Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z aplikacją Workday

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację Workday z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu produktu Workday z identyfikatorem Entra firmy Microsoft możesz wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do produktu Workday.
  • Umożliwianie użytkownikom automatycznego logowania do aplikacji Workday przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Workday z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa Workday obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

  • Aplikację Workday Mobile można teraz skonfigurować przy użyciu identyfikatora Entra firmy Microsoft na potrzeby włączania logowania jednokrotnego. Aby uzyskać więcej informacji na temat konfigurowania, skorzystaj z tego linku.

Uwaga

Identyfikator tej aplikacji jest stałą wartością ciągu, więc w jednej dzierżawie można skonfigurować tylko jedno wystąpienie.

Aby skonfigurować integrację aplikacji Workday z identyfikatorem Entra firmy Microsoft, należy dodać aplikację Workday z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Workday w polu wyszukiwania.
  4. Wybierz pozycję Workday z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for Workday

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Workday przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem produktu Workday.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Workday, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra w celu przetestowania logowania jednokrotnego firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra, aby umożliwić aplikacji B.Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj aplikację Workday , aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego produktu Workday, aby mieć w aplikacji Workday odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Przetestuj logowanie jednokrotne , aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji dla>przedsiębiorstw Aplikacji>>dla przedsiębiorstw Workday, znajdź sekcję Zarządzanie i wybierz pozycję Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Screenshot showing Edit Basic SAML Configuration.

  5. Na stronie Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://impl.workday.com/<tenant>/login-saml2.flex

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://impl.workday.com/<tenant>/login-saml.htmld

    c. W polu tekstowym Adres URL wylogowywania wpisz adres URL , korzystając z następującego wzorca: https://impl.workday.com/<tenant>/login-saml.htmld

    Uwaga

    Te wartości nie są rzeczywiste. Zaktualizuj te wartości przy użyciu rzeczywistego adresu URL logowania, adresu URL odpowiedzi i adresu URL wylogowywania. Adres URL odpowiedzi musi mieć poddomenę, na przykład: www, wd2, wd3, wd3-impl, wd5, wd5-impl). Używanie czegoś takiego jak http://www.myworkday.com działa, ale http://myworkday.com nie. Skontaktuj się z zespołem pomocy technicznej klienta produktu Workday, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Aplikacja Workday oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych, natomiast atrybut nameidentifier jest mapowany na user.userprincipalname. Aplikacja produktu Workday oczekuje mapowania atrybutu nameidentifier z atrybutem user.mail, UPN itp., dlatego należy edytować mapowanie atrybutów, klikając ikonę Edytuj i zmieniając mapowanie atrybutów.

    Screenshot shows User Attributes with the Edit icon selected.

    Uwaga

    W tym miejscu zamapowaliśmy identyfikator nazwy z nazwą UPN (userprincipalname) jako domyślną. Aby pomyślnie pracować z logowaniem jednokrotnym, musisz zamapować identyfikator nazwy z rzeczywistym identyfikatorem użytkownika na koncie produktu Workday (adres e-mail, nazwa UPN itp.).

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    Screenshot showing The Certificate download link.

  8. Aby zmodyfikować opcje podpisywania zgodnie z wymaganiami, kliknij przycisk Edytuj, aby otworzyć okno dialogowe Certyfikat podpisywania SAML.

    Screenshot showing Certificate.

    a. Wybierz pozycję Podpisz odpowiedź SAML i asercji dla opcji podpisywania.

    Screenshot showing SAML Signing Certificate.

    b. Kliknij pozycję Zapisz

  9. W sekcji Konfigurowanie produktu Workday skopiuj odpowiednie adresy URL na podstawie wymagań.

    Screenshot showing Copy configuration URLs.

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Workday.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do aplikacji tożsamości>dla>przedsiębiorstw>Workday.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie produktu Workday

  1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny produktu Workday jako administrator.

  2. W polu Wyszukaj wyszukaj nazwę Edytuj konfigurację dzierżawy — zabezpieczenia w lewej górnej części strony głównej.

    Screenshot showing Edit Tenant Security.

  3. W sekcji Konfiguracja protokołu SAML kliknij pozycję Importuj dostawcę tożsamości.

    Screenshot showing SAML Setup.

  4. W sekcji Import Identity Provider (Importowanie dostawcy tożsamości) wykonaj następujące kroki:

    Screenshot showing Importing Identity Provider.

    a. Nadaj nazwę dostawcy tożsamości, tak jak AzureAD w polu tekstowym.

    b. W polu tekstowym Używany dla środowisk wybierz odpowiednie nazwy środowisk z listy rozwijanej.

    c. Kliknij pozycję Wybierz pliki , aby przekazać pobrany plik XML metadanych federacji.

    d. Kliknij przycisk OK.

  5. Po kliknięciu przycisku OK nowy wiersz zostanie dodany w dostawcy tożsamości SAML, a następnie można dodać poniższe kroki dla nowo utworzonego wiersza.

    Screenshot showing SAML Identity Providers.

    a. Kliknij pole wyboru Włącz wylogowywanie inicjowane przez dostawcę tożsamości.

    b. W polu tekstowym Adres URL odpowiedzi wylogowywania wpisz http://www.workday.com.

    c. Kliknij pole wyboru Włącz wylogowywanie inicjowane przez program Workday.

    d. W polu tekstowym Adres URL żądania wylogowywania wklej wartość Adres URL wylogowywania.

    e. Kliknij pole wyboru Zainicjowane przez dostawcę usług.

    f. W polu tekstowym Service Provider ID (Identyfikator dostawcy usług) wpisz http://www.workday.com.

    g. Wybierz pozycję Nie deflate żądania uwierzytelniania inicjowane przez dostawcę usług.

    h. Kliknij przycisk OK.

    i. Jeśli zadanie zostało ukończone pomyślnie, kliknij przycisk Gotowe.

    Uwaga

    Upewnij się, że logowanie jednokrotne zostało poprawnie skonfigurowane. Jeśli włączysz logowanie jednokrotne z nieprawidłową konfiguracją, może nie być możliwe wprowadzenie aplikacji przy użyciu poświadczeń i zablokowanie. W takiej sytuacji usługa Workday udostępnia adres URL logowania kopii zapasowej, pod którym użytkownicy mogą logować się przy użyciu normalnej nazwy użytkownika i hasła w następującym formacie: [Adres URL produktu Workday]/login.flex?redirect=n

Tworzenie użytkownika testowego produktu Workday

  1. Zaloguj się do firmowej witryny produktu Workday jako administrator.

  2. Kliknij pozycję Profil w prawym górnym rogu, wybierz pozycję Narzędzia główne i kliknij pozycję Katalog na karcie Aplikacje .

  3. Na stronie Katalog wybierz pozycję Znajdź procesy robocze na karcie widoków.

    Screenshot showing Find workers.

  4. Na stronie Znajdowanie procesów roboczych wybierz użytkownika z wyników.

  5. Na poniższej stronie wybierz pozycję Zabezpieczenia procesu roboczego zadania>, a konto produktu Workday musi być zgodne z identyfikatorem Entra firmy Microsoft jako wartością Identyfikator nazwy.

    Screenshot showing Worker Security.

Uwaga

Aby uzyskać więcej informacji na temat tworzenia użytkownika testowego produktu Workday, skontaktuj się z zespołem pomocy technicznej klienta produktu Workday.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania produktu Workday, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania produktu Workday i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Workday w Moje aplikacje powinno nastąpić automatyczne zalogowanie do aplikacji Workday, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu produktu Workday możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.