Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O objetivo deste artigo é mostrar as etapas que você precisa executar para provisionar dados de trabalho do Workday para a ID do Microsoft Entra.
Observação
Use este artigo se os usuários que você deseja provisionar do Workday forem usuários somente na nuvem que não precisam de uma conta do AD local. Se os usuários exigirem apenas a conta do AD local ou a conta do AD e do Microsoft Entra, consulte o artigo sobre como configurar o provisionamento de usuário do Workday para o Active Directory .
O vídeo a seguir fornece uma rápida visão geral das etapas envolvidas ao planejar sua integração de provisionamento com o Workday.
Visão geral
O serviço de provisionamento de usuários do Microsoft Entra integra-se à API de Recursos Humanos do Workday para provisionar contas de usuário. Os fluxos de trabalho de provisionamento de usuários do Workday com suporte pelo serviço de provisionamento de usuários Microsoft Entra habilitam a automação dos seguintes cenários de recursos humanos e gerenciamento do ciclo de vida da identidade:
Contratação de novos funcionários – quando um novo funcionário é adicionado ao Workday, uma conta de usuário é criada automaticamente na ID do Microsoft Entra e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID, com write-back do endereço de email no Workday.
Atualizações de atributos e perfil de funcionário – quando um registro de funcionário é atualizado no Workday (como seu nome, título ou gerente), sua conta de usuário é atualizada automaticamente pela identidade do Microsoft Entra e, opcionalmente, pelo Microsoft 365 e outros aplicativos SaaS suportados pela identidade do Microsoft Entra.
Terminações de funcionários - Quando um funcionário é encerrado no Workday, sua conta de usuário é desabilitada automaticamente na ID do Microsoft Entra e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
Recontratação de funcionários – Quando um funcionário é recontratado no Workday, sua conta antiga pode ser automaticamente reativada ou reprovisionada (dependendo da sua preferência) para a ID do Microsoft Entra e, opcionalmente, para o Microsoft 365 e outros aplicativos SaaS compatíveis com a ID do Microsoft Entra.
Para quem é mais recomendada essa solução de provisionamento de usuário?
Essa solução de provisionamento de usuários do Workday para o Microsoft Entra é o pacote ideal para:
Organizações que desejam uma solução predefinida, baseados em nuvem para o provisionamento de usuário do Workday
Organizações que exigem o provisionamento direto de usuários do Workday para o Microsoft Entra ID
Organizações que precisam que os usuários sejam provisionados usando dados obtidos do Workday
Organizações que usam o Microsoft 365 para email
Arquitetura da solução
Esta seção descreve a arquitetura da solução de provisionamento do usuário de ponta a ponta para usuários somente de nuvem. Há dois fluxos relacionados:
Fluxo de dados de RH autoritativo – do Workday para o Microsoft Entra ID: Neste fluxo de eventos de trabalho (como Novas Contratações, Transferências, Terminações) primeiro ocorrem no Workday e, em seguida, os dados do evento fluem para a ID do Microsoft Entra. Dependendo do evento, ele pode levar a operações de criação/atualização/habilitação/desabilitação no Microsoft Entra ID.
Fluxo de gravação reversa – do Active Directory local para o Workday: Após a criação da conta ser concluída no Active Directory, ela é sincronizada com o Microsoft Entra ID por meio do Microsoft Entra Connect e informações como email, nome de usuário e número de telefone podem ser gravadas novamente no Workday.
Fluxo de dados do usuário de ponta a ponta
- A equipe de RH realiza transações de trabalho (acréscimos/movimentações/saídas ou novas contratações/transferências/desligamentos) na Central de Funcionários do Workday
- O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades do Workday EC e identifica as alterações que precisam ser processadas para sincronização com o Active Directory local.
- O serviço de provisionamento do Microsoft Entra determina a alteração e invoca a operação de criar/atualizar/habilitar/desabilitar para o usuário no Microsoft Entra ID.
- Se o aplicativo Workday Writeback estiver configurado, ele recupera atributos como email, nome de usuário e número de telefone do Microsoft Entra ID.
- O serviço de provisionamento do Microsoft Entra define o email, nome de usuário e número de telefone no Workday.
Planejamento da implantação
A configuração do provisionamento de usuários orientado pelo Cloud HR do Workday para o Microsoft Entra ID exige um planejamento considerável que abrange diferentes aspectos, como:
- Determinar a ID de correspondência
- Mapeamento de atributos
- Transformação de atributos
- Filtros de escopo
Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes sobre esses tópicos.
Configurar o usuário do sistema de integração no Workday
Consulte a seção configurar o usuário do sistema de integração para criar uma conta de usuário do sistema de integração do Workday com permissões para recuperar dados de trabalho.
Configurar o provisionamento de usuários do Workday para o Microsoft Entra ID
As seções a seguir descrevem as etapas para configurar o provisionamento de usuários do Workday para o Microsoft Entra ID para implantações somente na nuvem.
- Adicionando o conector de provisionamento do Microsoft Entra e criando a conexão com o Workday
- Configurar mapeamentos de atributos do Workday e do Microsoft Entra
- Habilitar e iniciar o provisionamento de usuário
Parte 1: adicionando o aplicativo conector de provisionamento Microsoft Entra e criando a conexão com o Workday
Para configurar o provisionamento do Workday para o Microsoft Entra para usuários somente na nuvem:
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
Pesquise o provisionamento de usuário do Workday para o Microsoft Entra e adicione esse aplicativo por meio da galeria.
Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for mostrada, selecione Provisionamento.
Altere o modode provisionamento para Automático.
