On-premises Active Directory-gebruikers beheren die vanuit Workday worden aangemaakt en beheerd.

Scenario: On-premises Active Directory-gebruikers beheren die zijn ingericht vanuit en worden beheerd in Workday.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met de Workday Human Resources-API om gebruikersaccounts in te richten. De werkstromen voor gebruikersinrichting van Workday die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers, maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

• Nieuwe werknemers inhuren: wanneer een nieuwe werknemer wordt toegevoegd aan Workday, wordt automatisch een gebruikersaccount gemaakt in Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID, met write-back van door IT beheerde contactgegevens naar Workday.

• Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in Workday (zoals hun naam, titel of manager), wordt het gebruikersaccount automatisch bijgewerkt in Active Directory, Microsoft Entra ID en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in Workday, wordt het gebruikersaccount automatisch uitgeschakeld in Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Werknemers worden opnieuw ingehuurd : wanneer een werknemer opnieuw wordt aangenomen in Workday, kan het oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht (afhankelijk van uw voorkeur) voor Active Directory, Microsoft Entra ID en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

Wat is nieuw

In dit gedeelte vindt u informatie over recente verbeteringen van de integratie van Workday. Ga naar Wat is er nieuw in Microsoft Entra ID voor een lijst met uitgebreide updates, geplande wijzigingen en archieven?

• Okt 2020 - Inrichting op aanvraag ingeschakeld voor Workday: Met inrichting op aanvraag kunt u nu end-to-end-inrichting testen voor een specifiek gebruikersprofiel in Workday om uw kenmerktoewijzing en expressielogica te controleren.

• Mei 2020 - Mogelijkheid om telefoonnummers terug te schrijven naar Workday: naast e-mail en gebruikersnaam kunt u nu het telefoonnummer en mobiele telefoonnummer van Microsoft Entra-id terugschrijven naar Workday. Raadpleeg voor meer informatie de zelfstudie over de Writeback-app.

• April 2020 - Ondersteuning voor de nieuwste versie van de WWS-API (Workday Web Services): Twee keer per jaar in maart en september biedt Workday uitgebreide updates die u helpen uw bedrijfsdoelen te bereiken en de personeelsbehoeften te veranderen. Als u de nieuwe functies van Workday wilt bijhouden, kunt u rechtstreeks de WWS API-versie opgeven die u wilt gebruiken in de verbindings-URL. Meer informatie over het opgeven van de versie van de Workday-API vindt u in het gedeelte over het configureren van Workday-connectiviteit.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze oplossing voor het inrichten van gebruikers van Workday is het meest geschikt voor:

• Organisaties die behoefte hebben aan een vooraf ontwikkelde, cloudoplossing voor het inrichten van gebruikers met Workday

• Organisaties die directe gebruikersvoorziening van Workday naar Active Directory of Microsoft Entra ID vereisen

• Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit de HCM-module van Workday (zie Get_Workers)

• Organisaties die vereisen dat gebruikers die toetreden, verhuizen of vertrekken, worden gesynchroniseerd met een of meer Active Directory-forests, domeinen en OE's, alleen gebaseerd op een wijziging die is gedetecteerd in de Workday HCM-module (zie Get_Workers)

• Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur voor de oplossing

In deze sectie wordt de end-to-end-architectuur beschreven voor het inrichten van gebruikers voor gangbare hybride omgevingen. Er zijn twee gerelateerde stromen:

• Gezaghebbende HR-gegevensstroom: van Workday naar on-premises Active Directory: In deze stroom gebeuren werknemergebeurtenissen zoals aanwervingen, overplaatsingen, beëindigingen eerst binnen de cloud-HR-tenant van Workday en vervolgens stromen de gebeurtenisgegevens naar on-premises Active Directory via Microsoft Entra ID en de Provisioning-agent. Afhankelijk van de gebeurtenis kan dit leiden tot maken, bijwerken, inschakelen of uitschakelen van bewerkingen in AD.
• Writeback-stroom: van on-premises Active Directory naar Workday: zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra ID via Microsoft Entra Connect en kunnen gegevens, zoals e-mail, gebruikersnaam en telefoonnummer, worden teruggeschreven naar Workday.

End-to-end gegevensstroom van gebruikers

1. Het HR-team voert werknemerstransacties (nieuw aangestelden/overplaatsingen/uittreders of nieuwe aanstellingen/overplaatsingen/beëindigingen) uit in Workday HCM.
2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit Workday HR uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
3. De Microsoft Entra-inrichtingsservice roept de on-premises Microsoft Entra Connect-inrichtingsagent aan met een aanvraagpayload die de bewerkingen voor het maken, bijwerken, inschakelen of uitschakelen van AD-accounts bevat.
4. De Microsoft Entra Connect Provisioning Agent maakt gebruik van een serviceaccount om AD-accountgegevens toe te voegen/bij te werken.
5. De Microsoft Entra Connect/AD Sync-engine voert deltasynchronisatie uit om updates in AD op te halen.
6. De Active Directory-updates worden gesynchroniseerd met De Microsoft Entra-id.
7. Als de app Workday Writeback is geconfigureerd, worden kenmerken zoals e-mailadres, gebruikersnaam en telefoonnummer teruggeschreven naar Workday.

Uw implementatie plannen

Het configureren van het inrichten van gebruikers van Workday in Active Directory vereist een degelijke planning waarbij rekening moet worden gehouden met verschillende aspecten, zoals:

• Installatie van de Microsoft Entra Connect-provisioningagent
• Aantal te implementeren apps voor het inrichten van Workday-gebruikers in AD
• De juiste overeenkomende identificator, attribuuttoewijzing, transformatie en bereikfilters selecteren

Raadpleeg het implementatieplan voor HR-gegevens vanuit de cloud voor uitgebreide richtlijnen en best practices.

Integratiesysteemgebruiker configureren in Workday

Een gemeenschappelijke vereiste voor alle provisioning connectors van Workday is dat ze referenties nodig hebben van een integratiesysteemgebruiker van Workday om verbinding te maken met de Workday Human Resources API. In dit gedeelte wordt beschreven hoe u een integratiesysteemgebruiker maakt in Workday. De volgende onderwerpen komen aan bod:

• Een integratiesysteemgebruiker maken
• Een integratiebeveiligingsgroep maken
• Machtigingen voor domeinbeveiligingsbeleid configureren
• Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren
• Wijzigingen in beveiligingsbeleid activeren

Notitie

Het is mogelijk om deze procedure te omzeilen en in plaats daarvan een Workday-beheerdersaccount te gebruiken als systeemintegratieaccount. Dit werkt mogelijk prima voor demo's, maar wordt niet aanbevolen voor productie-implementaties.

Een integratiesysteemgebruiker maken

U kunt als volgt een integratiesysteemgebruiker maken:

1. Meld u met een beheerdersaccount aan bij uw Workday-tenant. Typ in de Workday Application de tekst 'create user' in het zoekvak en klik vervolgens op Create Integration System User.

   

2. Voer de taak Create Integration System User uit door een gebruikersnaam en wachtwoord op te geven voor de nieuwe integratiesysteemgebruiker.

   • Laat de optie Nieuw wachtwoord vereisen bij volgende aanmelding uitgeschakeld, omdat deze gebruiker zich programmatisch aanmeldt.
   • Laat de sessie-time-outminuten op de standaardwaarde van 0 staan, waardoor de sessies van de gebruiker niet voortijdig verlopen.
   • Selecteer de optie Do Not Allow UI Sessions omdat deze een extra beveiligingslaag biedt. Hiermee wordt voorkomen dat een gebruiker met het wachtwoord van het integratiesysteem zich kan aanmelden bij Workday.

   

Een integratiebeveiligingsgroep maken

In deze stap maakt u een niet-getrainde of beperkte beveiligingsgroep voor integratiesystemen in Workday en wijst u de gebruiker van het integratiesysteem toe die u in de vorige stap hebt gemaakt aan deze groep.

Een beveiligingsgroep maken:

1. Typ 'create security group' in het zoekvak en klik vervolgens op Create Security Group.

   

2. Voltooi de taak Create Security Group.

   • Er zijn twee typen beveiligingsgroepen in Workday:

     • Onbeperkt: Alle leden van de beveiligingsgroep hebben toegang tot alle gegevensinstanties die beveiligd worden door de beveiligingsgroep.
     • Beperkt: alle leden van de beveiligingsgroep hebben contextuele toegang tot een subset van gegevensexemplaren (rijen) waartoe de beveiligingsgroep toegang heeft.

   • Overleg met uw integratiepartner voor Workday om het juiste type beveiligingsgroep te selecteren voor de integratie.

