Поделиться через


Руководство по Настройка Workday для автоматической подготовки пользователей

Цель этого учебника — показать, как подготавливать профили работников из Workday в локальной службе Azure Active Directory (AD).

Примечание.

Используйте это руководство, если пользователи, которые вы хотите подготовить из Workday, требуются локальная учетная запись AD и учетная запись Microsoft Entra.

В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции подготовки с Workday.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с API кадров Workday для подготовки учетных записей пользователей. Рабочие процессы подготовки пользователей Workday, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

Новые возможности

В этом разделе записаны последние улучшения интеграции с Workday. Список комплексных обновлений, запланированных изменений и архивов см . в новых возможностях идентификатора Microsoft Entra ID?

  • Октябрь 2020 г. — включенная подготовка по запросу для Workday: с помощью подготовки по запросу теперь можно проверить сквозную подготовку для определенного профиля пользователя в Workday, чтобы проверить сопоставление атрибутов и логику выражений.

  • Май 2020 г. — возможность записи номеров телефонов обратной записи в Workday: помимо электронной почты и имени пользователя, теперь можно записать рабочий номер телефона и номер мобильного телефона из Идентификатора Microsoft Entra в Workday. Дополнительные сведения см. в учебнике по приложению для обратной записи.

  • Апрель 2020 г. — поддержка последней версии API веб-служб Workday (WWS): в два раза в год в марте и сентябре Workday предоставляет расширенные функции обновления, которые помогут вам выполнить бизнес-цели и изменить требования к рабочей силе. Чтобы обеспечить соответствие новым функциям, предоставляемым Workday, можно напрямую указать версию API WWS, которую вы хотите использовать в URL-адресе подключения. Дополнительные сведения о том, как указать версию API-интерфейса Workday, см. в разделе о настройке подключения к Workday.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение подготовки пользователей в Workday идеально подходит для:

  • организаций, которым необходимо готовое облачное решение для подготовки пользователей в Workday;

  • Организации, которым требуется прямая подготовка пользователей из Workday в Active Directory или идентификатор Microsoft Entra

  • организаций, которым требуется подготавливать пользователей с помощью данных, полученных из модуля HCM Workday (см. раздел об операции Get_Workers);

  • Организации, требующие присоединения, перемещения и выхода пользователей для синхронизации с одним или несколькими лесами Active Directory, доменами и подразделениями на основе изменений, обнаруженных в модуле Workday HCM (см . Get_Workers).

  • организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:

  • Достоверный поток данных кадров — от Workday до локальная служба Active Directory. В этом потоке рабочие события, такие как новые сотрудники, передачи, передачи, завершения, сначала происходят в облачном клиенте Workday HR, а затем данные событий передаются в локальная служба Active Directory через идентификатор Microsoft Entra и агент подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.
  • Поток обратной записи — от локальная служба Active Directory до Workday: после завершения создания учетной записи в Active Directory он синхронизируется с идентификатором Microsoft Entra через Microsoft Entra Подключение и сведения, такие как электронная почта, имя пользователя и номер телефона, можно записать обратно в Workday.

Обзор

Полноценный поток данных пользователей

  1. Команда отдела кадров выполняет транзакции с работниками (присоединение, перемещение и удаление или найм, перевод и увольнение) в Workday HCM.
  2. Служба подготовки Microsoft Entra выполняет запланированные синхронизации удостоверений из Workday HR и определяет изменения, которые необходимо обработать для синхронизации с локальная служба Active Directory.
  3. Служба подготовки Microsoft Entra вызывает локальный агент подготовки Microsoft Entra Подключение Provisioning Agent с полезными данными запроса, содержащими учетную запись AD create/update/enable/disable operations.
  4. Агент подготовки Microsoft Entra Подключение использует учетную запись службы для добавления и обновления данных учетной записи AD.
  5. Подсистема синхронизации Microsoft Entra Подключение / AD Sync выполняет разностную синхронизацию для извлечения обновлений в AD.
  6. Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
  7. Если приложение обратной записи Workday настроено, оно выполняет обратную запись таких атрибутов, как адрес электронной почты, имя пользователя и номер телефона, в Workday.

Планирование развертывания

Для настройки подготовки пользователей из Workday в Azure AD требуется основательное планирование, охватывающее различные аспекты, в числе которых:

  • Настройка агента подготовки Microsoft Entra Подключение
  • количество развертываемых приложений подготовки пользователей из Workday в AD;
  • Выбор подходящего идентификатора, сопоставления атрибутов, преобразований и фильтров области

Подробные инструкции см. в плане развертывания облачных служб управления персоналом.

Настройка пользователя системы интеграции в Workday

Общее требование всех соединителей подготовки Workday состоит в том, что для подключения к API отдела кадров Workday необходимы учетные данные для пользователя системы интеграции Workday. В следующих разделах описывается создание пользователя системы интеграции в Workday:

Примечание.

Эту процедуру можно обойти и вместо этого использовать учетную запись администратора Workday в качестве учетной записи интеграции системы. Такой вариант подойдет для демонстраций, но не рекомендуется для рабочих развертываний.

Создание пользователя системы интеграции

Создание пользователя системы интеграции:

  1. Войдите в клиент Workday с помощью учетной записи администратора. В области Workday Application введите в поле поиска "create user", а затем щелкните ссылку Create Integration System User (Создать пользователя системы интеграции).

    Создать пользователя

  2. Завершите задачу Создание пользователя системы интеграции , указав имя пользователя и пароль для нового пользователя системы интеграции.

    • Оставьте параметр "Требовать новый пароль" при следующем входе в систему un проверка ed, так как этот пользователь выполняет вход программным способом.
    • Оставьте время ожидания сеанса с значением по умолчанию 0, что предотвращает преждевременное истечение времени ожидания сеансов пользователя.
    • Выберите параметр Do Not Allow UI Sessions (Не разрешать сеансы пользовательского интерфейса), так как он предоставляет пользователю пароль системы интеграции при входе в Workday.

    Создать пользователя системы интеграции

Создание группы безопасности интеграции

На этом шаге вы создадите группу безопасности системы интеграции без ограничений или ограниченной интеграции в Workday и назначьте пользователя системы интеграции, созданного на предыдущем шаге этой группе.