Conclua a seção Credenciais de Administrador da seguinte maneira:
Nome de usuário do Workday – Insira o nome de usuário da conta do sistema de integração do Workday, com o nome de domínio do locatário acrescentado. Ele deve ser semelhante a: username@contoso4
Senha do workday – Insira a senha da conta do sistema de integração do Workday
URL da API dos Serviços Web do Workday – Insira a URL para o endpoint dos serviços Web do Workday para seu inquilino. A URL determina a versão da API do Workday Web Services usada pelo conector.
Formato de URL Versão usada da API do WWS Alterações necessárias em XPATH https://####.workday.com/ccx/service/tenantName v21.1 Não https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Não https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Sim Observação
Se nenhuma informação de versão for especificada na URL, o aplicativo usará o WWS (Workday Web Services) v21.1 e nenhuma alteração será necessária para as expressões padrão da API XPATH enviadas com o aplicativo. Para usar uma versão específica da API do WWS, especifique o número de versão na URL
Exemplo:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Se você estiver usando uma API WWS v30.0+, antes de ativar o trabalho de provisionamento, atualize as expressões da API XPATH em Mapeamento de Atributos –> Opções Avançadas –> Editar lista de atributos do Workday , referindo-se à seção Gerenciando sua configuração e referência de atributo do Workday.Email de notificação – Insira seu endereço de email e marque a caixa de seleção "enviar email se ocorrer falha".
Clique no botão Testar Conexão .
Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique novamente se o URL do Workday e as credenciais são válidas no Workday.
Parte 2: configurar os mapeamentos de atributos do Workday e do Microsoft Entra
Nesta seção, você configurará como os dados do usuário fluem do Workday para o Microsoft Entra ID para usuários somente na nuvem.
Na guia Provisionamento em Mapeamentos, clique em Sincronizar Trabalhadores com o Microsoft Entra ID.
No campo Escopo do Objeto de Origem , você pode selecionar quais conjuntos de usuários no Workday devem estar no escopo do provisionamento para a ID do Microsoft Entra, definindo um conjunto de filtros baseados em atributo. O escopo padrão é “todos os usuários no Workday”. Filtros de exemplo:
Exemplo: escopo para usuários com IDs de Trabalho entre 1000000 e 2000000
Atributo: WorkerID
Operador: Coincidir EXREG
Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Exemplo: Apenas trabalhadores contingentes e funcionários não regulares
Atributo: ContingentID
Operador: IS NOT NULL
No campo Ações de Objeto de Destino , você pode filtrar globalmente quais ações são executadas na ID do Microsoft Entra. Criar e atualizar são mais comuns.
Na seção Mapeamentos de atributos , você pode definir como os atributos individuais do Workday são mapeados para atributos do Active Directory.
Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual dá suporte para essas propriedades:
Tipo de mapeamento
Direct – Grava o valor do atributo Workday no atributo AD, sem alterações
Constante – Gravar um valor de cadeia de caracteres estático e constante no atributo AD
Expressão – Permite que você escreva um valor personalizado no atributo AD, com base em um ou mais atributos do Workday. Para obter mais informações, consulte este artigo sobre expressões.
Atributo de origem – O atributo de usuário do Workday. Se o atributo que você está procurando não estiver presente, consulte Personalizando a lista de atributos de usuário do Workday.
Valor padrão – opcional. Se o atributo de origem tiver um valor vazio, o mapeamento irá gravar esse valor. A configuração mais comum é deixar em branco.
Atributo de destino – o atributo de usuário na ID do Microsoft Entra.
Corresponder objetos usando esse atributo – se esse atributo deve ou não ser usado para identificar exclusivamente os usuários entre o Workday e a ID do Microsoft Entra. Esse valor é normalmente definido no campo ID do Trabalho para o Workday, que normalmente é mapeado para o atributo ID do Funcionário (novo) ou um atributo de extensão no Microsoft Entra ID.
Precedência correspondente – vários atributos correspondentes podem ser definidos. Quando houver vários, os atributos serão avaliados na ordem definida por esse campo. Assim que uma correspondência for encontrada, mais nenhum atributo correspondente será avaliado.
Aplicar este mapeamento
Always – Aplicar esse mapeamento em ações de criação e atualização do usuário
Somente durante a criação – Aplicar esse mapeamento somente em ações de criação do usuário
Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Attribute-Mapping.
Habilitar e iniciar o provisionamento de usuário
Depois que as configurações do aplicativo de provisionamento do Workday tiverem sido concluídas, você pode ativar o serviço de provisionamento.
Dica
Por padrão, quando você ativa o serviço de provisionamento, ele iniciará as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento ou Workday, o trabalho de provisionamento pode falhar e prosseguir para o estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro escopo do objeto de origem e testar os mapeamentos de atributo com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.
Na guia Provisionamento , defina o Status de Provisionamento como Ativado.
Clique em Salvar.
Essa operação inicia a sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Workday. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.
A qualquer momento, verifique a guia Provisionamento no Centro de administração do Microsoft Entra para ver quais ações o serviço de provisionamento executou. Os logs de auditoria listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como, por exemplo, quais usuários estão sendo lidos do Workday e, em seguida, adicionados ou atualizados ao Microsoft Entra ID.
Depois que a sincronização inicial for concluída, ela gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.
Conteúdo relacionado
- Saiba mais sobre Microsoft Entra ID e os cenários de integração do Workday e chamadas de Serviço Web
- Saiba mais sobre os Atributos Workday compatíveis para provisionamento de entrada
- Saiba como configurar o Write-back do Workday
- Saiba como revisar logs e obter relatórios sobre a atividade de provisionamento
- Saiba como configurar o logon único entre o Workday e o Microsoft Entra ID
- Saiba como exportar e importar suas configurações de provisionamento