e la imposta per l'oggetto utente. Questa password non viene registrata da nessuna parte.

La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?

No, l'invio di notifiche tramite posta elettronica dopo il completamento delle operazioni di provisioning non è supportato nella versione corrente.

La soluzione memorizza nella cache i profili utente di Workday nel cloud Microsoft Entra o a livello dell'agente di provisioning?

No, la soluzione non gestisce una cache di profili utente. Il servizio di provisioning di Microsoft Entra funge semplicemente da responsabile del trattamento dei dati, leggendo i dati da Workday e scrivendo nell'Active Directory di destinazione o nell'ID di Microsoft Entra. Vedere la sezione Managing personal data (Gestione dei dati personali) per dettagli relativi alla privacy e alla conservazione dei dati dell'utente.

La soluzione supporta l'assegnazione in locale di gruppi di AD all'utente?

Questa funzionalità non è attualmente supportata. La soluzione alternativa consigliata consiste nel distribuire uno script di PowerShell che esegue una query sull'endpoint dell'API Microsoft Graph per il provisioning dei dati di log e usarlo per attivare scenari come l'assegnazione di gruppi. Questo script di PowerShell può essere collegato a un'utilità di pianificazione e distribuito nella stessa finestra in cui è in esecuzione l'agente di provisioning.

Quali API di Workday vengono usate dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?

La soluzione attualmente usa le API di Workday seguenti:

Il formato dell'URL dell'API dei servizi Web Workday usato nella sezioneCredenziali amministratore, determina la versione dell'API usata per Get_Workers
- Se il formato dell'URL è : https://####.workday.com/ccx/service/tenantName , viene usata l'API v21.1.
- Se il formato dell'URL è: https://####.workday.com/ccx/service/tenantName/Human_Resources , viene usata l'API v21.1
- Se il formato dell'URL è : https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# , viene usata la versione api specificata. Ad esempio: se viene specificata la versione 34.0, viene usata.
La funzionalità di writeback della posta elettronica di Workday usa Change_Work_Contact_Information (v30.0)
La funzionalità di writeback del nome utente di Workday usa Update_Workday_Account (v31.2)

È possibile configurare il tenant di Workday HCM con due tenant di Microsoft Entra?

Sì, questa configurazione è supportata. Ecco i passaggi di livello elevato per configurare questo scenario:

Distribuire l'agente di provisioning #1 e registrarlo con il tenant di Microsoft Entra #1.
Distribuire l'agente di provisioning #2 e accreditarlo presso il tenant di Microsoft Entra #2.
In base ai "domini figlio" che ciascun agente di approvvigionamento gestisce, configurare ogni agente con i suddetti domini. Un agente può gestire più domini.
Nell'interfaccia di amministrazione di Microsoft Entra, configurare la Workday to AD User Provisioning App in ogni tenant e configurarla con i rispettivi domini.

I commenti sono molto apprezzati, perché aiutano a stabilire la direzione per miglioramenti e versioni future. Microsoft accoglie tutti i commenti e suggerimenti e invita l'utente a inviare un'idea o un suggerimento di miglioramento nel forum di feedback di Microsoft Entra ID. Per feedback specifici relativi all'integrazione di Workday, selezionare la categoria SaaS Applications (Applicazioni SaaS) ed effettuare la ricerca usando le parole chiave Workday per commenti e suggerimenti relativi a Workday.

Screenshot di UserVoice Workday.

Quando si suggerisce una nuova idea, verificare se altri utenti hanno già suggerito una funzionalità simile. In tal caso, è possibile votare a favore della richiesta di funzionalità o miglioramento. È anche possibile lasciare un commento relativo al caso d'uso specifico per mostrare il supporto per l'idea e dimostrare come la funzionalità è utile anche per te.

Domande relative all'agente di provisioning

Qual è la versione disponibile a livello generale dell'agente di provisioning?

Vedere Microsoft Entra Connect Provisioning Agent: Cronologia delle versioni per la versione disponibile a livello generale più recente dell'agente di provisioning.

Come posso sapere qual è la versione del mio Agente di Provisioning?

Accedere al server di Windows in cui è installato l'agente di provisioning.
Passare a Pannello di> controlloDisinstalla o Cambia un menu Programma.
Cercare la versione corrispondente alla voce Microsoft Entra Connect Provisioning Agent.

Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?

Sì, Microsoft aggiorna automaticamente l'agente di provisioning se il servizio Windows Microsoft Entra Connect Agent Updater è operativo.

È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect?

Sì, è possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect.

Al momento della configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra. L'agente archivia le credenziali in locale nel server?

Durante la configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra solo per connettersi al tenant di Microsoft Entra. Non archivia le credenziali in locale nel server. Tuttavia mantiene le credenziali utilizzate per connettersi al dominio locale di Active Directory in un archivio locale delle password di Windows.

Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?

L'agente di provisioning supporta l'utilizzo di proxy in uscita. È possibile configurarla modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Aggiungere le righe seguenti, verso la fine del file subito prima del tag di chiusura </configuration> . Sostituire le variabili [server proxy] e [proxy-port] con il nome del server proxy e i valori della porta.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Come posso assicurarmi che l'agente di provisioning sia in grado di comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?

