Tutorial: Configurar o Workday para o aprovisionamento automático de utilizadores

O objetivo deste tutorial é mostrar as etapas que você precisa executar para provisionar perfis de trabalhador do Workday para o Ative Directory (AD) local.

Nota

Use este tutorial, se os usuários que você deseja provisionar do Workday precisarem de uma conta do AD local e uma conta do Microsoft Entra.

O vídeo a seguir fornece uma visão geral rápida das etapas envolvidas ao planejar sua integração de provisionamento com o Workday.

Descrição geral

O serviço de provisionamento de usuários do Microsoft Entra integra-se à API de Recursos Humanos do Workday para provisionar contas de usuário. Os fluxos de trabalho de provisionamento de usuários do Workday suportados pelo serviço de provisionamento de usuários do Microsoft Entra permitem a automação dos seguintes cenários de gerenciamento do ciclo de vida de recursos humanos e identidade:

  • Contratação de novos funcionários - Quando um novo funcionário é adicionado ao Workday, uma conta de usuário é criada automaticamente no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID, com write-back das informações de contato gerenciadas por TI para o Workday.

  • Atualizações de atributos e perfis de funcionários - Quando um registro de funcionário é atualizado no Workday (como nome, título ou gerente), sua conta de usuário será atualizada automaticamente no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

  • Rescisões de funcionários - Quando um funcionário é demitido no Workday, sua conta de usuário é automaticamente desabilitada no Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

  • Recontratações de funcionários - Quando um funcionário é recontratado no Workday, sua conta antiga pode ser automaticamente reativada ou reprovisionada (dependendo da sua preferência) para o Ative Directory, Microsoft Entra ID e, opcionalmente, Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

Novidades

Esta seção captura os aprimoramentos recentes da integração do Workday. Para obter uma lista de atualizações abrangentes, alterações planejadas e arquivos, visite a página O que há de novo no Microsoft Entra ID?

  • Outubro de 2020 - Provisão sob demanda habilitada para Workday: usando o provisionamento sob demanda, agora você pode testar o provisionamento de ponta a ponta para um perfil de usuário específico no Workday para verificar seu mapeamento de atributos e lógica de expressão.

  • Maio de 2020 - Capacidade de writeback de números de telefone para Workday: Além de e-mail e nome de usuário, agora você pode writeback número de telefone de trabalho e número de telefone celular do Microsoft Entra ID para Workday. Para obter mais detalhes, consulte o tutorial do aplicativo de write-back.

  • Abril de 2020 - Suporte para a versão mais recente da API do Workday Web Services (WWS): Duas vezes por ano, em março e setembro, o Workday oferece atualizações ricas em recursos que ajudam você a atingir suas metas de negócios e as mudanças nas demandas da força de trabalho. Para acompanhar os novos recursos fornecidos pelo Workday, agora você pode especificar diretamente a versão da API WWS que deseja usar na URL de conexão. Para obter detalhes sobre como especificar a versão da API do Workday, consulte a seção sobre como configurar a conectividade do Workday.

Para quem essa solução de provisionamento de usuários é mais adequada?

Esta solução de provisionamento de usuários do Workday é ideal para:

  • Organizações que desejam uma solução pré-criada e baseada em nuvem para provisionamento de usuários do Workday

  • Organizações que exigem provisionamento direto de usuários do Workday para o Ative Directory ou Microsoft Entra ID

  • Organizações que exigem que os usuários sejam provisionados usando dados obtidos do módulo Workday HCM (consulte Get_Workers)

  • Organizações que exigem ingressar, mover e deixar os usuários sincronizados com uma ou mais Florestas, Domínios e UOs do Ative Directory com base apenas nas informações de alteração detetadas no módulo Workday HCM (consulte Get_Workers)

  • Organizações que usam o Microsoft 365 para email

Arquitetura da Solução

Esta seção descreve a arquitetura da solução de provisionamento de usuário de ponta a ponta para ambientes híbridos comuns. Existem dois fluxos relacionados:

  • Fluxo de dados de RH autoritativo – do Workday para o Ative Directory local: nesse fluxo, os eventos de trabalhador (como Novas contratações, transferências, terminações) ocorrem primeiro no locatário de RH do Workday na nuvem e, em seguida, os dados do evento fluem para o Ative Directory local por meio do Microsoft Entra ID e do Agente de Provisionamento. Dependendo do evento, pode levar a operações de criação/atualização/habilitação/desativação no AD.
  • Fluxo de write-back – do Ative Directory local para o Workday: assim que a criação da conta estiver concluída no Ative Directory, ela será sincronizada com o ID do Microsoft Entra por meio do Microsoft Entra Connect e informações como email, nome de usuário e número de telefone poderão ser gravadas de volta no Workday.

Overview

Fluxo de dados do usuário de ponta a ponta

  1. A equipe de RH realiza transações de trabalhadores (Marceneiros/Movers/Leavers ou New Hires/Transfers/Scitions) no Workday HCM
  2. O serviço de provisionamento Microsoft Entra executa sincronizações agendadas de identidades do Workday HR e identifica alterações que precisam ser processadas para sincronização com o Ative Directory local.
  3. O serviço de provisionamento do Microsoft Entra invoca o Agente de Provisionamento do Microsoft Entra Connect local com uma carga útil de solicitação contendo operações de criação/atualização/habilitação/desabilitação da conta do AD.
  4. O Agente de Provisionamento do Microsoft Entra Connect usa uma conta de serviço para adicionar/atualizar dados da conta do AD.
  5. O mecanismo de sincronização do Microsoft Entra Connect / AD executa a sincronização delta para obter atualizações no AD.
  6. As atualizações do Ative Directory são sincronizadas com o Microsoft Entra ID.
  7. Se o aplicativo Workday Writeback estiver configurado, ele gravará atributos como email, nome de usuário e número de telefone no Workday.

Planeamento da implementação

Configurar o Workday para o provisionamento de usuários do Ative Directory requer um planejamento considerável que abranja diferentes aspetos, como:

  • Configuração do agente de provisionamento do Microsoft Entra Connect
  • Número de aplicativos de provisionamento de usuário do Workday para AD a serem implantados
  • Seleção correta do identificador de correspondência, mapeamento de atributos, transformação e filtros de escopo

Consulte o plano de implantação de RH na nuvem para obter diretrizes abrangentes e práticas recomendadas recomendadas.

Configurar o usuário do sistema de integração no Workday

Um requisito comum de todos os conectores de provisionamento do Workday é que eles exijam credenciais de um usuário do sistema de integração do Workday para se conectar à API de Recursos Humanos do Workday. Esta seção descreve como criar um usuário do sistema de integração no Workday e tem as seguintes seções:

Nota

É possível ignorar esse procedimento e, em vez disso, usar uma conta de administrador global do Workday como a conta de integração do sistema. Isso pode funcionar bem para demonstrações, mas não é recomendado para implantações de produção.

Criando um usuário do sistema de integração

Para criar um usuário do sistema de integração:

  1. Inicie sessão no seu inquilino do Workday utilizando uma conta de administrador. No Aplicativo Workday, digite create user na caixa de pesquisa e clique em Create Integration System User.

    Create user

  2. Conclua a tarefa Criar Usuário do Sistema de Integração fornecendo um nome de usuário e senha para um novo Usuário do Sistema de Integração.

    • Deixe a opção Exigir nova senha no próximo login desmarcada, pois esse usuário fará logon programaticamente.
    • Deixe os Minutos de Tempo Limite da Sessão com seu valor padrão de 0, o que impedirá que as sessões do usuário atinjam o tempo limite prematuramente.
    • Selecione a opção Não permitir sessões da interface do usuário, pois ela fornece uma camada adicional de segurança que impede que um usuário com a senha do sistema de integração faça login no Workday.

