Como o provisionamento do Microsoft Entra se integra ao Workday
O serviço de provisionamento de usuários Microsoft Entra integra-se ao Workday HCM para gerenciar o ciclo de vida da identidade dos usuários. O Microsoft Entra ID oferece três integrações pré-criadas:
- Provisionamento de usuário do Ative Directory local para dia útil
- Dia útil para provisionamento de usuários do Microsoft Entra
- Write-back de dia útil
Este artigo explica como a integração funciona e como você pode personalizar o comportamento de provisionamento para diferentes cenários de RH.
Estabelecendo conectividade
Restringindo o acesso da API do Workday aos pontos de extremidade do Microsoft Entra
O serviço de provisionamento Microsoft Entra usa autenticação básica para se conectar a pontos de extremidade da API de Serviços Web do Workday.
Para proteger ainda mais a conectividade entre o serviço de provisionamento Microsoft Entra e o Workday, você pode restringir o acesso para que o usuário designado do sistema de integração acesse apenas as APIs do Workday a partir dos intervalos de IP permitidos do Microsoft Entra. Envolva seu administrador do Workday para concluir a seguinte configuração em seu locatário do Workday.
- Transfira os intervalos de IP mais recentes para a nuvem pública do Azure.
- Abra o arquivo e procure a tag Microsoft Entra ID
- Copie todos os intervalos de endereços IP listados no elemento addressPrefixes e use o intervalo para criar sua lista de endereços IP.
- Inicie sessão no portal de administração do Workday.
- Aceda à tarefa Manter Intervalos de IP para criar um novo intervalo de IP para centros de dados do Azure. Especifique os intervalos IP (usando a notação CIDR) como uma lista separada por vírgula.
- Acesse a tarefa Gerenciar Políticas de Autenticação para criar uma nova política de autenticação. Na política de autenticação, use a lista de permissões de autenticação para especificar o intervalo de IP do Microsoft Entra e o grupo de segurança que tem acesso permitido a partir desse intervalo de IP. Guarde as alterações.
- Acesse a tarefa Ativar todas as alterações de política de autenticação pendentes para confirmar as alterações.
Limitando o acesso aos dados do trabalhador no Workday usando grupos de segurança restritos
As etapas padrão para configurar o usuário do sistema de integração do Workday concedem acesso para recuperar todos os usuários em seu locatário do Workday. Em determinados cenários de integração, convém limitar o acesso. Por exemplo, só retornam usuários em determinadas organizações de supervisão da Get_Workers chamada de API.
Você pode limitar o acesso trabalhando com o administrador do Workday e configurando grupos de segurança restritos do sistema de integração. Para obter mais informações sobre o Workday, consulte Comunidade Workday (acesso à comunidade Workday necessário para este artigo).
Essa estratégia de limitar o acesso usando ISSG restrito (Integration System Security Groups) é útil nos seguintes cenários:
- Cenário de distribuição em fases: você tem um locatário grande do Workday e planeja executar uma distribuição em fases do Workday para o provisionamento automatizado do Microsoft Entra ID. Nesse cenário, em vez de excluir usuários que não estão no escopo da fase atual com filtros de escopo do Microsoft Entra ID, recomendamos configurar o ISSG restrito para que apenas os trabalhadores no escopo fiquem visíveis para o Microsoft Entra ID.
- Cenário de vários trabalhos de provisionamento: você tem um locatário grande do Workday e vários domínios do AD, cada um suportando uma unidade/divisão/empresa de negócios diferente. Para dar suporte a essa topologia, você gostaria de executar vários trabalhos de provisionamento do Workday para o Microsoft Entra com cada trabalho provisionando um conjunto específico de trabalhadores. Nesse cenário, em vez de usar filtros de escopo do Microsoft Entra ID para excluir dados do trabalhador, recomendamos configurar o ISSG restrito para que apenas os dados de trabalho relevantes sejam visíveis para o Microsoft Entra ID.