   • Als u weet welk type groep u moet gebruiken, selecteert u Integration System Security Group (Unconstrained) of Integration System Security Group (Constrained) in de vervolgkeuzelijst Type of Tenanted Security Group.

     

3. Nadat het maken van de beveiligingsgroep is voltooid, ziet u een pagina waar u leden kunt toewijzen aan de beveiligingsgroep. Voeg de nieuwe integratiesysteemgebruiker, die in de vorige stap is gemaakt, toe aan deze beveiligingsgroep. Als u een beperkte beveiligingsgroep gebruikt, moet u het juiste organisatiebereik selecteren.

   

Machtigingen voor domeinbeveiligingsbeleid configureren

In deze stap verleent u machtigingen voor domeinbeveiligingsbeleid voor de werknemersgegevens aan de beveiligingsgroep.

Machtigingen voor domeinbeveiligingsbeleid configureren:

1. Voer Beveiligingsgroeplidmaatschap en -toegang in het zoekvak in en klik op de koppeling naar het rapport.

   

2. Zoek en selecteer de beveiligingsgroep die in de vorige stap is gemaakt.

   

3. Klik op het beletselteken (...) naast de groepsnaam en selecteer in het menu de optie Domeinmachtigingen voor beveiligingsgroep > onderhouden voor beveiligingsgroep

   

4. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Put-toegang

   • Externe Accountvoorziening
   • Werknemersgegevens: Openbare werknemersrapporten
   • Persoonsgegevens: Contactgegevens voor werk (vereist als u van plan bent om contactgegevens van Microsoft Entra ID naar Workday terug te schrijven)
   • Workday-accounts (vereist als u van plan bent om gebruikersnaam/UPN van Microsoft Entra ID naar Workday terug te schrijven)

5. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Get-toegang

   • Werknemersgegevens: Werknemers
   • Werknemersgegevens: alle functies
   • Werknemersgegevens: Huidige personeelsinformatie
   • Gegevens: Zakelijke titel op het werknemersprofiel
   • Werknemersgegevens: Gekwalificeerde Werknemers (optioneel: voeg dit toe om werknemerskwalificatiegegevens voor het inrichten op te halen)
   • Werknemersgegevens: vaardigheden en ervaring (optioneel: voeg dit toe om gegevens over de vaardigheden van werknemers op te halen voor voorziening)

6. Nadat u de bovenstaande stappen hebt voltooid, wordt het machtigingsscherm weergegeven zoals hieronder wordt weergegeven:

   

7. Klik op OK en Gereed op het volgende scherm om de configuratie te voltooien.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren

In deze stap verleent u aan de beveiligingsgroep machtigingen voor beveiligingsbeleid voor bedrijfsprocessen voor de gegevens van werknemers.

Notitie

Deze stap is alleen vereist voor het instellen van de connector voor de Writeback-app van Workday.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren:

1. Typ business process policy in het zoekvak en klik vervolgens op de link Edit Business Process Security Policy - Task.

   

2. Zoek in het tekstvak Business Process Type naar Contact, selecteer het bedrijfsproces Work Contact Change en klik op OK.

   

3. Ga op de pagina Edit Business Process Security Policy naar de sectie Change Work Contact Information (Web Service).

4. Selecteer de nieuwe beveiligingsgroep voor het integratiesysteem en voeg deze toe aan de lijst met beveiligingsgroepen die de aanvraag bij webservices kunnen initiëren.

   

5. Klik op Done.

Wijzigingen in beveiligingsbeleid activeren

Wijzigingen in beveiligingsbeleid activeren:

1. Typ 'activate' in het zoekvak en klik vervolgens op de link Activate Pending Security Policy Changes.

   

2. Start de taak Activate Pending Security Policy Changes door een opmerking in te voeren voor controledoeleinden en klik vervolgens op OK.

3. Voltooi de taak op het volgende scherm door het selectievakje Confirm in te schakelen en klik vervolgens op OK.

   

Installatievereisten voor de provisioningsagent

Controleer de installatievereisten voor de inrichtingsagent voordat u naar het volgende gedeelte gaat.

Configuratie van gebruikersvoorziening van Workday naar Active Directory

In deze sectie vindt u de stappen voor het inrichten van gebruikersaccounts van Workday in de Active Directory-domeinen binnen het bereik van uw integratie.

• De voorzieningsconnector-app toevoegen en de voorzieningsagent downloaden
• Provisioning agent(s) voor on-premises installeren en configureren
• Connectiviteit met Workday en Active Directory configureren
• Kenmerktoewijzing configureren
• Gebruikersvoorziening inschakelen en starten

Deel 1: De app voor de inrichtingsconnector toevoegen en de inrichtingsagent downloaden

Workday configureren voor provisioning via Active Directory:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.

3. Zoek Workday to Active Directory User Provisioning en voeg die app toe vanuit de galerie.

4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

5. Stel de Provisioningmodus in op Automatisch.

6. Klik op de informatiebanner die wordt getoond om de provisioning agent te downloaden.

   

Deel 2: On-premises voorzieningsagent(en) installeren en configureren

Als u wilt inrichten naar on-premises Active Directory, moet de provisioning-agent zijn geïnstalleerd op een domein-gebonden server die netwerktoegang heeft tot het gewenste Active Directory-domein(en).

Plaats het installatieprogramma van de gedownloade agent op de serverhost en volg de stappen die zijn vermeld in het gedeelte Agent installeren om de configuratie van de agent te voltooien.

Deel 3: Configureer in de inrichtings-app de connectiviteit met Workday en Active Directory

In deze stap maken we verbinding met Workday en Active Directory.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

2. Blader naar IdentiteitstoepassingenBedrijfstoepassingenWerkdag naar Active Directory gebruiker inrichtingsapp gemaakt in deel 1.

3. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

   • Gebruikersnaam voor Workday: Voer de gebruikersnaam van het account voor het Workday-integratiesysteem in, waarbij de domeinnaam van de tenant is toegevoegd. Het ziet er ongeveer als volgt uit: username@tenant_name

   • Wachtwoord voor Workday: voer het wachtwoord van het account voor het Workday-integratiesysteem in

   • API-URL van Workday-webservices: Geef de URL naar het eindpunt van Workday-webservices voor uw tenant op. De URL bepaalt de versie van de Workday-webservices-API die door de connector wordt gebruikt.

     URL-indeling	Gebruikte versie van WWS-API	XPATH-wijzigingen vereist
     https://####.workday.com/ccx/service/tenantName	v21.1	Nee
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Nee
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Ja

     Notitie

     Als er geen versiegegevens zijn opgegeven in de URL, gebruikt de app Workday-webservices (WWS) v21.1. Er zijn dan geen wijzigingen vereist voor de standaard API-expressies van XPATH die worden geleverd bij de app. Als u een specifieke WWS API-versie wilt gebruiken, geeft u versienummer op in de URL
     Voorbeeld: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Als u een WWS-API v30.0+ gebruikt voordat u de inrichtingstaak inschakelt, werkt u de XPATH API-expressies bij onder die verwijst naar de sectie >- en >.

   • Active Directory-forest: De 'naam' van uw Active Directory domein, zoals dit is geregistreerd bij de agent. Gebruik de vervolgkeuzelijst om het doeldomein te selecteren voor provisioning. Deze waarde bestaat meestal uit een tekenreeks zoals contoso.com

   • Active Directory-container: Voer de DN in van de container waarin de agent standaard gebruikersaccounts moet maken. Voorbeeld: OU=Standard Users,OU=Users,DC=contoso,DC=test

     Notitie

     Deze instelling wordt alleen gebruikt voor het maken van gebruikersaccounts als het kenmerk parentDistinguishedName niet is geconfigureerd in de kenmerktoewijzingen. Deze instelling wordt niet gebruikt voor zoek- of updatebewerkingen van gebruikers. De volledige domeinsubboom valt binnen het bereik van de zoekbewerking.

   • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

     Notitie

     De Microsoft Entra-voorzieningsservice verzendt een e-mailmelding als de voorzieningstaak in quarantaine gaat.

   • Klik op de knop Verbinding testen. Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de test mislukt, controleert u of de Workday-referenties en de AD-referenties die zijn geconfigureerd voor de installatie van de agent geldig zijn.

   • Zodra de referenties succesvol zijn opgeslagen, wordt in de sectie Toewijzingen de standaardtoewijzing Synchroniseren van Workday-medewerkers met on-premises Active Directory weergegeven.

Deel 4: Kenmerktoewijzingen configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van Workday naar Active Directory.

1. Klik op het tabblad Voorziening onder Toewijzingen op Synchroniseer Workday-werknemers met de on-premises Active Directory.