    Create Integration System User

Criando um grupo de segurança de integração

Nesta etapa, você criará um grupo de segurança do sistema de integração sem restrições ou restrições no Workday e atribuirá o usuário do sistema de integração criado na etapa anterior a esse grupo.

Para criar um grupo de segurança:

  1. Introduza criar grupo de segurança na caixa de pesquisa e, em seguida, clique em Criar Grupo de Segurança.

    Screenshot that shows

  2. Conclua a tarefa Criar Grupo de Segurança .

    • Existem dois tipos de grupos de segurança no Workday:

      • Sem restrições: todos os membros do grupo de segurança podem acessar todas as instâncias de dados protegidas pelo grupo de segurança.
      • Restrito: todos os membros do grupo de segurança têm acesso contextual a um subconjunto de instâncias de dados (linhas) que o grupo de segurança pode acessar.
    • Verifique com seu parceiro de integração do Workday para selecionar o tipo de grupo de segurança apropriado para a integração.

    • Depois de saber o tipo de grupo, selecione Grupo de Segurança do Sistema de Integração (Sem restrições) ou Grupo de Segurança do Sistema de Integração (Restrito) na lista suspensa Tipo de Grupo de Segurança Locatária.

      CreateSecurity Group

  3. Depois que a criação do Grupo de Segurança for bem-sucedida, você verá uma página onde poderá atribuir membros ao Grupo de Segurança. Adicione o novo usuário do sistema de integração criado na etapa anterior a este grupo de segurança. Se você estiver usando um grupo de segurança restrito , também precisará selecionar o escopo apropriado da organização.

    Edit Security Group

Configurando permissões de política de segurança de domínio

Nesta etapa, você concederá permissões de política de "segurança de domínio" para os dados do trabalhador ao grupo de segurança.

Para configurar permissões de política de segurança de domínio:

  1. Digite Associação e Acesso ao Grupo de Segurança na caixa de pesquisa e clique no link do relatório.

    Search Security Group Membership

  2. Pesquise e selecione o grupo de segurança criado na etapa anterior.

    Select Security Group

  3. Clique nas reticências (...) ao lado do nome do grupo e, no menu, selecione Security Group Maintain Domain Permissions for Security Group >

    Select Maintain Domain Permissions

  4. Em Permissões de Integração, adicione os seguintes domínios à lista Políticas de Segurança de Domínio que permitem Colocar acesso

    • Provisionamento de conta externa
    • Dados do trabalhador: relatórios de funcionários públicos
    • Dados da pessoa: Informações de contato do trabalho (necessárias se você planeja gravar dados de contato do Microsoft Entra ID para o Workday)
    • Contas de Dia de Trabalho (necessário se você planeja reescrever o nome de usuário/UPN do ID do Microsoft Entra para o Workday)
  5. Em Permissões de Integração, adicione os seguintes domínios à lista Políticas de Segurança de Domínio que permitem Obter acesso

    • Dados do trabalhador: Trabalhadores
    • Dados do trabalhador: todas as posições
    • Dados do trabalhador: informações atuais sobre a equipe
    • Dados do trabalhador: título comercial no perfil do trabalhador
    • Dados do trabalhador: trabalhadores qualificados (opcional - adicione isso para recuperar dados de qualificação do trabalhador para provisionamento)
    • Dados do trabalhador: habilidades e experiência (opcional - adicione isso para recuperar dados de habilidades do trabalhador para provisionamento)
  6. Depois de concluir as etapas acima, a tela de permissões aparecerá como mostrado abaixo:

    All Domain Security Permissions

  7. Clique em OK e Concluído na próxima tela para concluir a configuração.

Configurando permissões de política de segurança de processos de negócios

Nesta etapa, você concederá permissões de política de "segurança do processo comercial" para os dados do trabalhador ao grupo de segurança.

Nota

Esta etapa é necessária apenas para configurar o conector do aplicativo Workday Writeback.

Para configurar permissões de política de segurança de processos de negócios:

  1. Introduza Política de Processos Empresariais na caixa de pesquisa e, em seguida, clique na ligação Tarefa Editar Política de Segurança de Processos Empresariais.

    Screenshot that shows

  2. Na caixa de texto Tipo de Processo Comercial, procure Contato e selecione Contato de Trabalho Alterar processo comercial e clique em OK.

    Screenshot that shows the

  3. Na página Editar Política de Segurança do Processo Comercial, role até a seção Alterar Informações de Contato de Trabalho (Serviço Web).

  4. Selecione e adicione o novo grupo de segurança do sistema de integração à lista de grupos de segurança que podem iniciar a solicitação de serviços Web.

    Business Process Security Policies

  5. Clique em Concluído.

Ativando alterações na política de segurança

Para ativar as alterações à política de segurança:

  1. Introduza ativar na caixa de pesquisa e, em seguida, clique na ligação Ativar alterações pendentes à política de segurança.

    Activate

  2. Inicie a tarefa Ativar Alterações de Política de Segurança Pendentes inserindo um comentário para fins de auditoria e clique em OK.

  3. Conclua a tarefa na próxima tela marcando a caixa de seleção Confirmar e clique em OK.

    Activate Pending Security

Pré-requisitos de instalação do Provisioning Agent

Analise os pré-requisitos de instalação do agente de provisionamento antes de prosseguir para a próxima seção.

Configurando o provisionamento de usuários do Workday para o Ative Directory

Esta seção fornece etapas para o provisionamento de conta de usuário do Workday para cada domínio do Ative Directory dentro do escopo de sua integração.

Parte 1: Adicionar o aplicativo do conector de provisionamento e baixar o Agente de Provisionamento

Para configurar o Workday para o provisionamento do Ative Directory:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.

  3. Pesquise Workday para Provisionamento de Usuário do Ative Directory e adicione esse aplicativo da galeria.

  4. Depois que o aplicativo for adicionado e a tela de detalhes do aplicativo for exibida, selecione Provisionamento.

  5. Altere o modo de provisionamentopara automático.

  6. Clique no banner de informações exibido para baixar o Agente de Provisionamento.

    Download Agent

Parte 2: Instalar e configurar o(s) agente(s) de provisionamento local

Para provisionar o Ative Directory localmente, o agente de provisionamento deve ser instalado em um servidor associado a um domínio que tenha acesso de rede ao(s) domínio(s) desejado(s) do Ative Directory.

Transfira o instalador do agente baixado para o host do servidor e siga as etapas listadas na seção Instalar agente para concluir a configuração do agente.

Parte 3: No aplicativo de provisionamento, configure a conectividade com o Workday e o Ative Directory

Nesta etapa, estabelecemos conectividade com o Workday e o Ative Directory.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications> Workday to Ative Directory User Provisioning App criado na Parte 1.

  3. Preencha a seção Credenciais de administrador da seguinte maneira:

    • Nome de usuário do Workday – Digite o nome de usuário da conta do sistema de integração do Workday, com o nome de domínio do locatário anexado. Deve ser algo como: username@tenant_name

    • Senha do Workday – Digite a senha da conta do sistema de integração do Workday

    • URL da API de Serviços Web do Workday – Insira a URL para o ponto de extremidade dos serviços Web do Workday para seu locatário. A URL determina a versão da API de Serviços Web do Workday usada pelo conector.

      Formato do URL Versão da API WWS usada Alterações XPATH necessárias
      https://####.workday.com/ccx/service/tenantName v21,1 Não
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21,1 Não
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Sim

      Nota

      Se nenhuma informação de versão for especificada na URL, o aplicativo usará o Workday Web Services (WWS) v21.1 e nenhuma alteração será necessária nas expressões padrão da API XPATH fornecidas com o aplicativo. Para usar uma versão específica da API WWS, especifique o número da versão no URL
      Exemplo: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Se você estiver usando uma API WWS v30.0+, antes de ativar o trabalho de provisionamento, atualize as expressões da API XPATH em Mapeamento de atributos - Opções avançadas ->> Editar lista de atributos para Workday referindo-se à seção Gerenciando sua configuração e referência de atributo Workday.

