Руководство по настройке Workday для подготовки пользователей Microsoft Entra

Цель этого руководства — показать действия, необходимые для подготовки рабочих данных из Workday в идентификатор Microsoft Entra.

Примечание.

Используйте этот учебник, если вам необходимо подготовить из Workday только облачных пользователей, которым не требуется локальная учетная запись AD. Если пользователям требуется только локальная учетная запись AD или учетная запись AD и Учетная запись Microsoft Entra, см. руководство по настройке Workday для подготовки пользователей Active Directory .

В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции подготовки с Workday.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с API кадров Workday для подготовки учетных записей пользователей. Рабочие процессы подготовки пользователей Workday, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Нанимать новых сотрудников . Когда новый сотрудник добавляется в Workday, учетная запись пользователя автоматически создается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra, с обратной записью адреса электронной почты в Workday.

• Обновления атрибутов и профилей сотрудников. При обновлении записи сотрудника в Workday (например, их имя, название или менеджер), их учетная запись пользователя будет автоматически обновлять идентификатор Microsoft Entra и при необходимости Microsoft 365 и другие приложения SaaS, поддерживаемые идентификатором Microsoft Entra.

• Завершение работы сотрудников. Когда сотрудник завершает работу в Workday, их учетная запись пользователя автоматически отключается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• При повторном выборе сотрудников в Workday их старая учетная запись может быть автоматически активирована или повторно подготовлена (в зависимости от вашего предпочтения) для идентификатора Microsoft Entra ID и при необходимости Microsoft 365 и других приложений SaaS, поддерживаемых идентификатором Microsoft Entra.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение подготовки пользователей Microsoft Entra в Workday идеально подходит для:

• организаций, которым необходимо готовое облачное решение для подготовки пользователей в Workday;

• Организации, которым требуется прямая подготовка пользователей из Workday в идентификатор Microsoft Entra

• организаций, которым требуется подготавливать пользователей с помощью данных, полученных из Workday;

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки только облачных пользователей. Имеется два связанных потока:

• Достоверный поток данных кадров — от Workday до идентификатора Microsoft Entra ID: в этом потоке рабочие события (такие как новые сотрудники, передачи, прекращения), сначала происходят в Workday, а затем данные события передаются в идентификатор Microsoft Entra. В зависимости от события может привести к созданию, обновлению и отключению операций в идентификаторе Microsoft Entra.

• Поток обратной записи — от локальная служба Active Directory до Workday: после завершения создания учетной записи в Active Directory он синхронизируется с идентификатором Microsoft Entra через Microsoft Entra Подключение и сведения, такие как электронная почта, имя пользователя и номер телефона, можно записать обратно в Workday.

  

Полноценный поток данных пользователей

1. Команда отдела кадров выполняет транзакции с работниками (присоединение, перемещение и удаление или наем, перевод и увольнение) в Workday Employee Central.
2. Служба подготовки Microsoft Entra выполняет запланированные синхронизации удостоверений из Workday EC и определяет изменения, которые необходимо обрабатывать для синхронизации с локальная служба Active Directory.
3. Служба подготовки Microsoft Entra определяет изменение и вызывает операцию create/update/enable/disable для пользователя в идентификаторе Microsoft Entra.
4. Если приложение Workday Writeback настроено, он получает такие атрибуты, как электронная почта, имя пользователя и номер телефона из идентификатора Microsoft Entra.
5. Служба подготовки Microsoft Entra задает электронную почту, имя пользователя и номер телефона в Workday.

Планирование развертывания

Настройка подготовки пользователей на основе облачных кадров из Workday в идентификатор Microsoft Entra ID требует значительного планирования, охватывающего различные аспекты, такие как:

• определение идентификатора сопоставления;
• Сопоставление атрибутов
• преобразование атрибутов;
• Фильтры области

Подробные рекомендации по этим темам см. в плане развертывания облачных служб управления персоналом.

Настройка пользователя системы интеграции в Workday

Сведения о создании учетной записи пользователя системы интеграции Workday с разрешениями на получение данных рабочих ролей см. в разделе Настройка пользователя системы интеграции в Workday.

Настройка подготовки пользователей из Workday в идентификатор Microsoft Entra

В следующих разделах описаны шаги по настройке подготовки пользователей из Workday в идентификатор Microsoft Entra для облачных развертываний.

• Добавление приложения соединителя подготовки Microsoft Entra и создание подключения к Workday
• Настройка сопоставлений атрибутов Workday и Microsoft Entra
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения соединителя подготовки Microsoft Entra и создание подключения к Workday

Чтобы настроить подготовку Workday для microsoft Entra для пользователей, доступных только для облака:

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

3. Найдите Workday в подготовке пользователей Microsoft Entra и добавьте это приложение из коллекции.

4. После добавления приложения и отображения экрана сведений о приложении выберите Подготовка.

5. Для параметра Режим подготовкик работе выберите значение Автоматически.

6. В разделе Учетные данные администратора заполните поля следующим образом.

   • Имя пользователя Workday — введите имя пользователя учетной записи системы интеграции Workday, указав имя домена клиента. Это должно выглядеть примерно так: имя_пользователя@contoso4.