Consulta de conexão de teste de dia útil
Para testar a conectividade com o Workday, o Microsoft Entra ID envia a seguinte solicitação Get_Workers Workday Web Services.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Como funciona a sincronização completa
A sincronização completa no contexto do provisionamento orientado por jornada de trabalho refere-se ao processo de buscar todas as identidades do Workday e determinar quais regras de provisionamento devem ser aplicadas a cada objeto de trabalho. A sincronização completa acontece quando você ativa o provisionamento pela primeira vez e também quando reinicia o provisionamento a partir do centro de administração do Microsoft Entra ou usando as APIs do Graph.
O Microsoft Entra ID envia a seguinte solicitação Get_Workers Workday Web Services para recuperar dados do trabalhador. A consulta procura no log de transações do Workday todas as entradas de trabalho datadas efetivas a partir do momento correspondente à execução da sincronização completa.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
O nó Response_Group é usado para especificar quais atributos de trabalhador buscar no Workday. Para obter uma descrição de cada sinalizador no nó Response_Group, consulte a documentação da API do Workday Get_Workers.
Determinados valores de sinalizador especificados no nó Response_Group são calculados com base nos atributos configurados no aplicativo de provisionamento Workday Microsoft Entra. Consulte a seção Entidades suportadas para obter os critérios usados para definir os valores do sinalizador.
A resposta Get_Workers do Workday para a consulta acima inclui o número de registros de trabalhadores e a contagem de páginas.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Para recuperar a próxima página do conjunto de resultados, a próxima consulta Get_Workers especifica o número da página como um parâmetro no Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
O serviço de provisionamento Microsoft Entra processa cada página e itera através de todos os trabalhadores efetivos durante a sincronização completa. Para cada entrada de trabalhador importada do Workday:
- A expressão XPATH é aplicada para recuperar valores de atributo do Workday.
- O mapeamento de atributos e as regras de correspondência são aplicados e
- O serviço determina qual operação executar no destino (Microsoft Entra ID / Ative Directory).
Quando o processamento estiver concluído, ele salvará o carimbo de data/hora associado ao início da sincronização completa como uma marca d'água. Essa marca d'água serve como ponto de partida para o ciclo de sincronização incremental.
Como funciona a sincronização incremental
Após a sincronização completa, o serviço de provisionamento do Microsoft Entra o mantém LastExecutionTimestamp e o usa para criar consultas delta para recuperar alterações incrementais. Durante a sincronização incremental, o Microsoft Entra ID envia os seguintes tipos de consultas para o Workday:
- Consulta de atualizações manuais
- Consulta de atualizações e rescisões com data efetiva
- Consulta de contratações com data futura
Consulta de atualizações manuais
Os Get_Workers a seguir solicitam consultas para atualizações manuais que aconteceram entre a última execução e o tempo de execução atual.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Consulta de atualizações e rescisões com data efetiva
Os Get_Workers a seguir solicitam consultas para atualizações efetivas que aconteceram entre a última execução e o tempo de execução atual.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Consulta de contratações com data futura
Se qualquer uma das consultas acima retornar uma contratação com data futura, a solicitação de Get_Workers a seguir será usada para buscar informações sobre uma nova contratação com data futura. O atributo WID da nova contratação é usado para realizar a pesquisa e a data efetiva é definida como a data e a hora da contratação.
Nota
As contratações com data futura no Workday têm o campo Ativo definido como "0" e ele muda para "1" na data de contratação. O conector por design consulta informações de contratação futura em vigor na data de contratação e é por isso que sempre obtém perfil de trabalhador de contratação futura com campo Ativo definido como "1". Isso permite que você configure o perfil do Microsoft Entra para futuras contratações com antecedência com todas as informações corretas pré-preenchidas. Se você quiser atrasar a ativação da conta Microsoft Entra para futuras contratações, use a função de transformação DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Recuperando atributos de dados do trabalhador
A API Get_Workers pode retornar diferentes conjuntos de dados associados a um trabalhador. Dependendo das expressões da API XPATH configuradas no esquema de provisionamento, o serviço de provisionamento do Microsoft Entra determina quais conjuntos de dados recuperar do Workday. Assim, as bandeiras de Response_Group são definidas na solicitação Get_Workers .