Создание группы безопасности:

  1. Введите в поле поиска текст "создать группу безопасности", а затем щелкните Создать группу безопасности.

    Снимок экрана, на котором показано поле поиска с текстом

  2. Завершите задачу создания группы безопасности.

    • Есть два типа групп безопасности в Workday:

      • Без ограничений: все члены группы безопасности могут получить доступ ко всем экземплярам данных, защищенным группой безопасности.
      • Ограниченно. Все члены группы безопасности имеют контекстный доступ к подмножествам экземпляров данных (строк), к которым может получить доступ группа безопасности.
    • Обратитесь к партнеру по интеграции Workday, чтобы выбрать подходящий тип группы безопасности для интеграции.

    • Зная тип группы, выберите Integration System Security Group (Unconstrained) (Группа безопасности системы интеграции без ограничений) или Integration System Security Group (Сonstrained) (Группа безопасности системы интеграции с ограничениями) в раскрывающемся списке Type of Tenanted Security Group (Тип клиентской группы безопасности).

      Создать группу безопасности

  3. После успешного создания группы безопасности вы увидите страницу, на которой можно назначить участников группе безопасности. Добавьте в эту группу безопасности нового пользователя системы интеграции, созданного на предыдущем шаге. Если вы используете ограниченную группу безопасности, необходимо выбрать соответствующую организацию область.

    Изменить группу безопасности

Настройка разрешений политики безопасности домена

На этом шаге вы предоставьте разрешения политики безопасности домена для рабочих данных группе безопасности.

Настройка разрешений политики безопасности домена:

  1. Введите в поле поиска членство в группе безопасности и доступ к ней и щелкните ссылку на отчет.

    Поиск по запросу

  2. Найдите и выберите группу безопасности, созданную на предыдущем шаге.

    Выбор группы безопасности

  3. Щелкните многоточие (...) рядом с именем группы и в меню выберите > "Сохранить разрешения домена для группы безопасности"

    Выберите пункт Maintain Domain Permissions for Security Group (Сохранить разрешения домена для группы безопасности)

  4. В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Put access (Политики безопасности домена, разрешающие доступ для запросов Put).

    • External Account Provisioning (Подготовка внешних учетных записей)
    • Worker Data: Public Worker Reports (Данные о работниках: общедоступные отчеты о работниках)
    • Данные пользователя: сведения о рабочем контакте (требуется, если вы планируете обратно записывать контактные данные из идентификатора Microsoft Entra в Workday)
    • Учетные записи Workday (требуется, если вы планируете записать имя пользователя или имя участника-пользователя из идентификатора Microsoft Entra в Workday)
  5. В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Get access (Политики безопасности домена, разрешающие доступ для запросов Get).

    • Рабочие данные: рабочие
    • Worker Data: All Positions (Данные о работниках: все позиции)
    • Worker Data: Current Staffing Information (Данные о работниках: сведения о текущем персонале)
    • Worker Data: Business Title on Worker Profile (Данные о работниках: рабочая должность в профиле работника)
    • Рабочие данные: квалифицированные работники (необязательно) — добавьте это для получения данных о квалификации работников для подготовки)
    • Рабочие данные: навыки и опыт (необязательно. Добавьте это для получения данных о рабочих навыках для подготовки)
  6. После выполнения описанных выше действий экран разрешений отображается, как показано ниже:

    Все разрешения безопасности для домена

  7. Чтобы завершить настройку, щелкните OK и Done (Готово) на следующем экране.

Настройка разрешений политики безопасности для бизнес-процессов

На этом этапе вы предоставите группе безопасности разрешения политики безопасности бизнес-процессов для данных рабочей роли.

Примечание.

Этот шаг необходим только для настройки соединителя приложения Workday Writeback.

Настройка разрешений политики безопасности для бизнес-процессов:

  1. Введите Business Process Policy в поле поиска и выберите задачу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов).

    Снимок экрана, на котором показано поле поиска с текстом

  2. В текстовом поле Тип бизнес-процесса выполните поиск по запросу Контакт, выберите бизнес-процесс Work Contact Change (Изменение рабочего контакта) и нажмите кнопку ОК.

    Снимок экрана, на котором показана страница Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов), на которой в меню Business Process Type (Тип бизнес-процесса) выбран пункт Work Contact Change (Изменение рабочего контакта).

  3. Прокрутите страницу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов) до раздела Change Work Contact Information (Web Service) (Изменение рабочих контактных данных — веб-служба).

  4. Выберите новую группу безопасности системы интеграции и добавьте ее в список групп безопасности, которая может инициировать запрос к веб-службам.

    Политики безопасности бизнес-процессов

  5. Нажмите кнопку Готово.

Активация изменений политики безопасности

Активация изменений политики безопасности:

  1. Введите "активировать" в поле поиска и затем нажмите ссылку Активировать ожидающие изменения политики безопасности.

    Активировать

  2. Начните выполнять задачу активации ожидающих изменений политики безопасности: введите комментарий для проведения аудита и нажмите кнопку ОК.

  3. Завершите задачу на следующем экране, установив флажок Confirm (Подтверждаю) и нажав кнопку ОК.

    Активировать ожидающие изменения безопасности

Предварительные требования для установки агента подготовки

Прежде чем переходить к следующему разделу, изучите предварительные требования для установки агента подготовки.

Настройка подготовки пользователей из Workday в Active Directory

В этом разделе описаны шаги для подготовки учетных записей пользователей из Workday в каждом домене Active Directory в области интеграции.

Часть 1. Добавление приложения соединителя подготовки и скачивание агента подготовки

Настройка подготовки Workday в Active Directory.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.

  3. Выполните поиск по условию Подготовка пользователей Workday в Active Directory и добавьте это приложение из коллекции.

  4. После добавления приложения и отображения экрана сведений о приложении выберите Подготовка.

  5. Для параметра Режим подготовкик работе выберите значение Автоматически.

  6. Щелкните информационный баннер, чтобы скачать агент подготовки.

    Скачать агент

Часть 2. Установка и настройка локальных агентов подготовки

Чтобы подготовить локальную службу Active Directory, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к нужным доменам Active Directory.

Перенесите скачанный установщик агента на узел сервера и следуйте инструкциям из раздела об установке агента, чтобы завершить настройку агента.

