Samouczek: konfigurowanie produktu Workday na potrzeby automatycznej aprowizacji użytkowników
Celem tego samouczka jest pokazanie kroków, które należy wykonać, aby aprowizować profile procesów roboczych z produktu Workday do usługi lokalna usługa Active Directory (AD).
Uwaga
Skorzystaj z tego samouczka, jeśli użytkownicy, których chcesz aprowizować z produktu Workday, potrzebują lokalnego konta usługi AD i konta Microsoft Entra.
- Jeśli użytkownicy z produktu Workday potrzebują tylko konta Microsoft Entra (użytkownicy tylko w chmurze), zapoznaj się z samouczkiem dotyczącym konfigurowania aprowizacji użytkowników aplikacji Workday do usługi Microsoft Entra ID .
- Aby skonfigurować zapisywanie zwrotne atrybutów, takich jak adres e-mail, nazwa użytkownika i numer telefonu z identyfikatora entra firmy Microsoft do produktu Workday, zapoznaj się z samouczkiem dotyczącym konfigurowania zapisywania zwrotnego produktu Workday.
Poniższy film wideo zawiera krótkie omówienie kroków związanych z planowaniem integracji aprowizacji z programem Workday.
Omówienie
Usługa aprowizacji użytkowników firmy Microsoft entra integruje się z interfejsem API human resources produktu Workday w celu aprowizacji kont użytkowników. Przepływy pracy aprowizacji użytkowników produktu Workday obsługiwane przez usługę aprowizacji użytkowników firmy Microsoft umożliwiają automatyzację następujących scenariuszy zarządzania zasobami ludzkimi i cyklem życia tożsamości:
Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do produktu Workday konto użytkownika jest automatycznie tworzone w usłudze Active Directory, Identyfikatorze Entra firmy Microsoft oraz opcjonalnie w usłudze Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra z zapisem informacji kontaktowych zarządzanych przez it do produktu Workday.
Aktualizacje atrybutu pracownika i profilu — po zaktualizowaniu rekordu pracownika w usłudze Workday (na przykład nazwy, tytułu lub menedżera) konto użytkownika jest automatycznie aktualizowane w usłudze Active Directory, Identyfikatorze Entra firmy Microsoft oraz opcjonalnie rozwiązaniu Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.
Kończenie pracy pracowników — po zakończeniu pracy pracownika konto użytkownika jest automatycznie wyłączone w usłudze Active Directory, identyfikatorze Entra firmy Microsoft i opcjonalnie rozwiązaniu Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.
Ponowne przełączenie pracownika — gdy pracownik zostanie ponownie uruchomiony w usłudze Workday, ich stare konto może zostać automatycznie ponownie aktywowane lub ponownie aprowidowane (w zależności od preferencji) do usługi Active Directory, identyfikatora Entra firmy Microsoft i opcjonalnie platformy Microsoft 365 i innych aplikacji SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.
Co nowego
Ta sekcja zawiera najnowsze ulepszenia integracji produktu Workday. Aby uzyskać listę kompleksowych aktualizacji, planowanych zmian i archiwów, odwiedź stronę Co nowego w identyfikatorze Entra firmy Microsoft?
Październik 2020 r. — włączona aprowizacja na żądanie dla produktu Workday: przy użyciu aprowizacji na żądanie można teraz przetestować kompleksową aprowizację dla określonego profilu użytkownika w usłudze Workday, aby zweryfikować mapowanie atrybutów i logikę wyrażeń.
Maj 2020 r. — Możliwość zapisywania zwrotnego numerów telefonów w usłudze Workday: oprócz poczty e-mail i nazwy użytkownika można teraz zapisywać zwrotny numer telefonu służbowego i numer telefonu komórkowego z identyfikatora Microsoft Entra ID do produktu Workday. Aby uzyskać więcej informacji, zapoznaj się z samouczkiem dotyczącym aplikacji zapisywania zwrotnego.
Kwiecień 2020 r. — obsługa najnowszej wersji interfejsu API usług sieci Web produktu Workday (WWS): dwa razy w roku w marcu i wrześniu firma Workday dostarcza rozbudowane aktualizacje, które pomagają spełnić cele biznesowe i zmieniające się wymagania pracowników. Aby nadążyć za nowymi funkcjami dostarczanymi przez program Workday, możesz bezpośrednio określić wersję interfejsu API WWS, której chcesz użyć w adresie URL połączenia. Aby uzyskać szczegółowe informacje na temat sposobu określania wersji interfejsu API produktu Workday, zapoznaj się z sekcją dotyczącą konfigurowania łączności produktu Workday.
Dla kogo najlepiej nadaje się to rozwiązanie aprowizacji użytkowników?
To rozwiązanie aprowizacji użytkowników produktu Workday idealnie nadaje się do:
Organizacje, które chcą wstępnie utworzonego rozwiązania opartego na chmurze na potrzeby aprowizacji użytkowników produktu Workday
Organizacje, które wymagają bezpośredniej aprowizacji użytkowników z produktu Workday do usługi Active Directory lub identyfikatora Entra firmy Microsoft
Organizacje, które wymagają aprowizacji użytkowników przy użyciu danych uzyskanych z modułu Workday HCM (zobacz Get_Workers)
Organizacje, które wymagają dołączania, przenoszenia i opuszczania użytkowników do synchronizacji z co najmniej jednym lasem, domenami i jednostkami organizacyjnymi usługi Active Directory w oparciu o zmiany wykryte w module Workday HCM (zobacz Get_Workers)
Organizacje korzystające z platformy Microsoft 365 na potrzeby poczty e-mail
Architektura rozwiązania
W tej sekcji opisano architekturę rozwiązania do aprowizacji użytkowników końcowych dla typowych środowisk hybrydowych. Istnieją dwa powiązane przepływy:
- Autorytatywny przepływ danych hr — od produktu Workday do lokalna usługa Active Directory: w tym przepływie zdarzenia procesu roboczego, takie jak Nowi pracownicy, transfery, zakończenia, najpierw występują w dzierżawie usługi Cloud Workday HR, a następnie dane zdarzeń przepływają do lokalna usługa Active Directory za pośrednictwem identyfikatora Firmy Microsoft Entra i agenta aprowizacji. W zależności od zdarzenia może to prowadzić do tworzenia/aktualizowania/włączania/wyłączania operacji w usłudze AD.
- Przepływ zapisywania zwrotnego — od lokalna usługa Active Directory do produktu Workday: po zakończeniu tworzenia konta w usłudze Active Directory jest synchronizowany z identyfikatorem Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect, a informacje takie jak adres e-mail, nazwa użytkownika i numer telefonu można zapisać z powrotem do produktu Workday.
Przepływ danych użytkownika końcowego
- Zespół kadr wykonuje transakcje procesów roboczych (Joiners/Movers/Leavers lub New Hires/Transfer/Terminations) w workday HCM
- Usługa aprowizacji firmy Microsoft uruchamia zaplanowane synchronizacje tożsamości z działu kadr produktu Workday i identyfikuje zmiany, które należy przetworzyć na potrzeby synchronizacji z lokalna usługa Active Directory.
- Usługa aprowizacji firmy Microsoft wywołuje lokalnego agenta aprowizacji Microsoft Entra Connect z ładunkiem żądania zawierającym operacje tworzenia/aktualizowania/włączania/wyłączania konta usługi AD.
- Agent aprowizacji programu Microsoft Entra Connect używa konta usługi do dodawania/aktualizowania danych konta usługi AD.
- Aparat microsoft Entra Connect/AD Sync uruchamia synchronizację różnicową w celu ściągnięcia aktualizacji w usłudze AD.
- Aktualizacje usługi Active Directory są synchronizowane z identyfikatorem Entra firmy Microsoft.
- Jeśli aplikacja Workday Writeback jest skonfigurowana, zapisuje atrybuty zwrotne, takie jak adres e-mail, nazwa użytkownika i numer telefonu do produktu Workday.
Planowanie wdrożenia
Konfigurowanie aprowizacji użytkowników produktu Workday w usłudze Active Directory wymaga znacznego planowania obejmującego różne aspekty, takie jak:
- Konfiguracja agenta aprowizacji programu Microsoft Entra Connect
- Liczba aplikacji aprowizacji użytkowników produktu Workday do usługi AD w celu wdrożenia
- Wybieranie odpowiedniego identyfikatora dopasowania, mapowania atrybutów, transformacji i filtrów określania zakresu
Zapoznaj się z planem wdrażania cloud HR, aby uzyskać kompleksowe wskazówki i zalecane najlepsze rozwiązania.
Konfigurowanie użytkownika systemu integracji w programie Workday
Typowym wymaganiem wszystkich łączników aprowizacji produktu Workday jest to, że wymagają poświadczeń użytkownika systemu integracji produktu Workday w celu nawiązania połączenia z interfejsem API zasobów ludzkich produktu Workday. W tej sekcji opisano sposób tworzenia użytkownika systemu integracji w aplikacji Workday i przedstawiono następujące sekcje:
- Tworzenie użytkownika systemu integracji
- Tworzenie grupy zabezpieczeń integracji
- Konfigurowanie uprawnień zasad zabezpieczeń domeny
- Konfigurowanie uprawnień zasad zabezpieczeń procesów biznesowych
- Aktywowanie zmian zasad zabezpieczeń
Uwaga
Można pominąć tę procedurę i zamiast tego użyć konta administratora produktu Workday jako konta integracji systemu. Może to działać dobrze w przypadku pokazów, ale nie jest zalecane w przypadku wdrożeń produkcyjnych.
Tworzenie użytkownika systemu integracji
Aby utworzyć użytkownika systemu integracji:
Zaloguj się do dzierżawy produktu Workday przy użyciu konta administratora. W aplikacji produktu Workday wprowadź ciąg create user (Utwórz użytkownika) w polu wyszukiwania, a następnie kliknij pozycję Create Integration System User (Utwórz użytkownika systemu integracji).
Ukończ zadanie Tworzenie użytkownika systemu integracji, podając nazwę użytkownika i hasło dla nowego użytkownika systemu integracji.
- Pozostaw opcję Wymagaj nowego hasła przy następnym logowaniu niezaznaczone, ponieważ ten użytkownik loguje się programowo.