    • Floresta do Ative Directory - O "Nome" do seu domínio do Ative Directory, conforme registrado com o agente. Use a lista suspensa para selecionar o domínio de destino para provisionamento. Esse valor normalmente é uma cadeia de caracteres como: contoso.com

    • Contêiner do Ative Directory - Insira o DN do contêiner onde o agente deve criar contas de usuário por padrão. Exemplo: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Nota

      Essa configuração só entra em ação para criações de conta de usuário se o atributo parentDistinguishedName não estiver configurado nos mapeamentos de atributo. Essa configuração não é usada para operações de pesquisa ou atualização do usuário. Toda a subárvore de domínio se enquadra no escopo da operação de pesquisa.

    • E-mail de notificação – Digite seu endereço de e-mail e marque a caixa de seleção "enviar e-mail se ocorrer uma falha".

      Nota

      O serviço de provisionamento do Microsoft Entra envia uma notificação por email se o trabalho de provisionamento entrar em um estado de quarentena .

    • Clique no botão Testar conexão . Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique se as credenciais do Workday e as credenciais do AD configuradas na configuração do agente são válidas.

      Screenshot that shows the

    • Depois que as credenciais forem salvas com êxito, a seção Mapeamentos exibirá o mapeamento padrão Sincronizar trabalhadores do dia de trabalho com o Ative Directory local

Parte 4: Configurar mapeamentos de atributos

Nesta seção, você configurará como os dados do usuário fluem do Workday para o Ative Directory.

  1. Na guia Provisionamento, em Mapeamentos, clique em Sincronizar Trabalhadores do Dia de Trabalho com o Ative Directory Local.

  2. No campo Escopo do objeto de origem, você pode selecionar quais conjuntos de usuários no Workday devem estar no escopo de provisionamento para AD, definindo um conjunto de filtros baseados em atributos. O escopo padrão é "todos os usuários no Workday". Exemplos de filtros:

    • Exemplo: Escopo para usuários com IDs de trabalho entre 1000000 e 2000000 (excluindo 2000000)

      • Atributo: WorkerID

      • Operador: REGEX Match

      • Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Exemplo: Apenas empregados e não trabalhadores contingentes

      • Atributo: EmployeeID

      • Operador: NÃO É NULO

    Gorjeta

    Ao configurar o aplicativo de provisionamento pela primeira vez, você precisará testar e verificar seus mapeamentos e expressões de atributos para garantir que ele esteja fornecendo o resultado desejado. A Microsoft recomenda o uso de filtros de escopo em Escopo do objeto de origem e provisionamento sob demanda para testar seus mapeamentos com alguns usuários de teste do Workday. Depois de verificar se os mapeamentos funcionam, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

    Atenção

    O comportamento padrão do mecanismo de provisionamento é desabilitar/excluir usuários que saem do escopo. Isso pode não ser desejável na sua integração do Workday com o AD. Para substituir esse comportamento padrão, consulte o artigo Ignorar exclusão de contas de usuário que saem do escopo

  3. No campo Ações do Objeto de Destino , você pode filtrar globalmente quais ações são executadas no Ative Directory. Criar e atualizar são mais comuns.

  4. Na seção Mapeamentos de atributos, você pode definir como os atributos individuais do Workday são mapeados para os atributos do Ative Directory.

  5. Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual suporta estas propriedades:

    • Tipo de mapeamento

      • Direct – Grava o valor do atributo Workday no atributo AD, sem alterações

      • Constante - Escreva um valor de cadeia de caracteres estático e constante no atributo AD

      • Expressão – Permite escrever um valor personalizado no atributo AD, com base em um ou mais atributos Workday. Para obter mais informações, consulte este artigo sobre expressões.

    • Atributo Source - O atributo user do Workday. Se o atributo que você está procurando não estiver presente, consulte Personalizando a lista de atributos de usuário do Workday.

    • Valor padrão – Opcional. Se o atributo source tiver um valor vazio, o mapeamento gravará esse valor. A configuração mais comum é deixar isso em branco.

    • Atributo de destino – O atributo de usuário no Ative Directory.

    • Corresponder objetos usando esse atributo – Se esse mapeamento deve ou não ser usado para identificar exclusivamente os usuários entre o Workday e o Ative Directory. Esse valor normalmente é definido no campo ID do trabalhador para Dia de trabalho, que normalmente é mapeado para um dos atributos de ID do funcionário no Ative Directory.

    • Precedência correspondente – Vários atributos correspondentes podem ser definidos. Quando há vários, eles são avaliados na ordem definida por este campo. Assim que uma correspondência é encontrada, nenhum outro atributo correspondente é avaliado.

    • Aplicar este mapeamento

      • Sempre – Aplique este mapeamento nas ações de criação e atualização do usuário

      • Somente durante a criação - Aplique esse mapeamento somente em ações de criação de usuários

  6. Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Mapeamento de Atributos.

    Screenshot that shows the

Abaixo estão alguns exemplos de mapeamentos de atributos entre o Workday e o Ative Directory, com algumas expressões comuns

  • A expressão que mapeia para o atributo parentDistinguishedName é usada para provisionar um usuário para UOs diferentes com base em um ou mais atributos de origem do Workday. Este exemplo aqui coloca os usuários em UOs diferentes com base em qual cidade eles estão.

  • O atributo userPrincipalName no Ative Directory é gerado usando a função de eliminação de duplicação SelectUniqueValue que verifica a existência de um valor gerado no domínio do AD de destino e só o define se ele for exclusivo.

  • Há documentação sobre como escrever expressões aqui. Esta seção inclui exemplos sobre como remover caracteres especiais.

ATRIBUTO DO DIA ÚTIL ATRIBUTO DO ATIVE DIRECTORY ID CORRESPONDENTE? CRIAR / ATUALIZAR
ID do trabalhador EmployeeID Sim Escrito apenas em criar
PreferredNameData CN Escrito apenas em criar
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Escrito apenas em criar
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Escrito apenas em criar
Switch([Ativo], , "0", "Verdadeiro", "1", "Falso") contaDesativado Criar + atualizar
FirstName givenName Criar + atualizar
LastName sn Criar + atualizar
PreferredNameData displayName Criar + atualizar
Empresa empresa Criar + atualizar
SupervisãoOrganização departamento Criar + atualizar
ManagerReference gestor Criar + atualizar
Título de Negócio cargo Criar + atualizar
EndereçoLineData streetAddress Criar + atualizar
Município l Criar + atualizar
PaísReferênciaDuas Cartas co Criar + atualizar
PaísReferênciaDuas Cartas c Criar + atualizar
PaísRegiãoReferência st Criar + atualizar
WorkSpaceReference physicalDeliveryOfficeName Criar + atualizar
Código Postal postalCode Criar + atualizar
PrimaryWorkTelefone telephoneNumber Criar + atualizar
Fax fac-símileTelefoneNúmero Criar + atualizar
Móvel telemóvel Criar + atualizar
LocalReference preferredLanguage Criar + atualizar
Switch([Município], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Criar + atualizar

Quando a configuração do mapeamento de atributos estiver concluída, você poderá testar o provisionamento para um único usuário usando o provisionamento sob demanda e, em seguida, habilitar e iniciar o serviço de provisionamento de usuário.

Habilitar e iniciar o provisionamento de usuários

Depois que as configurações do aplicativo de provisionamento Workday forem concluídas e você tiver verificado o provisionamento para um único usuário com provisionamento sob demanda, poderá ativar o serviço de provisionamento.

