Samouczek: konfigurowanie produktu Workday na potrzeby automatycznej aprowizacji użytkowników

Celem tego samouczka jest pokazanie kroków, które należy wykonać, aby aprowizować profile procesów roboczych z produktu Workday do usługi lokalna usługa Active Directory (AD).

Uwaga

Skorzystaj z tego samouczka, jeśli użytkownicy, których chcesz aprowizować z produktu Workday, potrzebują lokalnego konta usługi AD i konta Microsoft Entra.

Poniższy film wideo zawiera krótkie omówienie kroków związanych z planowaniem integracji aprowizacji z programem Workday.

Omówienie

Usługa aprowizacji użytkowników firmy Microsoft entra integruje się z interfejsem API human resources produktu Workday w celu aprowizacji kont użytkowników. Przepływy pracy aprowizacji użytkowników produktu Workday obsługiwane przez usługę aprowizacji użytkowników firmy Microsoft umożliwiają automatyzację następujących scenariuszy zarządzania zasobami ludzkimi i cyklem życia tożsamości:

  • Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do produktu Workday konto użytkownika jest automatycznie tworzone w usłudze Active Directory, Identyfikatorze Entra firmy Microsoft oraz opcjonalnie w usłudze Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra z zapisem informacji kontaktowych zarządzanych przez it do produktu Workday.

  • Aktualizacje atrybutu pracownika i profilu — po zaktualizowaniu rekordu pracownika w usłudze Workday (takim jak nazwa, tytuł lub menedżer) konto użytkownika zostanie automatycznie zaktualizowane w usłudze Active Directory, identyfikatorze Firmy Microsoft Entra oraz opcjonalnie usłudze Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

  • Kończenie pracy pracowników — po zakończeniu pracy pracownika konto użytkownika jest automatycznie wyłączone w usłudze Active Directory, identyfikatorze Entra firmy Microsoft i opcjonalnie rozwiązaniu Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

  • Ponowne przełączenie pracownika — gdy pracownik zostanie ponownie uruchomiony w usłudze Workday, ich stare konto może zostać automatycznie ponownie aktywowane lub ponownie aprowidowane (w zależności od preferencji) do usługi Active Directory, identyfikatora Entra firmy Microsoft i opcjonalnie platformy Microsoft 365 i innych aplikacji SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

Co nowego

Ta sekcja zawiera najnowsze ulepszenia integracji produktu Workday. Aby uzyskać listę kompleksowych aktualizacji, planowanych zmian i archiwów, odwiedź stronę Co nowego w identyfikatorze Firmy Microsoft Entra?

  • Październik 2020 r. — włączona aprowizacja na żądanie dla produktu Workday: przy użyciu aprowizacji na żądanie można teraz przetestować kompleksową aprowizację dla określonego profilu użytkownika w usłudze Workday, aby zweryfikować mapowanie atrybutów i logikę wyrażeń.

  • Maj 2020 r. — Możliwość zapisywania zwrotnego numerów telefonów w usłudze Workday: oprócz poczty e-mail i nazwy użytkownika można teraz zapisywać zwrotny numer telefonu służbowego i numer telefonu komórkowego z identyfikatora Microsoft Entra ID do produktu Workday. Aby uzyskać więcej informacji, zapoznaj się z samouczkiem dotyczącym aplikacji zapisywania zwrotnego.

  • Kwiecień 2020 r. — obsługa najnowszej wersji interfejsu API usług sieci Web produktu Workday (WWS): dwa razy w roku w marcu i wrześniu firma Workday dostarcza rozbudowane aktualizacje, które pomagają spełnić cele biznesowe i zmieniające się wymagania pracowników. Aby nadążyć za nowymi funkcjami dostarczanymi przez program Workday, możesz teraz bezpośrednio określić wersję interfejsu API WWS, której chcesz użyć w adresie URL połączenia. Aby uzyskać szczegółowe informacje na temat sposobu określania wersji interfejsu API produktu Workday, zapoznaj się z sekcją dotyczącą konfigurowania łączności produktu Workday.

KtoTo czy to rozwiązanie do aprowizacji użytkowników najlepiej nadaje się?

To rozwiązanie aprowizacji użytkowników produktu Workday idealnie nadaje się do:

  • Organizacje, które chcą wstępnie utworzonego rozwiązania opartego na chmurze na potrzeby aprowizacji użytkowników produktu Workday

  • Organizacje, które wymagają bezpośredniej aprowizacji użytkowników z produktu Workday do usługi Active Directory lub identyfikatora Entra firmy Microsoft

  • Organizacje, które wymagają aprowizacji użytkowników przy użyciu danych uzyskanych z modułu Workday HCM (zobacz Get_Workers)

  • Organizacje, które wymagają dołączania, przenoszenia i opuszczania użytkowników, które mają być synchronizowane z co najmniej jednym lasem usługi Active Directory, domenami i jednostkami organizacyjnymi, na podstawie informacji o zmianach wykrytych w module Workday HCM (zobacz Get_Workers)

  • Organizacje korzystające z platformy Microsoft 365 na potrzeby poczty e-mail

Architektura rozwiązania

W tej sekcji opisano architekturę rozwiązania do aprowizacji użytkowników końcowych dla typowych środowisk hybrydowych. Istnieją dwa powiązane przepływy:

  • Autorytatywny przepływ danych hr — od produktu Workday do lokalna usługa Active Directory: w przypadku zdarzeń procesu roboczego przepływu (takich jak Nowi pracownicy, transfery, zakończenia) najpierw występują w dzierżawie usługi Cloud Workday HR, a następnie dane zdarzenia przepływają do lokalna usługa Active Directory za pośrednictwem identyfikatora Microsoft Entra ID i agenta aprowizacji. W zależności od zdarzenia może to prowadzić do tworzenia/aktualizowania/włączania/wyłączania operacji w usłudze AD.
  • Przepływ zapisywania zwrotnego — od lokalna usługa Active Directory do produktu Workday: po zakończeniu tworzenia konta w usłudze Active Directory jest synchronizowany z identyfikatorem Entra firmy Microsoft za pośrednictwem usługi Microsoft Entra Połączenie i informacji, takich jak adres e-mail, nazwa użytkownika i numer telefonu, można zapisać z powrotem do produktu Workday.

Overview

Przepływ danych użytkownika końcowego

  1. Zespół kadr wykonuje transakcje procesów roboczych (Joiners/Movers/Leavers lub New Hires/Transfer/Terminations) w workday HCM
  2. Usługa aprowizacji firmy Microsoft uruchamia zaplanowane synchronizacje tożsamości z działu kadr produktu Workday i identyfikuje zmiany, które należy przetworzyć na potrzeby synchronizacji z lokalna usługa Active Directory.
  3. Usługa aprowizacji firmy Microsoft wywołuje lokalną usługę Microsoft Entra Połączenie Provisioning Agent z ładunkiem żądania zawierającym operacje tworzenia/aktualizowania/włączania/wyłączania konta usługi AD.
  4. Program Microsoft Entra Połączenie Provisioning Agent używa konta usługi do dodawania/aktualizowania danych konta usługi AD.
  5. Aparat microsoft Entra Połączenie/ AD Sync uruchamia synchronizację różnicową w celu ściągnięcia aktualizacji w usłudze AD.
  6. Aktualizacje usługi Active Directory są synchronizowane z identyfikatorem Entra firmy Microsoft.
  7. Jeśli aplikacja Workday Writeback jest skonfigurowana, zapisuje atrybuty zwrotne, takie jak adres e-mail, nazwa użytkownika i numer telefonu do produktu Workday.

Planowanie wdrożenia

Konfigurowanie aprowizacji użytkowników produktu Workday w usłudze Active Directory wymaga znacznego planowania obejmującego różne aspekty, takie jak:

  • Konfiguracja agenta aprowizacji usługi Microsoft Entra Połączenie
  • Liczba aplikacji aprowizacji użytkowników produktu Workday do usługi AD w celu wdrożenia
  • Wybieranie odpowiedniego identyfikatora dopasowania, mapowania atrybutów, transformacji i filtrów określania zakresu

Zapoznaj się z planem wdrażania cloud HR, aby uzyskać kompleksowe wskazówki i zalecane najlepsze rozwiązania.

Konfigurowanie użytkownika systemu integracji w programie Workday

Typowym wymaganiem wszystkich łączników aprowizacji produktu Workday jest to, że wymagają poświadczeń użytkownika systemu integracji produktu Workday w celu nawiązania połączenia z interfejsem API zasobów ludzkich produktu Workday. W tej sekcji opisano sposób tworzenia użytkownika systemu integracji w aplikacji Workday i przedstawiono następujące sekcje:

Uwaga

Można pominąć tę procedurę i zamiast tego użyć konta administratora globalnego produktu Workday jako konta integracji systemu. Może to działać dobrze w przypadku pokazów, ale nie jest zalecane w przypadku wdrożeń produkcyjnych.

Tworzenie użytkownika systemu integracji

Aby utworzyć użytkownika systemu integracji:

  1. Zaloguj się do dzierżawy produktu Workday przy użyciu konta administratora. W aplikacji produktu Workday wprowadź ciąg create user (Utwórz użytkownika) w polu wyszukiwania, a następnie kliknij pozycję Create Integration System User (Utwórz użytkownika systemu integracji).

    Create user

  2. Ukończ zadanie Tworzenie użytkownika systemu integracji, podając nazwę użytkownika i hasło dla nowego użytkownika systemu integracji.

