Delen via

Workday configureren voor eenmalige aanmelding met Microsoft Entra-id

In dit artikel leert u hoe u Workday integreert met Microsoft Entra ID. Wanneer u Workday integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra-id beheren wie toegang heeft tot Workday.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Workday.
  • Beheer uw accounts op één centrale locatie.

Voorwaarden

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

  • Workday-abonnement met single sign-on (SSO) ingeschakeld.

Beschrijving van scenario

In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.

  • Workday ondersteunt door SP geïnitieerde Single Sign-On.

  • De Workday mobiele toepassing kan nu worden geconfigureerd met Microsoft Entra ID voor het inschakelen van Single Sign-On (SSO). Volg deze koppeling voor meer informatie over het configureren.

Notitie

De id van deze toepassing is een vaste tekenreekswaarde zodat maar één exemplaar in één tenant kan worden geconfigureerd.

Als u de integratie van Workday in Microsoft Entra ID wilt configureren, moet u Workday vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
  2. Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
  3. Typ Workday in het zoekvak in de sectie Toevoegen vanuit de galerie.
  4. Selecteer Workday in het resultatenvenster en voeg vervolgens de app toe. Wacht een paar seconden terwijl de app aan uw tenant wordt toegevoegd.

U kunt ook gebruikmaken van de Enterprise App Configuration Wizard. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO voor Workday configureren en testen

Test de configuratie van Microsoft Entra SSO met Workday met behulp van een testgebruiker genaamd B.Simon. SSO werkt als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Workday.

Voer de volgende stappen uit om Microsoft Entra SSO met Workday te configureren en te testen:

  1. Configureer eenmalige aanmelding van Microsoft Entra om uw gebruikers in staat te stellen deze functie te gebruiken.
    1. Maak een Microsoft Entra-testgebruiker om eenmalige aanmelding van Microsoft Entra te testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
  2. Configureer Workday om de instellingen voor eenmalige aanmelding aan de toepassingszijde te configureren.
    1. Maak een Workday-testgebruiker om een tegenhanger van B.Simon in Workday te hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Test SSO om te controleren of de configuratie werkt.

Single Sign-On (SSO) voor Microsoft Entra configureren

Volg deze stappen om Single Sign-On (SSO) van Microsoft Entra in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

  2. Blader naar de Entra ID>Enterprise apps> integratiepagina voor de Workday-toepassing, zoek de sectie Beheren en selecteer Eenmalige aanmelding.

  3. Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren.

  4. Selecteer op de pagina Single Sign-On instellen met SAML het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.

    Schermopname van De standaard SAML-configuratie bewerken.

  5. Voer op de pagina Standaard SAML-configuratie de waarden in voor de volgende velden:

    een. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://impl.workday.com/<tenant>/login-saml2.flex

    b. Typ in het tekstvak Antwoord-URL een URL met het volgende patroon: https://impl.workday.com/<tenant>/login-saml.htmld

    Hoofdstuk c. Typ in het tekstvak Afmeldings-URL een URL met het volgende patroon: https://impl.workday.com/<tenant>/login-saml.htmld

    Notitie

    Deze waarden zijn niet de echte. Werk deze waarden bij met de werkelijke aanmeldings-URL en afmeldings-URL. Uw antwoord-URL moet een subdomein hebben, zoals www, wd2, wd3, wd3-impl, wd5 of wd5-impl. Het gebruik van iets als http://www.myworkday.com werkt, maar http://myworkday.com niet. Neem contact op met het ondersteuningsteam van Workday om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .

  6. In de Workday-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u de lijst met standaardkenmerken, terwijl nameidentifier is toegewezen aan user.userprincipalname. In de Workday-toepassing wordt verwacht dat nameidentifier wordt toegewezen aan user.mail, UPN, enzovoort. U moet dus de kenmerktoewijzing bewerken door het pictogram Bewerken te selecteren en de kenmerktoewijzing te wijzigen.

    Schermopname van Gebruikerskenmerken met het pictogram Bewerken geselecteerd.

    Notitie

    Hier hebben we de Name-ID standaard gekoppeld aan UPN (user.userprincipalname). U moet de naam-ID toewijzen aan de werkelijke gebruikers-ID in uw Workday-account (zoals uw e-mailadres, UPN, enzovoort) voor een geslaagde werking van eenmalige aanmelding.

  7. Zoek op de pagina Single Sign-On instellen met SAML in de sectie SAML-handtekeningcertificaat naar XML met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en op uw computer op te slaan.