2. In het veld Bereik van bronobject kunt u selecteren welke sets van gebruikers in Workday in aanmerking komen voor provisioning naar AD. Dit doet u door een set van op kenmerken gebaseerde filters te definiëren. Het standaardbereik is 'alle gebruikers in Workday'. Voorbeelden van filters:

   • Voorbeeld: Toepassen op gebruikers met medewerkers-ID's tussen 1000000 en 2000000 (exclusief 2000000)

     • Kenmerk: WorkerID

     • Operator: REGEX-overeenkomen

     • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Voorbeeld: Alleen werknemers en niet afhankelijke werknemers

     • Kenmerk: EmployeeID

     • Operator: is niet NULL

   Tip

   Wanneer u de inrichtings-app voor de eerste keer configureert, moet u uw kenmerktoewijzingen en expressies testen en controleren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft raadt aan om gebruik te maken van bereikfilters onder Bereik van bronobject en inrichting op aanvraag om uw toewijzingen te testen met een paar testgebruikers van Workday. Zodra u heeft gecontroleerd dat de toewijzingen werken, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

   Let op

   Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw integratie van Workday en AD. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.

3. In het veld Acties voor doelobject kunt u globaal filteren op welke acties er worden uitgevoerd in Active Directory. Maken en Bijwerken worden het meest gebruikt.

4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van Workday worden toegewezen aan kenmerken van Active Directory.

5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

   • Mappingtype

     • Direct: de waarde van het Workday-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

     • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

     • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer Workday-kenmerken. Zie voor meer informatie dit artikel over expressies.

   • Bronkenmerk: het gebruikerskenmerk uit Workday. Als het kenmerk dat u zoekt niet aanwezig is, raadpleegt u De lijst met gebruikerskenmerken in Workday aanpassen.

   • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, schrijft de toewijzing deze waarde in plaats daarvan. De meest voorkomende configuratie is om dit leeg te laten.

   • Doelkenmerk: het gebruikerskenmerk in Active Directory.

   • Objecten koppelen met dit kenmerk: geeft aan of deze toewijzing moet worden gebruikt om gebruikers uniek te identificeren tussen Workday en Active Directory. Deze waarde wordt meestal ingesteld op het veld Worker ID voor Workday. Dit veld wordt doorgaans toegewezen aan een van de kenmerken Werknemer-id in Active Directory.

   • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

   • Deze koppeling toepassen

     • Altijd - Pas deze koppeling toe bij zowel het aanmaken als bijwerken van gebruikers.

     • Alleen bij het aanmaken - Pas deze toewijzing alleen toe bij gebruikersaanmaakacties

6. Om uw toewijzingen op te slaan, klikt u op Opslaan bovenaan de sectie Kenmerktoewijzing.

   

Hieronder ziet u enkele voorbeelden van kenmerktoewijzingen tussen Workday en Active Directory, met enkele algemene expressies

• De expressie die is gekoppeld aan het kenmerk parentDistinguishedName wordt gebruikt om een gebruiker in te richten bij verschillende organisatie-eenheden op basis van een of meer bronkenmerken van Workday. In dit voorbeeld worden gebruikers in verschillende organisatie-eenheden geplaatst, op basis van hun stad.

• Het kenmerk userPrincipalName in Active Directory wordt gegenereerd met behulp van de functie SelectUniqueValue, die controleert of er een gegenereerde waarde al bestaat binnen het AD-doeldomein en deze alleen instelt indien de waarde uniek is.

• hier vindt u documentatie over het schrijven van expressies. In dit gedeelte vindt u voorbeelden van het verwijderen van speciale tekens.

WERKDAG-KENMERK	Active Directory-kenmerk	Overeenkomende ID	Aanmaken/Bijwerken
WorkerID	Medewerker-ID	Ja	Alleen geschreven bij aanmaak
PreferredNameData	cn		Alleen geschreven bij aanmaak
SelectUniqueValue( Join("@", Join(".", [Voornaam], [Achternaam]), "contoso.com"), Join("@", Join(".", Mid([Voornaam], 1, 1), [Achternaam]), "contoso.com"), Join("@", Join(".", Mid([Voornaam], 1, 2), [Achternaam]), "contoso.com"))	gebruikershoofdnaam		Alleen geschreven bij aanmaak
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )	sAMAccountName		Alleen geschreven bij aanmaak
Switch([Actief], , "0", "Waar", "1", "Onwaar")	account uitgeschakeld		Maken en bijwerken
FirstName	voornaam		Maken en bijwerken
LastName	sn		Maken en bijwerken
PreferredNameData	weergavenaam		Maken en bijwerken
Bedrijf	bedrijf		Maken en bijwerken
ToezichthoudendeOrganisatie	afdeling		Maken en bijwerken
ManagerReference	leidinggevende		Maken en bijwerken
BusinessTitle	titel		Maken en bijwerken
AddressLineData	straatadres		Maken en bijwerken
Gemeente	l		Maken en bijwerken
CountryReferenceTwoLetter	co		Maken en bijwerken
CountryReferenceTwoLetter	c		Maken en bijwerken
CountryRegionReference	St		Maken en bijwerken
WorkSpaceReference	Naam fysiek afleveringskantoor (physicalDeliveryOfficeName)		Maken en bijwerken
PostalCode	postalCode		Maken en bijwerken
PrimaireWerkTelefoon	telefoonnummer		Maken en bijwerken
Fax	faxTelefoonnummer		Maken en bijwerken
Mobiel	mobiele apparaten		Maken en bijwerken
LocalReference	voorkeurstaal		Maken en bijwerken
Switch([Gemeente], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")	ouderonderscheidingnaam		Maken en bijwerken

Nadat de configuratie van de kenmerktoewijzing is voltooid, kunt u de voorziening voor een enkele gebruiker testen met voorziening op aanvraag en vervolgens de gebruikersvoorzieningsservice inschakelen en starten.

Gebruikersvoorziening activeren en starten

Zodra de configuraties van de Workday-inrichtingsapp zijn voltooid en u de inrichting hebt gecontroleerd voor één gebruiker met inrichting op aanvraag, kunt u de inrichtingsservice inschakelen.

Tip

Wanneer u de voorzieningsservice inschakelt, worden standaard voorzieningsbewerkingen gestart voor alle gebruikers binnen de reikwijdte. Als er fouten zijn in de toewijzing of problemen met Workday-gegevens, kan de provisioneringstaak mislukken en in quarantaine gaan. Om dit te voorkomen raden we als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers met on-demand provisioning voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen correct werken en de beoogde resultaten geven, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

1. Ga naar het Provisioning-blade en klik op Provisioning starten.

2. Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de Workday-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

3. Controleer op elk gewenst moment het tabblad Inrichten in het Microsoft Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers worden gelezen uit Workday en vervolgens worden toegevoegd of bijgewerkt naar Active Directory. Raadpleeg de sectie Probleemoplossing voor instructies over het controleren van de inrichtingslogboeken en het oplossen van inrichtingsfouten.

4. Zodra de initiële synchronisatie is voltooid, wordt er een auditoverzichtsrapport op het tabblad Inrichten geschreven, zoals hieronder wordt weergegeven.

   

Veelgestelde vragen (FAQ)

• Vragen over mogelijkheden van oplossing

  • Hoe stelt de oplossing het wachtwoord in voor een nieuw gebruikersaccount in Active Directory als een nieuwe werknemer wordt verwerkt vanuit Workday?
  • Biedt de oplossing ondersteuning voor het verzenden van e-mailmeldingen als de inrichtingsbewerkingen zijn voltooid?
  • Slaat de oplossing Workday-gebruikersprofielen in de Microsoft Entra-cloud of in de inrichtingsagentlaag op?
  • Ondersteunt de oplossing de toewijzing van on-premises AD-groepen aan de gebruiker?
  • Welke Workday-API's gebruikt de oplossing voor het opvragen en bijwerken van werknemersprofielen in Workday?
  • Kan ik mijn Workday HCM-tenant configureren met twee Microsoft Entra-tenants?
  • Hoe kan ik verbeteringen voorstellen of nieuwe functies aanvragen met betrekking tot workday- en Microsoft Entra-integratie?

• Vragen over voorzieningsagent

  • Wat is de GA-versie van de provisioneringsagent?
  • Hoe zie ik welke versie van de provisioning agent het is?
  • Worden updates van de inrichtingsagent automatisch gepusht door Microsoft?
  • Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect wordt uitgevoerd?
  • Hoe kan ik de inrichtingsagent configureren voor het gebruik van een proxyserver voor uitgaande HTTP-communicatie?
  • Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die door de agent zijn vereist?
  • Hoe kan ik het domein verwijderen uit mijn Provisioning Agent?
  • Hoe verwijder ik de provisioning-agent?

