Tutorial: Configurar o Workday para o provisionamento de usuários do Microsoft Entra

O objetivo deste tutorial é mostrar as etapas que você precisa executar para provisionar dados do trabalhador do Workday para o Microsoft Entra ID.

Nota

Use este tutorial se os usuários que você deseja provisionar do Workday forem usuários somente na nuvem que não precisam de uma conta do AD local. Se os usuários precisarem apenas da conta do AD local ou da conta do AD e do Microsoft Entra, consulte o tutorial sobre como configurar o Workday para o provisionamento de usuários do Ative Directory .

O vídeo a seguir fornece uma visão geral rápida das etapas envolvidas ao planejar sua integração de provisionamento com o Workday.

Descrição geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se à API de Recursos Humanos do Workday para provisionar contas de usuário. Os fluxos de trabalho de provisionamento de usuários do Workday suportados pelo serviço de provisionamento de usuários do Microsoft Entra permitem a automação dos seguintes cenários de gerenciamento do ciclo de vida de recursos humanos e identidade:

• Contratação de novos funcionários - Quando um novo funcionário é adicionado ao Workday, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID, com write-back do endereço de email para Workday.

• Atualizações de atributos e perfis de funcionários - Quando um registro de funcionário é atualizado no Workday (como nome, cargo ou gerente), sua conta de usuário será atualizada automaticamente Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

• Rescisões de funcionários - Quando um funcionário é encerrado no Workday, sua conta de usuário é automaticamente desativada no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.

• Recontratações de funcionários - Quando um funcionário é recontratado no Workday, sua conta antiga pode ser automaticamente reativada ou reprovisionada (dependendo da sua preferência) para o Microsoft Entra ID e, opcionalmente, para o Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

Para quem essa solução de provisionamento de usuários é mais adequada?

Esta solução de provisionamento de usuários do Workday to Microsoft Entra é ideal para:

• Organizações que desejam uma solução pré-criada e baseada em nuvem para provisionamento de usuários do Workday

• Organizações que exigem provisionamento direto de usuários do Workday para o Microsoft Entra ID

• Organizações que exigem que os usuários sejam provisionados usando dados obtidos do Workday

• Organizações que usam o Microsoft 365 para email

Arquitetura de soluções

Esta seção descreve a arquitetura da solução de provisionamento de usuário de ponta a ponta para usuários somente na nuvem. Existem dois fluxos relacionados:

• Fluxo de dados de RH autoritativo – do Workday para o Microsoft Entra ID: Neste fluxo, os eventos de trabalhador (como Novas contratações, Transferências, Terminações) ocorrem primeiro no Workday e, em seguida, os dados do evento fluem para o Microsoft Entra ID. Dependendo do evento, isso pode levar a operações de criação/atualização/habilitação/desabilitação no Microsoft Entra ID.

• Fluxo de write-back – do Ative Directory local para o Workday: Quando a criação da conta estiver concluída no Ative Directory, ela será sincronizada com a ID do Microsoft Entra por meio do Microsoft Entra Connect e informações como email, nome de usuário e número de telefone poderão ser gravadas de volta no Workday.

  

Fluxo de dados do usuário de ponta a ponta

1. A equipe de RH realiza transações de trabalhadores (Marceneiros/Movers/Saídas ou Novas Contratações/Transferências/Rescisões no Workday Employee Central
2. O serviço de provisionamento Microsoft Entra executa sincronizações agendadas de identidades do Workday EC e identifica as alterações que precisam ser processadas para sincronização com o Ative Directory local.
3. O serviço de provisionamento do Microsoft Entra determina a alteração e invoca a operação create/update/enable/disable para o usuário no Microsoft Entra ID.
4. Se o aplicativo Workday Writeback estiver configurado, ele recuperará atributos como email, nome de usuário e número de telefone da ID do Microsoft Entra.
5. O serviço de provisionamento Microsoft Entra define email, nome de usuário e número de telefone no Workday.