È anche possibile verificare se tutte le porte necessarie sono aperte.

Un agente di provisioning può essere configurato per effettuare il provisioning di più domini di Active Directory?

Sì, un agente di provisioning può essere configurato per gestire più domini di AD purché l'agente comunichi con i controller di dominio corrispondenti. Microsoft consiglia di configurare un gruppo di 3 agenti di provisioning che gestiscono lo stesso set di domini di Active Directory per garantire la disponibilità elevata e fornire supporto per il failover.

Come annullare la registrazione del dominio associato all'agente di provisioning?

*, ottieni l'ID del tenant di Microsoft Entra.

Accedere al server di Windows in cui è installato l'agente di provisioning.
Aprire PowerShell come amministratore Windows.

Passare alla directory contenente gli script di registrazione ed eseguire i comandi seguenti sostituendo il parametro [ID tenant] con il valore dell'ID tenant.

cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

Nell'elenco di agenti che vengono visualizzati: copiare il valore del campo id dalla risorsa la cui proprietà resourceName è uguale al nome di dominio Active Directory.

Incollare il valore ID in questo comando ed eseguire il comando in Powershell.

Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

Ripetere la configurazione guidata dell'agente.
Tutti gli altri agenti assegnati in precedenza a questo dominio devono essere riconfigurati.

Come posso disinstallare l'agente di provisioning?

Accedere al server di Windows in cui è installato l'agente di provisioning.
Vai a Pannello di> controlloDisinstalla o Cambia un menu Programma
Disinstallare i programmi seguenti:
- Agente di Provisioning di Microsoft Entra Connect
- Aggiornamento dell'agente di Microsoft Entra Connect
- Pacchetto dell'agente di provisioning Microsoft Entra Connect

Domande su mapping degli attributi e configurazione da Workday ad Active Directory

Come eseguire il backup o esportare una copia funzionante della mappatura e dello schema degli attributi di provisioning di Workday?

È possibile usare l'API Microsoft Graph per esportare la configurazione di provisioning utenti di Workday. Fare riferimento ai passaggi descritti nella sezione Exporting and Importing your Workday User Provisioning Attribute Mapping configuration (Esportare e importare la configurazione del mapping attributi di provisioning utenti di Workday) per informazioni dettagliate.

Io ho attributi personalizzati in Workday e Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?

La soluzione supporta gli attributi personalizzati di Workday e Active Directory. Per aggiungere attributi personalizzati allo schema di mapping, aprire il pannello Attribute Mapping (Mapping degli attributi) e scorrere verso il basso per espandere la sezione Show advanced options (Mostra opzioni avanzate).

Screenshot di Modifica Elenco Attributi.

Per aggiungere gli attributi di Workday personalizzati, selezionare l'opzione Edit attribute list for Workday (Modifica elenco attributi per Workday); per aggiungere attributi AD personalizzati, selezionare l'opzione Edit attribute list for On Premises Active Directory (Modifica elenco attributi per Active Directory locale).

Vedere anche:

Personalizzazione dell'elenco di attributi utente di Workday

Come si configura la soluzione per aggiornare solo gli attributi in Active Directory in base ai cambiamenti di Workday per non creare nuovi account Active Directory?

Questa configurazione può essere ottenuta impostando Azioni oggetto di destinazione nel pannello Mapping degli attributi come illustrato di seguito:

Screenshot dell'azione di aggiornamento.

Selezionare la casella di controllo "Update" (Aggiorna) solo per le operazioni di aggiornamento da Workday ad Active Directory.

È possibile effettuare il provisioning delle foto dell'utente da Workday ad Active Directory?

La soluzione attualmente non supporta l'impostazione di attributi binari come thumbnailPhoto e jpegPhoto in Active Directory.

Passare alla scheda "Provisioning" dell'applicazione di provisioning di Workday.
Fare clic sulle mappature degli attributi
In Mapping, selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza lavoratori di Workday con Active Directory locale) o Synchronize Workday Workers to Microsoft Entra ID (Sincronizza lavoratori di Workday con Microsoft Entra ID).
Nella pagina dei mapping degli attributi, scorrere verso il basso e selezionare la casella "Show Advanced Options" (Mostra opzioni avanzate). Selezionare Edit attribute list for Workday (Modifica elenco attributi per Workday)
Nel pannello che si apre individuare l'attributo "Mobile" e fare clic sulla riga per poter modificare l'espressione API

Sostituire l'espressione API con la nuova espressione seguente, che recupera il numero del cellulare di lavoro solo se "Public Usage Flag" (Flag di utilizzo pubblico) è impostato su "True" in Workday.

 wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

Salvare l'elenco degli attributi.
Salva la mappatura degli attributi.
Cancellare lo stato corrente e riavviare la sincronizzazione completa.

Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?

è un requisito comune configurare l'attributo displayName in AD in modo che fornisca anche informazioni sul reparto e sul paese/regione dell'utente. Ad esempio, se John Smith lavora nel Reparto marketing negli Stati Uniti, è possibile che il suo displayName venga visualizzato come Smith, John (Marketing-US).