   • Пароль Workday — введите пароль учетной записи системы интеграции Workday.

   • URL-адрес API веб-служб Workday — введите URL-адрес конечной точки веб-служб Workday для вашего клиента. URL-адрес определяет версию API веб-служб Workday, используемую соединителем.

     Формат URL-адреса	Используемая версия API WWS	Требуются изменения XPATH
     https://####.workday.com/ccx/service/tenantName	версия 21.1	Нет
     https://####.workday.com/ccx/service/tenantName/Human_Resources	версия 21.1	Нет
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	версия ##.#	Да

     Примечание.

     Если в URL-адресе не указаны сведения о версии, приложение использует веб-службы Workday (WWS) версии 21.1 и не требуется вносить никаких изменений в выражения API XPATH по умолчанию, поставляемые с приложением. Чтобы использовать определенную версию API WWS, укажите номер версии в URL-адресе.
     Пример: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Если вы используете API WWS версии 30.0 или более поздней, прежде чем включать задание подготовки, обновите выражения API XPATH в разделе Сопоставление атрибутов > Дополнительные параметры > Изменить список атрибутов для Workday в соответствии с разделами Управление конфигурацией и Описание атрибутов Workday.

   • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

   • Нажмите кнопку Проверить подключение.

   • Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи дважды проверьте правильность URL-адреса и учетных данных Workday в приложении Workday.

Часть 2. Настройка сопоставлений атрибутов Workday и Microsoft Entra

В этом разделе описана настройка потоков данных пользователей из Workday в идентификатор Microsoft Entra для пользователей, доступных только для облака.

1. На вкладке "Подготовка" в разделе "Сопоставления" нажмите кнопку "Синхронизировать рабочие роли" с идентификатором Microsoft Entra.

2. В поле "Область исходного объекта" можно выбрать наборы пользователей в Workday, которые должны находиться в область для подготовки к идентификатору Microsoft Entra, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в Workday". Примеры фильтров

   • Пример: охват пользователей с идентификаторами рабочих ролей в диапазоне от 1 000 000 до 2 000 000.

     • Атрибут: WorkerID

     • Оператор: REGEX Match

     • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])

   • Пример: только временные работники, а не сотрудники

     • Атрибут: ContingentID

     • Оператор: IS NOT NULL

3. В поле "Действия целевого объекта" можно глобально отфильтровать действия, выполняемые в идентификаторе Microsoft Entra. Самыми распространенными являются создание и обновление.

4. В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты Workday сопоставляются с атрибутами Active Directory.

5. Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Прямой — записывает значение атрибута Workday без изменений в атрибут AD.

     • Константа — записывает статическое постоянное строковое значение в атрибут AD.

     • Выражение — позволяет записывать пользовательское значение в атрибут AD на основании одного или нескольких атрибутов Workday. Дополнительные сведения см. в статье о выражениях.

   • Исходный атрибут — атрибут пользователя из Workday. Если нужный вам атрибут отсутствует, см. раздел Настройка списка атрибутов пользователя Workday.

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление запишет это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в идентификаторе Microsoft Entra.

   • Сопоставление объектов с помощью этого атрибута — следует ли использовать этот атрибут для уникального идентификации пользователей между Workday и идентификатором Microsoft Entra. Обычно это значение задано в поле "Идентификатор рабочей роли" для Workday, которое обычно сопоставляется с атрибутом идентификатора сотрудника (новое) или атрибутом расширения в идентификаторе Microsoft Entra ID.

   • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применить это сопоставление

     • Всегда — применить это сопоставление как при создании, так и при обновлении пользователей

     • Только при создании — применить это сопоставление только при создании пользователей

6. Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".

Включение и запуск подготовки пользователей

После завершения конфигураций приложения подготовки Workday можно включить службу подготовки.

Совет

По умолчанию при включении службы подготовки она инициализирует операции подготовки для всех пользователей в области. При наличии ошибок в сопоставлении или проблем с данными Workday задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуется настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

1. На вкладке Подготовка установите для параметра Состояние подготовки значение Вкл.

2. Щелкните Сохранить.

3. Будет запущена начальная синхронизация, которая может длиться переменное число часов в зависимости от количества пользователей в клиенте Workday. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.

4. В любой момент можно проверить вкладку Журналы аудита на портале Azure, чтобы узнать, какие действия выполнила служба подготовки. Журналы аудита перечисляют все отдельные события синхронизации, выполняемые службой подготовки, например, которые пользователи считывают из Workday, а затем добавляются или обновляются до идентификатора Microsoft Entra.

5. После завершения первичной синхронизации на вкладке Подготовка будет создан сводный отчет аудита, как показано ниже.

   

Следующие шаги

• Дополнительные сведения о сценариях интеграции и вызовах веб-служб Microsoft Entra ID и Workday
• Дополнительные сведения о поддерживаемых атрибутах Workday для входящей подготовки
• Сведения о настройке обратной записи Workday
• Сведения о просмотре журналов и получении отчетов о действиях по подготовке
• Узнайте, как настроить единый вход между Workday и идентификатором Microsoft Entra
• Узнайте, как экспортировать и импортировать конфигурации подготовки.