Часть 3. В приложении подготовки настройте подключение к Workday и Active Directory

На этом шаге мы устанавливаем подключение к Workday и Active Directory.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям> Identity>Apps Enterprise Workday в приложение подготовки пользователей>Active Directory, созданное в части 1.

  3. В разделе Учетные данные администратора заполните поля следующим образом.

    • Имя пользователя Workday — введите имя пользователя учетной записи системы интеграции Workday, указав имя домена клиента. Это должно выглядеть примерно так: имя_пользователя@имя_клиента.

    • Пароль Workday — введите пароль учетной записи системы интеграции Workday.

    • URL-адрес API веб-служб Workday — введите URL-адрес конечной точки веб-служб Workday для вашего клиента. URL-адрес определяет версию API веб-служб Workday, используемую соединителем.

      Формат URL-адреса Используемая версия API WWS Требуются изменения XPATH
      https://####.workday.com/ccx/service/tenantName версия 21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources версия 21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# версия ##.# Да

      Примечание.

      Если в URL-адресе не указаны сведения о версии, приложение использует веб-службы Workday (WWS) версии 21.1 и не требуется вносить никаких изменений в выражения API XPATH по умолчанию, поставляемые с приложением. Чтобы использовать определенную версию API WWS, укажите номер версии в URL-адресе.
      Пример: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Если вы используете API WWS версии 30.0 или более поздней, прежде чем включать задание подготовки, обновите выражения API XPATH в разделе Сопоставление атрибутов > Дополнительные параметры > Изменить список атрибутов для Workday в соответствии с разделами Управление конфигурацией и Описание атрибутов Workday.

    • Лес Active Directory — имя домена Active Directory, зарегистрированное в агенте. В раскрывающемся списке выберите целевой домен для подготовки. Как правило, это строка вида: contoso.com.

    • Контейнер Active Directory — выберите различающееся имя контейнера, в котором агент должен по умолчанию создавать учетные записи пользователей. Пример: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Примечание.

      Этот параметр используется только при создании учетных записей, если в сопоставлениях атрибутов не настроен атрибут parentDistinguishedName. Этот параметр не используется для операций обновления и поиска пользователей. Областью действия операции поиска является все дочернее дерево домена.

    • Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

      Примечание.

      Служба подготовки Microsoft Entra отправляет уведомление по электронной почте, если задание подготовки переходит в состояние карантина .

    • Нажмите кнопку Проверить подключение. Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи убедитесь, что учетные данные Workday и AD, заданные в настройках агента, действительны.

      Снимок экрана, на котором показана страница

    • После успешного сохранения учетных данных в разделе "Сопоставления" отображается сопоставление "Синхронизация рабочих ролей Workday" по умолчанию с Локальным Active Directory

Часть 4. Настройка сопоставлений атрибутов

В этом разделе описана настройка потоков данных пользователей из Workday в Active Directory.

  1. На вкладке "Подготовка" в разделе Сопоставления щелкните Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory).

  2. В поле Область исходного объекта можно выбрать, какие наборы пользователей в Workday должны учитываться при подготовке в AD, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в Workday". Примеры фильтров

    • Пример. Охват пользователей с идентификаторами рабочих ролей в диапазоне от 1000000 до 2000000 (не включая 2000000)

      • Атрибут: WorkerID

      • Оператор: REGEX Match

      • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])

    • Пример: только сотрудники, а не временные работники

      • Атрибут: EmployeeID

      • Оператор: IS NOT NULL

    Совет

    При первом настройке приложения подготовки необходимо протестировать и проверить сопоставления атрибутов и выражения, чтобы убедиться, что он дает нужный результат. Корпорация Майкрософт рекомендует использовать фильтры области действия в разделе Область исходного объекта и подготовку по требованию для проверки сопоставлений с несколькими тестовыми пользователями из Workday. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

    Внимание

    Поведение по умолчанию обработчика подготовки заключается в том, чтобы отключить или удалить неподходящих пользователей. Это может быть нежелательно в случае интеграции Workday с AD. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

  3. В поле Действия с целевыми объектами можно в глобальном масштабе отфильтровать, какие действия доступны для выполнения в Active Directory. Самыми распространенными являются создание и обновление.

  4. В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты Workday сопоставляются с атрибутами Active Directory.

  5. Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

    • Тип сопоставления

      • Прямой — записывает значение атрибута Workday без изменений в атрибут AD.

      • Константа — записывает статическое постоянное строковое значение в атрибут AD.

      • Выражение — позволяет записывать пользовательское значение в атрибут AD на основании одного или нескольких атрибутов Workday. Дополнительные сведения см. в статье о выражениях.

    • Исходный атрибут — атрибут пользователя из Workday. Если нужный вам атрибут отсутствует, см. раздел Настройка списка атрибутов пользователя Workday.

    • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление записывает это значение. В наиболее распространенной конфигурации это поле остается пустым.

    • Целевой атрибут — атрибут пользователя в Active Directory.

    • Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между Workday и Active Directory. Как правило, значение задается в поле ИД работника для Workday, который обычно сопоставляется с одним из атрибутов ИД сотрудника в Active Directory.

    • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

    • Применить это сопоставление

      • Всегда — применить это сопоставление как при создании, так и при обновлении пользователей

      • Только при создании — применить это сопоставление только при создании пользователей

  6. Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".

    Снимок экрана, на котором показана страница

Ниже приведено несколько примеров сопоставлений атрибутов между Workday и Active Directory с некоторыми общими выражениями.

  • Выражение, которое сопоставляется с атрибутом parentDistinguishedName, используется для подготовки пользователей для разных подразделений на основе одного или нескольких исходных атрибутов Workday. В этом примере пользователи помещаются в разные подразделения в зависимости от города, в котором они находятся.

  • Атрибут userPrincipalName в Active Directory создается с использованием функции дедупликации SelectUniqueValue, которая проверяет наличие созданного значения в целевом домене AD и задает его только в том случае, если оно уникально.

  • Документацию о написании выражений см. здесь. В этот раздел входят примеры, демонстрирующие удаление специальных символов.