- Pozostaw wartość limitu czasu sesji (minuty ) z wartością domyślną 0, co uniemożliwia przedwczesne przekroczenie limitu czasu sesji użytkownika.
- Wybierz opcję Nie zezwalaj na sesje interfejsu użytkownika, ponieważ udostępnia dodatkową warstwę zabezpieczeń, która uniemożliwia użytkownikowi hasło systemu integracji z logowaniem się do produktu Workday.
Tworzenie grupy zabezpieczeń integracji
W tym kroku utworzysz nieskrępowaną lub ograniczoną grupę zabezpieczeń systemu integracji w usłudze Workday i przypiszesz użytkownika systemu integracji utworzonego w poprzednim kroku do tej grupy.
Aby utworzyć grupę zabezpieczeń:
Wprowadź polecenie create security group (Utwórz grupę zabezpieczeń) w polu wyszukiwania, a następnie kliknij pozycję Create Security Group (Utwórz grupę zabezpieczeń).
Ukończ zadanie Tworzenie grupy zabezpieczeń.
Istnieją dwa typy grup zabezpieczeń w programie Workday:
- Bez ograniczeń: wszyscy członkowie grupy zabezpieczeń mogą uzyskiwać dostęp do wszystkich wystąpień danych zabezpieczonych przez grupę zabezpieczeń.
- Ograniczone: wszyscy członkowie grupy zabezpieczeń mają kontekstowy dostęp do podzbioru wystąpień danych (wierszy), do których grupa zabezpieczeń może uzyskać dostęp.
Skontaktuj się z partnerem integracji produktu Workday, aby wybrać odpowiedni typ grupy zabezpieczeń dla integracji.
Gdy znasz typ grupy, wybierz pozycję Grupa zabezpieczeń systemu integracji (bez ograniczeń) lub Grupa zabezpieczeń systemu integracji (ograniczona) z listy rozwijanej Typ dzierżawionej grupy zabezpieczeń.
Po pomyślnym utworzeniu grupy zabezpieczeń zostanie wyświetlona strona, na której można przypisać członków do grupy zabezpieczeń. Dodaj nowego użytkownika systemu integracji utworzonego w poprzednim kroku do tej grupy zabezpieczeń. Jeśli używasz ograniczonej grupy zabezpieczeń, musisz wybrać odpowiedni zakres organizacji.
Konfigurowanie uprawnień zasad zabezpieczeń domeny
W tym kroku przyznasz grupie zabezpieczeń uprawnienia zasad zabezpieczeń domeny dla danych procesu roboczego.
Aby skonfigurować uprawnienia zasad zabezpieczeń domeny:
Wprowadź pozycję Członkostwo w grupie zabezpieczeń i dostęp w polu wyszukiwania, a następnie kliknij link raportu.
Wyszukaj i wybierz grupę zabezpieczeń utworzoną w poprzednim kroku.
Kliknij wielokropek (
...
) obok nazwy grupy i z menu wybierz pozycję Grupa > zabezpieczeń Zachowaj uprawnienia domeny dla grupy zabezpieczeńW obszarze Uprawnienia integracji dodaj następujące domeny do listy Zasady zabezpieczeń domeny zezwalające na dostęp
- Aprowizowanie kont zewnętrznych
- Dane procesu roboczego: Raporty publicznego procesu roboczego
- Dane osobowe: informacje kontaktowe dotyczące pracy (wymagane, jeśli planujesz zapisywanie zwrotnych danych kontaktowych z identyfikatora Entra firmy Microsoft do produktu Workday)
- Konta produktu Workday (wymagane, jeśli planujesz zapisywanie zwrotne nazwy użytkownika/nazwy UPN z identyfikatora Entra firmy Microsoft do produktu Workday)
W obszarze Uprawnienia integracji dodaj następujące domeny do listy Zasady zabezpieczeń domeny zezwalające na uzyskiwanie dostępu
- Dane procesu roboczego: Procesy robocze
- Dane procesu roboczego: wszystkie pozycje
- Dane procesów roboczych: bieżące informacje o personelu
- Dane procesu roboczego: Tytuł biznesowy w profilu procesu roboczego
- Dane procesu roboczego: kwalifikowani pracownicy (opcjonalnie — dodaj tę opcję, aby pobrać dane kwalifikacji procesów roboczych na potrzeby aprowizacji)
- Dane procesów roboczych: umiejętności i doświadczenie (opcjonalnie — dodaj je, aby pobrać dane umiejętności procesów roboczych na potrzeby aprowizacji)
Po wykonaniu powyższych kroków zostanie wyświetlony ekran uprawnień, jak pokazano poniżej:
Kliknij przycisk OK i pozycję Gotowe na następnym ekranie, aby ukończyć konfigurację.
Konfigurowanie uprawnień zasad zabezpieczeń procesów biznesowych
W tym kroku przyznasz grupie zabezpieczeń "zabezpieczenia procesów biznesowych" uprawnienia zasad dla danych procesu roboczego.
Uwaga
Ten krok jest wymagany tylko do skonfigurowania łącznika aplikacji Zapisywania zwrotnego produktu Workday.
Aby skonfigurować uprawnienia zasad zabezpieczeń procesów biznesowych:
Wprowadź zasady procesów biznesowych w polu wyszukiwania, a następnie kliknij link Edytuj zasady zabezpieczeń procesów biznesowych.
W polu tekstowym Business Process Type (Typ procesu biznesowego) wyszukaj ciąg Contact (Kontakt służbowy) i wybierz pozycję Work Contact Change business process (Zmiana procesu biznesowego) i kliknij przycisk OK.
Na stronie Edytowanie zasad zabezpieczeń procesów biznesowych przewiń do sekcji Change Work Contact Information (Usługa internetowa).
Wybierz i dodaj nową grupę zabezpieczeń systemu integracji do listy grup zabezpieczeń, które mogą zainicjować żądanie usług internetowych.
Kliknij pozycję Gotowe.
Aktywowanie zmian zasad zabezpieczeń
Aby aktywować zmiany zasad zabezpieczeń:
Wprowadź ciąg aktywuj w polu wyszukiwania, a następnie kliknij link Aktywuj oczekujące zmiany zasad zabezpieczeń.
Rozpocznij zadanie Aktywuj oczekujące zmiany zasad zabezpieczeń, wprowadzając komentarz do celów inspekcji, a następnie kliknij przycisk OK.
Wykonaj zadanie na następnym ekranie, zaznaczając pole wyboru Potwierdź, a następnie kliknij przycisk OK.
Wymagania wstępne dotyczące instalacji agenta aprowizacji
Przed przejściem do następnej sekcji przejrzyj wymagania wstępne instalacji agenta aprowizacji.
Konfigurowanie aprowizacji użytkowników z produktu Workday do usługi Active Directory
Ta sekcja zawiera kroki aprowizacji kont użytkowników z produktu Workday do każdej domeny usługi Active Directory w zakresie integracji.
- Dodawanie aplikacji łącznika aprowizacji i pobieranie agenta aprowizacji
- Instalowanie i konfigurowanie lokalnych agentów aprowizacji
- Konfigurowanie łączności z usługą Workday i Active Directory
- Konfigurowanie mapowań atrybutów
- Włączanie i uruchamianie aprowizacji użytkowników
Część 1. Dodawanie aplikacji łącznika aprowizacji i pobieranie agenta aprowizacji
Aby skonfigurować aprowizowanie produktu Workday w usłudze Active Directory:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
Wyszukaj aplikację Workday w obszarze Aprowizacja użytkowników usługi Active Directory i dodaj aplikację z galerii.
Po dodaniu aplikacji i ekranie szczegółów aplikacji wybierz pozycję Aprowizowanie.
Zmień tryb aprowizacji na Automatyczny.
Kliknij baner informacyjny wyświetlany, aby pobrać agenta aprowizacji.
Część 2. Instalowanie i konfigurowanie lokalnych agentów aprowizacji
Aby aprowizować usługę Active Directory lokalnie, agent aprowizacji musi być zainstalowany na serwerze przyłączonym do domeny, który ma dostęp sieciowy do żądanych domen usługi Active Directory.
Przenieś pobrany instalator agenta na hosta serwera i wykonaj kroki opisane w sekcji Instalowanie agenta, aby ukończyć konfigurację agenta.
Część 3. W aplikacji aprowizacji skonfiguruj łączność z usługą Workday i Active Directory
W tym kroku ustanawiamy łączność z usługami Workday i Active Directory.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do obszaru> Aplikacje dla przedsiębiorstw Identity>Applications>Workday do aplikacji aprowizacji użytkowników usługi Active Directory utworzonej w części 1.
Wypełnij sekcję Poświadczenia administratora w następujący sposób:
Nazwa użytkownika produktu Workday — wprowadź nazwę użytkownika konta systemu integracji produktu Workday z dołączona nazwą domeny dzierżawy. Powinien wyglądać mniej więcej tak: username@tenant_name
Hasło produktu Workday — wprowadź hasło konta systemu integracji produktu Workday
Adres URL interfejsu API usług sieci Web produktu Workday — wprowadź adres URL punktu końcowego usług internetowych produktu Workday dla dzierżawy. Adres URL określa wersję interfejsu API usług sieci Web produktu Workday używanego przez łącznik.
Format adresu URL Używana wersja interfejsu API WWS Wymagane zmiany XPATH https://####.workday.com/ccx/service/tenantName wersja 21.1 Nie. https://####.workday.com/ccx/service/tenantName/Human_Resources wersja 21.1 Nie. https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Tak Uwaga
Jeśli w adresie URL nie określono żadnych informacji o wersji, aplikacja używa usług Sieci Web Workday (WWS) w wersji 21.1, a żadne zmiany nie są wymagane do domyślnych wyrażeń interfejsu API XPATH dostarczanych z aplikacją. Aby użyć określonej wersji interfejsu API WWS, określ numer wersji w adresie URL
Przykład:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Jeśli używasz interfejsu API WWS w wersji 30.0 lub nowszej, przed włączeniem zadania aprowizacji zaktualizuj wyrażenia interfejsu API XPATH w obszarze Mapowanie atrybutów —> Opcje zaawansowane —> Edytuj listę atrybutów dla produktu Workday, odwołując się do sekcji Zarządzanie konfiguracją i dokumentacją atrybutów produktu Workday.Las usługi Active Directory — "nazwa" domeny usługi Active Directory, która została zarejestrowana w agencie. Użyj listy rozwijanej, aby wybrać domenę docelową na potrzeby aprowizacji. Ta wartość jest zazwyczaj ciągiem, takim jak: contoso.com
Kontener usługi Active Directory — wprowadź nazwę wyróżniającą kontenera, w którym agent powinien domyślnie tworzyć konta użytkowników. Przykład: OU=Standard Users,OU=Users,DC=contoso,DC=test
Uwaga
To ustawienie jest odtwarzane tylko w przypadku tworzenia konta użytkownika, jeśli atrybut parentDistinguishedName nie jest skonfigurowany w mapowaniach atrybutów. To ustawienie nie jest używane dla operacji wyszukiwania ani aktualizacji użytkownika. Całe drzewo podrzędne domeny mieści się w zakresie operacji wyszukiwania.