• Vragen over het koppelen van kenmerken van Workday en AD en over de configuratie

  • Hoe kan ik een back-up maken van een werkkopie met de toewijzingen en het schema van inrichtingskenmerken van Workday of hoe kan ik die exporteren?
  • Ik heb aangepaste kenmerken in Workday en Active Directory. Hoe kan ik de oplossing configureren voor gebruik van deze aangepaste kenmerken?
  • Kan ik de foto van gebruikers in Workday gebruiken in Active Directory?
  • Hoe kan ik mobiele nummers in Workday synchroniseren als de gebruiker toestemming heeft gegeven voor openbaar gebruik?
  • Hoe kan ik weergavenamen opmaken in AD op basis van de kenmerken van gebruikers voor afdeling/land/plaats en hoe kan ik regionale afwijkingen afhandelen?
  • Hoe kan ik SelectUniqueValue gebruiken om unieke waarden te genereren voor het kenmerk samAccountName?
  • Hoe kan ik tekens met diakritische tekens verwijderen en deze converteren naar gewone tekens?

Vragen over mogelijkheden van oplossing

Hoe stelt de oplossing het wachtwoord in voor een nieuw gebruikersaccount in Active Directory als een nieuwe werknemer wordt verwerkt vanuit Workday?

Wanneer de on-premises inrichtingsagent een aanvraag krijgt voor het maken van een nieuw AD-account, wordt er automatisch een complex willekeurig wachtwoord gegenereerd dat voldoet aan de vereisten voor wachtwoordcomplexiteit die zijn gedefinieerd door de AD-server en wordt dit wachtwoord ingesteld voor het gebruikersobject. Dit wachtwoord wordt nergens geregistreerd.

Biedt de oplossing ondersteuning voor het verzenden van e-mailmeldingen als de inrichtingsbewerkingen zijn voltooid?

Nee, het verzenden van e-mailmeldingen na het voltooien van inrichtingsbewerkingen wordt niet ondersteund in de huidige versie.

Slaat de oplossing Workday-gebruikersprofielen in de Microsoft Entra-cloud of in de inrichtingsagentlaag op?

Nee, de oplossing onderhoudt geen cache met gebruikersprofielen. De Microsoft Entra-inrichtingsservice fungeert eenvoudig als een gegevensverwerker, door gegevens te lezen uit Workday en te schrijven naar de doel Active Directory of Microsoft Entra-ID. Zie de sectie Persoonlijke gegevens beheren voor informatie over de privacy van gebruikers en het bewaren van gegevens.

Ondersteunt de oplossing de toewijzing van on-premises AD-groepen aan de gebruiker?

Deze functionaliteit wordt momenteel niet ondersteund. De aanbevolen tijdelijke oplossing is het implementeren van een PowerShell-script waarmee het Microsoft Graph API-eindpunt wordt opgevraagd voor het inrichten van logboekgegevens en dat wordt gebruikt om scenario's zoals groepstoewijzing te activeren. Dit PowerShell script kan worden gekoppeld aan een taakplanner en worden geïmplementeerd op dezelfde computer als die waarop de provisioning-agent wordt uitgevoerd.

Welke Workday-API's gebruikt de oplossing voor het opvragen en bijwerken van werknemersprofielen in Workday?

De oplossing maakt momenteel gebruik van de volgende Workday-API's:

• De notatie van de Workday Web Services API-URL die wordt gebruikt in de sectie Admin Credentials bepaalt de API-versie die wordt gebruikt voor Get_Workers:

  • Als de URL-indeling is, https://####.workday.com/ccx/service/tenantName wordt API v21.1 gebruikt.
  • Als de URL-indeling is: https://####.workday.com/ccx/service/tenantName/Human_Resources , wordt API v21.1 gebruikt
  • Als de URL-indeling: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# is, wordt de opgegeven API-versie gebruikt. (Voorbeeld: als v34.0 is opgegeven, wordt dit gebruikt.)

• De functie voor write-back van e-mailadressen van Workday maakt gebruik van Change_Work_Contact_Information (v 30.0)

• De functie voor het terugschrijven van Workday-gebruikersnamen maakt gebruik van Update_Workday_Account (v31.2)

Kan ik mijn Workday HCM-tenant configureren met twee Microsoft Entra-tenants?

Ja, deze configuratie wordt ondersteund. Dit zijn de algemene stappen voor het configureren van dit scenario:

• Implementeer inrichtingsagent #1 en registreer hem bij Microsoft Entra-tenant #1.
• Implementeer de inrichtingsagent #2 en registreer deze bij Microsoft Entra-tenant #2.
• Op basis van de "Child Domains" die elke inrichtingsagent beheert, configureert u elke agent met de betreffende domeinen. Eén agent kan meerdere domeinen beheren.
• In Microsoft Entra Admin Center, stel de Workday to AD User Provisioning App in voor elke tenant en configureer deze met de respectieve domeinen.

Hoe kan ik verbeteringen voorstellen of nieuwe functies aanvragen met betrekking tot workday- en Microsoft Entra-integratie?

Uw feedback is zeer belangrijk omdat deze ons helpt de richting te bepalen voor toekomstige releases en verbeteringen. We verwelkomen alle feedback en moedigen u aan uw idee of verbeteringssuggesties in te dienen op het feedbackforum van Microsoft Entra ID. Voor specifieke feedback met betrekking tot de Workday-integratie selecteert u de categorie SaaS Applications en zoekt u met het trefwoord Workday om bestaande feedback te vinden over Workday.

Als u een nieuw idee wilt voorstellen, kijk dan eerst of niet iemand anders al een vergelijkbare functie heeft voorgesteld. In dat geval kunt u stemmen op die aanvraag voor een nieuwe functie of verbetering. U kunt ook een opmerking over uw specifieke use-case achterlaten om uw ondersteuning voor het idee weer te geven en te laten zien hoe de functie ook waardevol voor u is.

Vragen over beheeragent

Wat is de GA-versie van de provisioning agent?

Raadpleeg Microsoft Entra Connect Provisioning Agent: Versiereleasegeschiedenis voor de nieuwste algemeen beschikbare versie van de Provisioning-agent.

Hoe kan ik zien welke versie van de provisioningagent ik heb?

1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
2. Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen.
3. Zoek de versie die overeenkomt met de vermelding Microsoft Entra Connect Provisioning Agent.

Worden updates voor de voorzieningenagent automatisch door Microsoft gepusht?

Ja, Microsoft werkt de inrichtingsagent automatisch bij als de Windows-service Microsoft Entra Connect Agent Updater actief is.

Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect wordt uitgevoerd?

Ja, u kunt de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect wordt uitgevoerd.

Op het moment van configuratie vraagt de inrichtingsagent om beheerdersreferenties van Microsoft Entra. Worden deze referenties lokaal op de server opgeslagen door de Agent?

Tijdens de configuratie vraagt de inrichtingsagent alleen om beheerdersreferenties van Microsoft Entra om verbinding te maken met uw Microsoft Entra-tenant. De inloggegevens worden niet lokaal opgeslagen op de server. De referenties die worden gebruikt om verbinding te maken met het on-premises Active Directory-domein worden daarentegen wel opgeslagen in een lokale Windows-wachtwoordkluis.

Hoe kan ik de inrichtingsagent configureren voor het gebruik van een proxyserver voor uitgaande HTTP-communicatie?

De provisioning agent ondersteunt het gebruik van een uitgaande proxy. U kunt dit configureren door het configuratiebestand C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config te bewerken. Voeg de volgende regels toe aan het einde van het bestand vlak voor de afsluitende </configuration> tag. Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die door de agent zijn vereist?

U kunt ook controleren of alle vereiste poorten open zijn.

Kan één inrichtingsagent worden geconfigureerd voor het inrichten van meerdere AD-domeinen?

Ja, een inrichtingsagent kan worden geconfigureerd voor het verwerken van meerdere AD-domeinen, op voorwaarde dat de agent contact heeft met de betreffende domeincontrollers. Microsoft raadt aan om een groep van 3 inrichtingsagents in te stellen die dezelfde set AD-domeinen leveren om hoge beschikbaarheid te garanderen en failover-ondersteuning te bieden.

Hoe kan ik het domein dat aan mijn inrichtingsagent is gekoppeld deregistreren?

*, haal de tenant-id van uw Microsoft Entra-tenant op.

• Meld u aan bij de Windows-server waarop de inrichtingsagent wordt uitgevoerd.

• Open PowerShell als Windows beheerder.