АТРИБУТ WORKDAY АТРИБУТ ACTIVE DIRECTORY ИДЕНТИФИКАТОР СОПОСТАВЛЕНИЯ? СОЗДАНИЕ ИЛИ ОБНОВЛЕНИЕ
WorkerID EmployeeID Да Записывается только при создании
PreferredNameData cn Записывается только при создании
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Записывается только при создании
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Записывается только при создании
Switch([Active], , "0", "True", "1", "False") accountDisabled Создание и обновление
FirstName givenName Создание и обновление
LastName sn Создание и обновление
PreferredNameData displayName Создание и обновление
Компания company Создание и обновление
SupervisoryOrganization department Создание и обновление
ManagerReference manager Создание и обновление
BusinessTitle title Создание и обновление
AddressLineData streetAddress Создание и обновление
Municipality l Создание и обновление
CountryReferenceTwoLetter co Создание и обновление
CountryReferenceTwoLetter c Создание и обновление
CountryRegionReference st Создание и обновление
WorkSpaceReference physicalDeliveryOfficeName Создание и обновление
PostalCode postalCode Создание и обновление
PrimaryWorkTelephone telephoneNumber Создание и обновление
Факс facsimileTelephoneNumber Создание и обновление
Мобильные мобильный Создание и обновление
LocalReference preferredLanguage Создание и обновление
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Создание и обновление

Завершив настройку сопоставления атрибутов, можно протестировать подготовку по требованию для одного пользователя, а затем включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений подготовки Workday и проверки подготовки для одного пользователя с подготовкой по запросу можно включить службу подготовки.

Совет

По умолчанию при включении службы подготовки он инициирует операции подготовки для всех пользователей в область. При наличии ошибок в сопоставлении или проблем с данными Workday задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуем настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями с помощью подготовки по требованию перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

  1. Перейдите в колонку Подготовка и щелкните Начать подготовку.

  2. Эта операция запускает начальную синхронизацию, которая может занять переменное количество часов в зависимости от количества пользователей в клиенте Workday. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.

  3. В любое время проверка вкладку "Подготовка" в Центре администрирования Microsoft Entra, чтобы узнать, какие действия выполнила служба подготовки. Журналы подготовки перечисляют все отдельные события синхронизации, выполняемые службой подготовки, например, которые пользователи считывают из Workday, а затем добавляются или обновляются в Active Directory. Инструкции по просмотру журналов подготовки и устранению ошибок подготовки см. в разделе "Устранение неполадок".

  4. После завершения начальной синхронизации он записывает сводный отчет аудита на вкладке подготовки , как показано ниже.

    Индикатор выполнения подготовки

Часто задаваемые вопросы

Вопросы о возможностях решения

Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?

Когда локальный агент подготовки получает запрос на создание новой учетной записи AD, он автоматически создает сложный случайный пароль, соответствующий требованиям сложности, определенным сервером AD, и устанавливает его для объекта пользователя. Этот пароль нигде не регистрируется.

Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?

Нет, отправка уведомлений по электронной почте после завершения операций подготовки в текущем выпуске не поддерживается.

Кэшируют ли профили пользователей Workday в облаке Microsoft Entra или на уровне агента подготовки?

Нет, решение не поддерживает кэш профилей пользователей. Служба подготовки Microsoft Entra просто выступает в качестве обработчика данных, считывает данные из Workday и записывает данные в целевой идентификатор Active Directory или Microsoft Entra ID. Дополнительные сведения о конфиденциальности пользователей и хранении данных см. в разделе Управление персональными данными.

Поддерживает ли решение назначение локальных групп AD пользователю?

Сейчас такая возможность не поддерживается. Рекомендуемое решение — развернуть скрипт PowerShell, который запрашивает конечную точку API Microsoft Graph для подготовки данных журнала и использует их для активации таких сценариев, как назначение групп. Этот сценарий PowerShell можно присоединить к планировщику задач и развернуть в том же окне, где запущен агент подготовки.

Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?

В настоящее время решение использует следующие API Workday:

  • В разделе Учетные данные администратора используется формат URL-адреса API WWS, который определяет версию API, используемую для Get_Workers.

    • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName, то используется API версии 21.1.
    • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources, то используется API версии 21.1.
    • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#, то используется указанная версия API. (Например, если указана версия 34.0, тогда используется она.)
  • Функция обратной записи электронной почты Workday использует Change_Work_Contact_Information (версии 30.0).

  • Функция обратной записи имени пользователя Workday использует Update_Workday_Account (версии 31.2).

Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?

Да, эта конфигурация поддерживается. Ниже приведены основные действия, необходимые для настройки такого сценария.

  • Разверните агент подготовки #1 и зарегистрируйте его в клиенте Microsoft Entra #1.
  • Разверните агент подготовки #2 и зарегистрируйте его в клиенте Microsoft Entra #2.
  • На основе дочерних доменов, которым управляет каждый агент подготовки, настройте каждый агент с доменами. Один агент может обрабатывать несколько доменов.
  • В Центре администрирования Microsoft Entra настройте приложение Подготовки пользователей Ad для Workday в каждом клиенте и настройте его с соответствующими доменами.

Мы очень ценим ваши отзывы, так как они помогают нам задать направление для будущих выпусков и улучшений. Мы приветствуем все отзывы и рекомендуем вам отправить вашу идею или предложение по улучшению на форуме отзывов Идентификатора Microsoft Entra. Чтобы просмотреть конкретные идеи, связанные с интеграцией Workday, выберите категорию Приложения SaaS и выполните поиск по ключевому слову Workday, чтобы найти существующие идеи и предложения по Workday.

Приложения UserVoice SaaS

UserVoice Workday

Когда предлагаете новую идею, проверьте, не предложил ли кто-то еще аналогичную функцию. В этом случае вы можете проголосовать за возможность или запрос на усовершенствование. Вы также можете оставить комментарий относительно вашего конкретного варианта использования, чтобы показать поддержку идеи и продемонстрировать, как функция ценна для вас тоже.

Вопросы по работе агента подготовки

Какая версия агента подготовки является общедоступной?

Ознакомьтесь с агентом подготовки Microsoft Entra Подключение: журнал выпусков версий последней общедоступной версии агента подготовки.

Как узнать версию моего агента подготовки?

  • Войдите на сервер Windows, где установлен агент подготовки.

  • Перейдите в меню Панель управления ->Удаление или изменение программы.

  • Найдите версию, соответствующую записи Microsoft Entra Подключение Agent подготовки

    Центр администрирования Microsoft Entra

Автоматически ли корпорация Майкрософт отправляет обновления агента подготовки?