Gorjeta

Por padrão, quando você ativa o serviço de provisionamento, ele inicia operações de provisionamento para todos os usuários no escopo. Se houver erros no mapeamento ou problemas de dados do Workday, o trabalho de provisionamento poderá falhar e entrar no estado de quarentena. Para evitar isso, como prática recomendada, recomendamos configurar o filtro Escopo do Objeto de Origem e testar os mapeamentos de atributos com alguns usuários de teste usando o provisionamento sob demanda antes de iniciar a sincronização completa para todos os usuários. Depois de verificar se os mapeamentos funcionam e estão dando os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.

  1. Vá para a folha Provisionamento e clique em Iniciar provisionamento.

  2. Essa operação iniciará a sincronização inicial, que pode levar um número variável de horas, dependendo de quantos usuários estão no locatário do Workday. Você pode verificar a barra de progresso para acompanhar o progresso do ciclo de sincronização.

  3. A qualquer momento, verifique a guia Logs de auditoria no portal do Azure para ver quais ações o serviço de provisionamento executou. Os logs de auditoria listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como quais usuários estão sendo lidos fora do Workday e, posteriormente, adicionados ou atualizados ao Ative Directory. Consulte a seção Solução de problemas para obter instruções sobre como revisar os logs de auditoria e corrigir erros de provisionamento.

  4. Quando a sincronização inicial for concluída, ele gravará um relatório de resumo de auditoria na guia Provisionamento , conforme mostrado abaixo.

    Provisioning progress bar

Perguntas Mais Frequentes (FAQ)

Perguntas sobre a capacidade da solução

Ao processar uma nova contratação do Workday, como a solução define a senha para a nova conta de usuário no Ative Directory?

Quando o agente de provisionamento local recebe uma solicitação para criar uma nova conta do AD, ele gera automaticamente uma senha aleatória complexa projetada para atender aos requisitos de complexidade de senha definidos pelo servidor AD e define isso no objeto do usuário. Esta palavra-passe não é registada em lado nenhum.

A solução suporta o envio de notificações por e-mail após a conclusão das operações de provisionamento?

Não, o envio de notificações por e-mail após a conclusão das operações de provisionamento não é suportado na versão atual.

A solução armazena em cache perfis de usuário do Workday na nuvem do Microsoft Entra ou na camada do agente de provisionamento?

Não, a solução não mantém um cache de perfis de usuário. O serviço de provisionamento Microsoft Entra simplesmente atua como um processador de dados, lendo dados do Workday e gravando no Ative Directory ou ID do Microsoft Entra de destino. Consulte a secção Gestão de dados pessoais para obter detalhes relacionados com a privacidade do utilizador e a retenção de dados .

A solução suporta a atribuição de grupos do AD no local ao utilizador?

Esta funcionalidade não é suportada atualmente. A solução recomendada é implantar um script do PowerShell que consulta o ponto de extremidade da API do Microsoft Graph para obter dados de log de auditoria e usá-lo para disparar cenários como atribuição de grupo. Esse script do PowerShell pode ser anexado a um agendador de tarefas e implantado na mesma caixa que executa o agente de provisionamento.

Quais APIs do Workday a solução usa para consultar e atualizar perfis de trabalhador do Workday?

Atualmente, a solução usa as seguintes APIs do Workday:

  • O formato de URL da API do Workday Web Services usado na seção Credenciais deadministrador determina a versão da API usada para Get_Workers

    • Se o formato de URL for: https://####.workday.com/ccx/service/tenantName , a API v21.1 será usada.
    • Se o formato de URL for: https://####.workday.com/ccx/service/tenantName/Human_Resources , a API v21.1 será usada
    • Se o formato da URL for: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# , a versão da API especificada será usada. (Exemplo: se v34.0 é especificado, então ele é usado.)
  • O recurso Workday Email Writeback usa Change_Work_Contact_Information (v30.0)

  • O recurso Workday Username Writeback usa Update_Workday_Account (v31.2)

Posso configurar meu locatário do Workday HCM com dois locatários do Microsoft Entra?

Sim, esta configuração é suportada. Aqui estão as etapas de alto nível para configurar esse cenário:

  • Implante o agente de provisionamento #1 e registre-o com o locatário do Microsoft Entra #1.
  • Implante o agente de provisionamento #2 e registre-o com o locatário #2 do Microsoft Entra.
  • Com base nos "Domínios filho" que cada agente de provisionamento gerenciará, configure cada agente com o(s) domínio(s). Um agente pode lidar com vários domínios.
  • No portal do Azure, configure o Workday to AD User Provisioning App em cada locatário e configure-o com os respetivos domínios.

Seu feedback é altamente valorizado, pois nos ajuda a definir a direção para os futuros lançamentos e aprimoramentos. Agradecemos todos os comentários e encorajamos você a enviar sua ideia ou sugestão de melhoria no fórum de comentários do Microsoft Entra ID. Para comentários específicos relacionados à integração do Workday, selecione a categoria Aplicativos SaaS e pesquise usando as palavras-chave Workday para encontrar comentários existentes relacionados ao Workday .

UserVoice SaaS Apps

UserVoice Workday

Ao sugerir uma nova ideia, verifique se alguém já sugeriu um recurso semelhante. Nesse caso, você pode votar o recurso ou solicitação de aprimoramento. Você também pode deixar um comentário sobre seu caso de uso específico para mostrar seu apoio à ideia e demonstrar como o recurso será valioso para você também.

Perguntas sobre o agente de provisionamento

Qual é a versão GA do Provisioning Agent?

Consulte Microsoft Entra Connect Provisioning Agent: Version release history para obter a versão mais recente do GA do Provisioning Agent.

Como posso saber a versão do meu Provisioning Agent?

  • Entre no servidor Windows onde o Agente de Provisionamento está instalado.

  • Vá para o menu Painel de Controle ->Desinstalar ou Alterar um Programa

  • Procure a versão correspondente à entrada Microsoft Entra Connect Provisioning Agent

    Azure portal

A Microsoft envia automaticamente atualizações do Agente de Provisionamento?

Sim, a Microsoft atualiza automaticamente o agente de provisionamento se o serviço do Windows Microsoft Entra Connect Agent Updater estiver instalado e em execução.

Posso instalar o Agente de Provisionamento no mesmo servidor que executa o Microsoft Entra Connect?

Sim, você pode instalar o Provisioning Agent no mesmo servidor que executa o Microsoft Entra Connect.

No momento da configuração, o Agente de Provisionamento solicita credenciais de administrador do Microsoft Entra. O Agente armazena as credenciais localmente no servidor?

Durante a configuração, o Agente de Provisionamento solicita credenciais de administrador do Microsoft Entra apenas para se conectar ao locatário do Microsoft Entra. Ele não armazena as credenciais localmente no servidor. No entanto, ele mantém as credenciais usadas para se conectar ao domínio local do Ative Directory em um cofre de senhas local do Windows.

Como configuro o Agente de Provisionamento para usar um servidor proxy para comunicação HTTP de saída?

O Agente de Provisionamento oferece suporte ao uso de proxy de saída. Você pode configurá-lo editando o arquivo de configuração do agente C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Adicione as seguintes linhas a ele, no final do arquivo, logo antes da tag de fechamento </configuration> . Substitua as variáveis [proxy-server] e [proxy-port] pelo nome do seu servidor proxy e pelos valores de porta.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Como garanto que o Agente de Provisionamento seja capaz de se comunicar com o locatário do Microsoft Entra e que nenhum firewall esteja bloqueando as portas exigidas pelo agente?

Você também pode verificar se todas as portas necessárias estão abertas.

Um Agente de Provisionamento pode ser configurado para provisionar vários domínios do AD?

Sim, um Agente de Provisionamento pode ser configurado para lidar com vários domínios do AD, desde que o agente tenha linha de visão para os respetivos controladores de domínio. A Microsoft recomenda a configuração de um grupo de 3 agentes de provisionamento que servem o mesmo conjunto de domínios do AD para garantir alta disponibilidade e fornecer suporte a failover.

Como faço para cancelar o registro do domínio associado ao meu Agente de Provisionamento?