Planeamento da implementação

Configurar o provisionamento de usuários orientado pelo Cloud HR do Workday para o Microsoft Entra ID requer um planejamento considerável que abranja diferentes aspetos, tais como:

• Determinando a ID correspondente
• Mapeamento de atributos
• Transformação de atributos
• Filtros de âmbito

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes sobre esses tópicos.

Configurar o usuário do sistema de integração no Workday

Consulte a seção Configurar usuário do sistema de integração para criar uma conta de usuário do sistema de integração Workday com permissões para recuperar dados do trabalhador.

Configurar o provisionamento de usuários do Workday para o Microsoft Entra ID

As seções a seguir descrevem as etapas para configurar o provisionamento de usuários do Workday para o Microsoft Entra ID para implantações somente na nuvem.

• Adicionando o aplicativo conector de provisionamento do Microsoft Entra e criando a conexão com o Workday
• Configurar mapeamentos de atributos do Workday e do Microsoft Entra
• Habilitar e iniciar o provisionamento de usuários

Parte 1: Adicionando o aplicativo conector de provisionamento do Microsoft Entra e criando a conexão com o Workday

Para configurar o Workday para o provisionamento do Microsoft Entra para usuários somente na nuvem:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

3. Pesquise Workday para provisionamento de usuário do Microsoft Entra e adicione esse aplicativo da galeria.

4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for exibida, selecione Provisionamento.

5. Altere o modo de provisionamentopara automático.

6. Preencha a seção Credenciais de administrador da seguinte maneira:

   • Nome de usuário do Workday – Digite o nome de usuário da conta do sistema de integração do Workday, com o nome de domínio do locatário anexado. Deve ser algo como: username@contoso4

   • Senha do Workday – Digite a senha da conta do sistema de integração do Workday

   • URL da API de Serviços Web do Workday – Insira a URL do ponto de extremidade dos serviços Web do Workday para seu locatário. A URL determina a versão da API de Serviços Web do Workday usada pelo conector.

     Formato do URL	Versão da API WWS usada	Alterações XPATH necessárias
     https://####.workday.com/ccx/service/tenantName	v21,1	Não
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21,1	Não
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##. #	Sim

     Nota

     Se nenhuma informação de versão for especificada na URL, o aplicativo usará o Workday Web Services (WWS) v21.1 e nenhuma alteração será necessária nas expressões padrão da API XPATH fornecidas com o aplicativo. Para usar uma versão específica da API WWS, especifique o número da versão no URL
     Exemplo: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Se você estiver usando uma API WWS v30.0+, antes de ativar o trabalho de provisionamento, atualize as expressões da API XPATH em Mapeamento de atributos - Opções avançadas ->> Editar lista de atributos para Workday referindo-se à seção Gerenciando sua configuração e referência de atributo Workday.

   • E-mail de notificação – Digite seu endereço de e-mail e marque a caixa de seleção "enviar e-mail se ocorrer uma falha".

   • Clique no botão Testar conexão .

   • Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique se a URL e as credenciais do Workday são válidas no Workday.

Parte 2: Configurar mapeamentos de atributos do Workday e do Microsoft Entra

Nesta seção, você configurará como os dados do usuário fluem do Workday para o Microsoft Entra ID para usuários somente na nuvem.

1. Na guia Provisionamento, em Mapeamentos, clique em Sincronizar Trabalhadores com a ID do Microsoft Entra.

2. No campo Escopo do Objeto de Origem, você pode selecionar quais conjuntos de usuários no Workday devem estar no escopo de provisionamento para o Microsoft Entra ID, definindo um conjunto de filtros baseados em atributos. O escopo padrão é "todos os usuários no Workday". Exemplos de filtros:

   • Exemplo: Escopo para usuários com IDs de trabalho entre 1000000 e 2000000

     • Atributo: WorkerID

     • Operador: REGEX Match

     • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exemplo: Apenas trabalhadores contingentes e não empregados regulares

     • Atributo: ContingentID

     • Operador: NÃO É NULO

3. No campo Ações do Objeto de Destino, você pode filtrar globalmente quais ações são executadas no ID do Microsoft Entra. Criar e atualizar são mais comuns.