Да, корпорация Майкрософт автоматически обновляет агент подготовки, если служба Microsoft Entra Подключение Agent Updater запущена и запущена.

Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Подключение?

Да, агент подготовки можно установить на том же сервере, на котором выполняется microsoft Entra Подключение.

Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra. Агент хранит учетные данные локально на сервере?

Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra только для подключения к клиенту Microsoft Entra. Он не сохраняет учетные данные локально на сервере. Однако он хранит учетные данные, используемые для подключения к локальному домену Active Directory, в локальном хранилище паролей Windows.

Как настроить агент подготовки для использования прокси-сервера исходящих HTTP-подключений?

Агент подготовки поддерживает использование исходящего прокси-сервера. Это можно настроить, изменив файл конфигурации агента C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Добавьте в него следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>. Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Разделы справки убедитесь, что агент подготовки может взаимодействовать с клиентом Microsoft Entra, и брандмауэры не блокируют порты, необходимые агенту?

Можно также проверить, открыты ли все необходимые порты.

Можно ли настроить один агент подготовки для подготовки нескольких доменов AD?

Да, один агент подготовки можно настроить для обработки нескольких доменов AD, если он может напрямую подключаться к соответствующим контроллерам домена. Корпорация Майкрософт рекомендует настроить группу из 3 агентов подготовки, обслуживающих один и тот же набор доменов AD, чтобы обеспечить высокий уровень доступности и обеспечить поддержку отработки отказа.

Как отменить регистрацию домена, связанного с агентом подготовки?

*, получите идентификатор клиента клиента Microsoft Entra.

  • Войдите на сервер Windows, где запущен агент подготовки.

  • Откройте PowerShell от имени администратора Windows.

  • Перейдите в каталог, содержащий скрипты регистрации, и выполните следующие команды, заменив параметр [tenant ID] значением вашего идентификатора клиента.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • В появившемся списке агентов скопируйте значение поля id из ресурса, в котором resourceName соответствует вашему доменному имени AD.

  • Вставьте значение идентификатора в эту команду и выполните ее в PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • Повторно запустите мастер настройки агента.

  • Любые другие агенты, которые ранее были назначены этому домену, необходимо перенастроить.

Как удалить агент подготовки?

  • Войдите на сервер Windows, где установлен агент подготовки.
  • Перейдите в меню Панель управления ->Удаление или изменение программы.
  • Удалите следующие программы:
    • Агент подготовки Microsoft Entra Подключение
    • Microsoft Entra Подключение Agent Updater
    • Пакет агента подготовки Microsoft Entra Подключение

Вопросы по конфигурации и сопоставлению атрибутов Workday и AD

Как создать резервную копию или экспортировать рабочую копию сопоставления атрибутов подготовки Workday и схемы?

С помощью API Microsoft Graph можно экспортировать конфигурацию подготовки пользователей Workday. Дополнительные сведения см. в разделе Экспорт и импорт конфигурации.

У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?

Решение поддерживает настраиваемые атрибуты Workday и Active Directory. Чтобы добавить такие атрибуты в схему сопоставления, откройте колонку Сопоставление атрибутов и прокрутите вниз, чтобы развернуть раздел Показать дополнительные параметры.

Изменение списка атрибутов

Чтобы добавить настраиваемые атрибуты Workday, щелкните параметр Edit attribute list for Workday (Изменить список атрибутов для Workday), а чтобы добавить настраиваемые атрибуты AD — параметр Edit attribute list for On Premises Active Directory (Изменить список атрибутов для локальной службы Active Directory).

См. также:

Как настроить решение так, чтобы обновлять только атрибуты в AD с учетом изменений Workday и не создавать новые учетные записи AD?

Это можно сделать, выбрав параметр Действия с целевыми объектами в колонке Сопоставления атрибутов, как показано ниже:

Операция обновления

Установите флажок "Обновить", чтобы принимать только операции обновления из Workday в AD.

Можно ли подготовить фотографию пользователя из Workday в Active Directory?

В настоящее время решение не поддерживает настройку двоичных атрибутов, таких как эскизPhoto и jpegPhoto в Active Directory.

  • Перейдите в колонку "Подготовка" в приложении подготовки Workday.

  • Щелкните "Сопоставления атрибутов".

  • В разделе "Сопоставления" выберите "Синхронизация рабочих ролей Workday" в Локальную службу Active Directory (или синхронизация рабочих ролей Workday с идентификатором Microsoft Entra).

  • На странице сопоставления атрибутов прокрутите экран вниз и установите флажок "Показать дополнительные параметры". Щелкните Edit attribute list for Workday (Изменить список атрибутов для Workday).

  • В открывающейся колонке найдите атрибут Mobile и щелкните строку, чтобы изменить выражение APIМобильное GDPR

  • Замените выражение API следующим новым выражением, которое извлекает номер рабочего мобильного телефона только в том случае, если для параметра публичного использования установлено значение True в Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • Сохраните список атрибутов.

  • Сохраните сопоставление атрибутов.

  • Очистите текущее состояние и перезапустите полную синхронизацию.

Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?

Часто требуется настроить атрибут displayName в AD так, чтобы в нем также предоставлялась информация о подразделении и стране пользователя. Например, если Джон Смит работает в отделе маркетинга в США, может потребоваться, чтобы его отображаемое имя отображалось как Смит, Джон (Marketing-US).

Вот как можно обработать такие требования, чтобы создаваемые записи CN или displayName содержали такие атрибуты, как компания, подразделение, город или страна/регион.

  • Каждый атрибут Workday извлекается с помощью базового выражения XPath API, которое настраивается в меню Сопоставление атрибутов > раздел Advanced (Дополнительно) > Edit attribute list for Workday (Изменить список атрибутов для Workday). Ниже приведено выражение XPath API по умолчанию для атрибутов Workday PreferredFirstName, PreferredLastName, Company и SupervisoryOrganization.

    Атрибут Workday Выражение XPath API
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Company wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Согласуйте с командой Workday, допустимо ли приведенное выше выражение API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.

  • Аналогичным образом информация о стране или регионе, присутствующая в Workday, извлекается с помощью следующего выражения XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference.

