Udostępnij za pośrednictwem


Samouczek: konfigurowanie aprowizacji użytkowników produktu Workday w usłudze Microsoft Entra

Celem tego samouczka jest przedstawienie kroków, które należy wykonać, aby aprowizować dane procesu roboczego z produktu Workday do identyfikatora Entra firmy Microsoft.

Uwaga

Skorzystaj z tego samouczka, jeśli użytkownicy, których chcesz aprowizować z produktu Workday, są użytkownikami korzystającymi tylko z chmury, którzy nie potrzebują lokalnego konta usługi AD. Jeśli użytkownicy wymagają tylko lokalnego konta usługi AD lub konta usługi AD i usługi Microsoft Entra, zapoznaj się z samouczkiem dotyczącym konfigurowania aprowizacji użytkowników usługi Workday w usłudze Active Directory .

Poniższy film wideo zawiera krótkie omówienie kroków związanych z planowaniem integracji aprowizacji z programem Workday.

Omówienie

Usługa aprowizacji użytkowników firmy Microsoft entra integruje się z interfejsem API human resources produktu Workday w celu aprowizacji kont użytkowników. Przepływy pracy aprowizacji użytkowników produktu Workday obsługiwane przez usługę aprowizacji użytkowników firmy Microsoft umożliwiają automatyzację następujących scenariuszy zarządzania zasobami ludzkimi i cyklem życia tożsamości:

  • Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do produktu Workday konto użytkownika jest automatycznie tworzone w usłudze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez usługę Microsoft Entra ID z zapisem zwrotnym adresu e-mail do produktu Workday.

  • Aktualizacje atrybutu i profilu pracownika — po zaktualizowaniu rekordu pracownika w usłudze Workday (na przykład nazwy, tytułu lub menedżera) konto użytkownika jest automatycznie aktualizowane identyfikatora Firmy Microsoft Entra i opcjonalnie platformy Microsoft 365 i innych aplikacji SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

  • Kończenie pracy pracowników — po zakończeniu pracy pracownika konto użytkownika jest automatycznie wyłączone w identyfikatorze Entra firmy Microsoft i opcjonalnie na platformie Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

  • Ponowne przełączenie pracownika — po ponownym uruchomieniu pracownika w usłudze Workday ich stare konto może zostać automatycznie ponownie aktywowane lub ponownie aprowidowane (w zależności od preferencji) do identyfikatora Entra firmy Microsoft i opcjonalnie platformy Microsoft 365 i innych aplikacji SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

KtoTo czy to rozwiązanie do aprowizacji użytkowników najlepiej nadaje się?

To rozwiązanie do aprowizacji użytkowników produktu Workday to Microsoft Entra idealnie nadaje się do:

  • Organizacje, które chcą wstępnie utworzonego rozwiązania opartego na chmurze na potrzeby aprowizacji użytkowników produktu Workday

  • Organizacje, które wymagają bezpośredniej aprowizacji użytkowników z produktu Workday do identyfikatora Entra firmy Microsoft

  • Organizacje, które wymagają aprowizacji użytkowników przy użyciu danych uzyskanych z produktu Workday

  • Organizacje korzystające z platformy Microsoft 365 na potrzeby poczty e-mail

Architektura rozwiązania

W tej sekcji opisano architekturę rozwiązania do aprowizacji użytkowników końcowych dla użytkowników korzystających tylko z chmury. Istnieją dwa powiązane przepływy:

  • Autorytatywny przepływ danych hr — od produktu Workday do identyfikatora Entra firmy Microsoft: w przypadku zdarzeń procesu roboczego przepływu (takich jak Nowi pracownicy, transfery, zakończenia) najpierw występują w workday, a następnie dane zdarzenia przepływają do identyfikatora Entra firmy Microsoft. W zależności od zdarzenia może to prowadzić do tworzenia/aktualizowania/włączania/wyłączania operacji w identyfikatorze Entra firmy Microsoft.

  • Przepływ zapisywania zwrotnego — od lokalna usługa Active Directory do produktu Workday: po zakończeniu tworzenia konta w usłudze Active Directory jest synchronizowany z identyfikatorem Entra firmy Microsoft za pośrednictwem usługi Microsoft Entra Połączenie i informacji, takich jak adres e-mail, nazwa użytkownika i numer telefonu, można zapisać z powrotem do produktu Workday.

    Omówienie

Przepływ danych użytkownika końcowego

  1. Zespół kadr wykonuje transakcje procesów roboczych (Joiners/Movers/Leavers lub New Hires/Transfer/Terminations) w Workday Employee Central
  2. Usługa aprowizacji firmy Microsoft uruchamia zaplanowane synchronizacje tożsamości z usługi Workday EC i identyfikuje zmiany, które należy przetworzyć na potrzeby synchronizacji z lokalna usługa Active Directory.
  3. Usługa aprowizacji firmy Microsoft określa zmianę i wywołuje operację create/update/enable/disable dla użytkownika w usłudze Microsoft Entra ID.
  4. Jeśli aplikacja Workday Writeback jest skonfigurowana, pobiera atrybuty, takie jak adres e-mail, nazwa użytkownika i numer telefonu z identyfikatora Entra firmy Microsoft.
  5. Usługa Aprowizacji firmy Microsoft ustawia adres e-mail, nazwę użytkownika i numer telefonu w usłudze Workday.