• Ga naar de map met de registratiescripts en voer de volgende opdrachten uit om de parameter [tenant-id] te vervangen door de waarde van uw tenant-id.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• Er verschijnt een lijst met agenten. Kopieer uit deze lijst de waarde van het veld id van de resource waarvan de waarde voor resourceName gelijk is aan de naam van uw AD-domein.

• Plak de ID-waarde in deze opdracht en voer de opdracht uit in PowerShell.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Voer de configuratiewizard voor de agent opnieuw uit.

• Alle andere agents die eerder aan dit domein zijn toegewezen, moeten opnieuw worden geconfigureerd.

Hoe kan ik de provisioneringsagent verwijderen?

• Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
• Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen
• Verwijder de volgende programma's:
  • Microsoft Entra Connect Voorzieningsagent
  • Updater voor Microsoft Entra Connect-agent
  • Microsoft Entra Connect Provisioning Agent Pakket

Vragen over het koppelen van kenmerken van Workday en AD en over de configuratie

Hoe kan ik een back-up maken van een werkkopie met de toewijzingen en het schema van inrichtingskenmerken van Workday of hoe kan ik die exporteren?

U kunt Microsoft Graph API gebruiken om uw Workday-gebruikersvoorzieningsconfiguratie te exporteren. Raadpleeg de stappen in de sectie Exporteren en importeren van uw Workday configuratie voor gebruikersvoorziening attribuutmapping voor meer informatie.

Ik heb aangepaste kenmerken in Workday en Active Directory. Hoe kan ik de oplossing configureren voor gebruik van deze aangepaste kenmerken?

De oplossing ondersteunt aangepaste kenmerken voor Workday en Active Directory. Als u aangepaste kenmerken wilt toevoegen aan het toewijzingsschema, opent u de blade Kenmerktoewijzing en scrolt u omlaag om de sectie Geavanceerde opties weergeven uit te vouwen.

Als u uw aangepaste Workday-kenmerken wilt toevoegen, selecteert u de optie Kenmerkenlijst bewerken voor Workday. Om de aangepaste AD-kenmerken toe te voegen, selecteert u de optie Kenmerkenlijst bewerken voor On-premises Active Directory.

Zie ook:

• De lijst met gebruikerskenmerken van Workday aanpassen

Hoe kan ik de oplossing zodanig configureren dat kenmerken in AD alleen worden bijgewerkt op basis van wijzigingen in Workday en er geen nieuwe AD-accounts worden gemaakt?

Deze configuratie kan worden bereikt door de Acties voor doelobject in het Kenmerktoewijzingen-scherm zoals hieronder getoond in te stellen.

Schakel het selectievakje "Bijwerken" in om ervoor te zorgen dat alleen bewerkingen voor bijwerken van Workday naar AD worden overgebracht.

Kan ik de foto van gebruikers in Workday gebruiken in Active Directory?

De oplossing biedt momenteel geen ondersteuning voor het instellen van binaire kenmerken, zoals thumbnailPhoto en jpegPhoto in Active Directory.

Hoe kan ik mobiele nummers in Workday synchroniseren als de gebruiker toestemming heeft gegeven voor openbaar gebruik?

• Ga naar de "Provisioning" blade van uw Workday Provisioning App.

• Klik op de Attributen-Mapping.

• Onder Toewijzingen selecteer Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra ID).

• Scrol op de pagina Kenmerktoewijzingen naar beneden en controleer of het selectievakje "Geavanceerde opties weergeven" is ingeschakeld. Klik op Kenmerkenlijst bewerken voor Workday.

• Zoek in het gedeelte dat wordt geopend het kenmerk 'Mobiel' en klik op de rij, zodat u de API-expressie kunt bewerken

• Vervang de API-expressie door de volgende nieuwe expressie, waarmee het zakelijke mobiele nummer alleen wordt opgehaald als de vlag Public Usage in Workday is ingesteld op True.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Sla de kenmerkenlijst op.

• Sla de kenmerktoewijzing op.

• Wis de huidige status en start de volledige synchronisatie opnieuw.

Hoe kan ik weergavenamen opmaken in AD op basis van de kenmerken van gebruikers voor afdeling/land/plaats en hoe kan ik regionale afwijkingen afhandelen?

het is een algemene vereiste om het kenmerk displayName in AD te configureren, zodat het ook informatie biedt over de afdeling en het land/de regio van de gebruiker. Als John Smith bijvoorbeeld in de Afdeling Marketing in de VS werkt, wilt u misschien dat zijn displayName wordt weergegeven als Smith, John (Marketing-US).

U kunt dergelijke vereisten voor het samenstellen van CN of displayName als volgt afhandelen om kenmerken zoals bedrijf, bedrijfseenheid, plaats of land/regio op te nemen.

• Elk Workday-kenmerk wordt opgehaald met behulp van een onderliggende XPATH API-expressie, die kan worden geconfigureerd in kenmerktoewijzing -> Geavanceerde sectie -> Kenmerkenlijst bewerken voor Workday. Hier ziet u de standaard XPATH-API-expressie voor Workday PreferredFirstName, PreferredLastName, Company en SupervisoryOrganization-kenmerken.

  Workday-kenmerk	API XPATH-expressie
  Voorkeursvoornaam	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  Voorkeursachternaam	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Bedrijf	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  Toezichthoudende Organisatie	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Neem contact op met uw Workday-team om te bevestigen dat de API-expressie hierboven geldig is voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

• Op een vergelijkbare manier worden de land- of regiogegevens die aanwezig zijn in Workday opgehaald met behulp van de volgende XPATH-expressie: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  In de sectie met Workday-kenmerken zijn vijf land- en regiospecifieke kenmerken beschikbaar.

  Workday-kenmerk	API XPATH-expressie
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  LandenReferentieNumeriek	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Neem contact op met uw Workday-team om te bevestigen dat de API-expressies hierboven geldig zijn voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

• Als u de juiste expressie voor het toewijzen van kenmerken wilt maken, stelt u vast welk Workday-kenmerk 'doorslaggevend' is voor de voornaam, achternaam, land of regio en afdeling van de gebruiker. Stel dat de kenmerken respectievelijk PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter en SupervisoryOrganization zijn. U kunt deze informatie als volgt gebruiken om een expressie te maken voor het AD-kenmerk displayName om een weergavenaam zoals Smith, John (Marketing-US) te produceren.

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  Nadat u de juiste expressie hebt, bewerkt u de tabel Kenmerktoewijzingen en wijzigt u de kenmerktoewijzing displayName , zoals hieronder wordt weergegeven:

• Als we het bovenstaande voorbeeld uitbreiden, bijvoorbeeld om plaatsnamen uit Workday om te zetten in drie hoofdletters en deze vervolgens te gebruiken om weergavenamen te genereren zoals Smith, John (CHI) of Doe, Jane (NYC), kan dit resultaat worden bereikt met behulp van een Switch-expressie met het Workday-kenmerk Municipality als de determinante variabele.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  Zie ook:

  • Syntaxis van de functie Switch
  • Syntaxis van de functie Join
  • Syntaxis van de functie Append

Hoe kan ik SelectUniqueValue gebruiken om unieke waarden te genereren voor het kenmerk samAccountName?

Stel dat u unieke waarden wilt genereren voor het kenmerk samAccountName aan de hand van een combinatie van de kenmerken FirstName en LastName uit Workday. Hieronder ziet u een expressie die u als uitgangspunt kunt nemen:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Hoe de bovenstaande expressie werkt: Als de gebruiker John Smith is, probeert deze eerst JSmith te genereren, als JSmith al bestaat, wordt JoSmith gegenereerd, als dat bestaat, wordt JohSmith gegenereerd. De expressie zorgt er ook voor dat de gegenereerde waarde voldoet aan de lengtebeperking en de beperking voor speciale tekens die zijn gekoppeld aan samAccountName.

Zie ook:

• Syntaxis van de functie Mid
• Syntaxis van de functie Replace
• Syntaxis van de functie SelectUniqueValue

Hoe kan ik tekens met diakritische tekens verwijderen en deze converteren naar gewone tekens?

Gebruik de functie NormalizeDiacritics om speciale tekens te verwijderen uit de voor- en achternaam van de gebruiker bij het samenstellen van het e-mailadres of de CN-waarde voor de gebruiker.

