Синхронизация атрибутов для рабочих процессов жизненного цикла

  • Статья

Рабочие процессы содержат определенные задачи, которые могут выполняться автоматически для пользователей на основе указанных условий выполнения. Автоматическое планирование рабочих процессов поддерживается на основе атрибутов пользователя employeeHireDate и employeeLeaveDateTime в идентификаторе Microsoft Entra.

Чтобы воспользоваться всеми преимуществами рабочих процессов жизненного цикла, подготовка пользователей должна быть автоматизирована, а планирование соответствующих атрибутов должно быть синхронизировано.

Планирование соответствующих атрибутов

В следующей таблице показаны соответствующие атрибуты планирования (триггера) и поддерживаемые методы синхронизации.

Атрибут Тип Поддерживается при подготовке входящего трафика отдела кадров Поддержка в облачной синхронизации Microsoft Entra Подключение Поддержка синхронизации Подключение Microsoft Entra
employeeHireDate DateTimeOffset Да Да Да
employeeLeaveDateTime DateTimeOffset Да Да Да

Примечание.

Для пользователей, доступных только для облака, вручную для параметра employeeLeaveDateTime требуются специальные разрешения. Дополнительные сведения см. в разделе "Настройка свойства employeeLeaveDateTime для пользователя"

В этом документе объясняется, как настроить синхронизацию из локальной службы Microsoft Entra Подключение облачной синхронизации или Microsoft Entra Подключение для необходимых атрибутов.

Примечание.

В Active Directory отсутствует соответствующий атрибут EmployeeHireDate или EmployeeLeaveDateTime. При синхронизации из локальной службы AD необходимо определить атрибут в AD, который можно использовать. Этот атрибут должен быть строкой.

Основные сведения о форматировании атрибутов EmployeeHireDate и EmployeeLeaveDateTime

Атрибуты EmployeeHireDate и EmployeeLeaveDateTime содержат даты и время, которые должны быть отформатированы определенным образом. Это означает, что может потребоваться использовать выражение для преобразования значения исходного атрибута в формат EmployeeHireDate или EmployeeLeaveDateTime. В следующей таблице описывается ожидаемый формат и приведен пример выражения по преобразованию значений.

Сценарий Выражение/формат Назначение Дополнительные сведения
Подготовка пользователей из Workday в Azure Active Directory FormatDateTime([StatusHireDate], "гггг-ММ-ddzzz", "yMMdDHHmmss.fZ") Локальный строковый атрибут AD Сопоставление атрибутов для Workday
Подготовка пользователей из SuccessFactors в Active Directory FormatDateTime([endDate], "M/d/yy hh:mm:ss tt","yMDdHHmmss.fZ") Локальный строковый атрибут AD Сопоставления атрибутов для SAP Success Factors
Настраиваемый импорт в Active Directory Должен иметь формат "yyyyMMddHHmmss.fZ" Локальный строковый атрибут AD Сопоставления атрибутов для любой другой системы записи
API пользователя Microsoft Graph Должен иметь формат "YYYY-MM-DDThh:mm:ssZ" EmployeeHireDate и EmployeeLeaveDateTime
Workday to Microsoft Entra user provisioning Может использовать прямое сопоставление. Выражение не требуется, но можно использовать для настройки части времени EmployeeHireDate и EmployeeLeaveDateTime EmployeeHireDate и EmployeeLeaveDateTime
SuccessFactors для подготовки пользователей Microsoft Entra Может использовать прямое сопоставление. Выражение не требуется, но можно использовать для настройки части времени EmployeeHireDate и EmployeeLeaveDateTime EmployeeHireDate и EmployeeLeaveDateTime

Дополнительные сведения о выражениях см. в справочнике по написанию выражений для сопоставления атрибутов в идентификаторе Microsoft Entra.

Примеры выражений в таблице используют endDate для SAP и StatusHireDate для Workday. Однако вы можете использовать различные атрибуты.

Например, можно использовать StatusContinuousFirstDayOfWork вместо StatusHireDate для Workday. В этом экземпляре выражение будет следующим:

FormatDateTime([StatusContinuousFirstDayOfWork], , "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ")

В следующей таблице приведен список предлагаемых атрибутов и рекомендации по сценариям для них.