Wiadomość e-mail z powiadomieniem — wprowadź swój adres e-mail i zaznacz pole wyboru "Wyślij wiadomość e-mail, jeśli wystąpi błąd".
Uwaga
Usługa aprowizacji firmy Microsoft wysyła powiadomienie e-mail, jeśli zadanie aprowizacji przejdzie w stan kwarantanny .
Kliknij przycisk Testuj połączenie . Jeśli test połączenia zakończy się pomyślnie, kliknij przycisk Zapisz u góry. Jeśli zakończy się to niepowodzeniem, sprawdź dokładnie, czy poświadczenia produktu Workday i poświadczenia usługi AD skonfigurowane w konfiguracji agenta są prawidłowe.
Po pomyślnym zapisaniu poświadczeń w sekcji Mapowania zostanie wyświetlone domyślne mapowanie Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory
Część 4. Konfigurowanie mapowań atrybutów
W tej sekcji skonfigurujesz sposób przepływu danych użytkownika z produktu Workday do usługi Active Directory.
Na karcie Aprowizowanie w obszarze Mapowania kliknij pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory.
W polu Zakres obiektu źródłowego można wybrać, które zestawy użytkowników w usłudze Workday powinny być w zakresie aprowizacji w usłudze AD, definiując zestaw filtrów opartych na atrybutach. Domyślnym zakresem jest "wszyscy użytkownicy w programie Workday". Przykładowe filtry:
Przykład: zakres dla użytkowników z identyfikatorami procesów roboczych z zakresu od 10000000 do 20000000 (z wyjątkiem 2000000)
Atrybut: WorkerID
Operator: Dopasowanie REGEX
Wartość: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Przykład: Tylko pracownicy, a nie warunkowi pracownicy
Atrybut: EmployeeID
Operator: nie ma wartości NULL
Napiwek
Podczas konfigurowania aplikacji aprowizacji po raz pierwszy należy przetestować i zweryfikować mapowania atrybutów i wyrażenia, aby upewnić się, że daje pożądany wynik. Firma Microsoft zaleca używanie filtrów określania zakresu w obszarze Zakres obiektów źródłowych i aprowizowanie na żądanie w celu przetestowania mapowań przy użyciu kilku testowych użytkowników z produktu Workday. Po sprawdzeniu, czy mapowania działają, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.
Uwaga
Domyślnym zachowaniem aparatu aprowizacji jest wyłączenie/usunięcie użytkowników, którzy wykraczają poza zakres. Może to nie być pożądane w integracji produktu Workday z usługą AD. Aby zastąpić to zachowanie domyślne, zapoznaj się z artykułem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres
W polu Akcje obiektu docelowego można globalnie filtrować akcje wykonywane w usłudze Active Directory. Tworzenie i aktualizowanie jest najbardziej typowe.
W sekcji Mapowania atrybutów można zdefiniować sposób mapowania poszczególnych atrybutów produktu Workday na atrybuty usługi Active Directory.
Kliknij istniejące mapowanie atrybutów, aby go zaktualizować, lub kliknij pozycję Dodaj nowe mapowanie w dolnej części ekranu, aby dodać nowe mapowania. Pojedyncze mapowanie atrybutów obsługuje następujące właściwości:
Typ mapowania
Direct — zapisuje wartość atrybutu Workday w atrybucie usługi AD bez zmian
Stała — zapisywanie statycznej, stałej wartości ciągu w atrybucie usługi AD
Wyrażenie — umożliwia zapisanie wartości niestandardowej w atrybucie usługi AD na podstawie co najmniej jednego atrybutu produktu Workday. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wyrażeń.
Atrybut źródłowy — atrybut użytkownika z produktu Workday. Jeśli atrybut, którego szukasz, nie jest obecny, zobacz Dostosowywanie listy atrybutów użytkownika produktu Workday.
Wartość domyślna — opcjonalnie. Jeśli atrybut źródłowy ma pustą wartość, mapowanie zapisuje tę wartość. Najbardziej typową konfiguracją jest pozostawienie tego pustego.
Atrybut docelowy — atrybut użytkownika w usłudze Active Directory.
Dopasuj obiekty przy użyciu tego atrybutu — określa, czy to mapowanie powinno być używane do unikatowego identyfikowania użytkowników między programem Workday i usługą Active Directory. Ta wartość jest zwykle ustawiana w polu Identyfikator procesu roboczego dla produktu Workday, które jest zwykle mapowane na jeden z atrybutów identyfikatora pracownika w usłudze Active Directory.
Dopasowywanie pierwszeństwa — można ustawić wiele pasujących atrybutów. Jeśli istnieje wiele, są one oceniane w kolejności zdefiniowanej przez to pole. Po znalezieniu dopasowania nie są oceniane żadne dalsze pasujące atrybuty.
Zastosuj to mapowanie
Zawsze — zastosuj to mapowanie zarówno w akcjach tworzenia użytkownika, jak i aktualizowania
Tylko podczas tworzenia — zastosuj to mapowanie tylko w akcjach tworzenia użytkownika
Aby zapisać mapowania, kliknij przycisk Zapisz w górnej części sekcji Mapowanie atrybutów.
Poniżej przedstawiono przykładowe mapowania atrybutów między usługą Workday i usługą Active Directory z niektórymi typowymi wyrażeniami
Wyrażenie mapowane na atrybut parentDistinguishedName służy do aprowizowania użytkownika do różnych jednostek organizacyjnych na podstawie co najmniej jednego atrybutu źródłowego produktu Workday. W tym przykładzie użytkownicy w różnych jednostkach organizacyjnych opierają się na tym, w jakim mieście się znajdują.
Atrybut userPrincipalName w usłudze Active Directory jest generowany przy użyciu funkcji deduplikacji SelectUniqueValue , która sprawdza istnienie wygenerowanej wartości w docelowej domenie usługi AD i ustawia ją tylko wtedy, gdy jest unikatowa.
W tym miejscu znajduje się dokumentacja dotycząca pisania wyrażeń. Ta sekcja zawiera przykłady usuwania znaków specjalnych.
ATRYBUT PRODUKTU WORKDAY | ATRYBUT USŁUGI ACTIVE DIRECTORY | PASUJĄCY IDENTYFIKATOR? | TWORZENIE/AKTUALIZOWANIE |
---|---|---|---|
Identyfikator procesu roboczego | EmployeeID (Identyfikator pracownika) | Tak | Napisane tylko podczas tworzenia |
PreferredNameData | Cn | Napisane tylko podczas tworzenia | |
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join("., Mid([FirstName], 1, 2), [LastName]), "contoso.com")) | userPrincipalName | Napisane tylko podczas tworzenia | |
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) |
sAMAccountName | Napisane tylko podczas tworzenia | |
Switch([Active], , "0", "True", "1", "False") | accountDisabled | Tworzenie i aktualizowanie | |
FirstName | givenName | Tworzenie i aktualizowanie | |
LastName | sn | Tworzenie i aktualizowanie | |
PreferredNameData | displayName | Tworzenie i aktualizowanie | |
Firma | company | Tworzenie i aktualizowanie | |
NadzórOrganizacja | department | Tworzenie i aktualizowanie | |
ManagerReference | manager | Tworzenie i aktualizowanie | |
BusinessTitle | title | Tworzenie i aktualizowanie | |
AddressLineData | streetAddress | Tworzenie i aktualizowanie | |
Gmina | l | Tworzenie i aktualizowanie | |
CountryReferenceTwoLetter | co | Tworzenie i aktualizowanie | |
CountryReferenceTwoLetter | c | Tworzenie i aktualizowanie | |
CountryRegionReference | XXI w. | Tworzenie i aktualizowanie | |
WorkSpaceReference | physicalDeliveryOfficeName | Tworzenie i aktualizowanie | |
Kod pocztowy | postalCode | Tworzenie i aktualizowanie | |
PrimaryWorkTelephone | telephoneNumber | Tworzenie i aktualizowanie | |
Faks | facsimileTelephoneNumber | Tworzenie i aktualizowanie | |
Rozwiązania mobilne | mobilnych | Tworzenie i aktualizowanie | |
LocalReference | preferredLanguage | Tworzenie i aktualizowanie | |
Switch([Gminy], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") | parentDistinguishedName | Tworzenie i aktualizowanie |
Po zakończeniu konfiguracji mapowania atrybutów można przetestować aprowizację pojedynczego użytkownika przy użyciu aprowizacji na żądanie, a następnie włączyć i uruchomić usługę aprowizacji użytkowników.
Włączanie i uruchamianie aprowizacji użytkowników
Po zakończeniu konfiguracji aplikacji aprowizacji produktu Workday i zweryfikowaniu aprowizacji pojedynczego użytkownika z aprowizowaniem na żądanie możesz włączyć usługę aprowizacji.
Napiwek
Domyślnie po włączeniu usługi aprowizacji inicjuje ona operacje aprowizacji dla wszystkich użytkowników w zakresie. Jeśli występują błędy w problemach z mapowaniem lub danymi produktu Workday, zadanie aprowizacji może zakończyć się niepowodzeniem i przejść do stanu kwarantanny. Aby tego uniknąć, zalecamy skonfigurowanie filtru zakresu obiektów źródłowych i przetestowanie mapowań atrybutów przy użyciu kilku testowych użytkowników przy użyciu aprowizacji na żądanie przed uruchomieniem pełnej synchronizacji dla wszystkich użytkowników. Po sprawdzeniu, czy mapowania działają i dają żądane wyniki, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.