Tips voor probleemoplossing

Dit gedeelte biedt specifieke richtlijnen voor het oplossen van voorzieningsproblemen met uw Workday-integratie, met behulp van de Microsoft Entra-voorzieningslogboeken en de Windows Server-gebeurtenislogboeken. Het bouwt voort op de algemene stappen en concepten die zijn vastgelegd in de zelfstudie: Rapportage over automatische inrichting van gebruikersaccounts

In deze sectie worden de volgende aspecten van het oplossen van problemen behandeld:

• Configureer de inrichtingsagent om Event Viewer-logboeken uit te geven
• Windows Gebeurtenislogboeken configureren voor gebruik bij het oplossen van problemen met agenten
• Inrichtingslogboeken voor het Microsoft Entra-beheercentrum instellen voor het oplossen van problemen met de service
• Inzicht in logboeken voor het aanmaken van AD-gebruikersaccounts
• Inzicht in logboeken voor updatebewerkingen van de manager
• Veelvoorkomende fouten oplossen

Inrichtingsagent configureren om Event Viewer logboeken uit te zenden

1. Aanmelden bij de Windows-server waarop de inrichtingsagent is geïmplementeerd

2. Stop de service Microsoft Entra Connect Provisioning Agent.

3. Maak een kopie van het oorspronkelijke configuratiebestand: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

4. Vervang het bestaande gedeelte <system.diagnostics> door het volgende.

   • De configuratie van de listener etw verzendt berichten naar de Event Viewer-logboeken
   • De listener-config textWriterListener verzendt traceringsberichten naar het bestand ProvAgentTrace.log. Verwijder de opmerkingen bij de regels met betrekking tot "textWriterListener" alleen voor geavanceerde probleemoplossing.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Start de service Microsoft Entra Connect Provisioning Agent.

Windows Logboek.viewer instellen voor het oplossen van problemen met agents

1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïmplementeerd.

2. Open de bureaublad-app Logboekviewer van Windows Server.

3. Selecteer > voor Windows-logboeken.

4. Gebruik de optie Huidig logboek filteren... om alle gebeurtenissen weer te geven die zijn geregistreerd onder de bron microsoft Entra Connect Provisioning Agent en gebeurtenissen uitsluiten met gebeurtenis-id '5', door het filter '-5' op te geven, zoals hieronder wordt weergegeven.

   Notitie

   Gebeurtenis-id 5 legt bootstrap-berichten van agents vast aan de Microsoft Entra-cloudservice. Daarom filteren we deze tijdens het analyseren van de logboekbestanden.

   

5. Klik op OK en sorteer de resultaten op de kolom Datum en tijd.

Inrichtingslogboeken voor het Microsoft Entra-beheercentrum instellen voor het oplossen van problemen met de service

1. Start het Microsoft Entra-beheercentrum en navigeer naar de sectie Inrichten van uw Workday-inrichtingstoepassing.

2. Gebruik de knop Kolommen op de pagina Inrichtingslogboeken om alleen de volgende kolommen weer te geven in de weergave (Datum, Activiteit, Status, Reden van status). Deze configuratie zorgt ervoor dat u zich alleen kunt concentreren op gegevens die relevant zijn voor het oplossen van problemen.

   

3. Gebruik de queryparameters Doel en Datumbereik om de weergave te filteren.

   • Stel de queryparameter Doel in op de werknemer-id ('Worker ID' of 'Employee ID') van het werknemersobject uit Workday.
   • Stel het Datumbereik in op een geschikte periode waarin u fouten of problemen met de voorziening wilt onderzoeken.

   

Logboeken voor het aanmaken van AD-gebruikersaccounts begrijpen

Wanneer er een nieuwe medewerker in Workday wordt gedetecteerd (bijvoorbeeld met werknemer-id 21023), probeert de Microsoft Entra-inrichtingsservice een nieuw AD-gebruikersaccount voor de werknemer te maken en worden in het proces vier inrichtingslogboekrecords gemaakt, zoals hieronder wordt beschreven:

Wanneer u op een van de inrichtingslogboekrecords klikt, wordt de pagina Activiteitsgegevens geopend. Hier ziet u de pagina Activiteitsgegevens voor elk type logboekrecord.

• Workday-importrecord : deze logboekrecord geeft de werkrolgegevens weer die zijn opgehaald uit Workday. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• AD-importrecord : deze logboekrecord geeft informatie weer van het account dat is opgehaald uit AD. Net als bij de initiële aanmaak van een gebruiker is er geen AD-account, geeft de Activiteitsstatus reden aan dat er geen account met de overeenkomende ID-kenmerkwaarde in Active Directory is gevonden. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Als u logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-importbewerking, opent u de Windows-logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te vinden die de kenmerkwaarde Overeenkomende ID/Koppelingskenmerk bevatten (in dit geval 21023).

  

  Zoek naar de vermelding met gebeurtenis-id = 9, waarmee u het LDAP-zoekfilter krijgt dat door de agent wordt gebruikt om het AD-account op te halen. U kunt controleren of dit het juiste zoekfilter is om unieke gebruikersvermeldingen op te halen.

  De record direct daarna met Event ID = 2 bevat het resultaat van de zoekbewerking en of deze resultaten heeft opgeleverd.

• Actierecord voor synchronisatieregels : deze logboekrecord bevat de resultaten van de kenmerktoewijzingsregels en geconfigureerde bereikfilters, samen met de inrichtingsactie die wordt uitgevoerd om de binnenkomende Workday-gebeurtenis te verwerken. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met de synchronisatie-actie. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object is added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Als er problemen zijn met uw kenmerktoewijzingsexpressies of de binnenkomende Workday-gegevens problemen hebben (bijvoorbeeld: lege of null-waarde voor vereiste kenmerken), ziet u in deze fase een fout met de foutcode die details van de fout opgeeft.

• AD-exportrecord : Deze logboekrecord geeft het resultaat weer van de bewerking voor het maken van EEN AD-account, samen met de kenmerkwaarden die in het proces zijn ingesteld. Gebruik de informatie in het gedeelte Aanvullende details van de logboekvermelding om problemen op te lossen met de accountaanmaakbewerking. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren. In de sectie Aanvullende details is 'EventName' ingesteld op 'EntryExportAdd', 'JoiningProperty' ingesteld op de waarde van het attribuut voor de overeenkomende ID, 'SourceAnchor' ingesteld op de WorkdayID (WID) die aan de record is gekoppeld en 'TargetAnchor' ingesteld op de waarde van het AD-kenmerk ObjectGuid van de nieuwe gebruiker.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object is created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
  

  Als u de logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-exportbewerking, opent u de Windows-logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te vinden die de waarde van het kenmerk Matching ID/Eigenschap koppelen bevatten (in dit geval 21023).

  Zoek naar een HTTP POST-record die overeenkomt met de tijdstempel van de exportbewerking met gebeurtenis-id = 2. Deze record bevat de kenmerkwaarden die door de inrichtingsservice naar de inrichtingsagent worden verzonden.

  

  Direct na de bovenstaande gebeurtenis moet er een andere gebeurtenis plaatsvinden die de reactie bevat van de bewerking voor het aanmaken van een Active Directory-account. Deze gebeurtenis retourneert de nieuwe objectGuid die is gemaakt in Active Directory (AD) en wordt ingesteld als het kenmerk TargetAnchor in de inrichtingsservice.

  

Inzicht in logs voor wijzigingsoperaties voor managers

Het kenmerk Manager is een verwijzingskenmerk in AD. De voorzieningsservice stelt het managerkenmerk niet in bij het aanmaken van de gebruiker. In plaats daarvan wordt het kenmerk Manager ingesteld als onderdeel van een bewerking update nadat het AD-account is gemaakt voor de gebruiker. Laten we het bovenstaande voorbeeld eens uitbreiden omdat er een nieuwe werknemer met de werknemer-id 21451 is geactiveerd in Workday. De manager van deze werknemer (21023) heeft al een AD-account. In dit scenario zijn er in de provisioning-logboeken voor gebruiker 21451 vijf vermeldingen.