Атрибут отдела кадров Система управления персоналом Сценарий Атрибут Microsoft Entra
StatusHireDate Workday Принятие сотрудника на работу EmployeeHireDate
StatusContinuousFirstDayOfWork Workday Принятие сотрудника на работу EmployeeHireDate
StatusDateEnteredWorkforce Workday Принятие сотрудника на работу EmployeeHireDate
StatusOriginalHireDate Workday Принятие сотрудника на работу EmployeeHireDate
StatusEndEmploymentDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
StatusResignationDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
StatusRetirementDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
StatusTerminationDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
startDate SAP SF Принятие сотрудника на работу EmployeeHireDate
firstDateWorked SAP SF Принятие сотрудника на работу EmployeeHireDate
lastDateWorked SAP SF Увольняющийся сотрудник EmployeeLeaveDateTime
endDate SAP SF Увольняющийся сотрудник EmployeeLeaveDateTime

Дополнительные атрибуты см. в справочнике по атрибуту Workday и справочнике по атрибуту SAP SuccessFactors.

Важность времени

Чтобы обеспечить точность времени запланированных рабочих процессов, важно учитывать следующее:

  • Часть времени атрибута должна быть задана соответствующим образом, например в employeeHireDate должно быть время в начале дня, например 1:00 или 5:00, а в employeeLeaveDateTime должно быть время в конце дня, например 21:00 или 23:00
  • Рабочие процессы не будут выполняться раньше указанного в атрибуте времени, однако расписание клиента (по умолчанию 3h) может отложить выполнение рабочего процесса. Например, если задать для employeeHireDate время 8:00, но расписание клиента не будет выполняться до 9:00, рабочий процесс не будет обработан до этого момента. Если новый наем начинается с 8 утра, вы хотите задать время на что-то подобное (время начала - расписание клиента), чтобы убедиться, что он выполняется до прибытия сотрудника.
  • Если вы используете временный секретный код (TAP), рекомендуется задать максимальное время существования 24 часа. Это поможет убедиться, что срок действия TAP не истек после отправки сотруднику, который может находиться в другом часовом поясе. Дополнительные сведения см. в разделе "Настройка временного прохода доступа" в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля.
  • При импорте данных следует понимать, предоставляет ли источник сведения о часовом поясе для пользователей, чтобы они могли внести коррективы и обеспечить точность времени.

Создание настраиваемого правила синхронизации в Microsoft Entra Подключение облачной синхронизации для EmployeeHireDate

Ниже описано, как создать правило синхронизации с помощью облачной синхронизации.

  1. В Центре администрирования Microsoft Entra перейдите к >microsoft Entra hybrid management>Microsoft Entra Подключение.
  2. Выберите "Управление Microsoft Entra" Подключение облачной синхронизации.
  3. В разделе Конфигурация выберите свою конфигурацию.
  4. Щелкните ссылку Нажмите, чтобы изменить сопоставления. Она открывает экран Сопоставления атрибутов.
  5. Нажмите кнопку Добавить атрибут.
  6. Введите следующие сведения:
    • Тип сопоставления: прямое
    • Атрибут источника: msDS-cloudExtensionAttribute1
    • Значение по умолчанию: оставьте пустым
    • Целевой атрибут: employeeHireDate
    • Применение этого сопоставления: Всегда Screenshot of the cloud attribute mapping.
  7. Выберите Применить.
  8. Вернитесь на экран Сопоставления атрибутов, где вы увидите новое сопоставление атрибутов.
  9. Выберите Сохранить схему.

Дополнительные сведения об атрибутах см. в разделе "Сопоставление атрибутов" в Microsoft Entra Подключение облачной синхронизации.

Создание настраиваемого правила синхронизации в Microsoft Entra Подключение для EmployeeHireDate

В следующем примере показано, как настроить настраиваемое правило синхронизации, которое синхронизирует атрибут Active Directory с атрибутом employeeHireDate в идентификаторе Microsoft Entra.