Ecco come gestire tali requisiti per la costruzione di CN o displayName per includere attributi come società, business unit, città o paese/area geografica.

Ogni attributo di Workday viene recuperato usando un'espressione API XPATH sottostante, configurabile in Mapping attributi -> Sezione avanzata -> Modifica elenco di attributi per Workday. Ecco l'espressione API XPATH predefinita per gli attributi di Workday PreferredFirstName, PreferredLastName, Company e SupervisoryOrganization.

Attributo di Workday	Espressione API XPATH
NomePreferito	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
CognomePreferito	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
Azienda	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
Organizzazione di Supervisione	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

Confermare assieme al proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).

Analogamente, le informazioni relative al paese/area presenti in Workday vengono recuperate usando l'XPATH seguente: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

Sono disponibili 5 attributi relativi al paese/area che sono disponibili nella sezione dell'elenco attributi di Workday.

Attributo di Workday	Espressione API XPATH
CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
PaeseRiferimentoAmichevole	wd:Lavoratore/wd:Dati_Lavoratore/wd:Dati_Occupazione/wd:Dati_Posizione/wd:Dati_Riepilogo_Sito_Aziendale/wd:Dati_Indirizzo/wd:Riferimento_Paese/@wd:Descrittore
RiferimentoNumericoPaese	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
RiferimentoPaeseRegione	wd:Lavoratore/wd:Dati_Lavoratore/wd:Dati_Impiegato/wd:Dati_Posizione/wd:Dati_Riepilogo_Sede_Aziendale/wd:Dati_Indirizzo/wd:Riferimento_Paese_Regione/@wd:Descrittore

Verificare con il proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).

Per compilare la corretta espressione di mapping degli attributi, identificare quale attributo di Workday "autorevolmente" rappresenta il nome, il cognome, il paese/area geografica e il reparto dell'utente. Si supponga che gli attributi siano rispettivamente PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter e SupervisoryOrganization. È possibile usare questo attributo per compilare un'espressione per l'attributo di Active Directory displayName come indicato di seguito per ottenere un nome visualizzato, come Smith, John (Marketing-US).
```
 Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
```
Dopo aver ottenuto l'espressione corretta, modificare la tabella Mapping attributi e modificare la mappatura dell'attributo displayName come illustrato di seguito:
Ampliando l'esempio precedente, si consideri l'ipotesi di convertire i nomi di città provenienti da Workday in valori a sintassi abbreviata e usarli per creare nomi visualizzati, come Smith, John (CHI) oppure Doe, Jane (NYC), allora questo risultato può essere ottenuto usando un'espressione Switch con l'attributo Workday Municipality come variabile determinante.
```
Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)
```
Vedere anche:

Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?

Si consideri l'ipotesi di generare valori univoci per l'attributo samAccountName mediante una combinazione degli attributi FirstName e LastName da Workday. Di seguito un'espressione che è possibile iniziare con:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Funzionamento dell'espressione precedente: se l'utente è John Smith, prova prima a generare JSmith, se JSmith esiste già, quindi genera JoSmith, se esistente, genera JohSmith. L'espressione assicura anche che il valore generato soddisfi il limite di lunghezza e le limitazioni di caratteri speciali associati a samAccountName.

Vedere anche:

Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?

Usare la funzione NormalizeDiacritics per rimuovere i caratteri speciali nel nome e cognome dell'utente durante la creazione di un indirizzo di posta elettronica o valore CN per l'utente.

Suggerimenti per la risoluzione dei problemi

Questa sezione fornisce indicazioni specifiche su come risolvere i problemi di provisioning con l'integrazione di Workday usando i log di provisioning di Microsoft Entra e i log del Visualizzatore Eventi di Windows Server. Si basa sui passaggi e i concetti di risoluzione dei problemi generici acquisiti nell'esercitazione : Creazione di report sul provisioning automatico degli account utente

Questa sezione contiene gli aspetti della risoluzione problemi seguenti:

Configurare l'agente di provisioning per generare i log del Visualizzatore eventi
Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente
Configurazione dei log di provisioning dell'interfaccia di amministrazione di Microsoft Entra per la risoluzione di problemi del servizio
Comprensione dei log per le operazioni di creazione degli account utente di AD
Comprensione dei log per operazioni di aggiornamento del Manager
Risoluzione degli errori più comuni

Configurare l'agente di provisioning per generare i log del Visualizzatore Eventi

Accedere al computer Windows Server in cui è distribuito l'agente di provisioning
Arrestare il servizio Microsoft Entra Connect Provisioning Agent.
Creare una copia del file di configurazione originale: C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Sostituire la sezione <system.diagnostics> esistente con quella seguente.

Il listener di configurazione etw genera messaggi nei log del Visualizzatore eventi.
Il listener textWriterListener di configurazione invia messaggi di traccia al file ProvAgentTrace.log. Rimuovere il commento dalle righe correlate a textWriterListener solo per la risoluzione avanzata dei problemi.

  <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

Avviare il servizio Microsoft Entra Connect Provisioning Agent.

Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente

Accedere al computer Windows Server in cui è installato l'agente di provisioning
Aprire l'app desktop Visualizzatore eventi di Windows Server.
Selezionare >.
Usare l'opzione Filtra log corrente... per visualizzare tutti gli eventi registrati sotto la fonte Microsoft Entra Connect Provisioning Agent ed escludere gli eventi con ID evento "5", specificando il filtro "-5", come illustrato di seguito.

Nota

L'ID evento 5 acquisisce i messaggi di bootstrap dell'agente nel servizio cloud Microsoft Entra e quindi lo filtra durante l'analisi dei file di log.
Fare clic su OK e ordinare la visualizzazione dei risultati dalla colonna di data e ora.

Configurare i registri di provisioning del centro di amministrazione di Microsoft Entra per la risoluzione dei problemi del servizio.

Avviare il centro di amministrazione di Microsoft Entra e passare alla sezione Provisioning dell'applicazione di provisioning Workday.
Utilizzare il pulsante Colonne nella pagina dei log di provisioning per visualizzare solo le seguenti colonne nella visualizzazione (Data, Attività, Stato, Motivo dello stato). Questa configurazione permette di concentrare l'attenzione solo sui dati rilevanti per la risoluzione dei problemi.
Usare i parametri di query Destinazione e Intervallo di date per filtrare la visualizzazione.
- Impostare il parametro di query Destinazione sull'"ID lavoratore" o "ID dipendente" dell'oggetto lavoratore di Workday.
- Impostare Date Range (Intervallo di date) per un periodo di tempo appropriato ad analizzare errori o problemi con il provisioning.
Screenshot dei filtri del log di provisioning.

Comprensione dei log per le operazioni di creazione dell'account utente AD

Quando viene rilevato un nuovo assunto in Workday (ad esempio con ID dipendente 21023), il servizio di provisioning di Microsoft Entra tenta di creare un nuovo account utente di Active Directory per il lavoratore e durante il processo crea 4 record di log di provisioning, come descritto di seguito.

Quando si fa clic su uno dei registri di provisioning, viene visualizzata la pagina Dettagli dell'attività. Ecco cosa visualizza la pagina Dettagli attività per ogni tipo di record di log.

Record di importazione di Workday: questo record del registro visualizza le informazioni sul lavoratore recuperate da Workday. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.

ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

Record di importazione di Active Directory: questo record di log visualizza le informazioni dell'account recuperato da AD. Poiché durante la creazione iniziale dell'utente non esiste alcun account AD, il Motivo dello stato dell'attività indica che non è stato trovato alcun account con il valore dell'attributo ID corrispondente in Active Directory. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.
```
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
```
Per trovare i record di log dell'agente di provisioning corrispondenti a questa operazione di importazione di Active Directory, aprire i log di Windows Visualizzatore Eventi e usare l'opzione di menu Trova... per trovare le voci di log contenenti il valore dell'attributo Identificazione corrispondente/Proprietà di join (in questo caso 21023).

Cercate la voce con ID Evento = 9, che fornisce il filtro di ricerca LDAP usato dall'agente per recuperare l'account AD. È possibile verificare se questo è il filtro di ricerca corretto per recuperare i record univoci degli utenti.

Il record che lo segue immediatamente con Event ID = 2 acquisisce il risultato dell'operazione di ricerca e comunica se ha prodotto risultati.
Azione della regola di sincronizzazione: questo record di registro mostra i risultati delle regole di mappatura degli attributi e i filtri di ambito configurati insieme all'azione di provisioning intrapresa per elaborare l'evento Workday in arrivo. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'azione di sincronizzazione. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.
```
ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object is added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
```
Se si verificano problemi con le espressioni di mapping degli attributi o i dati di Workday in ingresso presentano problemi (ad esempio: valore vuoto o Null per gli attributi obbligatori), si osserverà un errore in questa fase con ErrorCode che fornisce i dettagli dell'errore.
Record di esportazione di Active Directory: questo record di log visualizza il risultato dell'operazione di creazione dell'account AD insieme ai valori di attributo impostati nel processo. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere eventuali problemi con l'operazione di creazione dell'account. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo. Nella sezione "Dettagli aggiuntivi", "EventName" è impostato su "EntryExportAdd", "JoiningProperty" è impostata sul valore dell'attributo ID corrispondente, "SourceAnchor" è impostato su WorkdayID (WID) associato al record e "TargetAnchor" è impostato sul valore dell'attributo AD "ObjectGuid" dell'utente appena creato.
```
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object is created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
```
Per trovare i record di log dell'agente di provisioning corrispondenti a questa operazione di esportazione di Active Directory, aprire i log del Visualizzatore eventi di Windows e utilizzare l'opzione di menu Trova... per trovare le voci di log contenenti il valore dell'attributo ID di corrispondenza/attributo di associazione (in questo caso 21023).

Cercare un record HTTP POST corrispondente al timestamp dell'operazione di esportazione con ID evento = 2. Questo record contiene i valori degli attributi inviati dal servizio di provisioning all'agente di provisioning.

Immediatamente dopo l'evento precedente, deve essere presente un altro evento che acquisisce la risposta dell'operazione di creazione account AD. Questo evento restituisce il nuovo objectGuid creato in AD ed è impostato come attributo TargetAnchor nel servizio di provisioning.