    Schermopname die de downloadlink voor het certificaat toont.

  8. Als u de ondertekeningsopties wilt wijzigen op basis van uw behoeften, selecteert u de knop Bewerken om het dialoogvenster SAML-handtekeningcertificaat te openen.

    Schermopname van Certificaat.

    een. Selecteer SAML-antwoord en -assertie ondertekenen voor Optie voor ondertekening.

    b. Selecteer Opslaan

  9. In de sectie Workday instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Schermopname met de knop 'Configuratie-URL's kopiëren'.

Microsoft Entra-testgebruiker maken en toewijzen

Volg de richtlijnen in de quickstart voor het maken en toewijzen van een gebruikersaccount om een testgebruikersaccount met de naam B.Simon te maken.

Configureren van Workday

  1. Meld u in een andere browser als beheerder aan bij uw bedrijfssite in Workday.

  2. Zoek in het zoekvak met de naam Tenantconfiguratie bewerken – Beveiliging linksboven op de startpagina.

    Schermopname van Bewerken van Tenantbeveiliging.

  3. Selecteer In de sectie SAML Setupde optie Id-provider importeren.

    Schermopname van SAML-installatie.

  4. Voer in de sectie Id-provider importeren de onderstaande stappen uit:

    Schermopname van het importeren van id-provider.

    een. Geef de naam van de id-provider op zoals AzureAD in het tekstvak.

    b. Selecteer in het tekstvak Used for Environments de juiste omgevingsnamen in de vervolgkeuzelijst.

    Hoofdstuk c. Selecteer Bestanden selecteren om het gedownloade XML-bestand met federatieve metagegevens te uploaden.

    d. Kies OK.

  5. Nadat u OK hebt geselecteerd, wordt er een nieuwe rij toegevoegd in de SAML Identity Providers . Vervolgens kunt u de onderstaande stappen voor de zojuist gemaakte rij toevoegen.

    Schermopname van SAML Identiteitsaanbieders.

    een. Schakel het selectievakje Door IDP geïnitieerde afmelding inschakelen in.

    b. Typ in het tekstvak http://www.workday.com.

    Hoofdstuk c. Vink het selectievakje Afmelding geïnitieerd door Workday inschakelen aan.

    d. Plak in het tekstvak Afmeldingsaanvraag-URL de waarde van de afmeldings-URL .

    e. Schakel het selectievakje SP Geïnitieerd in.

    f. Typ in het tekstvak http://www.workday.com.

    gram. Selecteer Niet deflatteren SP-geïnitieerde authenticatieaanvraag.

    h. Klik op OK.

    Ik. Als de taak is voltooid, selecteert u Gereed.

    Notitie

    Zorg ervoor dat u eenmalige aanmelding juist instelt. Als u single sign-on inschakelt met een onjuiste configuratie, kunt u mogelijk niet bij de applicatie inloggen met uw referenties en kunt u uitgesloten raken. In dit geval biedt Workday een back-up inlog-URL waar gebruikers zich kunnen aanmelden met hun normale gebruikersnaam en wachtwoord in de volgende indeling: [Uw Workday-URL]/login.flex?redirect=n

Workday-testgebruiker maken

  1. Meld u als beheerder aan bij de Workday-bedrijfssite.

  2. Selecteer Profiel in de rechterbovenhoek, selecteer Home, en selecteer Directory op het tabblad Toepassingen.

  3. Selecteer op de pagina Directory de optie Werknemers zoeken in het tabblad Weergave.

    Schermopname van Werknemers zoeken.

  4. Op de pagina Werknemers zoeken selecteer je de gebruiker uit de resultaten.

  5. Selecteer op de volgende pagina Job > Worker Security en zorg dat het Workday-account overeenkomt met de Microsoft Entra-id, zodat deze overeenkomt met de Name ID waarde.

    Schermopname van Werkerbeveiliging.

Notitie

Neem contact op met het ondersteuningsteam van Workday voor meer informatie over het maken van een workday-testgebruiker.

SSO testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Selecteer Deze toepassing testen. Met deze optie wordt u omgeleid naar de aanmeldings-URL van Workday, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Workday en initieer daar de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel Workday selecteert in My Apps, zou u automatisch moeten worden aangemeld bij de Workday waarvoor u de SSO hebt ingesteld. Zie Inleiding tot mijn apps voor meer informatie over mijn apps.

Verwante inhoud

Zodra u Workday hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.