  1. Откройте окно PowerShell от имени администратора и запустите Set-ADSyncScheduler -SyncCycleEnabled $false , чтобы отключить планировщик.
  2. Перейдите в раздел Start\Microsoft Entra Подключение\ и откройте редактор правил синхронизации
  3. Убедитесь, что для направления в верхней части задано значение Входящие.
  4. Выберите Добавить правило.
  5. На экране Создание правила синхронизации для входящего трафика введите следующие сведения и нажмите кнопку Далее.
    • Имя: Вход из AD — EmployeeHireDate
    • Подключенная система: contoso.com
    • Тип объекта подключенной системы: пользователь
    • Тип объекта метавселенной: человек
    • Приоритет: 20 Screenshot of creating an inbound synchronization rule basics.
  6. На экране Фильтр области действия нажмите кнопку Далее.
  7. На экране Правила присоединения нажмите кнопку Далее.
  8. На экране Преобразования в разделе Добавление преобразований введите следующие сведения.
    • Тип потока: прямой
    • Целевой атрибут: employeeHireDate
    • Источник: msDS-cloudExtensionAttribute1 Screenshot of creating inbound synchronization rule transformations.
  9. Выберите Добавить.
  10. Убедитесь, что в редакторе правил синхронизации для направления в верхней части задано значение Исходящие.
  11. Выберите Добавить правило.
  12. На экране Создание правила синхронизации для исходящего трафика введите следующие сведения и нажмите кнопку Далее.
    • Имя: выход в идентификатор Microsoft Entra — EmployeeHireDate
    • Подключенная система: <ваш клиент>
    • Тип объекта подключенной системы: пользователь
    • Тип объекта метавселенной: человек
    • Приоритет: 21
  13. На экране Фильтр области действия нажмите кнопку Далее.
  14. На экране Правила присоединения нажмите кнопку Далее.
  15. На экране Преобразования в разделе Добавление преобразований введите следующие сведения.
    • Тип потока: прямой
    • Целевой атрибут: employeeHireDate
    • Источник: employeeHireDate Screenshot of create outbound synchronization rule transformations.
  16. Выберите Добавить.
  17. Закройте Редактор правил синхронизации
  18. Снова включите планировщик, выполнив команду Set-ADSyncScheduler -SyncCycleEnabled $true.

Примечание.

  • msDS-cloudExtensionAttribute1 — пример источника.
  • Начиная с microsoft Entra Подключение 2.0.3.0, employeeHireDate добавляется в правило по умолчанию "Out to Microsoft Entra ID", поэтому шаги 10-16 не требуются.
  • Начиная с microsoft Entra Подключение 2.1.19.0, employeeLeaveDateTime добавляется в правило по умолчанию "Out to Microsoft Entra ID", поэтому шаги 10-16 не требуются.

Дополнительные сведения см. в разделе Настройка правила синхронизации и Изменение конфигурации по умолчанию.

Изменение сопоставления атрибутов в приложении подготовки

После настройки приложения подготовки вы сможете изменить его сопоставление атрибутов. При создании приложения вы получите список сопоставлений по умолчанию между HRM и Active Directory. Оттуда можно изменить существующее сопоставление или добавить новое сопоставление.

Чтобы обновить это сопоставление, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный Администратор istrator.

  2. Перейдите к приложениям Identity>Applications>Enterprise.

  3. Откройте подготовленное приложение.

  4. Выберите "Подготовка" и выберите " Изменить сопоставление атрибутов".

  5. Выберите "Показать дополнительные параметры", а затем выберите пункт "Изменить список атрибутов" для Локальной active Directory. Screenshot of editing on-premises attribute.

  6. Добавьте исходный атрибут или атрибуты, созданные в качестве строки типа, и установите флажок для обязательного. Screenshot of source API list.

    Примечание.

    Число и имя добавленных исходных атрибутов зависит от того, какие атрибуты синхронизируются из Active Directory.

  7. Выберите Сохранить.

  8. Оттуда необходимо сопоставить атрибуты HRM с добавленными атрибутами Active Directory. Для этого добавьте новое сопоставление с помощью выражения.

  9. Выражение должно соответствовать форматированию, найденном в разделе форматирования EmployeeHireDate и EmployeeLeaveDateTime. Screenshot of setting attribute format.

  10. Нажмите кнопку "ОК".

Как проверить эти значения атрибутов в идентификаторе Microsoft Entra

Чтобы просмотреть значения, заданные в этих свойствах для пользовательских объектов в идентификаторе Microsoft Entra ID, можно использовать пакет SDK Microsoft Graph PowerShell. Например:

# Import Module
Import-Module Microsoft.Graph.Users

# Define the necessary scopes
$Scopes =@("User.Read.All", "User-LifeCycleInfo.Read.All")

# Connect using the scopes defined and select the Beta API Version
Connect-MgGraph -Scopes $Scopes


# Query a user, using its user ID, and return the desired properties
$user = Get-MgUser -UserID "9093a415-2968-48b5-808b-a1a6f006f7a3" -Property EmployeeLeaveDateTime
$User.EmployeeLeaveDateTime

Screenshot of the result.

Следующие шаги