4. Na seção Mapeamentos de atributos, você pode definir como os atributos individuais do Workday são mapeados para os atributos do Ative Directory.

5. Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual suporta estas propriedades:

   • Tipo de mapeamento

     • Direct – Grava o valor do atributo Workday no atributo AD, sem alterações

     • Constante - Escreva um valor de cadeia de caracteres estático e constante no atributo AD

     • Expressão – Permite escrever um valor personalizado no atributo AD, com base em um ou mais atributos Workday. Para obter mais informações, consulte este artigo sobre expressões.

   • Atributo Source - O atributo user do Workday. Se o atributo que você está procurando não estiver presente, consulte Personalizando a lista de atributos de usuário do Workday.

   • Valor padrão – Opcional. Se o atributo source tiver um valor vazio, o mapeamento gravará esse valor. A configuração mais comum é deixar isso em branco.

   • Atributo de destino – O atributo de usuário no Microsoft Entra ID.

   • Corresponder objetos usando este atributo – Se esse atributo deve ou não ser usado para identificar exclusivamente os usuários entre o Workday e o Microsoft Entra ID. Esse valor normalmente é definido no campo ID do trabalhador para Dia de trabalho, que normalmente é mapeado para o atributo ID do funcionário (novo) ou um atributo de extensão no ID do Microsoft Entra.

   • Precedência correspondente – Vários atributos correspondentes podem ser definidos. Quando há vários, eles são avaliados na ordem definida por este campo. Assim que uma correspondência é encontrada, nenhum outro atributo correspondente é avaliado.

   • Aplicar este mapeamento

     • Sempre – Aplique este mapeamento nas ações de criação e atualização do usuário

     • Somente durante a criação - Aplique esse mapeamento somente em ações de criação de usuário

6. Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Mapeamento de Atributos.

Habilitar e iniciar o provisionamento de usuários

Depois que as configurações do aplicativo de provisionamento Workday forem concluídas, você poderá ativar o serviço de provisionamento.

Gorjeta

Por padrão, quando você ativa o serviço de provisionamento, ele inicia operações de provisionamento para todos os usuários no escopo. Se houver erros no mapeamento ou problemas de dados do Workday, o trabalho de provisionamento poderá falhar e entrar no estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro Escopo do Objeto de Origem e testar os mapeamentos de atributos com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Depois de verificar se os mapeamentos funcionam e estão dando os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

1. Na guia Provisionamento, defina o Status do provisionamento como Ativado.

2. Clique em Guardar.

3. Essa operação iniciará a sincronização inicial, que pode levar um número variável de horas, dependendo de quantos usuários estão no locatário do Workday. Você pode verificar a barra de progresso para acompanhar o progresso do ciclo de sincronização.

4. A qualquer momento, verifique a guia Logs de auditoria no portal do Azure para ver quais ações o serviço de provisionamento executou. Os logs de auditoria listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como quais usuários estão sendo lidos fora do Workday e, posteriormente, adicionados ou atualizados para o ID do Microsoft Entra.

5. Quando a sincronização inicial for concluída, ele gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

   

Próximos passos

• Saiba mais sobre cenários de integração do Microsoft Entra ID e Workday e chamadas de serviço Web
• Saiba mais sobre os Atributos do Workday suportados para provisionamento de entrada
• Saiba como configurar o Workday Writeback
• Saiba como analisar os registos e obter relatórios sobre a atividade de aprovisionamento
• Saiba como configurar o logon único entre o Workday e o Microsoft Entra ID
• Saiba como exportar e importar suas configurações de provisionamento