Comprensione dei log per operazioni di aggiornamento del manager

L'attributo manager è un attributo di riferimento in AD. Il servizio di provisioning non imposta l'attributo manager come parte dell'operazione di creazione dell'utente. Piuttosto l'attributo manager viene impostato come parte di un'operazione di aggiornamento dopo la creazione di account di AD per l'utente. Estendendo l'esempio precedente, si supponga che una nuova assunzione con ID dipendente "21451" venga attivata in Workday e che il manager del nuovo assunto (21023) abbia già un account AD. In questo scenario, la ricerca nei log di Provisioning per l'utente 21451 mostra 5 voci.

I primi 4 record sono simili a quelli che abbiamo esplorato come parte dell'operazione di creazione dell'utente. Il 5° record è l'esportazione associata all'aggiornamento dell'attributo manager. Il record del log mostra il risultato dell'operazione di aggiornamento dell'account AD del responsabile, che viene eseguita utilizzando l'attributo objectGuid del responsabile.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Risoluzione degli errori più comuni

Questa sezione illustra gli errori più comuni riscontrati con il provisioning degli utenti in Workday e come risolverli. Gli errori sono raggruppati come indicato di seguito:

Errori dell'agente di provisioning
Errori di connettività
Errori di creazione account utente AD
Errori nell'aggiornamento dell'account utente AD

Errori di provisioning dell'agente

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Errore durante l'installazione dell'agente di provisioning con messaggio di errore: l'avvio del servizio 'Microsoft Entra Connect Provisioning Agent' (AADConnectProvisioningAgent) non è riuscito. Verificare di disporre di privilegi sufficienti per avviare il sistema.	Questo errore viene in genere visualizzato se si sta tentando di installare l'agente di provisioning in un controller di dominio e i criteri di gruppo impediscono l'avvio del servizio. viene anche visto se si dispone di una versione precedente dell'agente in esecuzione e non è stata disinstallata prima di avviare una nuova installazione.	Installare l'agente di provisioning su un server che non sia un controller di dominio. Assicurarsi che le versioni precedenti dell'agente vengano disinstallate prima di installare il nuovo agente.
2	Il servizio Windows 'Microsoft Entra Connect Provisioning Agent' è in stato di avvio e non passa allo stato In esecuzione .	Nell'ambito dell'installazione, la procedura guidata dell'agente crea un account locale (NT Service\AADConnectProvisioningAgent) nel server e questo è l'account di accesso usato per avviare il servizio. Se un criterio di sicurezza nel server Windows impedisce l'esecuzione dei servizi da parte degli account locali, verrà visualizzato questo errore.	Aprire la console dei servizi. Fare clic con il pulsante destro del mouse sul servizio Windows 'Microsoft Entra Connect Provisioning Agent' e nella scheda di accesso specificare l'account di un amministratore di dominio per eseguire il servizio. Riavviare il servizio .
3	Quando si configura l'agente di provisioning con il dominio AD nel passaggio Connect Active Directory, la procedura guidata impiega molto tempo per caricare lo schema di AD e alla fine va in timeout.	Questo errore in genere viene visualizzato se la procedura guidata non riesce a contattare il controller di dominio AD a causa di problemi di firewall.	Nella schermata della procedura guidata Connetti Active Directory, fornendo le credenziali per il dominio di Active Directory, è disponibile un'opzione denominata Seleziona priorità controller di dominio. Usare questa opzione per selezionare un controller di dominio che sia presente nello stesso sito dell'agente del server e assicurarsi che non siano presenti regole firewall che bloccano la comunicazione.

Errori di connettività

Se il servizio di provisioning non è in grado di connettersi a Workday o Active Directory, ciò potrebbe causare lo stato di quarantena del provisioning stesso. Usare la tabella seguente per risolvere i problemi di connettività.

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Quando si fa clic su Test connessione, viene visualizzato il messaggio di errore: Si è verificato un errore durante la connessione ad Active Directory. Assicurarsi che l'agente di provisioning locale sia in esecuzione e che sia configurato con il dominio di Active Directory corretto.	Questo errore viene in genere visualizzato se l'agente di provisioning non è in esecuzione o se è presente un firewall che blocca la comunicazione tra Microsoft Entra ID e l'agente di provisioning. È anche possibile vedere questo errore, se il dominio non è configurato nella Procedura guidata per agenti.	Aprire la console dei servizi nel server di Windows per verificare che l'agente sia in esecuzione. Aprire la procedura guidata di configurazione dell'agente di provisioning e verificare che il dominio corretto sia registrato presso l'agente.
2	Il processo di provisioning entra in stato di quarantena durante i fine settimana (venerdì-sabato) e riceviamo una notifica email che indica che si è verificato un errore con la sincronizzazione.	Una delle cause più comuni di questo errore è il tempo di inattività pianificato di Workday. Se si usa un tenant di implementazione di Workday, tenere presente che Workday ha pianificato il tempo di inattività per i tenant di implementazione durante i fine settimana (in genere da venerdì sera a sabato mattina) e durante quel periodo le app di provisioning di Workday potrebbero passare allo stato di quarantena perché non è in grado di connettersi a Workday. Ritorna allo stato normale quando il tenant di implementazione di Workday torna online. In rari casi, è inoltre possibile visualizzare questo errore se la password utente del sistema di integrazione viene modificata a causa di un aggiornamento del tenant o se l'account è bloccato o scaduto.	Verificare con il proprio amministratore o partner di integrazione Workday per capire quando Workday pianifica i tempi di inattività per ignorare i messaggi di avviso durante il periodo di inattività e confermare la disponibilità una volta che l'istanza Workday è di nuovo online.