    • Pozostaw opcję Wymagaj nowego hasła przy następnym logowaniu niezaznaczone, ponieważ ten użytkownik będzie logował się programowo.
    • Pozostaw wartość limitu czasu sesji w minutach z wartością domyślną 0, co uniemożliwi przedwczesne przekroczenie limitu czasu sesji użytkownika.
    • Wybierz opcję Nie zezwalaj na sesje interfejsu użytkownika, ponieważ udostępnia dodatkową warstwę zabezpieczeń, która uniemożliwia użytkownikowi hasło systemu integracji z logowaniem się do produktu Workday.

    Create Integration System User

Tworzenie grupy zabezpieczeń integracji

W tym kroku utworzysz nieskonskwalifikowaną lub ograniczoną grupę zabezpieczeń systemu integracji w usłudze Workday i przypiszesz użytkownikowi systemu integracji utworzonemu w poprzednim kroku do tej grupy.

Aby utworzyć grupę zabezpieczeń:

  1. Wprowadź polecenie create security group (Utwórz grupę zabezpieczeń) w polu wyszukiwania, a następnie kliknij pozycję Create Security Group (Utwórz grupę zabezpieczeń).

    Screenshot that shows

  2. Ukończ zadanie Tworzenie grupy zabezpieczeń.

    • Istnieją dwa typy grup zabezpieczeń w programie Workday:

      • Bez ograniczeń: wszyscy członkowie grupy zabezpieczeń mogą uzyskiwać dostęp do wszystkich wystąpień danych zabezpieczonych przez grupę zabezpieczeń.
      • Ograniczone: wszyscy członkowie grupy zabezpieczeń mają kontekstowy dostęp do podzbioru wystąpień danych (wierszy), do których grupa zabezpieczeń może uzyskać dostęp.
    • Skontaktuj się z partnerem integracji produktu Workday, aby wybrać odpowiedni typ grupy zabezpieczeń dla integracji.

    • Gdy znasz typ grupy, wybierz pozycję Grupa zabezpieczeń systemu integracji (bez ograniczeń) lub Grupa zabezpieczeń systemu integracji (ograniczona) z listy rozwijanej Typ dzierżawionej grupy zabezpieczeń.

      CreateSecurity Group

  3. Po pomyślnym utworzeniu grupy zabezpieczeń zostanie wyświetlona strona, na której można przypisać członków do grupy zabezpieczeń. Dodaj nowego użytkownika systemu integracji utworzonego w poprzednim kroku do tej grupy zabezpieczeń. Jeśli używasz ograniczonej grupy zabezpieczeń, musisz również wybrać odpowiedni zakres organizacji.

    Edit Security Group

Konfigurowanie uprawnień zasad zabezpieczeń domeny

W tym kroku przyznasz grupie zabezpieczeń domeny uprawnienia zasad "zabezpieczenia domeny".

Aby skonfigurować uprawnienia zasad zabezpieczeń domeny:

  1. Wprowadź pozycję Członkostwo w grupie zabezpieczeń i dostęp w polu wyszukiwania, a następnie kliknij link raportu.

    Search Security Group Membership

  2. Wyszukaj i wybierz grupę zabezpieczeń utworzoną w poprzednim kroku.

    Select Security Group

  3. Kliknij wielokropek (...) obok nazwy grupy i z menu wybierz pozycję Grupa > zabezpieczeń Zachowaj uprawnienia domeny dla grupy zabezpieczeń

    Select Maintain Domain Permissions

  4. W obszarze Uprawnienia integracji dodaj następujące domeny do listy Zasady zabezpieczeń domeny zezwalające na dostęp

    • Aprowizowanie kont zewnętrznych
    • Dane procesu roboczego: Raporty publicznego procesu roboczego
    • Dane osobowe: informacje kontaktowe dotyczące pracy (wymagane, jeśli planujesz zapisywanie zwrotnych danych kontaktowych z identyfikatora Entra firmy Microsoft do produktu Workday)
    • Konta produktu Workday (wymagane, jeśli planujesz zapisywanie zwrotne nazwy użytkownika/nazwy UPN z identyfikatora Entra firmy Microsoft do produktu Workday)
  5. W obszarze Uprawnienia integracji dodaj następujące domeny do listy Zasady zabezpieczeń domeny zezwalające na uzyskiwanie dostępu

    • Dane procesu roboczego: Procesy robocze
    • Dane procesu roboczego: wszystkie pozycje
    • Dane procesów roboczych: bieżące informacje o personelu
    • Dane procesu roboczego: Tytuł biznesowy w profilu procesu roboczego
    • Dane procesu roboczego: kwalifikowani pracownicy (opcjonalnie — dodaj tę opcję, aby pobrać dane kwalifikacji procesów roboczych na potrzeby aprowizacji)
    • Dane procesów roboczych: umiejętności i doświadczenie (opcjonalnie — dodaj je, aby pobrać dane umiejętności procesów roboczych na potrzeby aprowizacji)
  6. Po wykonaniu powyższych kroków zostanie wyświetlony ekran uprawnień, jak pokazano poniżej:

    All Domain Security Permissions

  7. Kliknij przycisk OK i pozycję Gotowe na następnym ekranie, aby ukończyć konfigurację.

Konfigurowanie uprawnień zasad zabezpieczeń procesów biznesowych

W tym kroku przyznasz grupie zabezpieczeń "zabezpieczenia procesów biznesowych" uprawnienia zasad dla danych procesu roboczego.

Uwaga

Ten krok jest wymagany tylko do skonfigurowania łącznika aplikacji Zapisywania zwrotnego produktu Workday.

Aby skonfigurować uprawnienia zasad zabezpieczeń procesów biznesowych:

  1. Wprowadź zasady procesów biznesowych w polu wyszukiwania, a następnie kliknij link Edytuj zasady zabezpieczeń procesów biznesowych.

    Screenshot that shows

  2. W polu tekstowym Business Process Type (Typ procesu biznesowego) wyszukaj ciąg Contact (Kontakt służbowy) i wybierz pozycję Work Contact Change business process (Zmiana procesu biznesowego) i kliknij przycisk OK.

    Screenshot that shows the

  3. Na stronie Edytowanie zasad zabezpieczeń procesów biznesowych przewiń do sekcji Change Work Contact Information (Usługa internetowa).

  4. Wybierz i dodaj nową grupę zabezpieczeń systemu integracji do listy grup zabezpieczeń, które mogą zainicjować żądanie usług internetowych.

    Business Process Security Policies

  5. Kliknij pozycję Gotowe.

Aktywowanie zmian zasad zabezpieczeń

Aby aktywować zmiany zasad zabezpieczeń:

  1. Wprowadź ciąg aktywuj w polu wyszukiwania, a następnie kliknij link Aktywuj oczekujące zmiany zasad zabezpieczeń.

    Activate

  2. Rozpocznij zadanie Aktywuj oczekujące zmiany zasad zabezpieczeń, wprowadzając komentarz do celów inspekcji, a następnie kliknij przycisk OK.

  3. Wykonaj zadanie na następnym ekranie, zaznaczając pole wyboru Potwierdź, a następnie kliknij przycisk OK.

    Activate Pending Security

Wymagania wstępne dotyczące instalacji agenta aprowizacji

Przed przejściem do następnej sekcji przejrzyj wymagania wstępne instalacji agenta aprowizacji.

Konfigurowanie aprowizacji użytkowników z produktu Workday do usługi Active Directory

Ta sekcja zawiera kroki aprowizacji kont użytkowników z produktu Workday do każdej domeny usługi Active Directory w zakresie integracji.

Część 1. Dodawanie aplikacji łącznika aprowizacji i pobieranie agenta aprowizacji

Aby skonfigurować aprowizowanie produktu Workday w usłudze Active Directory:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).

  3. Wyszukaj aplikację Workday w obszarze Aprowizacja użytkowników usługi Active Directory i dodaj aplikację z galerii.

  4. Po dodaniu aplikacji i ekranie szczegółów aplikacji wybierz pozycję Aprowizowanie.

  5. Zmień tryb aprowizacjina Automatyczny.

  6. Kliknij baner informacyjny wyświetlany, aby pobrać agenta aprowizacji.

    Download Agent

Część 2. Instalowanie i konfigurowanie lokalnych agentów aprowizacji

Aby aprowizować usługę Active Directory lokalnie, agent aprowizacji musi być zainstalowany na serwerze przyłączonym do domeny, który ma dostęp sieciowy do żądanych domen usługi Active Directory.

Przenieś pobrany instalator agenta na hosta serwera i wykonaj kroki opisane w sekcji Instalowanie agenta, aby ukończyć konfigurację agenta.

Część 3. W aplikacji aprowizacji skonfiguruj łączność z usługą Workday i Active Directory

W tym kroku ustanawiamy łączność z usługami Workday i Active Directory.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do obszaru> Aplikacje dla przedsiębiorstw Identity>Applications>Workday do aplikacji aprowizacji użytkowników usługi Active Directory utworzonej w części 1.

  3. Wypełnij sekcję Administracja Credentials (Poświadczenia Administracja):

    • Nazwa użytkownika produktu Workday — wprowadź nazwę użytkownika konta systemu integracji produktu Workday z dołączona nazwą domeny dzierżawy. Powinien wyglądać mniej więcej tak: username@tenant_name

    • Hasło produktu Workday — wprowadź hasło konta systemu integracji produktu Workday

    • Adres URL interfejsu API usług sieci Web produktu Workday — wprowadź adres URL punktu końcowego usług internetowych produktu Workday dla dzierżawy. Adres URL określa wersję interfejsu API usług sieci Web produktu Workday używanego przez łącznik.