De eerste vier records zijn net zoals de records die we hebben verkend bij de gebruikersaanmaakbewerking. De vijfde record is de export die is gekoppeld aan het bijwerken van het kenmerk Manager. De logboekrecord bevat het resultaat van de bewerking voor het bijwerken van het AD-account van de manager, die wordt uitgevoerd met behulp van het kenmerk objectGuid van de manager.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Veelvoorkomende fouten oplossen

In deze sectie besteden we aandacht aan fouten die vaak optreden bij het inrichten van gebruikers van Workday en hoe u die kunt oplossen. De fouten kunnen als volgt worden gegroepeerd:

• Fouten van de voorzieningsagent
• Connectiviteitsfouten
• Fouten bij het maken van Azure AD-gebruikersaccount
• Fouten bij het bijwerken van Azure AD-gebruikersaccount

Fouten met provisioneringsagent

#	Foutscenario	Mogelijke oorzaken	Aanbevolen oplossing
1.	Fout bij het installeren van de inrichtingsagent met foutbericht: Service 'Microsoft Entra Connect Provisioning Agent' (AADConnectProvisioningAgent) kan niet worden gestart. Controleer of u voldoende bevoegdheden hebt om het systeem te starten.	Deze fout wordt meestal weergegeven als u de inrichtingsagent probeert te installeren op een domeincontroller en groepsbeleid voorkomt dat de service wordt gestart. Het is ook zichtbaar als u een eerdere versie van de agent hebt uitgevoerd en u deze nog niet hebt verwijderd voordat u een nieuwe installatie start.	Installeer de inrichtingsagent op een niet-DC-server. Zorg ervoor dat vorige versies van de agent zijn verwijderd voordat u de nieuwe agent installeert.
2.	De Windows-service Microsoft Entra Connect Provisioning Agent heeft de beginstatus en schakelt niet over naar de status Actief .	Als onderdeel van de installatie maakt de agentwizard een lokaal account (NT Service\AADConnectProvisioningAgent) op de server. Dit is het aanmeldingsaccount dat wordt gebruikt voor het starten van de service. Als een beveiligingsbeleid op uw Windows-server voorkomt dat lokale accounts de services uitvoeren, treedt deze fout op.	Open de services-console. Klik met de rechtermuisknop op de Windows-service 'Microsoft Entra Connect Provisioning Agent' en geef op het aanmeldingstabblad het account op van een domeinbeheerder om de service uit te voeren. Start de service opnieuw.
3.	Bij het configureren van de provisioning-agent met uw AD-domein, in de stap Verbinding maken met Active Directory, duurt het lang om het AD-schema te laden en uiteindelijk treedt er een time-out op.	Deze fout komt meestal voor als de wizard geen contact kan maken met de controllerserver van het AD-domein door firewallproblemen.	Op het scherm van de wizard Verbinding maken met Active Directory, is er bij het opgeven van de referenties voor uw AD-domein een optie genaamd Domeincontrollerprioriteit selecteren. Gebruik deze optie om een domeincontroller te selecteren die zich in dezelfde site als de server van de agent bevindt en zorg ervoor dat er geen firewallregels zijn die de communicatie blokkeren.

Connectiviteitsfouten

Als de voorzieningsservice geen verbinding kan maken met Workday of Active Directory, kan dit ervoor zorgen dat het voorzieningsproces in quarantaine wordt geplaatst. Gebruik de onderstaande tabel om verbindingsproblemen op te lossen.

#	Foutscenario	Mogelijke oorzaken	Aanbevolen oplossing
1.	Wanneer u op Verbinding testen klikt, wordt het foutbericht weergegeven: Er is een fout opgetreden bij het maken van verbinding met Active Directory. Zorg ervoor dat de on-premises inrichtingsagent wordt uitgevoerd en dat deze is geconfigureerd met het juiste Active Directory-domein.	Deze fout wordt meestal weergegeven als de inrichtingsagent niet wordt uitgevoerd of als er een firewall is die de communicatie tussen Microsoft Entra-id en de inrichtingsagent blokkeert. Mogelijk ziet u deze fout ook als het domein niet is geconfigureerd in de wizard Agent.	Open de console Services op de Windows-server om te controleren of de agent wordt uitgevoerd. Open de wizard voor de voorzieningsagent en controleer of het juiste domein is geregistreerd bij de agent.
2.	De voorzieningstaak gaat in quarantaine in het weekend (vr-za) en we krijgen een e-mailmelding dat er een fout is met de synchronisatie.	Een veelvoorkomende oorzaak van deze fout is de geplande downtime voor Workday. Als u een Workday-implementatietenant gebruikt, houd er dan rekening mee dat Workday gepland onderhoud heeft voor zijn implementatietenants in het weekend (meestal van vrijdagavond tot zaterdagochtend). Tijdens deze periode kunnen de provisioning-apps van Workday in een quarantaine-status komen, omdat ze geen verbinding kunnen maken met Workday. De status wordt weer normaal zodra de Workday-implementatietenant weer online is. In zeldzame gevallen ziet u deze fout mogelijk ook als het wachtwoord van de integratiesysteemgebruiker is gewijzigd vanwege het vernieuwen van de tenant, of als het account is vergrendeld of de status Verlopen heeft.	Neem contact op met de Workday-beheerder of integratiepartner voor informatie over de geplande downtime van Workday om de waarschuwingen tijdens deze periode te negeren en de beschikbaarheid te bevestigen zodra het Workday-exemplaar weer online is.

Fouten bij het aanmaken van AD-gebruikersaccounts

#	Foutscenario	Mogelijke oorzaken	Aanbevolen oplossing
1.	Mislukte exportbewerkingen in het inrichtingslogboek met het bericht Fout: OperationsError-SvcErr: Er is een bewerkingsfout opgetreden. Er is geen superieure verwijzing geconfigureerd voor de adreslijstservice. De adreslijstservice kan daarom geen verwijzingen naar objecten buiten dit forest uitgeven.	Deze fout wordt meestal weergegeven als de Active Directory-container organisatie-eenheid niet juist is ingesteld of als er problemen zijn met de expressie-mapping die wordt gebruikt voor parentDistinguishedName.	Controleer of de OU-parameter voor Active Directory-container geen typefouten bevat. Als u parentDistinguishedName gebruikt in de kenmerktoewijzing, zorgt u ervoor dat deze altijd evalueert naar een bekende container binnen het AD-domein. Controleer de gebeurtenis Exporteren in de inrichtingslogboeken om de gegenereerde waarde te bekijken.
2.	Exportbewerkingsfouten in het providinglogboek met foutcode: SystemForCrossDomainIdentityManagementBadResponse en bericht Fout: ConstraintViolation-AtrErr: Een waarde in het verzoek is ongeldig. Een waarde voor het kenmerk lag niet in het acceptabele bereik van waarden. \nFoutdetails: CONSTRAINT_ATT_TYPE - bedrijf.	Hoewel deze fout specifiek is voor het kenmerk company, kan deze fout ook worden weergegeven voor andere kenmerken, zoals CN. Deze fout is het gevolg van een door AD afgedwongen schemabeperking. Standaard geldt voor kenmerken zoals company en CN in AD een maximum van 64 tekens. Als de waarde die afkomstig is van Workday langer is dan 64 tekens, wordt dit foutbericht weergegeven.	Controleer de gebeurtenis Exporteren in de inrichtingslogboeken om de waarde voor het kenmerk te zien dat in het foutbericht is gerapporteerd. Overweeg de waarde die afkomstig is van Workday af te kappen met behulp van de Mid-functie of de koppelingen te wijzigen naar een AD-kenmerk dat niet dezelfde lengtebeperkingen heeft.

Fouten bij het bijwerken van Azure AD-gebruikersaccount

Tijdens het bijwerken van AD-gebruikersaccounts haalt de inrichtingsservice gegevens op uit zowel Workday als AD, worden vervolgens de regels voor kenmerktoewijzing uitgevoerd en wordt ten slotte bepaald of er een wijziging moet worden doorgevoerd. Als gevolg wordt er een update evenement geactiveerd. Als een van deze stappen een fout tegenkomt, wordt deze geregistreerd in de provisielogboeken. Gebruik de onderstaande tabel om veelvoorkomende updatefouten op te lossen.

#	Foutscenario	Mogelijke oorzaken	Aanbevolen oplossing
1.	Synchronisatieregelactiefouten in het inrichtingslogboek met het bericht EventName = EntrySynchronizationError en ErrorCode = EndpointUnavailable.	Deze fout wordt weergegeven als de inrichtingsservice geen gebruikersprofielgegevens kan ophalen uit Active Directory vanwege een verwerkingsfout op de on-premises inrichtingsagent.	Controleer de Event Viewer-logboeken van de inrichtingsagent op foutgebeurtenissen die duiden op problemen met de leesbewerking (filter op Event-ID 2).
2.	Het kenmerk Manager in AD wordt niet bijgewerkt voor bepaalde gebruikers in AD.	De meest waarschijnlijke oorzaak van deze fout is als u bereikregels gebruikt en de manager van de gebruiker geen deel uitmaakt van het bereik. U kunt dit probleem ook tegenkomen als het overeenkomende id-kenmerk van de manager (zoals EmployeeID) niet wordt gevonden in het doel-AD-domein of niet is ingesteld op de juiste waarde.	Controleer het scopingfilter en voeg de managergebruiker toe aan het bereik. Controleer het profiel van de manager in AD om ervoor te zorgen dat er een waarde is voor het overeenkomende id-kenmerk.