Errori di creazione account utente Active Directory (AD)

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Errori dell'operazione di esportazione nel log di provisioning con il messaggio Errore: OperationsError-SvcErr: Si è verificato un errore di operazione. Non è stato configurato alcun riferimento superiore per il servizio directory. Il servizio directory non è quindi in grado di emettere riferimenti a oggetti esterni a questa foresta.	Questo errore viene in genere visualizzato se l'unità organizzativa Contenitore di Active Directory non è impostata correttamente o se si verificano problemi con il Mapping delle espressioni usato per parentDistinguishedName.	Controllare il parametro OU Active Directory Container per errori di digitazione. Se si usa parentDistinguishedName nel mapping degli attributi, assicurarsi che restituisca sempre un contenitore noto nel dominio di AD. Controllare l'evento Export nei log di provisioning per visualizzare il valore generato.
2	Errori dell'operazione di esportazione nel log di provisioning con codice errore: SystemForCrossDomainIdentityManagementBadResponse e messaggio Errore: ConstraintViolation-AtrErr: Un valore nella richiesta non è valido. Un valore per l'attributo non era compreso nell'intervallo di valori accettabile.\nDettagli dell'errore: CONSTRAINT_ATT_TYPE - company.	Mentre questo errore è specifico per l'attributo company (azienda) questo errore può verificarsi per gli altri attributi, ad esempio CN anche. Questo errore viene visualizzato a causa di un vincolo dello schema AD applicato. Per impostazione predefinita, come gli attributi società e CN in AD presentano un limite massimo di 64 caratteri. Se il valore proveniente da Workday è maggiore di 64 caratteri, viene visualizzato questo messaggio di errore.	Controllare l'evento Export nei log di provisioning per visualizzare il valore dell'attributo segnalato nel messaggio di errore. È consigliabile troncare il valore proveniente da Workday usando la funzione Mid o modificare i mapping verso un attributo di Active Directory che non presenta vincoli di lunghezza simili.

Errori di aggiornamento account utente AD

Durante il processo di aggiornamento dell'account utente di AD, il servizio di provisioning legge le informazioni da Workday e AD, esegue le regole di mapping degli attributi e determina se debba essere applicata una modifica. Di conseguenza si attiva un evento di aggiornamento. Se uno di questi passaggi incontra un errore, viene registrato nei log di provisioning. Usare la tabella seguente per risolvere i problemi di aggiornamento.

#	Scenario di errore	Possibili cause	Risoluzione consigliata
1.	Errori di azione delle regole di sincronizzazione nel log di provisioning con il messaggio EventName = EntrySynchronizationError e ErrorCode = EndpointUnavailable.	Questo errore viene visualizzato se il servizio di provisioning non riesce a recuperare i dati del profilo utente da Active Directory a causa di un errore di elaborazione rilevato dagli agenti di provisioning locali.	Verificare nei log del Visualizzatore eventi dell'agente di provisioning per gli eventi di errore che indicano problemi con l'operazione di lettura (Filtrare per ID evento n. 2).
2	L'attributo manager in AD non viene aggiornato per determinati utenti in AD.	La causa più probabile di questo errore è se stai usando le regole di ambito e il responsabile dell'utente non è incluso nell'ambito. È anche possibile che si verifichi questo problema se l'attributo ID corrispondente del manager (ad esempio EmployeeID) non viene trovato nel dominio di AD di destinazione o non è impostato sul valore corretto.	Esaminare il filtro di ambito e includere l'utente manager nell'elenco degli scope. Controllare il profilo del manager in AD per assicurarsi che sia presente un valore per l'attributo ID corrispondente.

Gestire la configurazione

Questa sezione descrive come è possibile estendere, personalizzare e ulteriormente gestire la configurazione del provisioning degli utenti su Workday. Include gli argomenti seguenti:

Personalizzazione dell'elenco di attributi utente di Workday
Esportazione e importazione della configurazione

Personalizzazione dell'elenco di attributi utente di Workday

Le app di provisioning di Workday per Active Directory e Microsoft Entra ID includono entrambi un elenco predefinito degli attributi utente di Workday tra cui è possibile selezionare. Tuttavia, questi elenchi non sono completi. Workday supporta molte centinaia di attributi utente possibili, che possono essere standard o univoci per il tenant di Workday.

Il servizio di provisioning Microsoft Entra supporta la possibilità di personalizzare l'elenco o l'attributo Workday per includere tutti gli attributi esposti nell'operazione Get_Workers dell'API Risorse Umane.

A tale scopo, è necessario usare Workday Studio per estrarre le espressioni XPath che rappresentano gli attributi da usare e quindi aggiungerli alla configurazione di provisioning usando l'editor di attributi avanzato.