A tabela fornece orientação sobre a configuração de mapeamento a ser usada para recuperar um conjunto de dados específico.
| # | Entidade do Dia de Trabalho | Incluído por padrão | Padrão XPATH a ser especificado no mapeamento para buscar entidades não padrão |
|---|---|---|---|
| 1 | Personal Data |
Sim | wd:Worker_Data/wd:Personal_Data |
| 2 | Employment Data |
Sim | wd:Worker_Data/wd:Employment_Data |
| 3 | Additional Job Data |
Sim | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
| 4 | Organization Data |
Sim | wd:Worker_Data/wd:Organization_Data |
| 5 | Management Chain Data |
Sim | wd:Worker_Data/wd:Management_Chain_Data |
| 6 | Supervisory Organization |
Sim | SUPERVISORY |
| 7 | Company |
Sim | COMPANY |
| 8 | Business Unit |
Não | BUSINESS_UNIT |
| 9 | Business Unit Hierarchy |
Não | BUSINESS_UNIT_HIERARCHY |
| 10 | Company Hierarchy |
Não | COMPANY_HIERARCHY |
| 11 | Cost Center |
Não | COST_CENTER |
| 12 | Cost Center Hierarchy |
Não | COST_CENTER_HIERARCHY |
| 13 | Fund |
Não | FUND |
| 14 | Fund Hierarchy |
Não | FUND_HIERARCHY |
| 15 | Gift |
Não | GIFT |
| 16 | Gift Hierarchy |
Não | GIFT_HIERARCHY |
| 17 | Grant |
Não | GRANT |
| 18 | Grant Hierarchy |
Não | GRANT_HIERARCHY |
| 19 | Business Site Hierarchy |
Não | BUSINESS_SITE_HIERARCHY |
| 20 | Matrix Organization |
Não | MATRIX |
| 21 | Pay Group |
Não | PAY_GROUP |
| 22 | Programs |
Não | PROGRAMS |
| 23 | Program Hierarchy |
Não | PROGRAM_HIERARCHY |
| 24 | Region |
Não | REGION_HIERARCHY |
| 25 | Location Hierarchy |
Não | LOCATION_HIERARCHY |
| 26 | Account Provisioning Data |
Não | wd:Worker_Data/wd:Account_Provisioning_Data |
| 27 | Background Check Data |
Não | wd:Worker_Data/wd:Background_Check_Data |
| 28 | Benefit Eligibility Data |
Não | wd:Worker_Data/wd:Benefit_Eligibility_Data |
| 29 | Benefit Enrollment Data |
Não | wd:Worker_Data/wd:Benefit_Enrollment_Data |
| 30 | Career Data |
Não | wd:Worker_Data/wd:Career_Data |
| 31 | Compensation Data |
Não | wd:Worker_Data/wd:Compensation_Data |
| 32 | Contingent Worker Tax Authority Data |
Não | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
| 33 | Development Item Data |
Não | wd:Worker_Data/wd:Development_Item_Data |
| 34 | Employee Contracts Data |
Não | wd:Worker_Data/wd:Employee_Contracts_Data |
| 35 | Employee Review Data |
Não | wd:Worker_Data/wd:Employee_Review_Data |
| 36 | Feedback Received Data |
Não | wd:Worker_Data/wd:Feedback_Received_Data |
| 37 | Worker Goal Data |
Não | wd:Worker_Data/wd:Worker_Goal_Data |
| 38 | Photo Data |
Não | wd:Worker_Data/wd:Photo_Data |
| 39 | Qualification Data |
Não | wd:Worker_Data/wd:Qualification_Data |
| 40 | Related Persons Data |
Não | wd:Worker_Data/wd:Related_Persons_Data |
| 41 | Role Data |
Não | wd:Worker_Data/wd:Role_Data |
| 42 | Skill Data |
Não | wd:Worker_Data/wd:Skill_Data |
| 43 | Succession Profile Data |
Não | wd:Worker_Data/wd:Succession_Profile_Data |
| 44 | Talent Assessment Data |
Não | wd:Worker_Data/wd:Talent_Assessment_Data |
| 45 | User Account Data |
Não | wd:Worker_Data/wd:User_Account_Data |
| 46 | Worker Document Data |
Não | wd:Worker_Data/wd:Worker_Document_Data |
Nota
Cada entidade do Workday listada na tabela é protegida por uma Política de Segurança de Domínio no Workday. Se você não conseguir recuperar nenhum atributo associado à entidade depois de definir o XPATH correto, verifique com o administrador do Workday se a política de segurança de domínio apropriada está configurada para o usuário do sistema de integração associado ao aplicativo de provisionamento. Por exemplo, para recuperar dados de Habilidades, é necessário obter acesso no domínio Workday Worker Data: Skills and Experience.