      Format adresu URL Używana wersja interfejsu API WWS Wymagane zmiany XPATH
      https://####.workday.com/ccx/service/tenantName wersja 21.1 Nie.
      https://####.workday.com/ccx/service/tenantName/Human_Resources wersja 21.1 Nie.
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Tak

      Uwaga

      Jeśli w adresie URL nie określono żadnych informacji o wersji, aplikacja używa usług Sieci Web Workday (WWS) w wersji 21.1, a żadne zmiany nie są wymagane do domyślnych wyrażeń interfejsu API XPATH dostarczanych z aplikacją. Aby użyć określonej wersji interfejsu API WWS, określ numer wersji w adresie URL
      Przykład: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Jeśli używasz interfejsu API WWS w wersji 30.0 lub nowszej, przed włączeniem zadania aprowizacji zaktualizuj wyrażenia interfejsu API XPATH w obszarze Mapowanie atrybutów —> Opcje zaawansowane —> Edytuj listę atrybutów dla produktu Workday, korzystając z sekcji Zarządzanie konfiguracją i dokumentacją atrybutów produktu Workday.

    • Las usługi Active Directory — "nazwa" domeny usługi Active Directory, która została zarejestrowana w agencie. Użyj listy rozwijanej, aby wybrać domenę docelową na potrzeby aprowizacji. Ta wartość jest zazwyczaj ciągiem, takim jak: contoso.com

    • Kontener usługi Active Directory — wprowadź nazwę wyróżniającą kontenera, w którym agent powinien domyślnie tworzyć konta użytkowników. Przykład: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Uwaga

      To ustawienie jest odtwarzane tylko w przypadku tworzenia konta użytkownika, jeśli atrybut parentDistinguishedName nie jest skonfigurowany w mapowaniach atrybutów. To ustawienie nie jest używane dla operacji wyszukiwania użytkowników ani aktualizacji. Całe drzewo podrzędne domeny mieści się w zakresie operacji wyszukiwania.

    • Wiadomość e-mail z powiadomieniem — wprowadź swój adres e-mail i zaznacz pole wyboru "Wyślij wiadomość e-mail, jeśli wystąpi błąd".

      Uwaga

      Usługa aprowizacji firmy Microsoft wysyła powiadomienie e-mail, jeśli zadanie aprowizacji przejdzie w stan kwarantanny .

    • Kliknij przycisk Test Połączenie ion. Jeśli test połączenia zakończy się pomyślnie, kliknij przycisk Zapisz u góry. Jeśli zakończy się to niepowodzeniem, sprawdź dokładnie, czy poświadczenia produktu Workday i poświadczenia usługi AD skonfigurowane w konfiguracji agenta są prawidłowe.

      Screenshot that shows the

    • Po pomyślnym zapisaniu poświadczeń sekcja Mapowania wyświetli domyślne mapowanie Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory

Część 4. Konfigurowanie mapowań atrybutów

W tej sekcji skonfigurujesz przepływ danych użytkownika z produktu Workday do usługi Active Directory.

  1. Na karcie Aprowizowanie w obszarze Mapowania kliknij pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory.

  2. W polu Zakres obiektu źródłowego można wybrać, które zestawy użytkowników w usłudze Workday powinny być w zakresie aprowizacji w usłudze AD, definiując zestaw filtrów opartych na atrybutach. Domyślnym zakresem jest "wszyscy użytkownicy w programie Workday". Przykładowe filtry:

    • Przykład: zakres dla użytkowników z identyfikatorami procesów roboczych z zakresu od 10000000 do 20000000 (z wyjątkiem 2000000)

      • Atrybut: WorkerID

      • Operator: Dopasowanie REGEX

      • Wartość: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Przykład: Tylko pracownicy, a nie warunkowi pracownicy

      • Atrybut: EmployeeID

      • Operator: NIE MA WARTOŚCI NULL

    Napiwek

    Podczas konfigurowania aplikacji aprowizacji po raz pierwszy należy przetestować i zweryfikować mapowania atrybutów i wyrażeń, aby upewnić się, że daje pożądany wynik. Firma Microsoft zaleca używanie filtrów określania zakresu w obszarze Zakres obiektów źródłowych i aprowizowanie na żądanie w celu przetestowania mapowań przy użyciu kilku testowych użytkowników z produktu Workday. Po sprawdzeniu, czy mapowania działają, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

    Uwaga

    Domyślnym zachowaniem aparatu aprowizacji jest wyłączenie/usunięcie użytkowników, którzy wykraczają poza zakres. Może to nie być pożądane w integracji produktu Workday z usługą AD. Aby zastąpić to zachowanie domyślne, zapoznaj się z artykułem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres

  3. W polu Akcje obiektu docelowego można globalnie filtrować akcje wykonywane w usłudze Active Directory. Tworzenie i aktualizowanie jest najbardziej typowe.

  4. W sekcji Mapowania atrybutów można zdefiniować sposób mapowania poszczególnych atrybutów produktu Workday na atrybuty usługi Active Directory.

  5. Kliknij istniejące mapowanie atrybutów, aby go zaktualizować, lub kliknij pozycję Dodaj nowe mapowanie w dolnej części ekranu, aby dodać nowe mapowania. Pojedyncze mapowanie atrybutów obsługuje następujące właściwości:

    • Typ mapowania

      • Direct — zapisuje wartość atrybutu Workday w atrybucie usługi AD bez zmian

      • Stała — zapisywanie statycznej, stałej wartości ciągu w atrybucie usługi AD

      • Wyrażenie — umożliwia zapisanie wartości niestandardowej w atrybucie usługi AD na podstawie co najmniej jednego atrybutu produktu Workday. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wyrażeń.

    • Atrybut źródłowy — atrybut użytkownika z produktu Workday. Jeśli atrybut, którego szukasz, nie jest obecny, zobacz Dostosowywanie listy atrybutów użytkownika produktu Workday.

    • Wartość domyślna — opcjonalnie. Jeśli atrybut źródłowy ma pustą wartość, mapowanie spowoduje zapisanie tej wartości. Najbardziej typową konfiguracją jest pozostawienie tego pustego.

    • Atrybut docelowy — atrybut użytkownika w usłudze Active Directory.

    • Dopasuj obiekty przy użyciu tego atrybutu — określa, czy to mapowanie powinno być używane do unikatowego identyfikowania użytkowników między programem Workday i usługą Active Directory. Ta wartość jest zwykle ustawiana w polu Identyfikator procesu roboczego dla produktu Workday, które jest zwykle mapowane na jeden z atrybutów identyfikatora pracownika w usłudze Active Directory.

    • Dopasowywanie pierwszeństwa — można ustawić wiele pasujących atrybutów. Jeśli istnieje wiele, są one oceniane w kolejności zdefiniowanej przez to pole. Po znalezieniu dopasowania nie są oceniane żadne dalsze pasujące atrybuty.

    • Zastosuj to mapowanie

      • Zawsze — zastosuj to mapowanie zarówno w akcjach tworzenia użytkownika, jak i aktualizowania

      • Tylko podczas tworzenia — zastosuj to mapowanie tylko w akcjach tworzenia użytkownika

  6. Aby zapisać mapowania, kliknij przycisk Zapisz w górnej części sekcji Mapowanie atrybutów.

    Screenshot that shows the

Poniżej przedstawiono przykładowe mapowania atrybutów między usługą Workday i usługą Active Directory z niektórymi typowymi wyrażeniami

  • Wyrażenie mapowane na atrybut parentDistinguishedName służy do aprowizowania użytkownika do różnych jednostek organizacyjnych na podstawie co najmniej jednego atrybutu źródłowego produktu Workday. W tym przykładzie w tym miejscu użytkownicy w różnych jednostkach organizacyjnych opierają się na tym, w jakim mieście się znajdują.

  • Atrybut userPrincipalName w usłudze Active Directory jest generowany przy użyciu funkcji deduplikacji SelectUniqueValue , która sprawdza istnienie wygenerowanej wartości w docelowej domenie usługi AD i ustawia ją tylko wtedy, gdy jest unikatowa.

  • W tym miejscu znajduje się dokumentacja dotycząca pisania wyrażeń. Ta sekcja zawiera przykłady usuwania znaków specjalnych.

ATRYBUT PRODUKTU WORKDAY ATRYBUT USŁUGI ACTIVE DIRECTORY PASUJĄCY IDENTYFIKATOR? TWORZENIE/AKTUALIZOWANIE
Identyfikator procesu roboczego EmployeeID (Identyfikator pracownika) Tak Napisane tylko podczas tworzenia
PreferredNameData Cn Napisane tylko podczas tworzenia
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join("., Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Napisane tylko podczas tworzenia
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Napisane tylko podczas tworzenia
Switch([Active], , "0", "True", "1", "False") accountDisabled Tworzenie i aktualizowanie
FirstName givenName Tworzenie i aktualizowanie
LastName sn Tworzenie i aktualizowanie
PreferredNameData displayName Tworzenie i aktualizowanie
Firma company Tworzenie i aktualizowanie
NadzórOrganizacja department Tworzenie i aktualizowanie
ManagerReference manager Tworzenie i aktualizowanie
BusinessTitle title Tworzenie i aktualizowanie
AddressLineData streetAddress Tworzenie i aktualizowanie
Gmina l Tworzenie i aktualizowanie
CountryReferenceTwoLetter co Tworzenie i aktualizowanie
CountryReferenceTwoLetter c Tworzenie i aktualizowanie
CountryRegionReference XXI w. Tworzenie i aktualizowanie
WorkSpaceReference physicalDeliveryOfficeName Tworzenie i aktualizowanie
Postalcode postalCode Tworzenie i aktualizowanie
PrimaryWorkTelephone telephoneNumber Tworzenie i aktualizowanie
Faks facsimileTelephoneNumber Tworzenie i aktualizowanie
Rozwiązania mobilne mobilnych Tworzenie i aktualizowanie
LocalReference preferredLanguage Tworzenie i aktualizowanie
Switch([Gminy], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Tworzenie i aktualizowanie

Po zakończeniu konfiguracji mapowania atrybutów można przetestować aprowizację pojedynczego użytkownika przy użyciu aprowizacji na żądanie, a następnie włączyć i uruchomić usługę aprowizacji użytkowników.