Przejdź do bloku Aprowizacja i kliknij pozycję Rozpocznij aprowizację.
Ta operacja rozpoczyna synchronizację początkową, która może potrwać zmienną liczbę godzin w zależności od liczby użytkowników w dzierżawie produktu Workday. Możesz sprawdzić pasek postępu, aby śledzić postęp cyklu synchronizacji.
W dowolnym momencie sprawdź kartę Aprowizacja w centrum administracyjnym firmy Microsoft Entra, aby zobaczyć, jakie akcje wykonała usługa aprowizacji. Dzienniki aprowizacji wyświetla listę wszystkich zdarzeń synchronizacji poszczególnych wykonanych przez usługę aprowizacji, takich jak użytkownicy odczytywani z produktu Workday, a następnie dodawani lub aktualizowani do usługi Active Directory. Zapoznaj się z sekcją Rozwiązywanie problemów, aby uzyskać instrukcje dotyczące przeglądania dzienników aprowizacji i naprawiania błędów aprowizacji.
Po zakończeniu synchronizacji początkowej zapisuje raport podsumowania inspekcji na karcie Aprowizacja , jak pokazano poniżej.
Często zadawane pytania
Pytania dotyczące możliwości rozwiązania
- W jaki sposób podczas przetwarzania nowego zatrudnienia z produktu Workday rozwiązanie ustawia hasło dla nowego konta użytkownika w usłudze Active Directory?
- Czy rozwiązanie obsługuje wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji?
- Czy rozwiązanie buforuje profile użytkowników produktu Workday w chmurze Firmy Microsoft Entra lub w warstwie agenta aprowizacji?
- Czy rozwiązanie obsługuje przypisywanie lokalnych grup usługi AD do użytkownika?
- Które interfejsy API produktu Workday używają rozwiązania do wykonywania zapytań i aktualizowania profilów procesów roboczych produktu Workday?
- Czy mogę skonfigurować dzierżawę rozwiązania Workday HCM z dwiema dzierżawami firmy Microsoft Entra?
- Jak mogę zasugerować ulepszenia lub zażądać nowych funkcji związanych z integracją produktu Workday i firmy Microsoft Entra?
Pytania dotyczące agenta aprowizacji
- Jaka jest wersja ogólnie dostępnego agenta aprowizacji?
- Jak mogę znać wersję mojego agenta aprowizacji?
- Czy firma Microsoft automatycznie wypycha aktualizacje agenta aprowizacji?
- Czy mogę zainstalować agenta aprowizacji na tym samym serwerze z uruchomionym programem Microsoft Entra Connect?
- Jak mogę skonfigurować agenta aprowizacji do korzystania z serwera proxy na potrzeby komunikacji wychodzącej HTTP?
- Jak mogę upewnić się, że agent aprowizacji może komunikować się z dzierżawą firmy Microsoft Entra i że żadne zapory nie blokują portów wymaganych przez agenta?
- Jak mogę wyrejestrować domenę skojarzona z moim agentem aprowizacji?
- Jak mogę odinstalować agenta aprowizacji?
Pytania dotyczące mapowania atrybutów i konfiguracji produktu Workday do usługi AD
- Jak mogę utworzyć kopię zapasową lub wyeksportować działającą kopię mapowania atrybutów i schematu produktu Workday?
- Mam atrybuty niestandardowe w usługach Workday i Active Directory. Jak mogę skonfigurować rozwiązanie do pracy z moimi atrybutami niestandardowymi?
- Czy mogę aprowizować zdjęcie użytkownika z produktu Workday do usługi Active Directory?
- Jak mogę synchronizować numery telefonów komórkowych z produktu Workday na podstawie zgody użytkownika na użycie publiczne?
- Jak mogę formatowania nazw wyświetlanych w usłudze AD na podstawie atrybutów działu/kraju/miasta użytkownika i obsługi wariancji regionalnych?
- Jak użyć polecenia SelectUniqueValue, aby wygenerować unikatowe wartości atrybutu samAccountName?
- Jak mogę usunąć znaki z znakiem diakrytycznym i przekonwertować je na normalne alfabety angielskie?
Pytania dotyczące możliwości rozwiązania
W jaki sposób podczas przetwarzania nowego zatrudnienia z produktu Workday rozwiązanie ustawia hasło dla nowego konta użytkownika w usłudze Active Directory?
Gdy lokalny agent aprowizacji otrzymuje żądanie utworzenia nowego konta usługi AD, automatycznie generuje złożone losowe hasło przeznaczone do spełnienia wymagań dotyczących złożoności hasła zdefiniowanych przez serwer usługi AD i ustawia je na obiekcie użytkownika. To hasło nie jest rejestrowane nigdzie.
Czy rozwiązanie obsługuje wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji?
Nie, wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji nie jest obsługiwane w bieżącej wersji.
Czy rozwiązanie buforuje profile użytkowników produktu Workday w chmurze Firmy Microsoft Entra lub w warstwie agenta aprowizacji?
Nie, rozwiązanie nie obsługuje pamięci podręcznej profilów użytkowników. Usługa aprowizacji Firmy Microsoft działa po prostu jako podmiot przetwarzający dane, odczytując dane z produktu Workday i zapisując je w docelowej usłudze Active Directory lub Microsoft Entra ID. Zobacz sekcję Zarządzanie danymi osobowymi, aby uzyskać szczegółowe informacje dotyczące prywatności i przechowywania danych użytkownika.
Czy rozwiązanie obsługuje przypisywanie lokalnych grup usługi AD do użytkownika?
Ta funkcja nie jest obecnie obsługiwana. Zalecane obejście polega na wdrożeniu skryptu programu PowerShell, który wysyła zapytanie do punktu końcowego interfejsu API programu Microsoft Graph w celu aprowizacji danych dziennika i używa go do wyzwalania scenariuszy, takich jak przypisanie grupy. Ten skrypt programu PowerShell można dołączyć do harmonogramu zadań i wdrożyć go w tym samym polu, w którym działa agent aprowizacji.
Które interfejsy API produktu Workday używają rozwiązania do wykonywania zapytań i aktualizowania profilów procesów roboczych produktu Workday?
Rozwiązanie obecnie używa następujących interfejsów API produktu Workday:
Format adresu URL interfejsu API usług sieci Web produktu Workday używany w sekcji Poświadczenia administratora określa wersję interfejsu API używaną do Get_Workers
- Jeśli format adresu URL to : https://####.workday.com/ccx/service/tenantName , używany jest interfejs API w wersji 21.1.
- Jeśli format adresu URL to , https://####.workday.com/ccx/service/tenantName/Human_Resources używany jest interfejs API w wersji 21.1
- Jeśli format adresu URL to , https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# używana jest określona wersja interfejsu API. (Przykład: jeśli określono 34.0, jest używany).
Funkcja zapisywania zwrotnego wiadomości e-mail produktu Workday używa Change_Work_Contact_Information (wersja 30.0)
Funkcja zapisywania zwrotnego nazw użytkowników produktu Workday używa Update_Workday_Account (wersja 31.2)
Czy mogę skonfigurować dzierżawę rozwiązania Workday HCM z dwiema dzierżawami firmy Microsoft Entra?
Tak, ta konfiguracja jest obsługiwana. Poniżej przedstawiono ogólne kroki konfigurowania tego scenariusza:
- Wdróż agenta aprowizacji nr 1 i zarejestruj go w dzierżawie firmy Microsoft Entra #1.
- Wdróż agenta aprowizacji nr 2 i zarejestruj go w dzierżawie firmy Microsoft Entra #2.
- Na podstawie "domen podrzędnych", którymi zarządza każdy agent aprowizacji, skonfiguruj każdego agenta z domenami. Jeden agent może obsługiwać wiele domen.
- W centrum administracyjnym firmy Microsoft Entra skonfiguruj aplikację aprowizacji użytkowników usługi AD produktu Workday w każdej dzierżawie i skonfiguruj ją przy użyciu odpowiednich domen.
Jak mogę zasugerować ulepszenia lub zażądać nowych funkcji związanych z integracją produktu Workday i firmy Microsoft Entra?
Twoja opinia jest bardzo ceniona, ponieważ pomaga nam określić kierunek przyszłych wydań i ulepszeń. Z zadowoleniem przyjmujemy wszystkie opinie i zachęcamy do przesłania pomysłu lub sugestii dotyczących ulepszeń na forum opinii firmy Microsoft Entra ID. Aby uzyskać konkretne opinie związane z integracją produktu Workday, wybierz kategorię Aplikacje SaaS i wyszukaj je przy użyciu słów kluczowych Workday , aby znaleźć istniejące opinie dotyczące produktu Workday.
Podczas sugerowania nowego pomysłu sprawdź, czy ktoś inny już zasugerował podobną funkcję. W takim przypadku możesz głosować za funkcją lub żądaniem ulepszenia. Możesz również pozostawić komentarz dotyczący konkretnego przypadku użycia, aby pokazać swoją pomoc techniczną dotyczącą pomysłu i pokazać, jak funkcja jest dla Ciebie cenna.
Pytania dotyczące agenta aprowizacji
Jaka jest wersja ogólnie dostępnego agenta aprowizacji?
Zapoznaj się z tematem Microsoft Entra Connect Provisioning Agent: historia wersji dla najnowszej wersji agenta aprowizacji.
Jak mogę znać wersję mojego agenta aprowizacji?
Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
Przejdź do Panel sterowania -> Odinstaluj lub zmień menu Program
Wyszukaj wersję odpowiadającą wpisowi Microsoft Entra Connect Provisioning Agent
Czy firma Microsoft automatycznie wypycha aktualizacje agenta aprowizacji?
Tak, firma Microsoft automatycznie aktualizuje agenta aprowizacji, jeśli usługa Microsoft Entra Connect Agent Updater jest uruchomiona.
Czy mogę zainstalować agenta aprowizacji na tym samym serwerze z uruchomionym programem Microsoft Entra Connect?
Tak, można zainstalować agenta aprowizacji na tym samym serwerze, na którym działa program Microsoft Entra Connect.