*, obtenha o ID de locatário do seu locatário do Microsoft Entra.

  • Entre no servidor Windows que executa o Agente de Provisionamento.

  • Abra o PowerShell como Administrador do Windows.

  • Mude para o diretório que contém os scripts de registro e execute os seguintes comandos, substituindo o parâmetro [tenant ID] pelo valor do seu ID de locatário.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\AppProxyPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • Na lista de agentes que aparecem, copie o id valor do campo desse recurso cujo resourceName é igual ao seu nome de domínio do AD.

  • Cole o valor de ID neste comando e execute o comando no PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • Execute novamente o assistente de configuração do Agente.

  • Quaisquer outros agentes que foram atribuídos anteriormente a este domínio precisarão ser reconfigurados.

Como desinstalo o Provisioning Agent?

  • Entre no servidor Windows onde o Agente de Provisionamento está instalado.
  • Vá para o menu Painel de Controle ->Desinstalar ou Alterar um Programa
  • Desinstale os seguintes programas:
    • Agente de provisionamento do Microsoft Entra Connect
    • Microsoft Entra Connect Agent Updater
    • Pacote do Agente de Provisionamento do Microsoft Entra Connect

Perguntas sobre mapeamento e configuração de atributos do Workday para AD

Como faço backup ou exportação de uma cópia de trabalho do meu Mapeamento e Esquema de Atributos de Provisionamento do Workday?

Você pode usar a API do Microsoft Graph para exportar sua configuração de provisionamento de usuário do Workday. Consulte as etapas na seção Exportando e importando sua configuração de mapeamento de atributos de provisionamento de usuário do Workday para obter detalhes.

Tenho atributos personalizados no Workday e no Ative Directory. Como configuro a solução para trabalhar com meus atributos personalizados?

A solução suporta atributos personalizados do Workday e do Ative Directory. Para adicionar seus atributos personalizados ao esquema de mapeamento, abra a folha Mapeamento de Atributos e role para baixo para expandir a seção Mostrar opções avançadas.

Edit Attribute List

Para adicionar seus atributos personalizados do Workday, selecione a opção Editar lista de atributos para Workday e, para adicionar seus atributos personalizados do AD, selecione a opção Editar lista de atributos para o Ative Directory Local.

Consulte também:

Como configuro a solução para atualizar apenas atributos no AD com base em alterações do Workday e não criar novas contas do AD?

Essa configuração pode ser obtida definindo as Ações de Objeto de Destino na folha Mapeamentos de Atributo, conforme mostrado abaixo:

Update action

Marque a caixa de seleção "Atualizar" para que apenas as operações de atualização fluam do Workday para o AD.

Posso provisionar a foto do usuário do Workday para o Ative Directory?

Atualmente, a solução não oferece suporte à configuração de atributos binários, como thumbnailPhoto e jpegPhoto no Ative Directory.

  • Vá para a folha "Provisionamento" do seu aplicativo de provisionamento do Workday.

  • Clique nos mapeamentos de atributos

  • Em Mapeamentos, selecione Sincronizar Trabalhadores de Dia de Trabalho com o Ative Directory Local (ou Sincronizar Trabalhadores de Dia de Trabalho com a ID do Microsoft Entra).

  • Na página Mapeamentos de Atributos, role para baixo e marque a caixa "Mostrar Opções Avançadas". Clique em Editar lista de atributos para Workday

  • Na folha que se abre, localize o atributo "Mobile" e clique na linha para que você possa editar a expressão da APIMobile GDPR

  • Substitua a expressão da API pela nova expressão a seguir, que recupera o número de celular de trabalho somente se o "Sinalizador de uso público" estiver definido como "True" no Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • Salve a lista de atributos.

  • Salve o mapeamento de atributos.

  • Limpe o estado atual e reinicie a sincronização completa.

Como formatar nomes de exibição no AD com base nos atributos de departamento/país/cidade do usuário e lidar com variações regionais?

É um requisito comum configurar o atributo displayName no AD para que ele também forneça informações sobre o departamento do usuário e o país/região. Por exemplo, se John Smith trabalha no Departamento de Marketing nos EUA, você pode querer que seu displayName apareça como Smith, John (Marketing-US).

Veja como você pode lidar com esses requisitos para construir CN ou displayName para incluir atributos como empresa, unidade de negócios, cidade ou país/região.

  • Cada atributo Workday é recuperado usando uma expressão subjacente da API XPATH, que é configurável em Mapeamento de atributos - Seção avançada ->> Editar lista de atributos para Workday. Aqui está a expressão padrão da API XPATH para os atributos Workday PreferredFirstName, PreferredLastName, Company e SupervisoryOrganization.

    Atributo do dia útil Expressão XPATH da API
    PreferredFirstName wd:Trabalhador/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Trabalhador/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Empresa wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Empresa']/wd:Organization_Reference/@wd:Descritor
    SupervisãoOrganização wd:Trabalhador/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Confirme com sua equipe do Workday se a expressão da API acima é válida para sua configuração de locatário do Workday. Se necessário, você pode editá-los conforme descrito na seção Personalizando a lista de atributos de usuário do Workday.

  • Da mesma forma, as informações de país/região presentes no Workday são recuperadas usando o seguinte XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd: Country_Reference

    Há 5 atributos relacionados a país/região que estão disponíveis na seção Lista de atributos do Dia de trabalho.

    Atributo do dia útil Expressão XPATH da API
    Referência do país wd:Trabalhador/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Trabalhador/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descritor
    PaísReferênciaNumérico wd:Trabalhador/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    PaísReferênciaDuas Cartas wd:Trabalhador/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    PaísRegiãoReferência wd:Trabalhador/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descritor

    Confirme com sua equipe do Workday se as expressões da API acima são válidas para sua configuração de locatário do Workday. Se necessário, você pode editá-los conforme descrito na seção Personalizando a lista de atributos de usuário do Workday.

  • Para criar a expressão correta de mapeamento de atributos, identifique qual atributo Workday representa "autoritativamente" o nome, sobrenome, país/região e departamento do usuário. Digamos que os atributos são PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter e SupervisoryOrganization, respectivamente. Você pode usar isso para criar uma expressão para o atributo displayName do AD da seguinte forma para obter um nome de exibição como Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    Depois de ter a expressão correta, edite a tabela Mapeamentos de Atributos e modifique o mapeamento do atributo displayName conforme mostrado abaixo: DisplayName Mapping

  • Estendendo o exemplo acima, digamos que você gostaria de converter nomes de cidades provenientes do Workday em valores abreviados e, em seguida, usá-lo para construir nomes de exibição como Smith, John (CHI) ou Doe, Jane (NYC), então esse resultado pode ser alcançado usando uma expressão Switch com o atributo Workday Municipality como variável determinante.

    Switch
    (
      [Municipality],
      Join(", ", [PreferredLastName], [PreferredFirstName]),  
           "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
           "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
           "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    Consulte também:

Como posso usar SelectUniqueValue para gerar valores exclusivos para o atributo samAccountName?

Digamos que você queira gerar valores exclusivos para o atributo samAccountName usando uma combinação dos atributos FirstName e LastName do Workday. Abaixo está uma expressão com a qual você pode começar:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Como funciona a expressão acima: Se o usuário é John Smith, ele primeiro tenta gerar JSmith, se JSmith já existe, então ele gera JoSmith, se isso existe, ele gera JohSmith. A expressão também garante que o valor gerado atenda à restrição de comprimento e à restrição de caracteres especiais associada a samAccountName.

Consulte também:

Como faço para remover caracteres com diacríticos e convertê-los em alfabetos ingleses normais?

Use a função NormalizeDiacritics para remover caracteres especiais no nome e sobrenome do usuário, enquanto constrói o endereço de e-mail ou valor CN para o usuário.