Włączanie i uruchamianie aprowizacji użytkowników

Po zakończeniu konfiguracji aplikacji aprowizacji produktu Workday i zweryfikowaniu aprowizacji pojedynczego użytkownika z aprowizowaniem na żądanie możesz włączyć usługę aprowizacji.

Napiwek

Domyślnie po włączeniu usługi aprowizacji zainicjuje ona operacje aprowizacji dla wszystkich użytkowników w zakresie. Jeśli występują błędy w problemach z mapowaniem lub danymi produktu Workday, zadanie aprowizacji może zakończyć się niepowodzeniem i przejść do stanu kwarantanny. Aby tego uniknąć, zalecamy skonfigurowanie filtru zakresu obiektów źródłowych i przetestowanie mapowań atrybutów przy użyciu kilku testowych użytkowników przy użyciu aprowizacji na żądanie przed uruchomieniem pełnej synchronizacji dla wszystkich użytkowników. Po sprawdzeniu, czy mapowania działają i dają żądane wyniki, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

  1. Przejdź do bloku Aprowizacja i kliknij pozycję Rozpocznij aprowizację.

  2. Ta operacja rozpocznie synchronizację początkową, co może potrwać zmienną liczbę godzin w zależności od liczby użytkowników w dzierżawie produktu Workday. Możesz sprawdzić pasek postępu, aby śledzić postęp cyklu synchronizacji.

  3. W dowolnym momencie sprawdź kartę Dzienniki inspekcji w witrynie Azure Portal, aby zobaczyć, jakie akcje wykonała usługa aprowizacji. Dzienniki inspekcji wyświetla listę wszystkich zdarzeń synchronizacji poszczególnych wykonanych przez usługę aprowizacji, takich jak użytkownicy, którzy są odczytywani z produktu Workday, a następnie dodawani lub aktualizowani do usługi Active Directory. Zapoznaj się z sekcją Rozwiązywanie problemów, aby uzyskać instrukcje dotyczące przeglądania dzienników inspekcji i naprawiania błędów aprowizacji.

  4. Po zakończeniu synchronizacji początkowej zapisze raport podsumowania inspekcji na karcie Aprowizacja , jak pokazano poniżej.

    Provisioning progress bar

Często zadawane pytania

Pytania dotyczące możliwości rozwiązania

W jaki sposób podczas przetwarzania nowego zatrudnienia z produktu Workday rozwiązanie ustawia hasło dla nowego konta użytkownika w usłudze Active Directory?

Gdy lokalny agent aprowizacji otrzymuje żądanie utworzenia nowego konta usługi AD, automatycznie generuje złożone losowe hasło przeznaczone do spełnienia wymagań dotyczących złożoności hasła zdefiniowanych przez serwer usługi AD i ustawia je na obiekcie użytkownika. To hasło nie jest rejestrowane nigdzie.

Czy rozwiązanie obsługuje wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji?

Nie, wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji nie jest obsługiwane w bieżącej wersji.

Czy rozwiązanie buforuje profile użytkowników produktu Workday w chmurze Firmy Microsoft Entra lub w warstwie agenta aprowizacji?

Nie, rozwiązanie nie obsługuje pamięci podręcznej profilów użytkowników. Usługa aprowizacji Firmy Microsoft działa po prostu jako podmiot przetwarzający dane, odczytując dane z produktu Workday i zapisując je w docelowej usłudze Active Directory lub Microsoft Entra ID. Zobacz sekcję Zarządzanie danymi osobowymi, aby uzyskać szczegółowe informacje dotyczące prywatności i przechowywania danych użytkownika.

Czy rozwiązanie obsługuje przypisywanie lokalnych grup usługi AD do użytkownika?

Ta funkcja nie jest obecnie obsługiwana. Zalecane obejście polega na wdrożeniu skryptu programu PowerShell, który wysyła zapytanie do punktu końcowego interfejsu API programu Microsoft Graph na potrzeby danych dziennika inspekcji i używa go do wyzwalania scenariuszy, takich jak przypisanie grupy. Ten skrypt programu PowerShell można dołączyć do harmonogramu zadań i wdrożyć go w tym samym polu, w którym działa agent aprowizacji.

Które interfejsy API produktu Workday używają rozwiązania do wykonywania zapytań i aktualizowania profilów procesów roboczych produktu Workday?

Rozwiązanie obecnie używa następujących interfejsów API produktu Workday:

  • Format adresu URL interfejsuAPI usług sieci Web produktu Workday używany w sekcji Administracja Credentials określa wersję interfejsu API używaną do Get_Workers

    • Jeśli format adresu URL to : https://####.workday.com/ccx/service/tenantName , używany jest interfejs API w wersji 21.1.
    • Jeśli format adresu URL to , https://####.workday.com/ccx/service/tenantName/Human_Resources używany jest interfejs API w wersji 21.1
    • Jeśli format adresu URL to , https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# używana jest określona wersja interfejsu API. (Przykład: jeśli określono 34.0, jest używany).
  • Funkcja zapisywania zwrotnego wiadomości e-mail produktu Workday używa Change_Work_Contact_Information (wersja 30.0)

  • Funkcja zapisywania zwrotnego nazw użytkowników produktu Workday używa Update_Workday_Account (wersja 31.2)

Czy mogę skonfigurować dzierżawę rozwiązania Workday HCM z dwiema dzierżawami firmy Microsoft Entra?

Tak, ta konfiguracja jest obsługiwana. Poniżej przedstawiono ogólne kroki konfigurowania tego scenariusza:

  • Wdróż agenta aprowizacji nr 1 i zarejestruj go w dzierżawie firmy Microsoft Entra #1.
  • Wdróż agenta aprowizacji nr 2 i zarejestruj go w dzierżawie firmy Microsoft Entra #2.
  • Na podstawie "domen podrzędnych", którymi będzie zarządzać każdy agent aprowizacji, skonfiguruj każdego agenta z domenami. Jeden agent może obsługiwać wiele domen.
  • W witrynie Azure Portal skonfiguruj aplikację Workday do aprowizacji użytkowników usługi AD w każdej dzierżawie i skonfiguruj ją przy użyciu odpowiednich domen.

Twoja opinia jest bardzo ceniona, ponieważ pomaga nam określić kierunek przyszłych wydań i ulepszeń. Z zadowoleniem przyjmujemy wszystkie opinie i zachęcamy do przesłania pomysłu lub sugestii dotyczących ulepszeń na forum opinii firmy Microsoft Entra ID. Aby uzyskać konkretne opinie związane z integracją produktu Workday, wybierz kategorię Aplikacje SaaS i wyszukaj je przy użyciu słów kluczowych Workday , aby znaleźć istniejące opinie dotyczące produktu Workday.

UserVoice SaaS Apps

UserVoice Workday

Podczas sugerowania nowego pomysłu sprawdź, czy ktoś inny już zasugerował podobną funkcję. W takim przypadku możesz głosować za funkcją lub żądaniem ulepszenia. Możesz również pozostawić komentarz dotyczący konkretnego przypadku użycia, aby pokazać swoje wsparcie dla pomysłu i pokazać, jak funkcja będzie dla Ciebie cenna.

Pytania dotyczące agenta aprowizacji

Jaka jest wersja ogólnie dostępnego agenta aprowizacji?

Zapoznaj się z artykułem Microsoft Entra Połączenie Provisioning Agent: version release history for the latest GA version version of the Provisioning Agent (Microsoft Entra Połączenie Provisioning Agent: historia wersji wersji dla najnowszej wersji agenta aprowizacji).

Jak mogę znać wersję mojego agenta aprowizacji?

  • Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.

  • Przejdź do Panel sterowania -> Odinstaluj lub zmień menu Program

  • Wyszukaj wersję odpowiadającą wpisowi Microsoft Entra Połączenie Provisioning Agent

    Azure portal

Czy firma Microsoft automatycznie wypycha aktualizacje agenta aprowizacji?

Tak, firma Microsoft automatycznie aktualizuje agenta aprowizacji, jeśli usługa systemu Windows Entra Połączenie Agent Updater jest uruchomiona.

Czy mogę zainstalować agenta aprowizacji na tym samym serwerze z systemem Microsoft Entra Połączenie?

Tak, można zainstalować agenta aprowizacji na tym samym serwerze, na którym działa program Microsoft Entra Połączenie.

W momencie konfiguracji agent aprowizacji monituje o podanie poświadczeń administratora firmy Microsoft Entra. Czy agent przechowuje poświadczenia lokalnie na serwerze?

Podczas konfiguracji agent aprowizacji monituje o podanie poświadczeń administratora usługi Microsoft Entra tylko w celu nawiązania połączenia z dzierżawą firmy Microsoft Entra. Nie przechowuje poświadczeń lokalnie na serwerze. Jednak zachowuje poświadczenia używane do nawiązywania połączenia z domeną lokalna usługa Active Directory w lokalnym magazynie haseł systemu Windows.