Planowanie wdrożenia

Konfigurowanie aprowizacji użytkowników opartych na usłudze Cloud HR z produktu Workday do firmy Microsoft Entra ID wymaga znacznego planowania obejmującego różne aspekty, takie jak:

  • Określanie zgodnego identyfikatora
  • Mapowanie atrybutów
  • Przekształcanie atrybutów
  • Filtry określania zakresu

Zapoznaj się z planem wdrażania działu kadr w chmurze, aby uzyskać kompleksowe wskazówki dotyczące tych tematów.

Konfigurowanie użytkownika systemu integracji w programie Workday

Zapoznaj się z sekcją Konfigurowanie użytkownika systemu integracji na potrzeby tworzenia konta użytkownika systemu integracji produktu Workday z uprawnieniami do pobierania danych procesu roboczego.

Konfigurowanie aprowizacji użytkowników z produktu Workday do identyfikatora Entra firmy Microsoft

W poniższych sekcjach opisano kroki konfigurowania aprowizacji użytkowników z produktu Workday do identyfikatora Entra firmy Microsoft dla wdrożeń tylko w chmurze.

Część 1. Dodawanie aplikacji łącznika aprowizacji firmy Microsoft i tworzenie połączenia z programem Workday

Aby skonfigurować aprowizowanie produktu Workday w usłudze Microsoft Entra dla użytkowników korzystających tylko z chmury:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

  3. Wyszukaj aplikację Workday w witrynie Microsoft Entra user provisioning i dodaj aplikację z galerii.

  4. Po dodaniu aplikacji i ekranie szczegółów aplikacji wybierz pozycję Aprowizowanie.

  5. Zmień tryb aprowizacjina Automatyczny.

  6. Wypełnij sekcję Administracja Credentials (Poświadczenia Administracja):

    • Nazwa użytkownika produktu Workday — wprowadź nazwę użytkownika konta systemu integracji produktu Workday z dołączona nazwą domeny dzierżawy. Powinien wyglądać mniej więcej tak: username@contoso4

    • Hasło produktu Workday — wprowadź hasło konta systemu integracji produktu Workday

    • Adres URL interfejsu API usług sieci Web produktu Workday — wprowadź adres URL punktu końcowego usług internetowych produktu Workday dla dzierżawy. Adres URL określa wersję interfejsu API usług sieci Web produktu Workday używanego przez łącznik.

      Format adresu URL Używana wersja interfejsu API WWS Wymagane zmiany XPATH
      https://####.workday.com/ccx/service/tenantName wersja 21.1 Nie.
      https://####.workday.com/ccx/service/tenantName/Human_Resources wersja 21.1 Nie.
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Tak

      Uwaga

      Jeśli w adresie URL nie określono żadnych informacji o wersji, aplikacja używa usług Sieci Web Workday (WWS) w wersji 21.1, a żadne zmiany nie są wymagane do domyślnych wyrażeń interfejsu API XPATH dostarczanych z aplikacją. Aby użyć określonej wersji interfejsu API WWS, określ numer wersji w adresie URL
      Przykład: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Jeśli używasz interfejsu API WWS w wersji 30.0 lub nowszej, przed włączeniem zadania aprowizacji zaktualizuj wyrażenia interfejsu API XPATH w obszarze Mapowanie atrybutów —> Opcje zaawansowane —> Edytuj listę atrybutów dla produktu Workday, korzystając z sekcji Zarządzanie konfiguracją i dokumentacją atrybutów produktu Workday.

    • Wiadomość e-mail z powiadomieniem — wprowadź swój adres e-mail i zaznacz pole wyboru "Wyślij wiadomość e-mail, jeśli wystąpi błąd".

    • Kliknij przycisk Test Połączenie ion.

    • Jeśli test połączenia zakończy się pomyślnie, kliknij przycisk Zapisz u góry. Jeśli nie powiedzie się, sprawdź dokładnie, czy adres URL i poświadczenia produktu Workday są prawidłowe w usłudze Workday.

Część 2. Konfigurowanie mapowań atrybutów produktu Workday i firmy Microsoft Entra

W tej sekcji skonfigurujesz sposób przepływu danych użytkownika z produktu Workday do identyfikatora Entra firmy Microsoft dla użytkowników korzystających tylko z chmury.

  1. Na karcie Aprowizowanie w obszarze Mapowania kliknij pozycję Synchronizuj procesy robocze z identyfikatorem Entra firmy Microsoft.