Sugestões de resolução de problemas

Esta seção fornece orientação específica sobre como solucionar problemas de provisionamento com sua integração do Workday usando os logs de auditoria do Microsoft Entra e os logs do Visualizador de Eventos do Windows Server. Ele se baseia nas etapas e conceitos genéricos de solução de problemas capturados no Tutorial: Relatórios sobre o provisionamento automático de contas de usuário

Esta seção aborda os seguintes aspetos da solução de problemas:

Configurar o agente de provisionamento para emitir logs do Visualizador de Eventos

  1. Entre na máquina Windows Server onde o agente de provisionamento está implantado

  2. Pare o serviço Microsoft Entra Connect Provisioning Agent.

  3. Crie uma cópia do arquivo de configuração original: C: \Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Substitua a seção existente <system.diagnostics> pelo seguinte.

    • A configuração do ouvinte etw emite mensagens para os logs do EventViewer
    • O listener config textWriterListener envia mensagens de rastreamento para o arquivo ProvAgentTrace.log. Descomente as linhas relacionadas a textWriterListener apenas para solução de problemas avançada.
      <system.diagnostics>
          <sources>
          <source name="AAD Connect Provisioning Agent">
              <listeners>
              <add name="console"/>
              <add name="etw"/>
              <!-- <add name="textWriterListener"/> -->
              </listeners>
          </source>
          </sources>
          <sharedListeners>
          <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
          <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
              <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
          </add>
          <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
          </sharedListeners>
      </system.diagnostics>
    
    
  5. Inicie o serviço Microsoft Entra Connect Provisioning Agent.

Configurando o Visualizador de Eventos do Windows para solução de problemas do agente

  1. Entre na máquina Windows Server onde o Agente de Provisionamento está implantado

  2. Abra o aplicativo de área de trabalho Visualizador de Eventos do Windows Server.

  3. Selecione Aplicativo de logs > do Windows.

  4. Use a opção Filtrar Log Atual... para exibir todos os eventos registrados no Agente de Provisionamento do Microsoft Entra Connect de origem e excluir eventos com a ID de Evento "5", especificando o filtro "-5", conforme mostrado abaixo.

    Nota

    A ID de Evento 5 captura mensagens de inicialização do agente para o serviço de nuvem Microsoft Entra e, portanto, filtramos enquanto analisamos os arquivos de log.

    Windows Event Viewer

  5. Clique em OK e classifique a exibição de resultados por coluna Data e Hora .

Configurando os Logs de Auditoria do portal do Azure para solução de problemas do serviço

  1. Inicie o portal do Azure e navegue até a seção Logs de auditoria do seu aplicativo de provisionamento do Workday.

  2. Use o botão Colunas na página Logs de Auditoria para exibir apenas as seguintes colunas na exibição (Data, Atividade, Status, Motivo do Status). Essa configuração garante que você se concentre apenas nos dados relevantes para a solução de problemas.

    Audit log columns

  3. Use os parâmetros de consulta Destino e Intervalo de datas para filtrar a exibição.

    • Defina o parâmetro de consulta Target como "Worker ID" ou "Employee ID" do objeto Workday worker.
    • Defina o Intervalo de Datas para um período de tempo apropriado durante o qual você deseja investigar erros ou problemas com o provisionamento.

    Audit log filters

Noções básicas sobre logs para operações de criação de Conta de Usuário do AD

Quando uma nova contratação no Workday é detetada (digamos com o Employee ID 21023), o serviço de provisionamento do Microsoft Entra tenta criar uma nova conta de usuário do AD para o trabalhador e, no processo, cria 4 registros de log de auditoria, conforme descrito abaixo:

Audit log create ops

Quando você clica em qualquer um dos registros de log de auditoria, a página Detalhes da atividade é aberta. Aqui está o que a página Detalhes da atividade exibe para cada tipo de registro de log.

  • Registro de importação de dia de trabalho: esse registro de log exibe as informações do trabalhador obtidas no Workday. Use as informações na seção Detalhes adicionais do registro de log para solucionar problemas com a busca de dados do Workday. Um registro de exemplo é mostrado abaixo, juntamente com ponteiros sobre como interpretar cada campo.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • Registo de Importação do AD: este registo de registo apresenta informações da conta obtida no AD. Como durante a criação inicial do usuário não há nenhuma conta do AD, o Motivo do Status da Atividade indicará que nenhuma conta com o valor do atributo ID Correspondente foi encontrada no Ative Directory. Use as informações na seção Detalhes adicionais do registro de log para solucionar problemas com a busca de dados do Workday. Um registro de exemplo é mostrado abaixo, juntamente com ponteiros sobre como interpretar cada campo.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object was not found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    Para localizar os registos de registo do Agente de Aprovisionamento correspondentes a esta operação de importação do AD, abra os registos do Visualizador de Eventos do Windows e utilize a opção de menu Localizar... para localizar entradas de registo que contenham o valor do atributo ID correspondente/Propriedade de associação (neste caso , 21023).

    Find

    Procure a entrada com ID de Evento = 9, que fornecerá o filtro de pesquisa LDAP usado pelo agente para recuperar a conta do AD. Você pode verificar se este é o filtro de pesquisa correto para recuperar entradas de usuário exclusivas.

    LDAP Search

    O registro que imediatamente se segue com ID de Evento = 2 captura o resultado da operação de pesquisa e se ele retornou algum resultado.

    LDAP Results

  • Registro de ação da regra de sincronização: esse registro de log exibe os resultados das regras de mapeamento de atributos e dos filtros de escopo configurados, juntamente com a ação de provisionamento que será executada para processar o evento Workday de entrada. Use as informações na seção Detalhes adicionais do registro de log para solucionar problemas com a ação de sincronização. Um registro de exemplo é mostrado abaixo, juntamente com ponteiros sobre como interpretar cada campo.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object will be added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    Se houver problemas com suas expressões de mapeamento de atributos ou se os dados de entrada do Workday tiverem problemas (por exemplo: valor vazio ou nulo para atributos necessários), você observará uma falha neste estágio com o ErrorCode fornecendo detalhes da falha.

  • Registo de Exportação do AD: este registo de registo apresenta o resultado da operação de criação da conta do AD juntamente com os valores de atributos que foram definidos no processo. Use as informações na seção Detalhes adicionais do registro de log para solucionar problemas com a operação de criação de conta. Um registro de exemplo é mostrado abaixo, juntamente com ponteiros sobre como interpretar cada campo. Na seção "Detalhes adicionais", o "EventName" é definido como "EntryExportAdd", o "JoiningProperty" é definido como o valor do atributo ID correspondente, o "SourceAnchor" é definido como o WorkdayID (WID) associado ao registro e o "TargetAnchor" é definido como o valor do atributo AD "ObjectGuid" do usuário recém-criado.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object will be created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
    

    Para localizar os registos de registo do Agente de Aprovisionamento correspondentes a esta operação de exportação do AD, abra os registos do Visualizador de Eventos do Windows e utilize a opção de menu Localizar... para localizar entradas de registo que contenham o valor do atributo ID correspondente/Propriedade de associação (neste caso , 21023).

    Procure um registro HTTP POST correspondente ao carimbo de data/hora da operação de exportação com ID de Evento = 2. Esse registro conterá os valores de atributo enviados pelo serviço de provisionamento ao agente de provisionamento.

    Screenshot that shows the 'HTTP POST' record in the 'Provisioning Agent' log.

    Imediatamente após o evento acima, deve haver outro evento que capture a resposta da operação de criação de conta do AD. Esse evento retorna o novo objectGuid criado no AD e é definido como o atributo TargetAnchor no serviço de provisionamento.

    Screenshot that shows the 'Provisioning Agent' log with the objectGuid created in AD highlighted.