Jak mogę skonfigurować agenta aprowizacji do korzystania z serwera proxy na potrzeby komunikacji wychodzącej HTTP?

Agent aprowizacji obsługuje korzystanie z serwera proxy ruchu wychodzącego. Można go skonfigurować, edytując plik konfiguracji agenta C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent\AAD PołączenieProvisioningAgent.exe.config. Dodaj do niego następujące wiersze na końcu pliku tuż przed tagiem zamykającym</configuration>. Zastąp zmienne [proxy-server] i [proxy-port] odpowiednio nazwą i numerem portu serwera proxy.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Jak mogę upewnić się, że agent aprowizacji może komunikować się z dzierżawą firmy Microsoft Entra i że żadne zapory nie blokują portów wymaganych przez agenta?

Możesz również sprawdzić, czy wszystkie wymagane porty są otwarte.

Czy można skonfigurować jednego agenta aprowizacji w celu aprowizacji wielu domen usługi AD?

Tak, jeden agent aprowizacji można skonfigurować tak, aby obsługiwał wiele domen usługi AD, o ile agent ma dostęp do odpowiednich kontrolerów domeny. Firma Microsoft zaleca skonfigurowanie grupy 3 agentów aprowizacji obsługujących ten sam zestaw domen usługi AD, aby zapewnić wysoką dostępność i zapewnić obsługę trybu failover.

Jak mogę wyrejestrować domenę skojarzona z moim agentem aprowizacji?

*, pobierz identyfikator dzierżawy dzierżawy firmy Microsoft Entra.

  • Zaloguj się do serwera z systemem Windows z uruchomionym agentem aprowizacji.

  • Otwórz program PowerShell jako Administracja istrator systemu Windows.

  • Przejdź do katalogu zawierającego skrypty rejestracji i uruchom następujące polecenia, zastępując parametr [identyfikator dzierżawy] wartością identyfikatora dzierżawy.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\AppProxyPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • Z wyświetlonej listy agentów skopiuj wartość id pola z tego zasobu, którego resourceName jest równa nazwie domeny usługi AD.

  • Wklej wartość identyfikatora do tego polecenia i wykonaj polecenie w programie PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • Uruchom ponownie kreatora konfiguracji agenta.

  • Wszyscy inni agenci, którzy zostali wcześniej przypisani do tej domeny, muszą zostać ponownie skonfigurowani.

Jak mogę odinstalować agenta aprowizacji?

  • Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  • Przejdź do Panel sterowania -> Odinstaluj lub zmień menu Program
  • Odinstaluj następujące programy:
    • Microsoft Entra Połączenie Provisioning Agent
    • Microsoft Entra Połączenie Agent Updater
    • Microsoft Entra Połączenie Provisioning Agent Package

Pytania dotyczące mapowania atrybutów i konfiguracji produktu Workday do usługi AD

Jak mogę utworzyć kopię zapasową lub wyeksportować działającą kopię mapowania atrybutów i schematu produktu Workday?

Aby wyeksportować konfigurację aprowizacji użytkowników produktu Workday, możesz użyć interfejsu API programu Microsoft Graph. Aby uzyskać szczegółowe informacje, zapoznaj się z krokami w sekcji Eksportowanie i importowanie konfiguracji mapowania atrybutów aprowizacji użytkowników produktu Workday.

Mam atrybuty niestandardowe w usługach Workday i Active Directory. Jak mogę skonfigurować rozwiązanie do pracy z moimi atrybutami niestandardowymi?

Rozwiązanie obsługuje niestandardowe atrybuty produktu Workday i usługi Active Directory. Aby dodać atrybuty niestandardowe do schematu mapowania, otwórz blok Mapowanie atrybutów i przewiń w dół, aby rozwinąć sekcję Pokaż opcje zaawansowane.

Edit Attribute List

Aby dodać niestandardowe atrybuty produktu Workday, wybierz opcję Edytuj listę atrybutów dla produktu Workday i dodaj niestandardowe atrybuty usługi AD, wybierz opcję Edytuj listę atrybutów dla lokalnej usługi Active Directory.

Zobacz też:

Jak mogę skonfigurować rozwiązanie tak, aby aktualizowało tylko atrybuty w usłudze AD na podstawie zmian produktu Workday i nie tworzyło żadnych nowych kont usługi AD?

Tę konfigurację można osiągnąć, ustawiając akcje obiektu docelowego w bloku Mapowania atrybutów , jak pokazano poniżej:

Update action

Zaznacz pole wyboru "Aktualizuj" tylko dla operacji aktualizacji do przepływu z produktu Workday do usługi AD.

Czy mogę aprowizować zdjęcie użytkownika z produktu Workday do usługi Active Directory?

Obecnie rozwiązanie nie obsługuje ustawiania atrybutów binarnych, takich jak thumbnailPhoto i jpegPhoto w usłudze Active Directory.

  • Przejdź do bloku "Aprowizowanie" aplikacji aprowizacji produktu Workday.

  • Kliknij mapowania atrybutów

  • W obszarze Mapowania wybierz pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory (lub Synchronizuj procesy robocze produktu Workday z identyfikatorem Entra firmy Microsoft).

  • Na stronie Mapowania atrybutów przewiń w dół i zaznacz pole wyboru "Pokaż opcje zaawansowane". Kliknij pozycję Edytuj listę atrybutów dla produktu Workday

  • W wyświetlonym bloku znajdź atrybut "Mobile" i kliknij wiersz, aby można było edytować wyrażenie interfejsu APIMobile GDPR

  • Zastąp wyrażenie interfejsu API następującym nowym wyrażeniem, które pobiera służbowy numer telefonu komórkowego tylko wtedy, gdy w aplikacji Workday ustawiono wartość "Flaga użycia publicznego".

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • Zapisz listę atrybutów.

  • Zapisz mapowanie atrybutów.

  • Wyczyść bieżący stan i uruchom ponownie pełną synchronizację.

Jak mogę formatowania nazw wyświetlanych w usłudze AD na podstawie atrybutów działu/kraju/miasta użytkownika i obsługi wariancji regionalnych?

Typowym wymaganiem jest skonfigurowanie atrybutu displayName w usłudze AD, dzięki czemu udostępnia on również informacje o dziale użytkownika i kraju/regionie. Jeśli na przykład John Smith pracuje w dziale marketingu w USA, możesz chcieć, aby jego displayName był wyświetlany jako Smith, John (Marketing-US).

Poniżej przedstawiono sposób obsługi takich wymagań dotyczących konstruowania nazwy CN lub displayName w celu uwzględnienia atrybutów, takich jak firma, jednostka biznesowa, miasto lub kraj/region.

  • Każdy atrybut produktu Workday jest pobierany przy użyciu bazowego wyrażenia interfejsu API XPATH, które można skonfigurować w temacie Mapowanie atrybutów —> Sekcja zaawansowana —> Edytowanie listy atrybutów dla produktu Workday. Poniżej przedstawiono domyślne wyrażenie interfejsu API XPATH dla atrybutów PreferredFirstName, PreferredLastName, Company i SupervisoryOrganization.

    Atrybut produktu Workday Wyrażenie XPATH interfejsu API
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Firma wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    NadzórOrganizacja wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Upewnij się, że twój zespół produktu Workday, że powyższe wyrażenie interfejsu API jest prawidłowe dla konfiguracji dzierżawy produktu Workday. W razie potrzeby można je edytować zgodnie z opisem w sekcji Dostosowywanie listy atrybutów użytkownika produktu Workday.

  • Podobnie informacje o kraju/regionie dostępne w programie Workday są pobierane przy użyciu następującego kodu XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Istnieje 5 atrybutów związanych z krajem/regionem, które są dostępne w sekcji Lista atrybutów produktu Workday.

    Atrybut produktu Workday Wyrażenie XPATH interfejsu API
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Upewnij się, że zespół produktu Workday sprawdza, czy powyższe wyrażenia interfejsu API są prawidłowe dla konfiguracji dzierżawy produktu Workday. W razie potrzeby można je edytować zgodnie z opisem w sekcji Dostosowywanie listy atrybutów użytkownika produktu Workday.

  • Aby utworzyć odpowiednie wyrażenie mapowania atrybutów, zidentyfikuj atrybut Workday "autorytatywnie" reprezentuje imię użytkownika, nazwisko, kraj/region i dział. Załóżmy, że atrybuty są odpowiednio PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter i SupervisoryOrganization. Możesz użyć tego polecenia, aby utworzyć wyrażenie dla atrybutu displayName usługi AD w następujący sposób, aby uzyskać nazwę wyświetlaną, taką jak Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    Po utworzeniu odpowiedniego wyrażenia zmodyfikuj tabelę Mapowania atrybutów i zmodyfikuj mapowanie atrybutów displayName , jak pokazano poniżej: DisplayName Mapping

  • Rozszerzając powyższy przykład, załóżmy, że chcesz przekonwertować nazwy miast pochodzące z produktu Workday na wartości skrócone, a następnie użyć go do utworzenia nazw wyświetlanych, takich jak Smith, John (CHI) lub Doe, Jane (NYC), a następnie ten wynik można osiągnąć przy użyciu wyrażenia Switch z atrybutem Gminy Workday jako zmienną determinającą.

    Switch
    (
      [Municipality],
      Join(", ", [PreferredLastName], [PreferredFirstName]),  
           "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
           "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
           "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    Zobacz też:

Jak użyć polecenia SelectUniqueValue, aby wygenerować unikatowe wartości atrybutu samAccountName?