  2. W polu Zakres obiektu źródłowego można wybrać, które zestawy użytkowników w programie Workday powinny znajdować się w zakresie aprowizacji identyfikatora Entra firmy Microsoft, definiując zestaw filtrów opartych na atrybutach. Domyślnym zakresem jest "wszyscy użytkownicy w programie Workday". Przykładowe filtry:

    • Przykład: zakres dla użytkowników z identyfikatorami procesów roboczych z zakresu od 1000000 do 2000000

      • Atrybut: WorkerID

      • Operator: Dopasowanie REGEX

      • Wartość: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Przykład: Tylko warunkowi pracownicy, a nie stali pracownicy

      • Atrybut: ContingentID

      • Operator: NIE MA WARTOŚCI NULL

  3. W polu Akcje obiektu docelowego można globalnie filtrować akcje wykonywane na identyfikatorze Entra firmy Microsoft. Tworzenie i aktualizowanie jest najbardziej typowe.

  4. W sekcji Mapowania atrybutów można zdefiniować sposób mapowania poszczególnych atrybutów produktu Workday na atrybuty usługi Active Directory.

  5. Kliknij istniejące mapowanie atrybutów, aby go zaktualizować, lub kliknij pozycję Dodaj nowe mapowanie w dolnej części ekranu, aby dodać nowe mapowania. Pojedyncze mapowanie atrybutów obsługuje następujące właściwości:

    • Typ mapowania

      • Direct — zapisuje wartość atrybutu Workday w atrybucie usługi AD bez zmian

      • Stała — zapisywanie statycznej, stałej wartości ciągu w atrybucie usługi AD

      • Wyrażenie — umożliwia zapisanie wartości niestandardowej w atrybucie usługi AD na podstawie co najmniej jednego atrybutu produktu Workday. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wyrażeń.

    • Atrybut źródłowy — atrybut użytkownika z produktu Workday. Jeśli atrybut, którego szukasz, nie jest obecny, zobacz Dostosowywanie listy atrybutów użytkownika produktu Workday.

    • Wartość domyślna — opcjonalnie. Jeśli atrybut źródłowy ma pustą wartość, mapowanie spowoduje zapisanie tej wartości. Najbardziej typową konfiguracją jest pozostawienie tego pustego.

    • Atrybut docelowy — atrybut użytkownika w identyfikatorze Entra firmy Microsoft.

    • Dopasuj obiekty przy użyciu tego atrybutu — określa, czy ten atrybut powinien być używany do unikatowego identyfikowania użytkowników między programem Workday i identyfikatorem Entra firmy Microsoft. Ta wartość jest zwykle ustawiana w polu Identyfikator procesu roboczego dla produktu Workday, które jest zwykle mapowane na atrybut Identyfikator pracownika (nowy) lub atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft.

    • Dopasowywanie pierwszeństwa — można ustawić wiele pasujących atrybutów. Jeśli istnieje wiele, są one oceniane w kolejności zdefiniowanej przez to pole. Po znalezieniu dopasowania nie są oceniane żadne dalsze pasujące atrybuty.

    • Zastosuj to mapowanie

      • Zawsze — zastosuj to mapowanie zarówno w akcjach tworzenia użytkownika, jak i aktualizowania

      • Tylko podczas tworzenia — zastosuj to mapowanie tylko w akcjach tworzenia użytkownika

  6. Aby zapisać mapowania, kliknij przycisk Zapisz w górnej części sekcji Mapowanie atrybutów.

Włączanie i uruchamianie aprowizacji użytkowników

Po zakończeniu konfiguracji aplikacji aprowizacji produktu Workday możesz włączyć usługę aprowizacji.

Napiwek

Domyślnie po włączeniu usługi aprowizacji zainicjuje ona operacje aprowizacji dla wszystkich użytkowników w zakresie. Jeśli występują błędy w problemach z mapowaniem lub danymi produktu Workday, zadanie aprowizacji może zakończyć się niepowodzeniem i przejść do stanu kwarantanny. Aby tego uniknąć, zalecamy skonfigurowanie filtru Zakres obiektu źródłowego i przetestowanie mapowań atrybutów przy użyciu kilku użytkowników testowych przed uruchomieniem pełnej synchronizacji dla wszystkich użytkowników. Po sprawdzeniu, czy mapowania działają i dają żądane wyniki, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

  1. Na karcie Aprowizacja ustaw wartość Stan aprowizacji na .

  2. Kliknij przycisk Zapisz.

  3. Ta operacja rozpoczyna synchronizację początkową, która może potrwać zmienną liczbę godzin w zależności od liczby użytkowników w dzierżawie produktu Workday. Możesz sprawdzić pasek postępu, aby śledzić postęp cyklu synchronizacji.

  4. W dowolnym momencie sprawdź kartę Aprowizacja w centrum administracyjnym firmy Entra, aby zobaczyć, jakie akcje wykonała usługa aprowizacji. Dzienniki aprowizacji wyświetla listę wszystkich zdarzeń synchronizacji poszczególnych wykonanych przez usługę aprowizacji, takich jak odczytywanie użytkowników z produktu Workday, a następnie dodawanie lub aktualizowanie do identyfikatora Entra firmy Microsoft.

  5. Po zakończeniu synchronizacji początkowej zapisze raport podsumowania inspekcji na karcie Aprowizacja , jak pokazano poniżej.

    Pasek postępu aprowizacji

Następne kroki