Noções básicas sobre logs para operações de atualização do gerente

O atributo manager é um atributo de referência no AD. O serviço de provisionamento não define o atributo manager como parte da operação de criação do usuário. Em vez disso, o atributo manager é definido como parte de uma operação de atualização depois que a conta do AD é criada para o usuário. Expandindo o exemplo acima, digamos que um novo contratado com ID de funcionário "21451" seja ativado no Workday e o gerente do novo contratado (21023) já tenha uma conta AD. Nesse cenário, pesquisar os logs de auditoria para o usuário 21451 mostra 5 entradas.

Manager Update

Os primeiros 4 registros são como os que exploramos como parte da operação de criação do usuário. O 5º registro é a exportação associada à atualização de atributos do gerente. O registro de log exibe o resultado da operação de atualização do gerenciador de contas do AD, que é executada usando o atributo objectGuid do gerente.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Resolução de erros encontrados com frequência

Esta seção aborda os erros comumente vistos com o provisionamento de usuários do Workday e como resolvê-los. Os erros estão agrupados da seguinte forma:

Erros do agente de provisionamento

# Cenário de erro Causas prováveis Resolução recomendada
1. Erro ao instalar o agente de provisionamento com mensagem de erro: Falha ao iniciar o serviço 'Microsoft Entra Connect Provisioning Agent' (AADConnectProvisioningAgent). Verifique se você tem privilégios suficientes para iniciar o sistema. Esse erro geralmente aparece se você estiver tentando instalar o agente de provisionamento em um controlador de domínio e a diretiva de grupo impede que o serviço seja iniciado. Também é visto se você tem uma versão anterior do agente em execução e não a desinstalou antes de iniciar uma nova instalação. Instale o agente de provisionamento em um servidor que não seja DC. Certifique-se de que as versões anteriores do agente sejam desinstaladas antes de instalar o novo agente.
2. O serviço do Windows 'Microsoft Entra Connect Provisioning Agent' está no estado inicial e não alterna para o estado em execução . Como parte da instalação, o assistente do agente cria uma conta local (NT Service\AADConnectProvisioningAgent) no servidor e essa é a conta de logon usada para iniciar o serviço. Se uma política de segurança no servidor Windows impedir que as contas locais executem os serviços, você encontrará esse erro. Abra o console Serviços. Clique com o botão direito do rato no Serviço Windows 'Microsoft Entra Connect Provisioning Agent' e, no separador de início de sessão, especifique a conta de um administrador de domínio para executar o serviço. Reinicie o serviço.
3. Ao configurar o agente de provisionamento com seu domínio do AD na etapa Conectar o Ative Directory, o assistente leva muito tempo tentando carregar o esquema do AD e, eventualmente, atinge o tempo limite. Geralmente, este erro aparece se o assistente não conseguir contactar o servidor de controlador de domínio do AD devido a problemas na firewall. Na tela do assistente Conectar Ative Directory, ao fornecer as credenciais para seu domínio do AD, há uma opção chamada Selecionar prioridade do controlador de domínio. Use essa opção para selecionar um controlador de domínio que esteja no mesmo site que o servidor do agente e verifique se não há regras de firewall bloqueando a comunicação.

Erros de conectividade

Se o serviço de provisionamento não conseguir se conectar ao Workday ou ao Ative Directory, isso poderá fazer com que o provisionamento entre em quarentena. Use a tabela abaixo para solucionar problemas de conectividade.

# Cenário de erro Causas prováveis Resolução recomendada
1. Quando você clica em Testar conexão, você recebe a mensagem de erro: Houve um erro ao se conectar ao Ative Directory. Verifique se o Agente de Provisionamento local está em execução e está configurado com o domínio correto do Ative Directory. Esse erro geralmente aparece se o agente de provisionamento não estiver em execução ou se houver um firewall bloqueando a comunicação entre a ID do Microsoft Entra e o agente de provisionamento. Você também pode ver esse erro, se o domínio não estiver configurado no Assistente de agente. Abra o console Serviços no servidor Windows para confirmar se o agente está em execução. Abra o assistente do agente de provisionamento e confirme se o domínio correto está registrado com o agente.
2. O trabalho de provisionamento entra em estado de quarentena nos fins de semana (sex-sáb) e recebemos uma notificação por e-mail de que há um erro com a sincronização. Uma das causas comuns deste erro é o período de indisponibilidade planeado do Workday. Se estiver a utilizar um inquilino de implementação do Workday, tenha em conta que o Workday tem um período de indisponibilidade agendado para os inquilinos de implementação (normalmente, da noite de sexta-feira à manhã de sábado) e, durante esse período, as aplicações de aprovisionamento do Workday podem entrar em quarentena, pois não se conseguem ligar ao Workday. Regressam ao estado normal quando o inquilino de implementação do Workday estiver novamente online. Em casos raros, também poderá ver este erro se a palavra-passe de Utilizador de Sistema de Integração tiver sido alterada devido a uma atualização do inquilino ou se a conta estiver bloqueada ou expirada. Verifique junto do seu administrador do Workday ou do seu parceiro de integração qual é o período de indisponibilidade do Workday, de modo a ignorar as mensagens de alerta durante esse período e confirmar a disponibilidade assim que a instância do Workday estiver de novo online.

Erros de criação de conta de utilizador do AD

# Cenário de erro Causas prováveis Resolução recomendada
1. Falhas de operação de exportação no log de auditoria com a mensagem Error: OperationsError-SvcErr: Ocorreu um erro de operação. Nenhuma referência superior foi configurada para o serviço de diretório. Portanto, o serviço de diretório não pode emitir referências para objetos fora dessa floresta. Normalmente, este erro surge se a UO do Contentor do Active Directory não estiver corretamente definida ou se houver problemas com o Mapeamento de Expressões utilizado para parentDistinguishedName. Verifique se há erros de digitação no parâmetro UO do contêiner do Ative Directory. Se estiver a utilizar parentDistinguishedName no mapeamento de atributos, confirme que é sempre avaliado para um contentor conhecido dentro do domínio do AD. Verifique o Evento de exportação no registo de auditoria para ver o valor gerado.
2. Falhas de operação de exportação no log de auditoria com código de erro: SystemForCrossDomainIdentityManagementBadResponse e mensagem Error: ConstraintViolation-AtrErr: Um valor na solicitação é inválido. Um valor para o atributo não estava no intervalo aceitável de valores. \nDetalhes do erro: CONSTRAINT_ATT_TYPE - empresa. Embora esse erro seja específico para o atributo da empresa , você também pode ver esse erro para outros atributos, como CN . Este erro aparece devido à restrição de esquema imposta pelo AD. Por padrão, os atributos como empresa e CN no AD têm um limite superior de 64 caracteres. Se o valor proveniente de Workday for superior a 64 caracteres, verá esta mensagem de erro. Verifique o evento Export nos logs de auditoria para ver o valor do atributo relatado na mensagem de erro. Considere truncar o valor proveniente do Workday usando a função Mid ou alterar os mapeamentos para um atributo do AD que não tenha restrições de comprimento semelhantes.

Erros de atualização da conta de usuário do AD

Durante o processo de atualização da conta de usuário do AD, o serviço de provisionamento lê informações do Workday e do AD, executa as regras de mapeamento de atributos e determina se alguma alteração precisa entrar em vigor. Assim, um evento de atualização é acionado. Se qualquer uma dessas etapas encontrar uma falha, ela será registrada nos logs de auditoria. Use a tabela abaixo para solucionar erros comuns de atualização.

# Cenário de erro Causas prováveis Resolução recomendada
1. Falhas de ação da regra de sincronização no log de auditoria com a mensagem EventName = EntrySynchronizationError e ErrorCode = EndpointUnavailable. Esse erro aparece se o serviço de provisionamento não conseguir recuperar dados de perfil de usuário do Ative Directory devido a um erro de processamento encontrado pelo agente de provisionamento local. Verifique os logs do Visualizador de Eventos do Provisioning Agent em busca de eventos de erro que indiquem problemas com a operação de leitura (Filtrar por ID de Evento #2).
2. O atributo manager no AD não é atualizado para determinados usuários no AD. A causa mais provável desse erro é se você estiver usando regras de escopo e o gerenciador do usuário não fizer parte do escopo. Você também pode se deparar com esse problema se o atributo ID correspondente do gerente (por exemplo, EmployeeID) não for encontrado no domínio AD de destino ou não estiver definido com o valor correto. Revise o filtro de escopo e adicione o usuário gerente no escopo. Verifique o perfil do gestor no AD para se certificar de que existe um valor para o atributo ID correspondente.