Załóżmy, że chcesz wygenerować unikatowe wartości atrybutu samAccountName przy użyciu kombinacji atrybutów FirstName i LastName z produktu Workday. Na poniższej ilustracji znajduje się wyrażenie, z którym można zacząć od:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Jak działa powyższe wyrażenie: jeśli użytkownik jest John Smith, najpierw próbuje wygenerować JSmith, jeśli JSmith już istnieje, to generuje JoSmith, jeśli tak istnieje, generuje JohSmith. Wyrażenie zapewnia również, że wygenerowana wartość spełnia ograniczenie długości i ograniczenie znaków specjalnych skojarzonych z atrybutem samAccountName.

Zobacz też:

Jak mogę usunąć znaki z znakiem diakrytycznym i przekonwertować je na normalne alfabety angielskie?

Użyj funkcji NormalizeDiacritics , aby usunąć znaki specjalne w imię i nazwisko użytkownika, tworząc adres e-mail lub wartość CN dla użytkownika.

Wskazówki dotyczące rozwiązywania problemów

Ta sekcja zawiera szczegółowe wskazówki dotyczące rozwiązywania problemów z aprowizacją integracji produktu Workday przy użyciu dzienników inspekcji firmy Microsoft Entra i dzienników Podgląd zdarzeń systemu Windows Server. Opiera się on na ogólnych krokach rozwiązywania problemów i pojęciach przechwyconych w samouczku : raportowanie automatycznej aprowizacji konta użytkownika

W tej sekcji omówiono następujące aspekty rozwiązywania problemów:

Konfigurowanie agenta aprowizacji w celu emitowania dzienników Podgląd zdarzeń

  1. Zaloguj się na maszynie z systemem Windows Server, na której wdrożono agenta aprowizacji

  2. Zatrzymaj usługę Microsoft Entra Połączenie Provisioning Agent.

  3. Utwórz kopię oryginalnego pliku konfiguracji: C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent\AAD PołączenieProvisioningAgent.exe.config.

  4. Zastąp istniejącą <system.diagnostics> sekcję następującym kodem.

    • Konfiguracja odbiornika etw emituje komunikaty do dzienników programu EventViewer
    • Odbiornik config textWriterListener wysyła komunikaty śledzenia do pliku ProvAgentTrace.log. Usuń komentarz wierszy związanych z textWriterListener tylko w przypadku zaawansowanych rozwiązywania problemów.
      <system.diagnostics>
          <sources>
          <source name="AAD Connect Provisioning Agent">
              <listeners>
              <add name="console"/>
              <add name="etw"/>
              <!-- <add name="textWriterListener"/> -->
              </listeners>
          </source>
          </sources>
          <sharedListeners>
          <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
          <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
              <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
          </add>
          <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
          </sharedListeners>
      </system.diagnostics>
    
    
  5. Uruchom usługę Microsoft Entra Połączenie Provisioning Agent.

Konfigurowanie Podgląd zdarzeń systemu Windows na potrzeby rozwiązywania problemów z agentem

  1. Zaloguj się na maszynie z systemem Windows Server, na której wdrożono agenta aprowizacji

  2. Otwórz aplikację klasyczną systemu Windows Server Podgląd zdarzeń.

  3. Wybierz pozycję Aplikacja dzienników systemu >Windows.

  4. Użyj opcji Filtruj bieżący dziennik..., aby wyświetlić wszystkie zdarzenia zarejestrowane w źródłowym agencie microsoft Entra Połączenie Provisioning Agent i wykluczyć zdarzenia o identyfikatorze zdarzenia "5", określając filtr "-5", jak pokazano poniżej.

    Uwaga

    Zdarzenie o identyfikatorze 5 przechwytuje komunikaty uruchamiania agenta w usłudze Microsoft Entra w chmurze, dlatego filtrujemy je podczas analizowania plików dziennika.

    Windows Event Viewer

  5. Kliknij przycisk OK i posortuj widok wyników według kolumny Data i godzina .

Konfigurowanie dzienników inspekcji witryny Azure Portal na potrzeby rozwiązywania problemów z usługą

  1. Uruchom witrynę Azure Portal i przejdź do sekcji Dzienniki inspekcji aplikacji aprowizacji produktu Workday.

  2. Użyj przycisku Kolumny na stronie Dzienniki inspekcji, aby wyświetlić tylko następujące kolumny w widoku (Data, Aktywność, Stan, Przyczyna stanu). Ta konfiguracja zapewnia skupienie się tylko na danych, które są istotne dla rozwiązywania problemów.

    Audit log columns

  3. Użyj parametrów zapytania Target (Cel) i Date Range (Zakres dat), aby filtrować widok.

    • Ustaw parametr zapytania Target na wartość "Identyfikator procesu roboczego" lub "Identyfikator pracownika" obiektu roboczego produktu Workday.
    • Ustaw zakres dat na odpowiedni okres, w którym chcesz zbadać błędy lub problemy z aprowizowaniem.

    Audit log filters

Informacje o dziennikach operacji tworzenia konta użytkownika usługi AD

Po wykryciu nowego zatrudnienia w usłudze Workday (powiedzmy z identyfikatorem pracownika 21023), usługa aprowizacji firmy Microsoft próbuje utworzyć nowe konto użytkownika usługi AD dla procesu roboczego, a w procesie tworzy 4 rekordy dziennika inspekcji, jak opisano poniżej:

Audit log create ops

Po kliknięciu dowolnego rekordu dziennika inspekcji zostanie otwarta strona Szczegóły działania. Poniżej znajduje się strona Szczegóły działania wyświetlana dla każdego typu rekordu dziennika.

  • Rekord importu produktu Workday: ten rekord dziennika wyświetla informacje dotyczące procesu roboczego pobrane z produktu Workday. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z pobieraniem danych z produktu Workday. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • Rekord importu usługi AD: ten rekord dziennika wyświetla informacje o koncie pobranym z usługi AD. Ponieważ podczas początkowego tworzenia użytkownika nie ma konta usługi AD, przyczyna stanu działania będzie wskazywać, że w usłudze Active Directory nie znaleziono konta z wartością atrybutu Pasujący identyfikator. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z pobieraniem danych z produktu Workday. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object was not found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    Aby znaleźć rekordy dziennika agenta aprowizacji odpowiadające tej operacji importowania usługi AD, otwórz dzienniki Podgląd zdarzeń systemu Windows i użyj opcji menu Znajdź..., aby znaleźć wpisy dziennika zawierające wartość atrybutu Zgodne identyfikator/dołączanie właściwości (w tym przypadku 21023).

    Find

    Wyszukaj wpis o identyfikatorze zdarzenia = 9, który udostępni filtr wyszukiwania LDAP używany przez agenta do pobrania konta usługi AD. Możesz sprawdzić, czy jest to odpowiedni filtr wyszukiwania, aby pobrać unikatowe wpisy użytkownika.

    LDAP Search

    Rekord, który natychmiast następuje po nim z identyfikatorem zdarzenia = 2 , przechwytuje wynik operacji wyszukiwania i jeśli zwrócił jakiekolwiek wyniki.

    LDAP Results

  • Rekord akcji reguły synchronizacji: ten rekord dziennika wyświetla wyniki reguł mapowania atrybutów i skonfigurowane filtry określania zakresu wraz z akcją aprowizacji, która zostanie podjęta w celu przetworzenia przychodzącego zdarzenia workday. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z akcją synchronizacji. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object will be added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    Jeśli występują problemy z wyrażeniami mapowania atrybutów lub przychodzące dane produktu Workday mają problemy (na przykład: wartość pusta lub null dla wymaganych atrybutów), na tym etapie zaobserwujesz błąd, podając szczegóły błędu.

  • Rekord eksportu usługi AD: ten rekord dziennika wyświetla wynik operacji tworzenia konta usługi AD wraz z wartościami atrybutów ustawionymi w procesie. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z operacją tworzenia konta. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól. W sekcji "Dodatkowe szczegóły" parametr "EventName" jest ustawiony na wartość "EntryExportAdd", właściwość "JoiningProperty" jest ustawiona na wartość atrybutu Pasującego identyfikatora, właściwość "SourceAnchor" jest ustawiona na wartość Elementu WorkdayID (WID) skojarzonego z rekordem, a właściwość "TargetAnchor" jest ustawiona na wartość atrybutu "ObjectGuid" nowo utworzonego użytkownika.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object will be created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
    

    Aby znaleźć rekordy dziennika agenta aprowizacji odpowiadające tej operacji eksportowania usługi AD, otwórz dzienniki Podgląd zdarzeń systemu Windows i użyj opcji menu Znajdź..., aby znaleźć wpisy dziennika zawierające wartość atrybutu Zgodne identyfikator/dołączanie właściwości (w tym przypadku 21023).

    Poszukaj rekordu HTTP POST odpowiadającego znacznikowi czasu operacji eksportowania z identyfikatorem zdarzenia = 2. Ten rekord będzie zawierać wartości atrybutów wysyłane przez usługę aprowizacji do agenta aprowizacji.

    Screenshot that shows the 'HTTP POST' record in the 'Provisioning Agent' log.

    Bezpośrednio po powyższym zdarzeniu powinno istnieć inne zdarzenie, które przechwytuje odpowiedź operacji tworzenia konta usługi AD. To zdarzenie zwraca nowy obiektGuid utworzony w usłudze AD i jest ustawiany jako atrybut TargetAnchor w usłudze aprowizacji.

    Screenshot that shows the 'Provisioning Agent' log with the objectGuid created in AD highlighted.

