Compartilhar via


Configurar o provisionamento de usuário do Workday para o Microsoft Entra

O objetivo deste artigo é mostrar as etapas que você precisa executar para provisionar dados de trabalho do Workday para a ID do Microsoft Entra.

Observação

Use este artigo se os usuários que você deseja provisionar do Workday forem usuários somente na nuvem que não precisam de uma conta do AD local. Se os usuários exigirem apenas a conta do AD local ou a conta do AD e do Microsoft Entra, consulte o artigo sobre como configurar o provisionamento de usuário do Workday para o Active Directory .

O vídeo a seguir fornece uma rápida visão geral das etapas envolvidas ao planejar sua integração de provisionamento com o Workday.

Visão geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se à API de Recursos Humanos do Workday para provisionar contas de usuário. Os fluxos de trabalho de provisionamento de usuários do Workday com suporte pelo serviço de provisionamento de usuários Microsoft Entra habilitam a automação dos seguintes cenários de recursos humanos e gerenciamento do ciclo de vida da identidade:

Para quem é mais recomendada essa solução de provisionamento de usuário?

Essa solução de provisionamento de usuários do Workday para o Microsoft Entra é o pacote ideal para:

  • Organizações que desejam uma solução predefinida, baseados em nuvem para o provisionamento de usuário do Workday

  • Organizações que exigem o provisionamento direto de usuários do Workday para o Microsoft Entra ID

  • Organizações que precisam que os usuários sejam provisionados usando dados obtidos do Workday

  • Organizações que usam o Microsoft 365 para email

Arquitetura da solução

Esta seção descreve a arquitetura da solução de provisionamento do usuário de ponta a ponta para usuários somente de nuvem. Há dois fluxos relacionados:

  • Fluxo de dados de RH autoritativo – do Workday para o Microsoft Entra ID: Neste fluxo de eventos de trabalho (como Novas Contratações, Transferências, Terminações) primeiro ocorrem no Workday e, em seguida, os dados do evento fluem para a ID do Microsoft Entra. Dependendo do evento, ele pode levar a operações de criação/atualização/habilitação/desabilitação no Microsoft Entra ID.

  • Fluxo de gravação reversa – do Active Directory local para o Workday: Após a criação da conta ser concluída no Active Directory, ela é sincronizada com o Microsoft Entra ID por meio do Microsoft Entra Connect e informações como email, nome de usuário e número de telefone podem ser gravadas novamente no Workday.

    Diagrama conceitual do provisionamento do Workday

Fluxo de dados do usuário de ponta a ponta

  1. A equipe de RH realiza transações de trabalho (acréscimos/movimentações/saídas ou novas contratações/transferências/desligamentos) na Central de Funcionários do Workday
  2. O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades do Workday EC e identifica as alterações que precisam ser processadas para sincronização com o Active Directory local.
  3. O serviço de provisionamento do Microsoft Entra determina a alteração e invoca a operação de criar/atualizar/habilitar/desabilitar para o usuário no Microsoft Entra ID.
  4. Se o aplicativo Workday Writeback estiver configurado, ele recupera atributos como email, nome de usuário e número de telefone do Microsoft Entra ID.
  5. O serviço de provisionamento do Microsoft Entra define o email, nome de usuário e número de telefone no Workday.

Planejamento da implantação

A configuração do provisionamento de usuários orientado pelo Cloud HR do Workday para o Microsoft Entra ID exige um planejamento considerável que abrange diferentes aspectos, como:

  • Determinar a ID de correspondência
  • Mapeamento de atributos
  • Transformação de atributos
  • Filtros de escopo

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes sobre esses tópicos.

Configurar o usuário do sistema de integração no Workday

Consulte a seção configurar o usuário do sistema de integração para criar uma conta de usuário do sistema de integração do Workday com permissões para recuperar dados de trabalho.

Configurar o provisionamento de usuários do Workday para o Microsoft Entra ID

As seções a seguir descrevem as etapas para configurar o provisionamento de usuários do Workday para o Microsoft Entra ID para implantações somente na nuvem.

Parte 1: adicionando o aplicativo conector de provisionamento Microsoft Entra e criando a conexão com o Workday

Para configurar o provisionamento do Workday para o Microsoft Entra para usuários somente na nuvem:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.

  3. Pesquise o provisionamento de usuário do Workday para o Microsoft Entra e adicione esse aplicativo por meio da galeria.

  4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for mostrada, selecione Provisionamento.

  5. Altere o modode provisionamento para Automático.

  6. Conclua a seção Credenciais de Administrador da seguinte maneira:

    • Nome de usuário do Workday – Insira o nome de usuário da conta do sistema de integração do Workday, com o nome de domínio do locatário acrescentado. Ele deve ser semelhante a: username@contoso4

    • Senha do workday – Insira a senha da conta do sistema de integração do Workday

    • URL da API dos Serviços Web do Workday – Insira a URL para o endpoint dos serviços Web do Workday para seu inquilino. A URL determina a versão da API do Workday Web Services usada pelo conector.