Gerenciando sua configuração

Esta seção descreve como você pode ampliar, personalizar e gerenciar ainda mais sua configuração de provisionamento de usuário orientada pelo Workday. Abrange os seguintes tópicos:

Personalizando a lista de atributos de usuário do Workday

Os aplicativos de provisionamento Workday para Ative Directory e Microsoft Entra ID incluem uma lista padrão de atributos de usuário do Workday que você pode selecionar. No entanto, estas listas não são exaustivas. O Workday suporta muitas centenas de atributos de usuário possíveis, que podem ser padrão ou exclusivos para seu locatário do Workday.

O serviço de provisionamento do Microsoft Entra oferece suporte à capacidade de personalizar sua lista ou atributo Workday para incluir quaisquer atributos expostos na operação Get_Workers da API de Recursos Humanos.

Para fazer essa alteração, você deve usar o Workday Studio para extrair as expressões XPath que representam os atributos que deseja usar e, em seguida, adicioná-las à sua configuração de provisionamento usando o editor de atributos avançado.

Para recuperar uma expressão XPath para um atributo de usuário do Workday:

  1. Baixe e instale o Workday Studio. Você precisará de uma conta da comunidade Workday para acessar o instalador.

  2. Baixe o arquivo WSDL do Workday Human_Resources específico para a versão da API do WWS que você planeja usar no Workday Web Services Directory

  3. Inicie o Workday Studio.

  4. Na barra de comandos, selecione a opção Workday > Test Web Service in Tester .

  5. Selecione Externo e selecione o arquivo WSDL Human_Resources que você baixou na etapa 2.

    Screenshot that shows the

  6. Defina o campo Localização como https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, mas substituindo "IMPL-CC" pelo seu tipo de instância real e "TENANT" pelo seu nome de locatário real.

  7. Definir operação como Get_Workers

  8. Clique no pequeno link de configuração abaixo dos painéis Solicitação/Resposta para definir suas credenciais do Workday. Verifique Autenticação e insira o nome de usuário e a senha da sua conta do sistema de integração do Workday. Certifique-se de formatar o nome de usuário como name@tenant e deixe a opção WS-Security UsernameToken selecionada. Screenshot that shows the

  9. Selecione OK.

  10. No painel Solicitação, cole o XML abaixo. Defina Employee_ID para o ID de funcionário de um usuário real em seu locatário do Workday. Defina wd:version para a versão do WWS que você planeja usar. Selecione um usuário que tenha o atributo preenchido que você deseja extrair.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. Clique em Enviar solicitação (seta verde) para executar o comando. Se for bem-sucedida, a resposta deverá aparecer no painel Resposta . Verifique a resposta para garantir que tem os dados do ID de utilizador que introduziu, e não um erro.

  12. Se for bem-sucedido, copie o XML do painel Resposta e salve-o como um arquivo XML.

  13. Na barra de comandos do Workday Studio, selecione Arquivo Aberto Arquivo > ... e abra o arquivo XML que você salvou. Esta ação abrirá o arquivo no editor XML do Workday Studio.

    Screenshot of an X M L file open in the

  14. Na árvore de arquivos, navegue por /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker para encontrar os dados do usuário.

  15. Em wd: Trabalhador, localize o atributo que deseja adicionar e selecione-o.

  16. Copie a expressão XPath para o atributo selecionado fora do campo Caminho do documento .

  17. Remova o prefixo /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ da expressão copiada.

  18. Se o último item da expressão copiada for um nó (exemplo: "/wd: Birth_Date"), acrescente /text() no final da expressão. Isso não é necessário se o último item for um atributo (exemplo: "/@wd: type").

  19. O resultado deve ser algo como wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Esse valor é o que você copiará para o portal do Azure.

Para adicionar seu atributo de usuário personalizado do Workday à sua configuração de provisionamento:

  1. Inicie o portal do Azure e navegue até a seção Provisionamento do seu aplicativo de provisionamento do Workday, conforme descrito anteriormente neste tutorial.

  2. Defina Status de provisionamento como Desativado e selecione Salvar. Esta etapa ajudará a garantir que suas alterações entrarão em vigor somente quando você estiver pronto.

  3. Em Mapeamentos, selecione Sincronizar Trabalhadores de Dia de Trabalho com o Ative Directory Local (ou Sincronizar Trabalhadores de Dia de Trabalho com a ID do Microsoft Entra).

  4. Desloque-se para a parte inferior do ecrã seguinte e selecione Mostrar opções avançadas.

  5. Selecione Editar lista de atributos para Workday.

    Screenshot that shows the

  6. Role até a parte inferior da lista de atributos até onde estão os campos de entrada.

  7. Em Nome, insira um nome para exibição para seu atributo.

  8. Em Type, selecione o tipo que corresponde adequadamente ao seu atributo (String é o mais comum).

  9. Para API Expression, insira a expressão XPath copiada do Workday Studio. Exemplo: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Selecione Adicionar atributo.

    Workday Studio

  11. Selecione Salvar acima e, em seguida, Sim na caixa de diálogo. Feche a tela Mapeamento de atributos se ela ainda estiver aberta.

  12. De volta à guia principal Provisionamento , selecione Sincronizar Trabalhadores do Dia de Trabalho com o Ative Directory Local (ou Sincronizar Trabalhadores com a ID do Microsoft Entra) novamente.

  13. Selecione Adicionar novo mapeamento.

  14. Seu novo atributo agora deve aparecer na lista Atributo de origem.

  15. Adicione um mapeamento para seu novo atributo conforme desejado.

  16. Quando terminar, lembre-se de definir Status de provisionamento novamente como Ativado e salvar.

Exportar e importar configuração

Consulte o artigo Exportando e importando a configuração de provisionamento

Gerir dados pessoais

A solução de provisionamento Workday para Ative Directory requer que um agente de provisionamento seja instalado em um servidor Windows local, e esse agente cria logs no log de eventos do Windows que podem conter dados pessoais dependendo dos mapeamentos de atributos do Workday para o AD. Para cumprir as obrigações de privacidade do usuário, você pode garantir que nenhum dado seja retido nos logs de eventos além de 48 horas configurando uma tarefa agendada do Windows para limpar o log de eventos.

O serviço de provisionamento Microsoft Entra se enquadra na categoria de processador de dados da classificação GDPR. Como um pipeline de processador de dados, o serviço fornece serviços de processamento de dados para os principais parceiros e consumidores finais. O serviço de provisionamento Microsoft Entra não gera dados do usuário e não tem controle independente sobre quais dados pessoais são coletados e como eles são usados. A recuperação, agregação, análise e emissão de relatórios de dados no serviço de provisionamento Microsoft Entra são baseadas em dados corporativos existentes.

Nota

Para obter informações sobre como visualizar ou excluir dados pessoais, consulte as orientações da Microsoft sobre as solicitações de titulares de dados do Windows para o site GDPR . Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.

Com relação à retenção de dados, o serviço de provisionamento do Microsoft Entra não gera relatórios, executa análises ou fornece informações além de 30 dias. Portanto, o serviço de provisionamento do Microsoft Entra não armazena, processa ou retém dados além de 30 dias. Este design está em conformidade com os regulamentos GDPR, regulamentos de conformidade de privacidade da Microsoft e políticas de retenção de dados do Microsoft Entra.

Próximos passos