    В разделе списка атрибутов Workday доступны 5 атрибутов, связанных со страной или регионом.

    Атрибут Workday Выражение XPath API
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Согласуйте с командой Workday, допустимы ли приведенные выше выражения API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.

  • Чтобы создать правильное выражение сопоставления атрибутов, определите, какой атрибут Workday "авторитетно" представляет имя, фамилию, страну или регион и отдел пользователя. Предположим, у нас есть атрибуты PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter и SupervisoryOrganization соответственно. Их можно использовать, чтобы создать приведенное ниже выражение для атрибута AD displayName и получить отображаемое имя, например Воронков, Иван (Маркетинг-Россия).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    После получения правильного выражения измените таблицу сопоставления атрибутов и измените сопоставление атрибутов displayName , как показано ниже: Сопоставление атрибута DisplayName

  • Расширим приведенный выше пример. Допустим, вы хотите преобразовать названия городов из Workday в сокращенные значения, а затем использовать их, чтобы создать отображаемые имена, например Воронков, Иван (MOS) или Сазанова, Мария (SPT). Это можно сделать с использованием выражения оператора switch с атрибутом Workday Municipality в качестве определяющей переменной.

    Switch
    (
      [Municipality],
      Join(", ", [PreferredLastName], [PreferredFirstName]),  
           "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
           "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
           "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    См. также:

Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?

Предположим, вы хотите создать уникальные значения для атрибута samAccountName, используя комбинацию атрибутов FirstName и LastName из Workday. Ниже приведено выражение, с которого можно начать:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Как работает приведенное выше выражение: если пользователь Джон Смит, он сначала пытается создать JSmith, если JSmith уже существует, то он создает JoSmith, если это существует, он создает JohSmith. Выражение также проверяет, чтобы созданное значение соответствовало ограничениям длины и специальных знаков, связанных с samAccountName.

См. также:

Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?

Используйте функцию NormalizeDiacritics, чтобы удалить специальные символы в имени и фамилии пользователя при создании адреса электронной почты или значения CN для пользователя.

Советы по устранению неполадок

В этом разделе содержатся конкретные рекомендации по устранению неполадок подготовки с интеграцией Workday с помощью журналов подготовки Microsoft Entra и журналов windows Server Просмотр событий. Он основан на общих шагах и концепциях устранения неполадок, описанных в руководстве. Отчеты об автоматической подготовке учетных записей пользователей

В этом разделе описываются следующие аспекты устранения неполадок:

Настройка агента подготовки для создания журналов компонента "Просмотр событий"

  1. Войдите на компьютер Windows Server, где развернут агент подготовки.

  2. Остановите службу Microsoft Entra Подключение Агент подготовки.

  3. Создайте копию исходного файла конфигурации: C:\Program Files\Microsoft Azure AD Подключение Agent\AAD Подключение ProvisioningAgent.exe.config.

  4. Замените имеющийся раздел <system.diagnostics> указанным ниже.

    • Конфигурация прослушивателя etw отправляет сообщения в журналы EventViewer.
    • Конфигурация прослушивателя textWriterListener отправляет сообщения трассировки в файл ProvAgentTrace.log. Раскомментируйте только строки, относящиеся к textWriterListener, для расширенного устранения неполадок.
      <system.diagnostics>
          <sources>
          <source name="AAD Connect Provisioning Agent">
              <listeners>
              <add name="console"/>
              <add name="etw"/>
              <!-- <add name="textWriterListener"/> -->
              </listeners>
          </source>
          </sources>
          <sharedListeners>
          <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
          <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
              <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
          </add>
          <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
          </sharedListeners>
      </system.diagnostics>
    
    
  5. Запустите службу Microsoft Entra Подключение Agent подготовки.

Настройка средства просмотра событий Windows для устранения неполадок агента

  1. Войдите на компьютер Windows Server, где развернут агент подготовки.

  2. Откройте настольное приложение просмотра событий Windows Server.

  3. Выберите Журналы Windows > Приложение.

  4. Используйте параметр Filter Current Log..., чтобы просмотреть все события, зарегистрированные в исходном агенте подготовки Microsoft Entra Подключение, и исключить события с идентификатором события "5", указав фильтр "-5", как показано ниже.

    Примечание.

    Идентификатор события 5 записывает сообщения начальной загрузки агента в облачную службу Microsoft Entra, поэтому мы фильтруем его при анализе файлов журнала.

    Средство просмотра событий Windows

  5. Нажмите кнопку ОК и отсортируйте полученное представление по столбцу Дата и время.

Настройка журналов подготовки Центра администрирования Microsoft Entra для устранения неполадок со службами

  1. Запустите Центр администрирования Microsoft Entra и перейдите в раздел "Подготовка" приложения подготовки Workday.

  2. Нажмите кнопку "Столбцы" на странице "Журналы подготовки", чтобы отобразить только следующие столбцы в представлении (дата, действие, состояние, причина состояния). Эта конфигурация гарантирует, что вы сосредоточитесь только на данных, которые имеют отношение к устранению неполадок.

    Столбцы журнала подготовки

  3. Отфильтруйте представление, используя параметры запроса Целевой объект и Диапазон дат.

    • Задайте для параметра запроса Целевой объект значение "ИД работника" или "ИД сотрудника" объекта работника Workday.
    • Задайте для диапазона дат соответствующий период времени, за который необходимо проверить наличие ошибок или проблем с подготовкой.

    Фильтры журналов подготовки

Общие сведения о журналах операций создания учетных записей пользователей AD

При обнаружении нового найма в Workday (предположим, с идентификатором сотрудника 21023) служба подготовки Microsoft Entra пытается создать новую учетную запись пользователя AD для рабочей роли и в процессе создает 4 записи журнала подготовки, как описано ниже:

Создание ops журнала подготовки

Щелкнув любую из записей журнала подготовки, откроется страница сведений о действиях. Так будет выглядеть страница Сведения о действии для каждого типа записей журнала.

  • Запись импорта Workday: эта запись журнала отображает сведения о рабочей роли, полученные из Workday. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • Запись импорта AD: эта запись журнала отображает сведения о учетной записи, полученной из AD. Так как во время первоначального создания пользователя нет учетной записи AD, причина состояния действия указывает, что учетная запись с значением атрибута идентификатора сопоставления не найдена в Active Directory. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object was not found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте пункт меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).