W momencie konfiguracji agent aprowizacji monituje o podanie poświadczeń administratora firmy Microsoft Entra. Czy agent przechowuje poświadczenia lokalnie na serwerze?
Podczas konfiguracji agent aprowizacji monituje o podanie poświadczeń administratora usługi Microsoft Entra tylko w celu nawiązania połączenia z dzierżawą firmy Microsoft Entra. Nie przechowuje poświadczeń lokalnie na serwerze. Jednak zachowuje poświadczenia używane do nawiązywania połączenia z domeną lokalna usługa Active Directory w lokalnym magazynie haseł systemu Windows.
Jak mogę skonfigurować agenta aprowizacji do korzystania z serwera proxy na potrzeby komunikacji wychodzącej HTTP?
Agent aprowizacji obsługuje korzystanie z serwera proxy ruchu wychodzącego. Można go skonfigurować, edytując plik konfiguracji agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Dodaj do niego następujące wiersze na końcu pliku tuż przed tagiem zamykającym </configuration>
.
Zastąp zmienne [proxy-server] i [proxy-port] odpowiednio nazwą i numerem portu serwera proxy.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Jak mogę upewnić się, że agent aprowizacji może komunikować się z dzierżawą firmy Microsoft Entra i że żadne zapory nie blokują portów wymaganych przez agenta?
Możesz również sprawdzić, czy wszystkie wymagane porty są otwarte.
Czy można skonfigurować jednego agenta aprowizacji w celu aprowizacji wielu domen usługi AD?
Tak, jeden agent aprowizacji można skonfigurować tak, aby obsługiwał wiele domen usługi AD, o ile agent ma dostęp do odpowiednich kontrolerów domeny. Firma Microsoft zaleca skonfigurowanie grupy 3 agentów aprowizacji obsługujących ten sam zestaw domen usługi AD w celu zapewnienia wysokiej dostępności i zapewnienia obsługi trybu failover.
Jak mogę wyrejestrować domenę skojarzona z moim agentem aprowizacji?
*, pobierz identyfikator dzierżawy dzierżawy firmy Microsoft Entra.
Zaloguj się do serwera z systemem Windows z uruchomionym agentem aprowizacji.
Otwórz program PowerShell jako administrator systemu Windows.
Przejdź do katalogu zawierającego skrypty rejestracji i uruchom następujące polecenia, zastępując parametr [identyfikator dzierżawy] wartością identyfikatora dzierżawy.
cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder" Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1" Get-PublishedResources -TenantId "[tenant ID]"
Z wyświetlonej listy agentów skopiuj wartość
id
pola z tego zasobu, którego resourceName jest równa nazwie domeny usługi AD.Wklej wartość identyfikatora do tego polecenia i wykonaj polecenie w programie PowerShell.
Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
Uruchom ponownie kreatora konfiguracji agenta.
Każdy inny agent, który wcześniej został przypisany do tej domeny, musi zostać ponownie skonfigurowany.
Jak mogę odinstalować agenta aprowizacji?
- Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
- Przejdź do Panel sterowania -> Odinstaluj lub zmień menu Program
- Odinstaluj następujące programy:
- Microsoft Entra Connect Provisioning Agent
- Microsoft Entra Connect Agent Updater
- Pakiet agenta aprowizacji programu Microsoft Entra Connect
Pytania dotyczące mapowania atrybutów i konfiguracji produktu Workday do usługi AD
Jak mogę utworzyć kopię zapasową lub wyeksportować działającą kopię mapowania atrybutów i schematu produktu Workday?
Aby wyeksportować konfigurację aprowizacji użytkowników produktu Workday, możesz użyć interfejsu API programu Microsoft Graph. Aby uzyskać szczegółowe informacje, zapoznaj się z krokami w sekcji Eksportowanie i importowanie konfiguracji mapowania atrybutów aprowizacji użytkowników produktu Workday.
Mam atrybuty niestandardowe w usługach Workday i Active Directory. Jak mogę skonfigurować rozwiązanie do pracy z moimi atrybutami niestandardowymi?
Rozwiązanie obsługuje niestandardowe atrybuty produktu Workday i usługi Active Directory. Aby dodać atrybuty niestandardowe do schematu mapowania, otwórz blok Mapowanie atrybutów i przewiń w dół, aby rozwinąć sekcję Pokaż opcje zaawansowane.
Aby dodać niestandardowe atrybuty produktu Workday, wybierz opcję Edytuj listę atrybutów dla produktu Workday i dodaj niestandardowe atrybuty usługi AD, wybierz opcję Edytuj listę atrybutów dla lokalnej usługi Active Directory.
Zobacz też:
Jak mogę skonfigurować rozwiązanie tak, aby aktualizowało tylko atrybuty w usłudze AD na podstawie zmian produktu Workday i nie tworzyło żadnych nowych kont usługi AD?
Tę konfigurację można osiągnąć, ustawiając akcje obiektu docelowego w bloku Mapowania atrybutów , jak pokazano poniżej:
Zaznacz pole wyboru "Aktualizuj" tylko dla operacji aktualizacji do przepływu z produktu Workday do usługi AD.
Czy mogę aprowizować zdjęcie użytkownika z produktu Workday do usługi Active Directory?
Obecnie rozwiązanie nie obsługuje ustawiania atrybutów binarnych, takich jak thumbnailPhoto i jpegPhoto w usłudze Active Directory.
Jak mogę synchronizować numery telefonów komórkowych z produktu Workday na podstawie zgody użytkownika na użycie publiczne?
Przejdź do bloku "Aprowizowanie" aplikacji aprowizacji produktu Workday.
Kliknij mapowania atrybutów
W obszarze Mapowania wybierz pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory (lub Synchronizuj procesy robocze produktu Workday z identyfikatorem Entra firmy Microsoft).
Na stronie Mapowania atrybutów przewiń w dół i zaznacz pole wyboru "Pokaż opcje zaawansowane". Kliknij pozycję Edytuj listę atrybutów dla produktu Workday
W wyświetlonym bloku znajdź atrybut "Mobile" i kliknij wiersz, aby można było edytować wyrażenie interfejsu API
Zastąp wyrażenie interfejsu API następującym nowym wyrażeniem, które pobiera służbowy numer telefonu komórkowego tylko wtedy, gdy w aplikacji Workday ustawiono wartość "Flaga użycia publicznego".
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
Zapisz listę atrybutów.
Zapisz mapowanie atrybutów.
Wyczyść bieżący stan i uruchom ponownie pełną synchronizację.
Jak mogę formatowania nazw wyświetlanych w usłudze AD na podstawie atrybutów działu/kraju/miasta użytkownika i obsługi wariancji regionalnych?
Jest to typowe wymaganie, aby skonfigurować atrybut displayName w usłudze AD, tak aby dostarczał również informacje o dziale użytkownika i kraju/regionie. Jeśli na przykład John Smith pracuje w dziale marketingu w USA, możesz chcieć, aby jego displayName był wyświetlany jako Smith, John (Marketing-US).
Poniżej przedstawiono sposób obsługi takich wymagań dotyczących konstruowania nazwy CN lub displayName w celu uwzględnienia atrybutów, takich jak firma, jednostka biznesowa, miasto lub kraj/region.
Każdy atrybut produktu Workday jest pobierany przy użyciu bazowego wyrażenia interfejsu API XPATH, które można skonfigurować w temacie Mapowanie atrybutów —> Sekcja zaawansowana —> Edytowanie listy atrybutów dla produktu Workday. Oto domyślne wyrażenie interfejsu API XPATH dla atrybutów PreferredFirstName, PreferredLastName, Company i SupervisoryOrganization.
Atrybut produktu Workday Wyrażenie XPATH interfejsu API PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text() PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text() Firma wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor NadzórOrganizacja wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text() Upewnij się, że twój zespół produktu Workday, że powyższe wyrażenie interfejsu API jest prawidłowe dla konfiguracji dzierżawy produktu Workday. W razie potrzeby można je edytować zgodnie z opisem w sekcji Dostosowywanie listy atrybutów użytkownika produktu Workday.
Podobnie informacje o kraju/regionie dostępne w programie Workday są pobierane przy użyciu następującego kodu XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference
Istnieje 5 atrybutów związanych z krajem/regionem, które są dostępne w sekcji Lista atrybutów produktu Workday.
Atrybut produktu Workday Wyrażenie XPATH interfejsu API CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text() CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text() CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text() CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor Upewnij się, że zespół produktu Workday sprawdza, czy powyższe wyrażenia interfejsu API są prawidłowe dla konfiguracji dzierżawy produktu Workday. W razie potrzeby można je edytować zgodnie z opisem w sekcji Dostosowywanie listy atrybutów użytkownika produktu Workday.
Aby utworzyć odpowiednie wyrażenie mapowania atrybutów, zidentyfikuj atrybut Workday "autorytatywnie" reprezentuje imię użytkownika, nazwisko, kraj/region i dział. Załóżmy, że atrybuty są odpowiednio PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter i SupervisoryOrganization. Możesz użyć tego polecenia, aby utworzyć wyrażenie dla atrybutu displayName usługi AD w następujący sposób, aby uzyskać nazwę wyświetlaną, taką jak Smith, John (Marketing-US).
Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
Po utworzeniu odpowiedniego wyrażenia zmodyfikuj tabelę Mapowania atrybutów i zmodyfikuj mapowanie atrybutów displayName , jak pokazano poniżej:
Rozszerzając powyższy przykład, załóżmy, że chcesz przekonwertować nazwy miast pochodzące z produktu Workday na wartości skrócone, a następnie użyć go do utworzenia nazw wyświetlanych, takich jak Smith, John (CHI) lub Doe, Jane (NYC), a następnie ten wynik można osiągnąć przy użyciu wyrażenia Switch z atrybutem Gminy Workday jako zmienną determinającą.
Switch ( [Municipality], Join(", ", [PreferredLastName], [PreferredFirstName]), "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"), "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"), "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)") )
Zobacz też:
Jak użyć polecenia SelectUniqueValue, aby wygenerować unikatowe wartości atrybutu samAccountName?