      Formato de URL Versão usada da API do WWS Alterações necessárias em XPATH
      https://####.workday.com/ccx/service/tenantName v21.1 Não
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Não
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Sim

      Observação

      Se nenhuma informação de versão for especificada na URL, o aplicativo usará o WWS (Workday Web Services) v21.1 e nenhuma alteração será necessária para as expressões padrão da API XPATH enviadas com o aplicativo. Para usar uma versão específica da API do WWS, especifique o número de versão na URL
      Exemplo: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Se você estiver usando uma API WWS v30.0+, antes de ativar o trabalho de provisionamento, atualize as expressões da API XPATH em Mapeamento de Atributos –> Opções Avançadas –> Editar lista de atributos do Workday , referindo-se à seção Gerenciando sua configuração e referência de atributo do Workday.

    • Email de notificação – Insira seu endereço de email e marque a caixa de seleção "enviar email se ocorrer falha".

    • Clique no botão Testar Conexão .

    • Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique novamente se o URL do Workday e as credenciais são válidas no Workday.

Parte 2: configurar os mapeamentos de atributos do Workday e do Microsoft Entra

Nesta seção, você configurará como os dados do usuário fluem do Workday para o Microsoft Entra ID para usuários somente na nuvem.

  1. Na guia Provisionamento em Mapeamentos, clique em Sincronizar Trabalhadores com o Microsoft Entra ID.

  2. No campo Escopo do Objeto de Origem , você pode selecionar quais conjuntos de usuários no Workday devem estar no escopo do provisionamento para a ID do Microsoft Entra, definindo um conjunto de filtros baseados em atributo. O escopo padrão é “todos os usuários no Workday”. Filtros de exemplo:

    • Exemplo: escopo para usuários com IDs de Trabalho entre 1000000 e 2000000

      • Atributo: WorkerID

      • Operador: Coincidir EXREG

      • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Exemplo: Apenas trabalhadores contingentes e funcionários não regulares

      • Atributo: ContingentID

      • Operador: IS NOT NULL

  3. No campo Ações de Objeto de Destino , você pode filtrar globalmente quais ações são executadas na ID do Microsoft Entra. Criar e atualizar são mais comuns.

  4. Na seção Mapeamentos de atributos , você pode definir como os atributos individuais do Workday são mapeados para atributos do Active Directory.

  5. Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual dá suporte para essas propriedades:

    • Tipo de mapeamento

      • Direct – Grava o valor do atributo Workday no atributo AD, sem alterações

      • Constante – Gravar um valor de cadeia de caracteres estático e constante no atributo AD

      • Expressão – Permite que você escreva um valor personalizado no atributo AD, com base em um ou mais atributos do Workday. Para obter mais informações, consulte este artigo sobre expressões.

    • Atributo de origem – O atributo de usuário do Workday. Se o atributo que você está procurando não estiver presente, consulte Personalizando a lista de atributos de usuário do Workday.

    • Valor padrão – opcional. Se o atributo de origem tiver um valor vazio, o mapeamento irá gravar esse valor. A configuração mais comum é deixar em branco.

    • Atributo de destino – o atributo de usuário na ID do Microsoft Entra.

    • Corresponder objetos usando esse atributo – se esse atributo deve ou não ser usado para identificar exclusivamente os usuários entre o Workday e a ID do Microsoft Entra. Esse valor é normalmente definido no campo ID do Trabalho para o Workday, que normalmente é mapeado para o atributo ID do Funcionário (novo) ou um atributo de extensão no Microsoft Entra ID.

    • Precedência correspondente – vários atributos correspondentes podem ser definidos. Quando houver vários, os atributos serão avaliados na ordem definida por esse campo. Assim que uma correspondência for encontrada, mais nenhum atributo correspondente será avaliado.

    • Aplicar este mapeamento

      • Always – Aplicar esse mapeamento em ações de criação e atualização do usuário

      • Somente durante a criação – Aplicar esse mapeamento somente em ações de criação do usuário

  6. Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Attribute-Mapping.

Habilitar e iniciar o provisionamento de usuário

Depois que as configurações do aplicativo de provisionamento do Workday tiverem sido concluídas, você pode ativar o serviço de provisionamento.

Dica

Por padrão, quando você ativa o serviço de provisionamento, ele iniciará as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento ou Workday, o trabalho de provisionamento pode falhar e prosseguir para o estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro escopo do objeto de origem e testar os mapeamentos de atributo com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  1. Na guia Provisionamento , defina o Status de Provisionamento como Ativado.

  2. Clique em Salvar.

  3. Essa operação inicia a sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Workday. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.

  4. A qualquer momento, verifique a guia Provisionamento no Centro de administração do Microsoft Entra para ver quais ações o serviço de provisionamento executou. Os logs de auditoria listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como, por exemplo, quais usuários estão sendo lidos do Workday e, em seguida, adicionados ou atualizados ao Microsoft Entra ID.

  5. Depois que a sincronização inicial for concluída, ela gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

    Captura de tela da barra de progresso do provisionamento