    Поиск

    Найдите запись с идентификатором события = 9, которая предоставляет фильтр поиска LDAP, используемый агентом для получения учетной записи AD. Вы можете проверить, является ли он подходящим фильтром поиска для получения уникальных записей пользователей.

    Поиск LDAP

    Запись, которая немедленно следует за ней (с идентификатором события 2), фиксирует результат операции поиска и возвращенные результаты.

    Результаты LDAP

  • Запись действия правила синхронизации. Эта запись журнала отображает результаты правил сопоставления атрибутов и настроенные фильтры области вместе с действием подготовки, которое выполняется для обработки входящего события Workday. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с действием синхронизации. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object is added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    Если существуют проблемы с выражениями сопоставления атрибутов или входящие данные Workday имеют проблемы (например, пустое или null-значение для обязательных атрибутов), то на этом этапе вы увидите сбой с кодом ошибки, предоставляя сведения о сбое.

  • Запись экспорта AD. Эта запись журнала отображает результат операции создания учетной записи AD вместе со значениями атрибутов, заданными в процессе. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с операцией создания учетной записи. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле. В разделе "Дополнительные сведения" для параметра EventName задано значение EntryExportAdd, для параметра JoiningProperty устанавливается значение атрибута идентификатора сопоставления, для параметра SourceAnchor — значение WorkdayID (WID), связанное с записью, а для параметра TargetAnchor — значение атрибута ObjectGuid AD созданного пользователя.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object is created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
    

    Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте пункт меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).

    Найдите запись HTTP POST, соответствующую метке времени операции экспорта с идентификатором события = 2. Эта запись содержит значения атрибутов, отправленные службой подготовки агенту подготовки.

    Снимок экрана, на котором показана запись

    Сразу после указанного выше события должно быть другое событие, которое фиксирует ответ операции создания учетной записи AD. Это событие возвращает новый идентификатор objectGuid, созданный в AD, который задается как атрибут TargetAnchor в службе подготовки.

    Снимок экрана, на котором показан журнал агента подготовки с выделенным атрибутом objectGuid, созданным в Active Directory.

Общие сведения о журналах операций обновления руководителя

Атрибут руководителя является ссылочным атрибутом в AD. Служба подготовки не задает атрибут диспетчера как часть операции создания пользователя. Скорее, атрибут руководителя устанавливается как часть операции обновления после создания учетной записи AD для пользователя. Предположим, что новый сотрудник с идентификатором 21451 активирован в Workday, а у руководителя нового сотрудника (21023) уже есть учетная запись AD. В этом сценарии поиск журналов подготовки для пользователя 21451 отображается 5 записей.

Обновление руководителя

Первые 4 записи похожи на те, которые мы рассматривали в рамках операции создания пользователя. 5-я запись — это экспорт, связанный с обновлением атрибута руководителя. В записи журнала отображается результат операции обновления руководителя учетной записи AD, которая выполняется с использованием атрибута objectGuid руководителя.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Устранение распространенных ошибок

В этом разделе рассматриваются распространенные ошибки при подготовке пользователей Workday и способы их устранения. Ошибки разделены на следующие группы:

Ошибки подготовки агента

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Ошибка при установке агента подготовки с сообщением об ошибке: не удалось запустить службу "Microsoft Entra Подключение Provisioning Agent" (AAD Подключение ProvisioningAgent). Убедитесь, что у вас есть достаточные привилегии для запуска системы. Эта ошибка обычно появляется при попытке установить агент подготовки на контроллере домена, а групповая политика запрещает запуск службы. Она также отображается, если у вас работает предыдущая версия агента и вы не удалили ее перед началом новой установки. Установите агент подготовки на сервере, отличном от сервера контроллера домена. Перед установкой нового агента убедитесь, что предыдущие версии агента удалены.
2. Служба Windows "Microsoft Entra Подключение Provisioning Agent" находится в состоянии запуска и не переключается на состояние "Выполнение". В ходе установки мастер агента создает локальную учетную запись (NT Service\AADConnectProvisioningAgent) на сервере, и эта учетная запись для входа в систему используется для запуска службы. Если политика безопасности на сервере Windows не позволяет локальным учетным записям запускать службы, эта ошибка возникает. Откройте консоль служб. Щелкните правой кнопкой мыши службу Windows "Microsoft Entra Подключение Provisioning Agent" и на вкладке входа укажите учетную запись администратора домена для запуска службы. Перезапустите службу.
3. При настройке агента подготовки с доменом AD на шаге подключения Active Directory мастер долго загружает схему AD, но в конечном итоге время ожидания истекает. Эта ошибка обычно отображается, если мастеру не удается связаться с сервером контроллера домена AD из-за проблем брандмауэра. На шаге подключения Active Directory в мастере при вводе учетных данных домена AD есть параметр Select domain controller priority (Выбрать приоритет контроллеров домена). Используя этот параметр, выберите контроллер домена, который находится на том же сайте, что и сервер агента, и убедитесь в отсутствии правил брандмауэра, блокирующих связь.

Ошибки подключения.

Если службе подготовки не удается подключиться к Workday или Active Directory, подготовка может перейти в состояние карантина. В следующей таблице приведены сведения по устранению неполадок с подключением.

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Щелкнув "Тест" Подключение ion, вы получите сообщение об ошибке: произошла ошибка при подключении к Active Directory. Убедитесь, что локальный агент подготовки запущен и настроен с правильным доменом Active Directory. Эта ошибка обычно отображается, если агент подготовки не запущен или брандмауэр блокирует связь между идентификатором Microsoft Entra и агентом подготовки. Эта ошибка также может появиться, если домен не настроен в мастере агента. Откройте консоль Службы на сервере Windows, чтобы убедиться, что агент запущен. Откройте мастер агента подготовки и убедитесь, что нужный домен зарегистрирован в агенте.
2. Задание подготовки переходит в состояние карантина в выходные дни (пятница и суббота), и мы получаем уведомление по электронной почте о том, что произошла ошибка синхронизации. Одной из распространенных причин этой ошибки является запланированный простой Workday. Если вы используете клиент реализации Workday, обратите внимание, что Workday запланировал для своих клиентов реализации простой на выходные дни (обычно с вечера пятницы до утра субботы). В течение этого периода приложения подготовки Workday могут перейти в состояние карантина, так как не могут подключиться к Workday. Задание возвращается в нормальное состояние, как только клиент реализации Workday возвращается в сеть. В редких случаях эта ошибка может также появиться, если пароль пользователя системы интеграции был изменен из-за обновления клиента или если учетная запись заблокирована либо истек срок ее действия. Обратитесь к администратору Workday или партнеру по интеграции, чтобы узнать, когда Workday планирует время простоя, чтобы игнорировать предупреждения в период простоя и подтвердить доступность после подключения экземпляра Workday.