Per recuperare un'espressione XPath per un attributo utente di Workday:

Scaricare e installare Workday Studio. Per accedere al programma di installazione, è necessario un account della community di Workday.
Scarica il file WSDL di Workday specifico per Human_Resources relativo alla versione dell'API WWS che intendi utilizzare dalla Directory dei Servizi Web di Workday.
Avviare Workday Studio.
Nella barra dei comandi, selezionare l'opzione Test del Servizio Web Workday > nel Tester.
Selezionare External (Esterno) e quindi selezionare il file Human_Resources WSDL scaricato al passaggio 2.
Impostare il campo Location su https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, sostituendo "IMPL-CC" con il tipo reale dell'istanza, e "TENANT" con il vero nome del locatario.
Impostare Operation su Get_Workers
Fare clic sul piccolo collegamento configure (configura) sotto i riquadri relativi a richiesta e risposta per impostare le credenziali di Workday. Selezionare Authentication (Autenticazione) e quindi immettere nome utente e password per l'account di sistema di integrazione di Workday. Assicurarsi di formattare il nome utente come name@tenant e lasciare selezionata l'opzione WS-Security UsernameToken .
Seleziona OK.

Nel riquadro Richiesta, incollare il codice XML riportato di seguito. Impostare Employee_ID sull'ID del dipendente di un utente reale nel tenant di Workday. Impostare wd: version sulla versione di WWS che si prevede di usare. Selezionare un utente per il quale l'attributo da estrarre sia popolato.

<?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

Fare clic su Send Request (Invia richiesta) (freccia verde) per eseguire il comando. Se il comando ha esito positivo, la risposta verrà visualizzata nel riquadro Response (Risposta). Controllare la risposta per assicurarsi che contenga i dati dell'ID utente immesso e non un errore.
In caso di esito positivo, copiare il codice XML dal riquadro Response (Risposta) e salvarlo come file XML.
Nella barra dei comandi di Workday Studio selezionare File > apri file e aprire il file XML salvato. Questa azione apre il file nell'editor XML di Workday Studio.
Nell'albero dei file passare a /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker per trovare i dati dell'utente.
In wd: Worker trovare l'attributo da aggiungere e selezionarlo.
Copiare l'espressione XPath per l'attributo selezionato dal campo Document Path (Percorso documento).
Rimuovere il prefisso /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ dall'espressione copiata.
Se l'ultimo elemento dell'espressione copiata è un nodo (ad esempio: "/wd: Birth_Date"), aggiungere /text() alla fine dell'espressione. Questo non è necessario se l'ultimo elemento è un attributo (ad esempio: "/@wd: type").
Il risultato dovrebbe essere simile a wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Questo valore è quello che si copia e si immette nell'interfaccia di amministrazione di Microsoft Entra.

Per aggiungere l'attributo utente Workday personalizzato alla configurazione del provisioning:

Avvia l'interfaccia di amministrazione di Microsoft Entra e passa alla sezione Provisioning dell'applicazione di provisioning Workday, come descritto in precedenza in questo tutorial.
Impostare Stato del provisioning su Disattivato e selezionare Salva. Questo passaggio consente di assicurarsi che le modifiche vengano applicate solo quando si è pronti.
In Mapping, selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza lavoratori di Workday con Active Directory locale) o Synchronize Workday Workers to Microsoft Entra ID (Sincronizza lavoratori di Workday con Microsoft Entra ID).
Scorrere fino alla parte inferiore della schermata successiva e selezionare Mostra opzioni avanzate.
Selezionare Modifica elenco attributi per Workday.
Scorrere fino alla fine dell'elenco di attributi, dove si trovano i campi di input.
Per Nome, immettere un nome visualizzato per l'attributo.
Per Tipo selezionare il tipo appropriato per l'attributo (il più comune è String).
Per Espressione API immettere l'espressione XPath copiata da Workday Studio. Esempio: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Selezionare Aggiungi attributo.
Selezionare Salva sopra e quindi Sì nella finestra di dialogo. Chiudere la schermata di mappatura degli attributi se è ancora aperta.
Tornare alla scheda Provisioning principale, selezionare nuovamente Sincronizza i lavoratori di Workday su Active Directory locale (o Sincronizza i lavoratori su Microsoft Entra ID).
Selezionare Aggiungi nuova mappatura.
Il nuovo attributo dovrebbe ora essere visualizzato nell'elenco Attributo di origine.
Aggiungi una mappatura per il tuo nuovo attributo come desiderato.
Al termine, ricordarsi di impostare Stato del provisioning di nuovo su Sì e salvare.

Esportazione e importazione della configurazione

Fare riferimento all'articolo Esportazione e importazione della configurazione di provisioning

Gestione dei dati personali

La soluzione di provisioning di Workday per Active Directory richiede l'installazione di un agente di provisioning su un server locale Windows. Questo agente crea i log nel registro eventi di Windows, che possono contenere informazioni personali a seconda dei mapping degli attributi da Workday ad AD. Per conformità agli obblighi di privacy degli utenti, è possibile garantire che nessun dato venga conservato nei registri eventi oltre le 48 ore impostando un'attività pianificata di Windows per eliminare il log eventi.