Aqui estão alguns exemplos de como você pode estender a integração do Workday para atender a requisitos específicos.
Exemplo 1: Recuperando informações do centro de custo e do grupo de pagamento
Digamos que você queira recuperar os seguintes conjuntos de dados do Workday e usá-los em suas regras de provisionamento:
- Centro de custos
- Hierarquia do centro de custo
- Grupo de pagamento
Os conjuntos de dados acima não são incluídos por padrão. Para recuperar esses conjuntos de dados:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Selecione seu Workday para o aplicativo de provisionamento de usuários Ative Directory / Microsoft Entra.
Selecione Provisionamento.
Edite os mapeamentos e abra a lista de atributos Workday na seção avançada.
Adicione as seguintes definições de atributos e marque-as como "Obrigatório". Esses atributos não são mapeados para nenhum atributo no Ative Directory ou no Microsoft Entra ID. Eles servem como sinais para o conector para recuperar as informações do Centro de Custo, da Hierarquia do Centro de Custo e do Grupo de Pagamento.
Nome do Atributo Expressão da API XPATH CostCenterHierarchyFlag wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descritor CostCenterFlag wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Quando o conjunto de dados Centro de custo e Grupo de pagamento estiver disponível na resposta Get_Workers, você poderá usar os valores XPATH para recuperar o nome do centro de custo, o código do centro de custo e o grupo de pagamento.
Nome do Atributo Expressão da API XPATH CostCenterName wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Centro de custo']/wd:Organization_Name/text() CostCenterCode wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Centro de custo']/wd:Organization_Code/text() Grupo Remunerado wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Exemplo 2: Recuperação de dados de qualificações e competências
Digamos que você queira recuperar certificações associadas a um usuário. Estas informações estão disponíveis como parte do conjunto de dados de qualificação. Para obter esse conjunto de dados como parte da resposta Get_Workers, use o seguinte XPATH:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Exemplo 3: Recuperando atribuições de grupo de provisionamento
Digamos que você queira recuperar Grupos de Provisionamento atribuídos a um trabalhador. Essas informações estão disponíveis como parte do conjunto de Dados de Provisionamento de Conta. Para obter esses dados, como parte da resposta Get_Workers , use o seguinte XPATH:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Lidar com diferentes cenários de RH
Esta seção aborda como você pode personalizar o aplicativo de provisionamento para os seguintes cenários de RH:
- Suporte para conversões de trabalhadores
- Recuperando atribuições de trabalho internacionais e detalhes de trabalho secundário
Suporte para conversões de trabalhadores
Esta seção descreve o suporte do serviço de provisionamento do Microsoft Entra para cenários em que um trabalhador converte de funcionário em tempo integral (FTE) para trabalhador contingente (CW) ou vice-versa. Dependendo de como as conversões de trabalhadores são processadas no Workday, pode haver diferentes aspetos de implementação a serem considerados.
