Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leert u hoe u Workday integreert met Microsoft Entra ID. Wanneer u Workday integreert met Microsoft Entra ID, kunt u het volgende doen:
- In Microsoft Entra-id beheren wie toegang heeft tot Workday.
- Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Workday.
- Beheer uw accounts op één centrale locatie.
Voorwaarden
In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:
- Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u nog geen account hebt, kunt u gratis een account maken.
- Een van de volgende rollen:
- Workday-abonnement met single sign-on (SSO) ingeschakeld.
Beschrijving van scenario
In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.
Workday ondersteunt door SP geïnitieerde Single Sign-On.
De Workday mobiele toepassing kan nu worden geconfigureerd met Microsoft Entra ID voor het inschakelen van Single Sign-On (SSO). Volg deze koppeling voor meer informatie over het configureren.
Notitie
De id van deze toepassing is een vaste tekenreekswaarde zodat maar één exemplaar in één tenant kan worden geconfigureerd.
Workday toevoegen vanuit de galerie
Als u de integratie van Workday in Microsoft Entra ID wilt configureren, moet u Workday vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
- Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
- Typ Workday in het zoekvak in de sectie Toevoegen vanuit de galerie.
- Selecteer Workday in het resultatenvenster en voeg vervolgens de app toe. Wacht een paar seconden terwijl de app aan uw tenant wordt toegevoegd.
U kunt ook gebruikmaken van de Enterprise App Configuration Wizard. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.
Microsoft Entra SSO voor Workday configureren en testen
Test de configuratie van Microsoft Entra SSO met Workday met behulp van een testgebruiker genaamd B.Simon. SSO werkt als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Workday.
Voer de volgende stappen uit om Microsoft Entra SSO met Workday te configureren en te testen:
-
Configureer eenmalige aanmelding van Microsoft Entra om uw gebruikers in staat te stellen deze functie te gebruiken.
- Maak een Microsoft Entra-testgebruiker om eenmalige aanmelding van Microsoft Entra te testen met B.Simon.
- Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
-
Configureer Workday om de instellingen voor eenmalige aanmelding aan de toepassingszijde te configureren.
- Maak een Workday-testgebruiker om een tegenhanger van B.Simon in Workday te hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
- Test SSO om te controleren of de configuratie werkt.
Single Sign-On (SSO) voor Microsoft Entra configureren
Volg deze stappen om Single Sign-On (SSO) van Microsoft Entra in te schakelen.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
Blader naar de Entra ID>Enterprise apps> integratiepagina voor de Workday-toepassing, zoek de sectie Beheren en selecteer Eenmalige aanmelding.
Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren.
Selecteer op de pagina Single Sign-On instellen met SAML het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.
Voer op de pagina Standaard SAML-configuratie de waarden in voor de volgende velden:
een. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon:
https://impl.workday.com/<tenant>/login-saml2.flex
b. Typ in het tekstvak Antwoord-URL een URL met het volgende patroon:
https://impl.workday.com/<tenant>/login-saml.htmld
Hoofdstuk c. Typ in het tekstvak Afmeldings-URL een URL met het volgende patroon:
https://impl.workday.com/<tenant>/login-saml.htmld
Notitie
Deze waarden zijn niet de echte. Werk deze waarden bij met de werkelijke aanmeldings-URL en afmeldings-URL. Uw antwoord-URL moet een subdomein hebben, zoals www, wd2, wd3, wd3-impl, wd5 of wd5-impl. Het gebruik van iets als
http://www.myworkday.com
werkt, maarhttp://myworkday.com
niet. Neem contact op met het ondersteuningsteam van Workday om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .In de Workday-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u de lijst met standaardkenmerken, terwijl nameidentifier is toegewezen aan user.userprincipalname. In de Workday-toepassing wordt verwacht dat nameidentifier wordt toegewezen aan user.mail, UPN, enzovoort. U moet dus de kenmerktoewijzing bewerken door het pictogram Bewerken te selecteren en de kenmerktoewijzing te wijzigen.
Notitie
Hier hebben we de Name-ID standaard gekoppeld aan UPN (user.userprincipalname). U moet de naam-ID toewijzen aan de werkelijke gebruikers-ID in uw Workday-account (zoals uw e-mailadres, UPN, enzovoort) voor een geslaagde werking van eenmalige aanmelding.