Załóżmy, że chcesz wygenerować unikatowe wartości atrybutu samAccountName przy użyciu kombinacji atrybutów FirstName i LastName z produktu Workday. Na poniższej ilustracji znajduje się wyrażenie, z którym można zacząć od:
SelectUniqueValue(
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)
Jak działa powyższe wyrażenie: jeśli użytkownik jest John Smith, najpierw próbuje wygenerować JSmith, jeśli JSmith już istnieje, to generuje JoSmith, jeśli tak istnieje, generuje JohSmith. Wyrażenie zapewnia również, że wygenerowana wartość spełnia ograniczenie długości i ograniczenie znaków specjalnych skojarzonych z atrybutem samAccountName.
Zobacz też:
Jak mogę usunąć znaki z znakiem diakrytycznym i przekonwertować je na normalne alfabety angielskie?
Użyj funkcji NormalizeDiacritics , aby usunąć znaki specjalne w imię i nazwisko użytkownika, tworząc adres e-mail lub wartość CN dla użytkownika.
Wskazówki dotyczące rozwiązywania problemów
Ta sekcja zawiera szczegółowe wskazówki dotyczące rozwiązywania problemów z aprowizacją integracji produktu Workday przy użyciu dzienników aprowizacji firmy Microsoft i dzienników Podgląd zdarzeń systemu Windows Server. Opiera się on na ogólnych krokach rozwiązywania problemów i pojęciach przechwyconych w samouczku : raportowanie automatycznej aprowizacji konta użytkownika
W tej sekcji omówiono następujące aspekty rozwiązywania problemów:
- Konfigurowanie agenta aprowizacji w celu emitowania dzienników Podgląd zdarzeń
- Konfigurowanie Podgląd zdarzeń systemu Windows na potrzeby rozwiązywania problemów z agentem
- Konfigurowanie dzienników aprowizacji centrum administracyjnego firmy Microsoft entra na potrzeby rozwiązywania problemów z usługą
- Informacje o dziennikach operacji tworzenia konta użytkownika usługi AD
- Informacje o dziennikach operacji aktualizacji programu Manager
- Rozwiązywanie często napotykanych błędów
Konfigurowanie agenta aprowizacji w celu emitowania dzienników Podgląd zdarzeń
Zaloguj się na maszynie z systemem Windows Server, na której wdrożono agenta aprowizacji
Zatrzymaj usługę Microsoft Entra Connect Provisioning Agent.
Utwórz kopię oryginalnego pliku konfiguracji: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Zastąp istniejącą
<system.diagnostics>
sekcję następującym kodem.- Konfiguracja odbiornika etw emituje komunikaty do dzienników programu EventViewer
- Odbiornik config textWriterListener wysyła komunikaty śledzenia do pliku ProvAgentTrace.log. Usuń komentarz wierszy związanych z textWriterListener tylko w przypadku zaawansowanych rozwiązywania problemów.
<system.diagnostics> <sources> <source name="AAD Connect Provisioning Agent"> <listeners> <add name="console"/> <add name="etw"/> <!-- <add name="textWriterListener"/> --> </listeners> </source> </sources> <sharedListeners> <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/> <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent"> <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/> </add> <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> --> </sharedListeners> </system.diagnostics>
Uruchom usługę Microsoft Entra Connect Provisioning Agent.
Konfigurowanie Podgląd zdarzeń systemu Windows na potrzeby rozwiązywania problemów z agentem
Zaloguj się na maszynie z systemem Windows Server, na której wdrożono agenta aprowizacji
Otwórz aplikację klasyczną systemu Windows Server Podgląd zdarzeń.
Wybierz pozycję Aplikacja dzienników systemu >Windows.
Użyj opcji Filtruj bieżący dziennik..., aby wyświetlić wszystkie zdarzenia zarejestrowane w źródłowym agencie aprowizacji programu Microsoft Entra Connect i wykluczyć zdarzenia o identyfikatorze zdarzenia "5", określając filtr "-5", jak pokazano poniżej.
Uwaga
Zdarzenie o identyfikatorze 5 przechwytuje komunikaty uruchamiania agenta w usłudze Microsoft Entra w chmurze, dlatego filtrujemy je podczas analizowania plików dziennika.
Kliknij przycisk OK i posortuj widok wyników według kolumny Data i godzina .
Konfigurowanie dzienników aprowizacji centrum administracyjnego firmy Microsoft entra na potrzeby rozwiązywania problemów z usługą
Uruchom centrum administracyjne firmy Microsoft Entra i przejdź do sekcji Aprowizacja aplikacji aprowizacji produktu Workday.
Użyj przycisku Kolumny na stronie Dzienniki aprowizacji, aby wyświetlić tylko następujące kolumny w widoku (Data, Aktywność, Stan, Przyczyna stanu). Ta konfiguracja zapewnia skupienie się tylko na danych, które są istotne dla rozwiązywania problemów.
Użyj parametrów zapytania Target (Cel) i Date Range (Zakres dat), aby filtrować widok.
- Ustaw parametr zapytania Target na wartość "Identyfikator procesu roboczego" lub "Identyfikator pracownika" obiektu roboczego produktu Workday.
- Ustaw zakres dat na odpowiedni okres, w którym chcesz zbadać błędy lub problemy z aprowizowaniem.
Informacje o dziennikach operacji tworzenia konta użytkownika usługi AD
Po wykryciu nowego zatrudnienia w usłudze Workday (powiedzmy z identyfikatorem pracownika 21023), usługa aprowizacji firmy Microsoft próbuje utworzyć nowe konto użytkownika usługi AD dla procesu roboczego, a w procesie tworzy 4 rekordy dziennika aprowizacji, jak opisano poniżej:
Po kliknięciu dowolnego rekordu dziennika aprowizacji zostanie otwarta strona Szczegóły działania. Poniżej przedstawiono stronę Szczegóły działania dla każdego typu rekordu dziennika.
Rekord importu produktu Workday: ten rekord dziennika wyświetla informacje dotyczące procesu roboczego pobrane z produktu Workday. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z pobieraniem danych z produktu Workday. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport" JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field) SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
Rekord importu usługi AD: ten rekord dziennika wyświetla informacje o koncie pobranym z usługi AD. Ponieważ podczas początkowego tworzenia użytkownika nie ma konta usługi AD, przyczyna stanu działania wskazuje, że w usłudze Active Directory nie znaleziono konta z wartością atrybutu Pasujący identyfikator. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z pobieraniem danych z produktu Workday. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
Aby znaleźć rekordy dziennika agenta aprowizacji odpowiadające tej operacji importowania usługi AD, otwórz dzienniki Podgląd zdarzeń systemu Windows i użyj opcji menu Znajdź..., aby znaleźć wpisy dziennika zawierające wartość atrybutu Zgodne identyfikator/dołączanie właściwości (w tym przypadku 21023).
Wyszukaj wpis o identyfikatorze zdarzenia = 9, który udostępnia filtr wyszukiwania LDAP używany przez agenta do pobierania konta usługi AD. Możesz sprawdzić, czy jest to odpowiedni filtr wyszukiwania, aby pobrać unikatowe wpisy użytkownika.
Rekord, który natychmiast następuje po nim z identyfikatorem zdarzenia = 2 , przechwytuje wynik operacji wyszukiwania i jeśli zwrócił jakiekolwiek wyniki.
Rekord akcji reguły synchronizacji: ten rekord dziennika wyświetla wyniki reguł mapowania atrybutów i skonfigurowane filtry określania zakresu wraz z akcją aprowizacji wykonywaną w celu przetworzenia przychodzącego zdarzenia produktu Workday. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z akcją synchronizacji. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.
ErrorCode : None // Use the error code captured here to troubleshoot sync issues EventName : EntrySynchronizationAdd // Implies that the object is added JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
Jeśli występują problemy z wyrażeniami mapowania atrybutów lub przychodzące dane produktu Workday mają problemy (na przykład: wartość pusta lub null dla wymaganych atrybutów), na tym etapie zaobserwujesz błąd, podając szczegóły błędu.
Rekord eksportu usługi AD: ten rekord dziennika wyświetla wynik operacji tworzenia konta usługi AD wraz z wartościami atrybutów ustawionymi w procesie. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z operacją tworzenia konta. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól. W sekcji "Dodatkowe szczegóły" parametr "EventName" jest ustawiony na wartość "EntryExportAdd", właściwość "JoiningProperty" jest ustawiona na wartość atrybutu Pasującego identyfikatora, właściwość "SourceAnchor" jest ustawiona na wartość Elementu WorkdayID (WID) skojarzonego z rekordem, a właściwość "TargetAnchor" jest ustawiona na wartość atrybutu "ObjectGuid" nowo utworzonego użytkownika.
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues EventName : EntryExportAdd // Implies that object is created JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
Aby znaleźć rekordy dziennika agenta aprowizacji odpowiadające tej operacji eksportowania usługi AD, otwórz dzienniki Podgląd zdarzeń systemu Windows i użyj opcji menu Znajdź..., aby znaleźć wpisy dziennika zawierające wartość atrybutu Zgodne identyfikator/dołączanie właściwości (w tym przypadku 21023).
Poszukaj rekordu HTTP POST odpowiadającego znacznikowi czasu operacji eksportowania z identyfikatorem zdarzenia = 2. Ten rekord zawiera wartości atrybutów wysyłane przez usługę aprowizacji do agenta aprowizacji.
Bezpośrednio po powyższym zdarzeniu powinno istnieć inne zdarzenie, które przechwytuje odpowiedź operacji tworzenia konta usługi AD. To zdarzenie zwraca nowy obiektGuid utworzony w usłudze AD i jest ustawiony jako atrybut TargetAnchor w usłudze aprowizacji.
Informacje o dziennikach operacji aktualizacji menedżera
Atrybut menedżera jest atrybutem referencyjnym w usłudze AD. Usługa aprowizacji nie ustawia atrybutu menedżera w ramach operacji tworzenia użytkownika. Zamiast tego atrybut menedżera jest ustawiany jako część operacji aktualizacji po utworzeniu konta usługi AD dla użytkownika. Rozwijając powyższy przykład, załóżmy, że nowy pracownik o identyfikatorze pracownika "21451" jest aktywowany w usłudze Workday, a nowy pracownik (21023) ma już konto usługi AD. W tym scenariuszu wyszukiwanie dzienników aprowizacji dla użytkownika 21451 powoduje wyświetlenie 5 wpisów.