- Cenário 1: Conversão retroativa de ETI para CW ou vice-versa
- Cenário 2: Trabalhador empregado como CW/FTE atualmente, mudanças para ETC/CW atualmente
- Cenário 3: O trabalhador empregado como CW/FTE é despedido e volta a ser tratado como ETC/CQ após uma lacuna significativa
- Cenário 4: Conversão com data futura, quando o trabalhador é um CW/FTE ativo
Cenário 1: Conversão retroativa de ETI para CW ou vice-versa
Sua equipe de RH pode retroceder uma transação de conversão de trabalhador no Workday por motivos comerciais válidos. Exemplos incluem processamento de folha de pagamento, conformidade orçamentária, requisitos legais e gerenciamento de benefícios. Veja um exemplo para ilustrar como o provisionamento é tratado para o cenário.
- É 15 de janeiro de 2023 e Jane Doe está empregada como trabalhadora contingente. O RH oferece a Jane uma posição em tempo integral.
- Os termos da alteração contratual de Jane exigem retroatividade da transação para que ela se alinhe com o início do mês atual. O RH inicia uma transação de conversão de trabalhador com data retroativa Dia de trabalho em 15 de janeiro de 2023 com data efetiva como 1º de janeiro de 2023. Agora há dois perfis de trabalhadores no Workday for Jane. O perfil CW está inativo, enquanto o perfil FTE está ativo.
- O serviço de provisionamento Microsoft Entra deteta essa alteração no log de transações do Workday em 15 de janeiro de 2023. O serviço provisiona automaticamente atributos do novo perfil FTE no próximo ciclo de sincronização.
- Nenhuma alteração é necessária na configuração do aplicativo de provisionamento para lidar com esse cenário.
Cenário 2: Trabalhador empregado como CW/FTE atualmente, mudanças para ETC/CW atualmente
Esse cenário é semelhante ao cenário acima, exceto que, em vez de retroagir a transação, o RH executa uma conversão de trabalhador que entra em vigor imediatamente. O serviço de provisionamento do Microsoft Entra deteta essa alteração no log de transações do Workday. No próximo ciclo de sincronização, o serviço provisiona automaticamente todos os atributos associados com um perfil FTE ativo. Nenhuma alteração é necessária na configuração do aplicativo de provisionamento para lidar com esse cenário.
Cenário 3: O trabalhador empregado como CW/FTE é despedido e volta a ser tratado como ETC/CQ após uma lacuna significativa
É comum que os trabalhadores comecem a trabalhar numa empresa como trabalhadores eventuais, abandonem a empresa e voltem a juntar-se ao fim de vários meses como empregados a tempo inteiro. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário.
- É 1 de janeiro de 2023 e John Smith começa a trabalhar como trabalhador contingente. Como não há nenhuma conta do AD associada ao WorkerID (atributo correspondente) de John, o serviço de provisionamento cria uma nova conta do AD e vincula o WID (WorkdayID) do trabalhador contingente de John à conta do AD de John.
- O contrato de João termina a 31 de janeiro de 2023. No ciclo de provisionamento que é executado após o final do dia 31 de janeiro, a conta AD de João está desativada.
- John se candidata a outra posição e decide voltar à empresa como funcionário em tempo integral a partir de 1º de maio de 2023. O RH insere as informações de John como funcionário pré-contratado em 15 de abril de 2023. Agora há dois perfis de trabalhadores no Workday for John. O perfil CW está inativo, enquanto o perfil FTE está ativo. Os dois registros têm o mesmo WorkerID, mas WIDs diferentes.