Informacje o dziennikach operacji aktualizacji menedżera

Atrybut menedżera jest atrybutem referencyjnym w usłudze AD. Usługa aprowizacji nie ustawia atrybutu menedżera w ramach operacji tworzenia użytkownika. Zamiast tego atrybut menedżera jest ustawiany jako część operacji aktualizacji po utworzeniu konta usługi AD dla użytkownika. Rozwijając powyższy przykład, załóżmy, że nowy pracownik o identyfikatorze pracownika "21451" jest aktywowany w usłudze Workday, a nowy pracownik (21023) ma już konto usługi AD. W tym scenariuszu wyszukiwanie dzienników inspekcji dla użytkownika 21451 powoduje wyświetlenie 5 wpisów.

Manager Update

Pierwsze 4 rekordy są podobne do tych, które poznaliśmy w ramach operacji tworzenia użytkownika. 5. rekord jest eksportem skojarzonym z aktualizacją atrybutów menedżera. Rekord dziennika wyświetla wynik operacji aktualizacji menedżera kont usługi AD, która jest wykonywana przy użyciu atrybutu objectGuid menedżera.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Rozwiązywanie często napotykanych błędów

W tej sekcji opisano często występujące błędy związane z aprowizowaniem użytkowników produktu Workday i sposoby ich rozwiązywania. Błędy są pogrupowane w następujący sposób:

Błędy agenta aprowizacji

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Błąd podczas instalowania agenta aprowizacji z komunikatem o błędzie: Nie można uruchomić usługi "Microsoft Entra Połączenie Provisioning Agent" (AAD Połączenie ProvisioningAgent). Sprawdź, czy masz wystarczające uprawnienia do uruchomienia systemu. Ten błąd jest zwykle wyświetlany, jeśli próbujesz zainstalować agenta aprowizacji na kontrolerze domeny i zasady grupy uniemożliwiają uruchomienie usługi. Jest on również widoczny, jeśli masz uruchomioną wcześniejszą wersję agenta i nie odinstalowaliśmy go przed rozpoczęciem nowej instalacji. Zainstaluj agenta aprowizacji na serwerze spoza kontrolera domeny. Przed zainstalowaniem nowego agenta upewnij się, że poprzednie wersje agenta zostały odinstalowane.
2. Usługa systemu Windows "Microsoft Entra Połączenie Provisioning Agent" jest w stanie Uruchamiania i nie przełącza się na stan Uruchomiony. W ramach instalacji kreator agenta tworzy konto lokalne (NT Service\AAD Połączenie ProvisioningAgent) na serwerze i jest to konto logowania używane do uruchamiania usługi. Jeśli zasady zabezpieczeń na serwerze z systemem Windows uniemożliwiają uruchamianie usług przez konta lokalne, wystąpi ten błąd. Otwórz konsolę Usługi. Kliknij prawym przyciskiem myszy usługę systemu Windows "Microsoft Entra Połączenie Provisioning Agent" i na karcie logowania określ konto administratora domeny, aby uruchomić usługę. Należy ponownie uruchomić usługę.
3. Podczas konfigurowania agenta aprowizacji z domeną usługi AD w kroku Połączenie active directory kreator długo próbuje załadować schemat usługi AD i ostatecznie upłynął limit czasu. Ten błąd jest zazwyczaj wyświetlany, jeśli kreator nie może skontaktować się z serwerem kontrolera domeny usługi AD ze względu na problemy z zaporą. Na ekranie kreatora Połączenie Active Directory, podając poświadczenia dla domeny usługi AD, istnieje opcja Wybierz priorytet kontrolera domeny. Użyj tej opcji, aby wybrać kontroler domeny, który znajduje się w tej samej lokacji co serwer agenta i upewnić się, że nie ma reguł zapory blokujących komunikację.

Błędy łączności

Jeśli usługa aprowizacji nie może nawiązać połączenia z usługą Workday lub Active Directory, może to spowodować przejście aprowizacji do stanu kwarantanny. Skorzystaj z poniższej tabeli, aby rozwiązać problemy z łącznością.

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Po kliknięciu pozycji Test Połączenie ion zostanie wyświetlony komunikat o błędzie: Wystąpił błąd podczas nawiązywania połączenia z usługą Active Directory. Upewnij się, że lokalny agent aprowizacji jest uruchomiony i jest skonfigurowany z poprawną domeną usługi Active Directory. Ten błąd jest zwykle wyświetlany, jeśli agent aprowizacji nie jest uruchomiony lub istnieje zapora blokująca komunikację między identyfikatorem Entra firmy Microsoft i agentem aprowizacji. Ten błąd może również wystąpić, jeśli domena nie jest skonfigurowana w Kreatorze agenta. Otwórz konsolę Usług na serwerze z systemem Windows, aby potwierdzić, że agent jest uruchomiony. Otwórz kreatora agenta aprowizacji i upewnij się, że właściwa domena jest zarejestrowana w agencie.
2. Zadanie aprowizacji przechodzi w stan kwarantanny w weekendy (Pt-Sat) i otrzymujemy powiadomienie e-mail, że wystąpił błąd synchronizacji. Częstą przyczyną występowania tego błędu są planowane przestoje produktu Workday. Jeśli korzystasz z dzierżawy implementacji produktu Workday, pamiętaj, że ten produkt ma w weekendy zaplanowane przestoje dzierżaw implementacji (zwykle od wieczora w piątek do rana w sobotę). W tym czasie aplikacje aprowizacji produktu Workday mogą przechodzić w stan kwarantanny, ponieważ nie mogą nawiązać połączenia z produktem Workday. Normalny stan zostaje przywrócony po ponownym przejściu w tryb online dzierżawy implementacji produktu Workday. W rzadkich przypadkach ten błąd może być także wyświetlany, jeśli zmieniło się hasło użytkownika systemu integracji z powodu odświeżenia dzierżawy lub jeśli konto zostało zablokowane bądź wygasło. Zapytaj administratora produktu Workday lub partnera integracji o czas planowanych przestojów produktu Workday, aby wiedzieć, które komunikaty o alertach można zignorować, i móc potwierdzić dostępność wystąpienia produktu Workday po jego ponownym przejściu w tryb online.

Błędy tworzenia konta użytkownika usługi AD

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Niepowodzenia operacji eksportowania w dzienniku inspekcji z komunikatem Błąd: OperationsError-SvcErr: Wystąpił błąd operacji. Nie skonfigurowano żadnego odwołania o najwyższej jakości dla usługi katalogowej. W związku z tym usługa katalogowa nie może wydać odwołań do obiektów spoza tego lasu. Ten błąd jest zazwyczaj wyświetlany, gdy jednostka organizacyjna kontenera usługi Active Directory nie została prawidłowo ustawiona lub jeśli występują problemy z mapowaniem wyrażenia na potrzeby elementu parentDistinguishedName. Sprawdź parametr jednostki organizacyjnej kontenera usługi Active Directory dla literówek. Jeśli korzystasz z elementu parentDistinguishedName podczas mapowania atrybutów, upewnij się, że zawsze wynikiem jego oceny jest znany kontener w ramach domeny usługi AD. Sprawdź zdarzenie eksportu w dziennikach inspekcji, aby zobaczyć wygenerowaną wartość.
2. Niepowodzenia operacji eksportowania w dzienniku inspekcji z kodem błędu: SystemForCrossDomainIdentityManagementBadResponse i komunikat Błąd: ConstraintViolation-AtrErr: Wartość w żądaniu jest nieprawidłowa. Wartość atrybutu nie mieściła się w dopuszczalnym zakresie wartości. \nSzczegóły błędu: CONSTRAINT_ATT_TYPE — firma. Chociaż ten błąd jest specyficzny dla atrybutu firmy , może zostać wyświetlony ten błąd dla innych atrybutów, takich jak CN , jak również. Ten błąd występuje z powodu ograniczenia schematu wymuszonego przez usługę AD. Domyślnie atrybuty, takie jak firma i CN w usłudze AD, mają górny limit 64 znaków. Jeśli wartość pochodząca z produktu Workday ma więcej niż 64 znaki, zostanie wyświetlony ten komunikat o błędzie. Sprawdź zdarzenie Eksportuj w dziennikach inspekcji, aby wyświetlić wartość atrybutu zgłoszonego w komunikacie o błędzie. Rozważ obcięcie wartości pochodzącej z produktu Workday przy użyciu funkcji Mid lub zmianę mapowań na atrybut usługi AD, który nie ma podobnych ograniczeń długości.

Błędy aktualizacji konta użytkownika usługi AD

Podczas procesu aktualizacji konta użytkownika usługi AD usługa aprowizacji odczytuje informacje zarówno z produktu Workday, jak i usługi AD, uruchamia reguły mapowania atrybutów i określa, czy zmiana ma obowiązywać. Odpowiednio jest wyzwalane zdarzenie aktualizacji. Jeśli którykolwiek z tych kroków napotka błąd, jest on rejestrowany w dziennikach inspekcji. Skorzystaj z poniższej tabeli, aby rozwiązać typowe błędy aktualizacji.