Pierwsze 4 rekordy są podobne do tych, które poznaliśmy w ramach operacji tworzenia użytkownika. 5. rekord jest eksportem skojarzonym z aktualizacją atrybutów menedżera. Rekord dziennika wyświetla wynik operacji aktualizacji menedżera kont usługi AD, która jest wykonywana przy użyciu atrybutu objectGuid menedżera.
// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023
// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451
Rozwiązywanie często napotykanych błędów
W tej sekcji opisano często występujące błędy związane z aprowizowaniem użytkowników produktu Workday i sposoby ich rozwiązywania. Błędy są pogrupowane w następujący sposób:
- Błędy agenta aprowizacji
- Błędy łączności
- Błędy tworzenia konta użytkownika usługi AD
- Błędy aktualizacji konta użytkownika usługi AD
Błędy agenta aprowizacji
# | Scenariusz błędu | Prawdopodobne przyczyny | Zalecane rozwiązanie |
---|---|---|---|
1. | Błąd podczas instalowania agenta aprowizacji z komunikatem o błędzie: Nie można uruchomić usługi "Microsoft Entra Connect Provisioning Agent" (AADConnectProvisioningAgent). Sprawdź, czy masz wystarczające uprawnienia do uruchomienia systemu. | Ten błąd jest zwykle wyświetlany, jeśli próbujesz zainstalować agenta aprowizacji na kontrolerze domeny i zasady grupy uniemożliwiają uruchomienie usługi. Jest on również widoczny, jeśli masz uruchomioną wcześniejszą wersję agenta i nie odinstalowaliśmy go przed rozpoczęciem nowej instalacji. | Zainstaluj agenta aprowizacji na serwerze spoza kontrolera domeny. Przed zainstalowaniem nowego agenta upewnij się, że poprzednie wersje agenta zostały odinstalowane. |
2. | Usługa systemu Windows "Microsoft Entra Connect Provisioning Agent" jest w stanie Uruchamiania i nie przełącza się na stan Uruchomiony . | W ramach instalacji kreator agenta tworzy konto lokalne (NT Service\AADConnectProvisioningAgent) na serwerze i jest to konto logowania używane do uruchamiania usługi. Jeśli zasady zabezpieczeń na serwerze z systemem Windows uniemożliwiają uruchamianie usług przez konta lokalne, wystąpi ten błąd. | Otwórz konsolę Usługi. Kliknij prawym przyciskiem myszy usługę systemu Windows "Microsoft Entra Connect Provisioning Agent" i na karcie logowania określ konto administratora domeny, aby uruchomić usługę. Należy ponownie uruchomić usługę. |
3. | Podczas konfigurowania agenta aprowizacji z domeną usługi AD w kroku Łączenie usługi Active Directory kreator długo próbuje załadować schemat usługi AD i ostatecznie upłynął limit czasu. | Ten błąd jest zazwyczaj wyświetlany, jeśli kreator nie może skontaktować się z serwerem kontrolera domeny usługi AD ze względu na problemy z zaporą. | Na ekranie Kreatora łączenia usługi Active Directory, podając poświadczenia dla domeny usługi AD, istnieje opcja Wybierz priorytet kontrolera domeny. Użyj tej opcji, aby wybrać kontroler domeny, który znajduje się w tej samej lokacji co serwer agenta i upewnić się, że nie ma reguł zapory blokujących komunikację. |
Błędy łączności
Jeśli usługa aprowizacji nie może nawiązać połączenia z usługą Workday lub Active Directory, może to spowodować przejście aprowizacji do stanu kwarantanny. Skorzystaj z poniższej tabeli, aby rozwiązać problemy z łącznością.
# | Scenariusz błędu | Prawdopodobne przyczyny | Zalecane rozwiązanie |
---|---|---|---|
1. | Po kliknięciu pozycji Testuj połączenie zostanie wyświetlony komunikat o błędzie: Wystąpił błąd podczas nawiązywania połączenia z usługą Active Directory. Upewnij się, że lokalny agent aprowizacji jest uruchomiony i został skonfigurowany z poprawną domeną usługi Active Directory. | Ten błąd jest zwykle wyświetlany, jeśli agent aprowizacji nie jest uruchomiony lub istnieje zapora blokująca komunikację między identyfikatorem Entra firmy Microsoft i agentem aprowizacji. Ten błąd może również wystąpić, jeśli domena nie jest skonfigurowana w Kreatorze agenta. | Otwórz konsolę Usług na serwerze z systemem Windows, aby potwierdzić, że agent jest uruchomiony. Otwórz kreatora agenta aprowizacji i upewnij się, że właściwa domena jest zarejestrowana w agencie. |
2. | Zadanie aprowizacji przechodzi w stan kwarantanny w weekendy (Pt-Sat) i otrzymujemy powiadomienie e-mail, że wystąpił błąd synchronizacji. | Częstą przyczyną występowania tego błędu są planowane przestoje produktu Workday. Jeśli używasz dzierżawy implementacji produktu Workday, pamiętaj, że usługa Workday ma zaplanowany czas przestoju dla dzierżaw implementacji w weekendy (zwykle od piątkowego wieczoru do sobotniego poranka) i w tym okresie aplikacje aprowizacji produktu Workday mogą przejść do stanu kwarantanny, ponieważ nie jest w stanie nawiązać połączenia z usługą Workday. Normalny stan zostaje przywrócony po ponownym przejściu w tryb online dzierżawy implementacji produktu Workday. W rzadkich przypadkach ten błąd może być także wyświetlany, jeśli zmieniło się hasło użytkownika systemu integracji z powodu odświeżenia dzierżawy lub jeśli konto zostało zablokowane bądź wygasło. | Zapytaj administratora produktu Workday lub partnera integracji o czas planowanych przestojów produktu Workday, aby wiedzieć, które komunikaty o alertach można zignorować, i móc potwierdzić dostępność wystąpienia produktu Workday po jego ponownym przejściu w tryb online. |
Błędy tworzenia konta użytkownika usługi AD
# | Scenariusz błędu | Prawdopodobne przyczyny | Zalecane rozwiązanie |
---|---|---|---|
1. | Niepowodzenia operacji eksportowania w dzienniku aprowizacji z komunikatem Błąd: OperationsError-SvcErr: Wystąpił błąd operacji. Nie skonfigurowano żadnego odwołania o najwyższej jakości dla usługi katalogowej. W związku z tym usługa katalogowa nie może wydać odwołań do obiektów spoza tego lasu. | Ten błąd jest zwykle wyświetlany, jeśli jednostka organizacyjna kontenera usługi Active Directory nie jest poprawnie ustawiona lub jeśli występują problemy z mapowaniem wyrażeń używanym dla elementu parentDistinguishedName. | Sprawdź parametr jednostki organizacyjnej kontenera usługi Active Directory dla literówek. Jeśli używasz elementu parentDistinguishedName w mapowaniu atrybutów, upewnij się, że zawsze ocenia znany kontener w domenie usługi AD. Sprawdź zdarzenie Eksportuj w dziennikach aprowizacji, aby wyświetlić wygenerowaną wartość. |
2. | Niepowodzenia operacji eksportowania w dzienniku aprowizacji z kodem błędu: SystemForCrossDomainIdentityManagementBadResponse i komunikat Błąd: ConstraintViolation-AtrErr: Wartość w żądaniu jest nieprawidłowa. Wartość atrybutu nie mieściła się w dopuszczalnym zakresie wartości. \nSzczegóły błędu: CONSTRAINT_ATT_TYPE — firma. | Chociaż ten błąd jest specyficzny dla atrybutu firmy , może zostać wyświetlony ten błąd dla innych atrybutów, takich jak CN , jak również. Ten błąd występuje z powodu ograniczenia schematu wymuszonego przez usługę AD. Domyślnie atrybuty, takie jak firma i CN w usłudze AD, mają górny limit 64 znaków. Jeśli wartość pochodząca z produktu Workday jest większa niż 64 znaki, zostanie wyświetlony ten komunikat o błędzie. | Sprawdź zdarzenie Eksportuj w dziennikach aprowizacji, aby wyświetlić wartość atrybutu zgłoszonego w komunikacie o błędzie. Rozważ obcięcie wartości pochodzącej z produktu Workday przy użyciu funkcji Mid lub zmianę mapowań na atrybut usługi AD, który nie ma podobnych ograniczeń długości. |
Błędy aktualizacji konta użytkownika usługi AD
Podczas procesu aktualizacji konta użytkownika usługi AD usługa aprowizacji odczytuje informacje zarówno z produktu Workday, jak i usługi AD, uruchamia reguły mapowania atrybutów i określa, czy zmiana ma obowiązywać. Odpowiednio jest wyzwalane zdarzenie aktualizacji. Jeśli którykolwiek z tych kroków napotka błąd, jest rejestrowany w dziennikach aprowizacji. Skorzystaj z poniższej tabeli, aby rozwiązać typowe błędy aktualizacji.
# | Scenariusz błędu | Prawdopodobne przyczyny | Zalecane rozwiązanie |
---|---|---|---|
1. | Błędy akcji reguły synchronizacji w dzienniku aprowizacji z komunikatem EventName = EntrySynchronizationError i ErrorCode = EndpointUnavailable. | Ten błąd jest wyświetlany, jeśli usługa aprowizacji nie może pobrać danych profilu użytkownika z usługi Active Directory z powodu błędu przetwarzania napotkanego przez lokalnego agenta aprowizacji. | Sprawdź dzienniki Podgląd zdarzeń agenta aprowizacji pod kątem zdarzeń błędów, które wskazują problemy z operacją odczytu (filtruj według identyfikatora zdarzenia nr 2). |
2. | Atrybut menedżera w usłudze AD nie jest aktualizowany dla niektórych użytkowników w usłudze AD. | Najbardziej prawdopodobną przyczyną tego błędu jest użycie reguł określania zakresu, a menedżer użytkownika nie jest częścią zakresu. Ten problem może również wystąpić, jeśli atrybut identyfikatora zgodnego menedżera (np. EmployeeID) nie zostanie znaleziony w docelowej domenie usługi AD lub nie zostanie ustawiony na poprawną wartość. | Przejrzyj filtr określania zakresu i dodaj użytkownika menedżera w zakresie. Sprawdź profil menedżera w usłudze AD, aby upewnić się, że istnieje wartość odpowiedniego atrybutu identyfikatora. |
Zarządzanie konfiguracją
W tej sekcji opisano sposób dalszego rozszerzania, dostosowywania i zarządzania konfiguracją aprowizacji użytkowników opartych na usłudze Workday. Omówiono w nim następujące tematy:
- Dostosowywanie listy atrybutów użytkownika produktu Workday
- Eksportowanie i importowanie konfiguracji
Dostosowywanie listy atrybutów użytkownika produktu Workday
Aplikacje aprowizacji produktu Workday dla usług Active Directory i Microsoft Entra ID zawierają domyślną listę atrybutów użytkownika produktu Workday, z których można wybrać. Jednak te listy nie są kompleksowe. Usługa Workday obsługuje wiele setek możliwych atrybutów użytkownika, które mogą być standardowe lub unikatowe dla dzierżawy produktu Workday.