Uw configuratie beheren

In deze sectie wordt beschreven hoe u een configuratie met door Workday aangestuurde gebruikersinrichting verder kunt uitbreiden, aanpassen en beheren. De volgende onderwerpen komen aan bod:

• De lijst met gebruikerskenmerken van Workday aanpassen
• Uw configuratie exporteren en importeren

De lijst met gebruikerskenmerken van Workday aanpassen

De inrichtingsapps van Workday voor Active Directory en Microsoft Entra ID bevatten beide een standaardlijst met gebruikerskenmerken van Workday waaruit u kunt kiezen. Deze lijsten zijn echter niet uitgebreid. Workday ondersteunt honderden mogelijke gebruikerskenmerken, die standaard of uniek kunnen zijn voor uw Workday-tenant.

De Microsoft Entra-inrichtingsservice ondersteunt de mogelijkheid om uw lijst- of Workday-kenmerk aan te passen zodat alle kenmerken worden opgenomen die beschikbaar zijn in de Get_Workers bewerking van de Human Resources-API.

Als u deze wijziging wilt uitvoeren, moet u Workday Studio gebruiken om de XPath-expressies te extraheren die de kenmerken vertegenwoordigen die u wilt gebruiken en deze vervolgens toe te voegen aan uw inrichtingsconfiguratie met behulp van de geavanceerde kenmerkeditor.

Een XPath-expressie ophalen voor een gebruikerskenmerk van Workday:

1. Download en installeer Workday Studio. U hebt een Workday-communityaccount nodig om toegang te krijgen tot het installatieprogramma.

2. Download het WSDL-bestand Human_Resources van Workday dat specifiek is voor de WWS API-versie die u wilt gebruiken vanuit de Workday Web Services Directory

3. Start Workday Studio.

4. Selecteer in de opdrachtbalk de optie Workday > Test Web Service in Tester .

5. Selecteer External en daarna het WSDL-bestand Human_Resources dat u hebt gedownload in stap 2.

   

6. Stel het veld Location in op https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, maar vervang "IMPL-CC" door het type instantie dat u gebruikt en "TENANT" door de echte naam van uw tenant.

7. Stel Operation in als Get_Workers.

8. Klik op de kleine link configure onder de deelvensters Request/Response om uw Workday-referenties in te stellen. Schakel Authentication in en voer vervolgens de gebruikersnaam en het wachtwoord in voor uw Workday-integratiesysteemaccount. Zorg ervoor dat u de gebruikersnaam formatteert als naam@tenant en laat de optie WS-Security UsernameToken geselecteerd staan.

9. Selecteer OK.

10. Plak in het deelvenster Request de onderstaande XML. Stel Employee_ID in op de werknemer-id van een echte gebruiker in uw Workday-tenant. Stel wd:version in voor de versie van WWS die u wilt gebruiken. Selecteer een gebruiker met het kenmerk dat u wilt ophalen.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Klik op Send Request (de groene pijl) om de opdracht uit te voeren. Als de opdracht lukt, wordt het antwoord weergegeven in het deelvenster Response. Controleer het antwoord om er zeker van te zijn dat het de gegevens bevat van de gebruikers-id die u hebt ingevoerd, en niet een fout.

12. Als alles in orde is, kopieert u de XML uit het deelvenster Response en slaat u deze op als XML-bestand.

13. Selecteer Bestand > openen in de opdrachtbalk van Workday Studio... en open het XML-bestand dat u hebt opgeslagen. Met deze actie wordt het bestand geopend in de XML-editor van Workday Studio.

    

14. Navigeer in de bestandsstructuur door /env: Envelop > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker om de gegevens van uw gebruiker te vinden.

15. Zoek onder wd: Worker het kenmerk dat u wilt toevoegen en selecteer het.

16. Kopieer de XPath-expressie voor het geselecteerde kenmerk uit het veld Document Path.

17. Verwijder het voorvoegsel /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ uit de gekopieerde expressie.

18. Als het laatste item in de gekopieerde expressie een knooppunt is (bijvoorbeeld: '/wd: Birth_Date'), voegt u /text() toe aan het einde van de expressie. Dit is niet nodig als het laatste item een kenmerk is (bijvoorbeeld: '/@wd: type').

19. Het resultaat moet er ongeveer uitzien als wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Deze waarde is wat u kopieert en invoert in het Microsoft Entra-beheercentrum.

Uw aangepaste Workday-gebruikerskenmerk toevoegen aan uw inrichtingsconfiguratie:

1. Start het Microsoft Entra-beheercentrum en navigeer naar de sectie Inrichten van uw Workday-inrichtingstoepassing, zoals eerder in deze zelfstudie is beschreven.

2. Stel Inrichtingsstatus in op Uiten selecteer Opslaan. Met deze stap kunt u ervoor zorgen dat uw wijzigingen alleen van kracht worden wanneer u klaar bent.

3. Onder Toewijzingen selecteer Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra ID).

4. Scrol naar de onderkant van het volgende scherm en selecteer Geavanceerde opties weergeven.

5. Selecteer Kenmerkenlijst bewerken voor Workday.

6. Scrol naar onderaan de lijst met kenmerken, naar waar de invoervelden zich bevinden.

7. Geef bij Naam een weergavenaam op voor het kenmerk.

8. Selecteer bij Type het type dat het beste overeenkomt met uw kenmerk (Tekenreeks is het meest gebruikelijke type).

9. Geef bij API-expressie de XPath-expressie op die u hebt gekopieerd uit Workday Studio. Voorbeeld: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Selecteer Kenmerk toevoegen.

    Schermopname van Workday Studio.

11. Selecteer hierboven Opslaan en klik vervolgens op Ja in het dialoogvenster dat verschijnt. Sluit het scherm Kenmerktoewijzing als deze nog steeds is geopend.

12. Ga terug naar het hoofdtabblad Inrichten en selecteer Workday-werknemers opnieuw synchroniseren met on-premises Active Directory (of werkrollen synchroniseren met Microsoft Entra ID).

13. Kies Nieuwe toewijzing toevoegen.

14. Het nieuwe kenmerk moet nu in de lijst Bronkenmerk staan.

15. Voeg desgewenst een toewijzing voor het nieuwe kenmerk toe.

16. Vergeet niet om aan het eind de Inrichtingsstatus weer op Aan in te stellen en op te slaan.

Uw configuratie exporteren en importeren

Raadpleeg voor meer informatie het artikel over het exporteren en importeren van de inrichtingsconfiguratie.

Persoonlijke gegevens beheren

De oplossing voor het inrichten van Workday-gebruikers in Active Directory vereist dat er een inrichtingsagent is geïnstalleerd op een on-premises Windows-server. Deze agent maakt logboeken in het Windows-gebeurtenislogboek die persoonlijke gegevens kunnen bevatten, afhankelijk van de kenmerktoewijzingen tussen Workday en AD. Om de privacyrechten van gebruikers na te leven, kunt u ervoor zorgen dat er niet langer dan 48 uur gegevens in de gebeurtenislogboeken worden bewaard door een geplande Windows-taak in te stellen waarmee het gebeurtenislogboek wordt gewist.

De Microsoft Entra-inrichtingsservice valt in de categorie gegevensverwerker van AVG-classificatie. Als een pijplijn voor het verwerken van gegevens, biedt de service voorzieningen voor gegevensverwerking aan belangrijke partners en eindgebruikers. Microsoft Entra-inrichtingsservice genereert geen gebruikersgegevens en heeft geen onafhankelijke controle over welke persoonlijke gegevens worden verzameld en hoe deze worden gebruikt. Het ophalen, samenvoegen, analyseren en rapporteren van gegevens in Microsoft Entra-inrichtingsservice is gebaseerd op bestaande bedrijfsgegevens.

Notitie

Voor informatie over het weergeven of verwijderen van persoonsgegevens, raadpleegt u de richtlijnen van Microsoft op de site Verzoek tot toegang tot persoonsgegevens met betrekking tot de AVG (Algemene Verordening Gegevensbescherming). Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.

Met betrekking tot het bewaren van gegevens genereert de Microsoft Entra-inrichtingsservice geen rapporten, voert geen analyses uit en biedt geen inzichten na een periode van 30 dagen. Daarom slaat de Microsoft Entra-inrichtingsservice geen gegevens langer dan 30 dagen op, verwerkt of bewaart deze niet. Dit ontwerp voldoet aan de AVG-regelgeving, de privacynalevingsregels van Microsoft en het bewaarbeleid voor gegevens van Microsoft Entra.

Volgende stappen

• Wat is Beheer van identiteitslevenscycli
• Wat is voorziening?