Zoek op de pagina Single Sign-On instellen met SAML in de sectie SAML-handtekeningcertificaat naar XML met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en op uw computer op te slaan.
Als u de ondertekeningsopties wilt wijzigen op basis van uw behoeften, selecteert u de knop Bewerken om het dialoogvenster SAML-handtekeningcertificaat te openen.
een. Selecteer SAML-antwoord en -assertie ondertekenen voor Optie voor ondertekening.
b. Selecteer Opslaan
In de sectie Workday instellen kopieert u de juiste URL('s) op basis van uw behoeften.
Microsoft Entra-testgebruiker maken en toewijzen
Volg de richtlijnen in de quickstart voor het maken en toewijzen van een gebruikersaccount om een testgebruikersaccount met de naam B.Simon te maken.
Configureren van Workday
Meld u in een andere browser als beheerder aan bij uw bedrijfssite in Workday.
Zoek in het zoekvak met de naam Tenantconfiguratie bewerken – Beveiliging linksboven op de startpagina.
Selecteer In de sectie SAML Setupde optie Id-provider importeren.
Voer in de sectie Id-provider importeren de onderstaande stappen uit:
een. Geef de naam van de id-provider op zoals
AzureAD
in het tekstvak.b. Selecteer in het tekstvak Used for Environments de juiste omgevingsnamen in de vervolgkeuzelijst.
Hoofdstuk c. Selecteer Bestanden selecteren om het gedownloade XML-bestand met federatieve metagegevens te uploaden.
d. Kies OK.
Nadat u OK hebt geselecteerd, wordt er een nieuwe rij toegevoegd in de SAML Identity Providers . Vervolgens kunt u de onderstaande stappen voor de zojuist gemaakte rij toevoegen.
een. Schakel het selectievakje Door IDP geïnitieerde afmelding inschakelen in.
b. Typ in het tekstvak http://www.workday.com.
Hoofdstuk c. Vink het selectievakje Afmelding geïnitieerd door Workday inschakelen aan.
d. Plak in het tekstvak Afmeldingsaanvraag-URL de waarde van de afmeldings-URL .
e. Schakel het selectievakje SP Geïnitieerd in.
f. Typ in het tekstvak http://www.workday.com.
gram. Selecteer Niet deflatteren SP-geïnitieerde authenticatieaanvraag.
h. Klik op OK.
Ik. Als de taak is voltooid, selecteert u Gereed.
Notitie
Zorg ervoor dat u eenmalige aanmelding juist instelt. Als u single sign-on inschakelt met een onjuiste configuratie, kunt u mogelijk niet bij de applicatie inloggen met uw referenties en kunt u uitgesloten raken. In dit geval biedt Workday een back-up inlog-URL waar gebruikers zich kunnen aanmelden met hun normale gebruikersnaam en wachtwoord in de volgende indeling: [Uw Workday-URL]/login.flex?redirect=n
Workday-testgebruiker maken
Meld u als beheerder aan bij de Workday-bedrijfssite.
Selecteer Profiel in de rechterbovenhoek, selecteer Home, en selecteer Directory op het tabblad Toepassingen.
Selecteer op de pagina Directory de optie Werknemers zoeken in het tabblad Weergave.
Op de pagina Werknemers zoeken selecteer je de gebruiker uit de resultaten.
Selecteer op de volgende pagina Job > Worker Security en zorg dat het Workday-account overeenkomt met de Microsoft Entra-id, zodat deze overeenkomt met de Name ID waarde.
Notitie
Neem contact op met het ondersteuningsteam van Workday voor meer informatie over het maken van een workday-testgebruiker.
SSO testen
In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.
Selecteer Deze toepassing testen. Met deze optie wordt u omgeleid naar de aanmeldings-URL van Workday, waar u de aanmeldingsstroom kunt initiëren.
Ga rechtstreeks naar de aanmeldings-URL van Workday en initieer daar de aanmeldingsstroom.
U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel Workday selecteert in My Apps, zou u automatisch moeten worden aangemeld bij de Workday waarvoor u de SSO hebt ingesteld. Zie Inleiding tot mijn apps voor meer informatie over mijn apps.
Verwante inhoud
Zodra u Workday hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.