Usługa aprowizacji firmy Microsoft obsługuje możliwość dostosowywania listy lub atrybutu Workday w celu uwzględnienia wszystkich atrybutów uwidocznionych w Get_Workers operacji interfejsu API zasobów ludzkich.
Aby to zmienić, należy użyć programu Workday Studio , aby wyodrębnić wyrażenia XPath reprezentujące atrybuty, których chcesz użyć, a następnie dodać je do konfiguracji aprowizacji przy użyciu zaawansowanego edytora atrybutów.
Aby pobrać wyrażenie XPath dla atrybutu użytkownika produktu Workday:
Pobierz i zainstaluj program Workday Studio. Aby uzyskać dostęp do instalatora, musisz mieć konto społeczności produktu Workday.
Pobierz plik workday Human_Resources WSDL specyficzny dla wersji interfejsu API WWS, która ma być używana z katalogu usług sieci Web Workday
Uruchom program Workday Studio.
Na pasku poleceń wybierz opcję Testowa usługa internetowa produktu Workday > w testerze .
Wybierz pozycję Zewnętrzne i wybierz Human_Resources plik WSDL pobrany w kroku 2.
W polu Lokalizacja ustaw wartość
https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources
, ale zastąp ciąg "IMPL-CC" rzeczywistym typem wystąpienia i wartością "TENANT" rzeczywistą nazwą dzierżawy.Ustaw operację na Get_Workers
Kliknij mały link konfiguracji poniżej okienka Żądanie/odpowiedź, aby ustawić poświadczenia produktu Workday. Zaznacz pozycję Uwierzytelnianie, a następnie wprowadź nazwę użytkownika i hasło dla konta systemu integracji produktu Workday. Pamiętaj, aby sformatować nazwę użytkownika jako name@tenant, a następnie pozostaw wybraną opcję Nazwa użytkownika Zabezpieczeń WSToken .
Wybierz przycisk OK.
W okienku Żądanie wklej poniższy kod XML. Ustaw Employee_ID identyfikator pracownika rzeczywistego użytkownika w dzierżawie produktu Workday. Ustaw wartość wd:version na wersję usługi WWS, która ma być używana. Wybierz użytkownika z wypełnionym atrybutem, który chcesz wyodrębnić.
<?xml version="1.0" encoding="UTF-8"?> <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema"> <env:Body> <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1"> <wd:Request_References wd:Skip_Non_Existing_Instances="true"> <wd:Worker_Reference> <wd:ID wd:type="Employee_ID">21008</wd:ID> </wd:Worker_Reference> </wd:Request_References> <wd:Response_Group> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Personal_Information>true</wd:Include_Personal_Information> <wd:Include_Employment_Information>true</wd:Include_Employment_Information> <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data> <wd:Include_Organizations>true</wd:Include_Organizations> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data> <wd:Include_Photo>true</wd:Include_Photo> <wd:Include_User_Account>true</wd:Include_User_Account> <wd:Include_Roles>true</wd:Include_Roles> </wd:Response_Group> </wd:Get_Workers_Request> </env:Body> </env:Envelope>
Kliknij pozycję Wyślij żądanie (zielona strzałka), aby wykonać polecenie. W przypadku powodzenia odpowiedź powinna pojawić się w okienku Odpowiedź . Sprawdź odpowiedź, aby upewnić się, że zawiera on dane wprowadzonego identyfikatora użytkownika, a nie błąd.
Jeśli operacja powiedzie się, skopiuj kod XML z okienka Odpowiedź i zapisz go jako plik XML.
Na pasku poleceń programu Workday Studio wybierz pozycję Plik > otwórz plik... i otwórz zapisany plik XML. Ta akcja spowoduje otwarcie pliku w edytorze XML programu Workday Studio.
W drzewie plików przejdź przez /env: Koperta > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker , aby znaleźć dane użytkownika.
W obszarze wd: Worker (Proces roboczy) znajdź atrybut, który chcesz dodać, i wybierz go.
Skopiuj wyrażenie XPath dla wybranego atrybutu z pola Ścieżka dokumentu.
Usuń prefiks /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ z skopiowanego wyrażenia.
Jeśli ostatni element w skopiowanym wyrażeniu jest węzłem (na przykład: "/wd: Birth_Date"), dołącz /text() na końcu wyrażenia. Nie jest to konieczne, jeśli ostatni element jest atrybutem (na przykład: "/@wd: type").
Wynik powinien wyglądać mniej więcej tak:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
. Ta wartość jest tym, co skopiujesz i wprowadzisz w centrum administracyjnym firmy Microsoft Entra.
Aby dodać niestandardowy atrybut użytkownika produktu Workday do konfiguracji aprowizacji:
Uruchom centrum administracyjne firmy Microsoft Entra i przejdź do sekcji Aprowizacja aplikacji aprowizacji produktu Workday, zgodnie z opisem we wcześniejszej części tego samouczka.
Ustaw wartość Stan aprowizacji na Wył., a następnie wybierz pozycję Zapisz. Ten krok pomaga zapewnić, że zmiany zostaną zastosowane tylko wtedy, gdy wszystko będzie gotowe.
W obszarze Mapowania wybierz pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory (lub Synchronizuj procesy robocze produktu Workday z identyfikatorem Entra firmy Microsoft).
Przewiń w dół następnego ekranu i wybierz pozycję Pokaż opcje zaawansowane.
Wybierz pozycję Edytuj listę atrybutów dla produktu Workday.
Przewiń do dołu listy atrybutów, aby wyświetlić pola wejściowe.
W polu Nazwa wprowadź nazwę wyświetlaną atrybutu.
W polu Typ wybierz typ, który odpowiednio odpowiada atrybutowi (ciąg jest najczęściej używany).
W polu Wyrażenie interfejsu API wprowadź wyrażenie XPath skopiowane z programu Workday Studio. Przykład:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Wybierz pozycję Dodaj atrybut.
Wybierz pozycję Zapisz powyżej, a następnie pozycję Tak w oknie dialogowym. Zamknij ekran Mapowanie atrybutów, jeśli nadal jest otwarty.
Po powrocie do głównej karty Aprowizacja wybierz ponownie pozycję Synchronizuj procesy robocze produktu Workday z lokalną usługą Active Directory (lub Synchronizuj procesy robocze z identyfikatorem Entra firmy Microsoft).
Wybierz pozycję Dodaj nowe mapowanie.
Nowy atrybut powinien być teraz wyświetlany na liście atrybutów źródłowych.
Dodaj mapowanie nowego atrybutu zgodnie z potrzebami.
Po zakończeniu pamiętaj, aby ustawić stan aprowizacji z powrotem na Włączone i zapisz.
Eksportowanie i importowanie konfiguracji
Zapoznaj się z artykułem Eksportowanie i importowanie konfiguracji aprowizacji
Zarządzanie danymi osobowymi
Rozwiązanie aprowizacji produktu Workday dla usługi Active Directory wymaga zainstalowania agenta aprowizacji na lokalnym serwerze z systemem Windows, a ten agent tworzy dzienniki w dzienniku zdarzeń systemu Windows, które mogą zawierać dane osobowe w zależności od mapowań atrybutów produktu Workday do usługi AD. Aby zapewnić zgodność z zobowiązaniami dotyczącymi prywatności użytkowników, możesz upewnić się, że żadne dane nie są przechowywane w dziennikach zdarzeń po upływie 48 godzin, konfigurując zaplanowane zadanie systemu Windows w celu wyczyszczenia dziennika zdarzeń.
Usługa microsoft Entra provisioning należy do kategorii podmiotu przetwarzającego dane klasyfikacji RODO. Jako potok przetwarzania danych usługa udostępnia usługi przetwarzania danych kluczowym partnerom i konsumentom końcowym. Usługa aprowizacji firmy Microsoft nie generuje danych użytkownika i nie ma niezależnej kontroli nad tym, jakie dane osobowe są zbierane i jak są używane. Pobieranie, agregacja, analiza i raportowanie danych w usłudze aprowizacji firmy Microsoft są oparte na istniejących danych przedsiębiorstwa.
Uwaga
Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zapoznaj się ze wskazówkami firmy Microsoft dotyczącymi żądań podmiotów danych systemu Windows dotyczących witryny RODO . Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.
W odniesieniu do przechowywania danych usługa aprowizacji firmy Microsoft nie generuje raportów, wykonywania analiz ani zapewnia szczegółowych informacji poza 30 dni. W związku z tym usługa aprowizacji firmy Microsoft nie przechowuje, przetwarza ani nie przechowuje żadnych danych poza 30 dni. Ten projekt jest zgodny z przepisami RODO, przepisami dotyczącymi zgodności z prywatnością firmy Microsoft i zasadami przechowywania danych firmy Microsoft Entra.
Następne kroki
- Dowiedz się więcej o scenariuszach integracji usługi Microsoft Entra ID i Workday oraz wywołaniach usług internetowych
- Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji
- Dowiedz się, jak skonfigurować logowanie jednokrotne między aplikacją Workday i identyfikatorem Microsoft Entra ID
- Dowiedz się, jak skonfigurować zapisywanie zwrotne produktu Workday
- Dowiedz się, jak zarządzać konfiguracjami aprowizacji przy użyciu interfejsów API programu Microsoft Graph