Il servizio di provisioning Microsoft Entra rientra nella categoria del responsabile del trattamento dei dati della classificazione GDPR. Come pipeline di elaborazione dati, il servizio fornisce servizi di elaborazione dati ai principali partner e ai consumatori finali. Il servizio di provisioning Microsoft Entra non genera dati utente e non ha alcun controllo indipendente sui dati personali raccolti e sul modo in cui vengono usati. Il recupero dei dati, l'aggregazione, l'analisi e la creazione di report nel servizio di provisioning Di Microsoft Entra si basano sui dati aziendali esistenti.

Nota

Per informazioni sulla visualizzazione e sull'eliminazione di dati personali, vedere le indicazioni di Microsoft sul sito relativo alle Richieste degli interessati Windows ai sensi del GDPR. Per informazioni generali sul GDPR, vedere la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.

Per quanto riguarda la conservazione dei dati, il servizio di provisioning di Microsoft Entra non genera report, esegue analisi o fornisce informazioni dettagliate oltre 30 giorni. Pertanto, il servizio di provisioning Microsoft Entra non archivia, elabora o conserva i dati oltre 30 giorni. Questa progettazione è conforme alle normative GDPR, alle normative sulla conformità alla privacy Microsoft e ai criteri di conservazione dei dati di Microsoft Entra.

Condividi tramite

Configurare Workday per il provisioning automatico degli utenti con Microsoft Entra ID

Panoramica

Novità

Per chi è più adatta questa soluzione di provisioning utenti?

Architettura della soluzione

Flusso di dati completo dell'utente

Pianificazione della distribuzione

Configurare un utente del sistema di integrazione in Workday

Creazione di un utente del sistema di integrazione

Creazione di un gruppo di sicurezza del sistema di integrazione

Configurazione delle autorizzazioni dei criteri di sicurezza del dominio

Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali

Attivazione delle modifiche apportate ai criteri di sicurezza

Prerequisiti per l'installazione dell'agente di provisioning

Configurazione del provisioning utenti da Workday a Active Directory

Parte 1: Aggiungere l'app connettore di provisioning e scaricare l'Agente di Provisioning

Parte 2: Installare e configurare gli agenti di provisioning locali

Parte 3: Nell'app di provisioning configurare la connettività a Workday e Active Directory

Parte 4: Configurare i mapping degli attributi

Di seguito sono riportati alcuni esempi di mapping degli attributi tra Workday e Active Directory, con alcune espressioni comuni

Abilitare e avviare la gestione del provisioning degli utenti

Domande frequenti

Domande relative alla funzionalità di soluzione

Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?

La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?

La soluzione memorizza nella cache i profili utente di Workday nel cloud Microsoft Entra o a livello dell'agente di provisioning?

La soluzione supporta l'assegnazione in locale di gruppi di AD all'utente?

Quali API di Workday vengono usate dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?

È possibile configurare il tenant di Workday HCM con due tenant di Microsoft Entra?

Come posso suggerire miglioramenti o richiedere nuove funzionalità relative all'integrazione di Workday e Microsoft Entra?

Domande relative all'agente di provisioning

Qual è la versione disponibile a livello generale dell'agente di provisioning?

Come posso sapere qual è la versione del mio Agente di Provisioning?

Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?

È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect?

Al momento della configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra. L'agente archivia le credenziali in locale nel server?

Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?

Come posso assicurarmi che l'agente di provisioning sia in grado di comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?

Un agente di provisioning può essere configurato per effettuare il provisioning di più domini di Active Directory?

Come annullare la registrazione del dominio associato all'agente di provisioning?

Come posso disinstallare l'agente di provisioning?

Domande su mapping degli attributi e configurazione da Workday ad Active Directory

Come eseguire il backup o esportare una copia funzionante della mappatura e dello schema degli attributi di provisioning di Workday?

Io ho attributi personalizzati in Workday e Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?

Come si configura la soluzione per aggiornare solo gli attributi in Active Directory in base ai cambiamenti di Workday per non creare nuovi account Active Directory?

È possibile effettuare il provisioning delle foto dell'utente da Workday ad Active Directory?

Come è possibile sincronizzare i numeri di telefono da Workday per uso pubblico, in base il consenso dell'utente?

Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?

Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?

Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?

Suggerimenti per la risoluzione dei problemi

Configurare l'agente di provisioning per generare i log del Visualizzatore Eventi

Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente

Configurare i registri di provisioning del centro di amministrazione di Microsoft Entra per la risoluzione dei problemi del servizio.

Comprensione dei log per le operazioni di creazione dell'account utente AD

Comprensione dei log per operazioni di aggiornamento del manager

Risoluzione degli errori più comuni

Errori di provisioning dell'agente

Errori di connettività

Errori di creazione account utente Active Directory (AD)

Errori di aggiornamento account utente AD

Gestire la configurazione

Personalizzazione dell'elenco di attributi utente di Workday

Esportazione e importazione della configurazione

Gestione dei dati personali

Contenuto correlato

Commenti e suggerimenti

Risorse aggiuntive