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Błędy akcji reguły synchronizacji w dzienniku inspekcji z komunikatem EventName = EntrySynchronizationError i ErrorCode = EndpointUnavailable. Ten błąd jest wyświetlany, jeśli usługa aprowizacji nie może pobrać danych profilu użytkownika z usługi Active Directory z powodu błędu przetwarzania napotkanego przez lokalnego agenta aprowizacji. Sprawdź dzienniki Podgląd zdarzeń agenta aprowizacji pod kątem zdarzeń błędów, które wskazują problemy z operacją odczytu (filtruj według identyfikatora zdarzenia nr 2).
2. Atrybut menedżera w usłudze AD nie jest aktualizowany dla niektórych użytkowników w usłudze AD. Najbardziej prawdopodobną przyczyną tego błędu jest użycie reguł określania zakresu, a menedżer użytkownika nie jest częścią zakresu. Ten problem może również wystąpić, jeśli odpowiedni atrybut identyfikatora menedżera (np. EmployeeID) nie zostanie znaleziony w docelowej domenie usługi AD lub nie zostanie ustawiona na poprawną wartość. Przejrzyj filtr określania zakresu i dodaj użytkownika menedżera w zakresie. Sprawdź profil menedżera w usłudze AD, aby upewnić się, że istnieje wartość odpowiedniego atrybutu identyfikatora.

Zarządzanie konfiguracją

W tej sekcji opisano sposób dalszego rozszerzania, dostosowywania i zarządzania konfiguracją aprowizacji użytkowników opartych na usłudze Workday. Omówiono w nim następujące tematy:

Dostosowywanie listy atrybutów użytkownika produktu Workday

Aplikacje aprowizacji produktu Workday dla usług Active Directory i Microsoft Entra ID zawierają domyślną listę atrybutów użytkownika produktu Workday, z których można wybrać. Jednak te listy nie są kompleksowe. Usługa Workday obsługuje wiele setek możliwych atrybutów użytkownika, które mogą być standardowe lub unikatowe dla dzierżawy produktu Workday.

Usługa aprowizacji firmy Microsoft obsługuje możliwość dostosowywania listy lub atrybutu Workday w celu uwzględnienia wszystkich atrybutów uwidocznionych w Get_Workers operacji interfejsu API zasobów ludzkich.

Aby to zmienić, należy użyć programu Workday Studio , aby wyodrębnić wyrażenia XPath reprezentujące atrybuty, których chcesz użyć, a następnie dodać je do konfiguracji aprowizacji przy użyciu zaawansowanego edytora atrybutów.

Aby pobrać wyrażenie XPath dla atrybutu użytkownika produktu Workday:

  1. Pobierz i zainstaluj program Workday Studio. Aby uzyskać dostęp do instalatora, musisz mieć konto społeczności produktu Workday.

  2. Pobierz plik workday Human_Resources WSDL specyficzny dla wersji interfejsu API WWS, która ma być używana z katalogu usług sieci Web Workday

  3. Uruchom program Workday Studio.

  4. Na pasku poleceń wybierz opcję Testowa usługa internetowa produktu Workday > w testerze .

  5. Wybierz pozycję Zewnętrzne i wybierz Human_Resources plik WSDL pobrany w kroku 2.

    Screenshot that shows the

  6. W polu Lokalizacja ustaw wartość https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, ale zastąp ciąg "IMPL-CC" rzeczywistym typem wystąpienia i wartością "TENANT" rzeczywistą nazwą dzierżawy.

  7. Ustaw operację na Get_Workers

  8. Kliknij mały link konfiguracji poniżej okienka Żądanie/odpowiedź, aby ustawić poświadczenia produktu Workday. Zaznacz pozycję Uwierzytelnianie, a następnie wprowadź nazwę użytkownika i hasło dla konta systemu integracji produktu Workday. Pamiętaj, aby sformatować nazwę użytkownika jako name@tenant, a następnie pozostaw wybraną opcję Nazwa użytkownika Zabezpieczeń WSToken . Screenshot that shows the

  9. Wybierz przycisk OK.

  10. W okienku Żądanie wklej poniższy kod XML. Ustaw Employee_ID identyfikator pracownika rzeczywistego użytkownika w dzierżawie produktu Workday. Ustaw wartość wd:version na wersję usługi WWS, która ma być używana. Wybierz użytkownika z wypełnionym atrybutem, który chcesz wyodrębnić.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. Kliknij pozycję Wyślij żądanie (zielona strzałka), aby wykonać polecenie. W przypadku powodzenia odpowiedź powinna pojawić się w okienku Odpowiedź . Sprawdź odpowiedź, aby upewnić się, że zawiera on dane wprowadzonego identyfikatora użytkownika, a nie błąd.

  12. Jeśli operacja powiedzie się, skopiuj kod XML z okienka Odpowiedź i zapisz go jako plik XML.

  13. Na pasku poleceń programu Workday Studio wybierz pozycję Plik > otwórz plik... i otwórz zapisany plik XML. Ta akcja spowoduje otwarcie pliku w edytorze XML programu Workday Studio.

    Screenshot of an X M L file open in the

  14. W drzewie plików przejdź przez /env: Koperta > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker , aby znaleźć dane użytkownika.

  15. W obszarze wd: Worker (Proces roboczy) znajdź atrybut, który chcesz dodać, i wybierz go.

  16. Skopiuj wyrażenie XPath dla wybranego atrybutu z pola Ścieżka dokumentu.

  17. Usuń prefiks /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ z skopiowanego wyrażenia.

  18. Jeśli ostatni element w skopiowanym wyrażeniu jest węzłem (na przykład: "/wd: Birth_Date"), dołącz /text() na końcu wyrażenia. Nie jest to konieczne, jeśli ostatni element jest atrybutem (na przykład: "/@wd: type").

  19. Wynik powinien wyglądać mniej więcej tak: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Ta wartość jest tym, co skopiujesz do witryny Azure Portal.

Aby dodać niestandardowy atrybut użytkownika produktu Workday do konfiguracji aprowizacji:

  1. Uruchom witrynę Azure Portal i przejdź do sekcji Aprowizacja aplikacji aprowizacji produktu Workday, zgodnie z opisem we wcześniejszej części tego samouczka.

  2. Ustaw wartość Stan aprowizacji na Wył., a następnie wybierz pozycję Zapisz. Ten krok pomoże zapewnić, że zmiany zostaną wprowadzone tylko wtedy, gdy wszystko będzie gotowe.

  3. W obszarze Mapowania wybierz pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory (lub Synchronizuj procesy robocze produktu Workday z identyfikatorem Entra firmy Microsoft).

  4. Przewiń w dół następnego ekranu i wybierz pozycję Pokaż opcje zaawansowane.

  5. Wybierz pozycję Edytuj listę atrybutów dla produktu Workday.

    Screenshot that shows the

  6. Przewiń do dołu listy atrybutów, aby wyświetlić pola wejściowe.

  7. W polu Nazwa wprowadź nazwę wyświetlaną atrybutu.

  8. W polu Typ wybierz typ, który odpowiednio odpowiada atrybutowi (ciąg jest najczęściej używany).

  9. W polu Wyrażenie interfejsu API wprowadź wyrażenie XPath skopiowane z programu Workday Studio. Przykład: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Wybierz pozycję Dodaj atrybut.

    Workday Studio

  11. Wybierz pozycję Zapisz powyżej, a następnie pozycję Tak w oknie dialogowym. Zamknij ekran Mapowanie atrybutów, jeśli jest on nadal otwarty.

  12. Po powrocie do głównej karty Aprowizacja wybierz ponownie pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory (lub Synchronizuj procesy robocze z identyfikatorem Entra firmy Microsoft).

  13. Wybierz pozycję Dodaj nowe mapowanie.

  14. Nowy atrybut powinien być teraz wyświetlany na liście atrybutów źródłowych.

  15. Dodaj mapowanie nowego atrybutu zgodnie z potrzebami.

  16. Po zakończeniu pamiętaj, aby ustawić stanaprowizacji z powrotem na Włączone i zapisz.

Eksportowanie i importowanie konfiguracji

Zapoznaj się z artykułem Eksportowanie i importowanie konfiguracji aprowizacji

Zarządzanie danymi osobowymi

Rozwiązanie aprowizacji produktu Workday dla usługi Active Directory wymaga zainstalowania agenta aprowizacji na lokalnym serwerze z systemem Windows, a ten agent tworzy dzienniki w dzienniku zdarzeń systemu Windows, które mogą zawierać dane osobowe w zależności od mapowań atrybutów produktu Workday do usługi AD. Aby zapewnić zgodność z zobowiązaniami dotyczącymi prywatności użytkowników, możesz upewnić się, że żadne dane nie są przechowywane w dziennikach zdarzeń po upływie 48 godzin, konfigurując zaplanowane zadanie systemu Windows w celu wyczyszczenia dziennika zdarzeń.

Usługa microsoft Entra provisioning należy do kategorii podmiotu przetwarzającego dane klasyfikacji RODO. Jako potok przetwarzania danych usługa udostępnia usługi przetwarzania danych kluczowym partnerom i konsumentom końcowym. Usługa aprowizacji firmy Microsoft nie generuje danych użytkownika i nie ma niezależnej kontroli nad tym, jakie dane osobowe są zbierane i jak są używane. Pobieranie, agregacja, analiza i raportowanie danych w usłudze aprowizacji firmy Microsoft są oparte na istniejących danych przedsiębiorstwa.

Uwaga

Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zapoznaj się ze wskazówkami firmy Microsoft dotyczącymi żądań podmiotów danych systemu Windows dotyczących witryny RODO . Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.

W odniesieniu do przechowywania danych usługa aprowizacji firmy Microsoft nie generuje raportów, wykonywania analiz ani zapewnia szczegółowych informacji poza 30 dni. W związku z tym usługa aprowizacji firmy Microsoft nie przechowuje, przetwarza ani nie przechowuje żadnych danych poza 30 dni. Ten projekt jest zgodny z przepisami RODO, przepisami dotyczącymi zgodności z prywatnością firmy Microsoft i zasadami przechowywania danych firmy Microsoft Entra.

Następne kroki