- Em 15 de abril, durante o ciclo incremental, o serviço de provisionamento do Microsoft Entra transfere automaticamente a propriedade da conta do AD para o perfil de trabalhador ativo. Nesse caso, ele desvincula o perfil de trabalhador contingente da conta do AD e estabelece um novo vínculo entre o perfil de trabalhador de funcionário ativo de John e a conta de AD de John.
- Nenhuma alteração é necessária na configuração do aplicativo de provisionamento para lidar com esse cenário.
Cenário 4: Conversão com data futura, quando o trabalhador é um CW/FTE ativo
Às vezes, um trabalhador já pode ser um trabalhador contingente ativo, quando o RH inicia uma transação de conversão de trabalhador com data futura. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário e quais alterações de configuração são necessárias para dar suporte a esse cenário.
É 1 de janeiro de 2023 e John Smith começa a trabalhar como trabalhador contingente. Como não há nenhuma conta do AD associada ao WorkerID (atributo correspondente) de John, o serviço de provisionamento cria uma nova conta do AD e vincula o WID (WorkdayID) do trabalhador contingente de John à conta do AD de John.
Em 15 de janeiro, o RH inicia uma transação para converter John de trabalhador contingente em funcionário em tempo integral a partir de 1º de fevereiro de 2023.
Como o serviço de provisionamento Microsoft Entra processa automaticamente contratações com data futura, ele processa o novo perfil de funcionário em tempo integral de John em 15 de janeiro e atualiza o perfil de John no AD com detalhes de emprego em tempo integral, mesmo que ele ainda seja um trabalhador contingente.
Para evitar esse comportamento e garantir que os detalhes de FTE de John sejam provisionados em 1º de fevereiro de 2023, execute as seguintes alterações de configuração.
Alterações de configuração
- Envolva o administrador do Workday para criar um grupo de provisionamento chamado "Conversões com data futura".
- Implemente a lógica no Workday para adicionar registros de funcionários/trabalhadores contingentes com conversões datadas futuras a esse grupo de provisionamento.
- Atualize o aplicativo de provisionamento Microsoft Entra para ler este grupo de provisionamento. Consulte as instruções aqui sobre como recuperar o grupo de provisionamento
- Crie um filtro de escopo na ID do Microsoft Entra para excluir perfis de trabalho que fazem parte desse grupo de provisionamento.
- Em Workday, implemente a lógica para que, quando a data de conversão for efetiva, Workday remova o registro de funcionário/trabalhador contingente relevante do grupo de provisionamento em Workday.
- Com essa configuração, o registro de funcionário/trabalhador contingente existente continua a ser efetivo e as alterações de provisionamento acontecem apenas no dia da conversão.
Nota
Durante a sincronização completa inicial, você pode notar um comportamento em que os valores de atributo associados ao perfil de trabalhador inativo anterior fluem para a conta AD de trabalhadores convertidos. Isso é temporário e, à medida que a sincronização completa progride, eventualmente é substituída por valores de atributo do perfil de trabalhador ativo. Quando a sincronização completa estiver concluída e o trabalho de provisionamento atingir o estado estacionário, ele sempre selecionará o perfil de trabalhador ativo durante a sincronização incremental.
Recuperando atribuições de trabalho internacionais e detalhes de trabalho secundário
Por padrão, o conector Workday recupera atributos associados ao trabalho principal do trabalhador. O conector também suporta a recuperação Additional Job Data associada a atribuições de trabalho internacionais ou trabalhos secundários.
Use as etapas para recuperar atributos associados a atribuições de trabalho internacionais:
- Definir a URL de conexão do Workday usa a API do Workday Web Service versão 30.0 ou superior. Assim, defina os valores XPATH corretos em seu aplicativo de provisionamento Workday.
- Use o
Worker_Job_Dataseletor@wd:Primary_Job=0no nó para recuperar o atributo correto.- Exemplo 1: Para obter
SecondaryBusinessTitle, use o XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text() - Exemplo 2: Para obter
SecondaryBusinessLocation, use o XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Exemplo 1: Para obter