Ошибки создания учетной записи пользователя AD

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Сбои операции экспорта в журнале подготовки с сообщением Error: OperationsError-SvcErrr: произошла ошибка операции. Для службы каталогов не настроена превосходная ссылка. Поэтому служба каталогов не может выдавать ссылки на объекты за пределами этого леса. Эта ошибка обычно появляется, если подразделение контейнера Active Directory установлено неправильно или есть проблемы с сопоставлением выражений, используемым для parentDistinguishedName. Проверьте параметр подразделения контейнера Active Directory на наличие опечаток. Если вы используете атрибут parentDistinguishedName в сопоставлении атрибутов, убедитесь, что он всегда соответствует известному контейнеру в домене AD. Проверьте событие экспорта в журналах подготовки, чтобы просмотреть созданное значение.
2. Сбои операций экспорта в журнале подготовки с кодом ошибки: SystemForCrossDomainIdentityManagementBadResponse и сообщение Error: ConstraintViolation-AtrErr: недопустимое значение в запросе. Значение атрибута не было в допустимом диапазоне значений. \nError Details: CONSTRAINT_ATT_TYPE - company. Хотя эта ошибка относится только к атрибуту company, она может возникнуть и для других атрибутов, таких как CN. Эта ошибка появляется из-за принудительного ограничения схемы AD. По умолчанию такие атрибуты, как company и CN в AD, имеют верхний предел длины в 64 знака. Если значение, полученное из Workday, превышает 64 символов, отображается это сообщение об ошибке. Проверьте событие экспорта в журналах подготовки, чтобы просмотреть значение атрибута, указанного в сообщении об ошибке. Рассмотрите возможность усечения значения, исходящего из Workday, с помощью функции Mid или изменения сопоставлений с атрибутом AD, который не имеет аналогичных ограничений длины.

Ошибки обновления учетной записи пользователя AD

В процессе обновления учетной записи пользователя AD служба подготовки считывает информацию из Workday и AD, запускает правила сопоставления атрибутов и определяет, нужно ли применить какое-либо изменение. Соответственно инициируется событие обновления. Если какой-либо из этих шагов возникает сбой, он регистрируется в журналах подготовки. В следующей таблице приведены сведения по устранению распространенных ошибок обновления.

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Сбои действий правила синхронизации в журнале подготовки с сообщением EventName = EntrySynchronizationError и ErrorCode = EndpointUnavailable. Эта ошибка отображается, если служба сопоставления не может получить данные профиля пользователя из Active Directory из-за ошибки обработки, обнаруженной локальным агентом подготовки. Проверьте журналы средства просмотра событий агента подготовки на наличие ошибок, которые указывают на проблемы с операцией чтения (отфильтруйте по идентификатору события 2).
2. Атрибут диспетчера в AD не обновляется для определенных пользователей в AD. Наиболее вероятная причина этой ошибки — использование правил области действия, где настроена область, в которую руководитель пользователя не входит. Вы также можете столкнуться с этой проблемой, если соответствующий атрибут идентификатора менеджера (например, EmployeeID) не найден в целевом домене AD или не задано правильное значение. Просмотрите фильтр области действия и добавьте руководителя в нужную область. Проверьте профиль руководителя в AD, чтобы убедиться в наличии значения для атрибута идентификатора сопоставления.

Управление конфигурацией

В этом разделе описывается, как вы можете дополнительно расширять и настраивать вашу конфигурацию подготовки пользователей на основе Workday, а также управлять ею. В нем рассматриваются следующие темы:

Настройка списка атрибутов пользователя Workday

Приложения подготовки Workday для Active Directory и Идентификатора Microsoft Entra содержат список атрибутов пользователей Workday по умолчанию, которые можно выбрать. Но эти списки не являются исчерпывающими. Приложение Workday поддерживает сотни пользовательских атрибутов, которые могут быть стандартными или уникальными для клиента Workday.

Служба подготовки Microsoft Entra поддерживает возможность настройки списка или атрибута Workday для включения всех атрибутов, предоставляемых в Get_Workers операции API кадров.

Для этого необходимо использовать Workday Studio для извлечения выражений XPath, представляющих атрибуты, которые вы хотите использовать, а затем добавить их в конфигурацию подготовки с помощью расширенного редактора атрибутов.

Чтобы получить выражение XPath для атрибута пользователя Workday, сделайте следующее:

  1. Скачайте и установите Workday Studio. Для доступа к установщику требуется учетная запись сообщества Workday.

  2. Загрузите WSDL-файл Workday Human_Resources, подходящий для версии API WWS, которую вы планируете использовать из каталога веб-служб Workday.

  3. Запустите Workday Studio.

  4. На панели команд выберите Workday > Test Web Service in Tester (Workday > Тестировать веб-службу в тестере).

  5. Щелкните External (Внешний) и выберите WSDL-файл Human_Resources, скачанный на шаге 2.

    Снимок экрана, на котором показан файл

  6. Задайте для поля Location (Расположение) значение https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources. Замените значение IMPL-CC фактическим типом экземпляра и значение TENANT (Клиент) реальным именем клиента.

  7. Задайте для параметра Operation значение Get_Workers.

  8. Щелкните ссылку configure (Настроить) под областями Request/Response (Запрос/Ответ), чтобы задать учетные данные Workday. Установите флажок Authentication (Аутентификация), а затем введите имя пользователя и пароль учетной записи системы интеграции Workday. Убедитесь, что имя пользователя отформатировано как "имя@клиент", и оставьте флажок возле параметра WS-Security UsernameToken. Снимок экрана, на котором показана вкладка Security (Безопасность) с заполненными полями Username (Имя пользователя) и Password (Пароль) и выбран параметр WS-Security Username Token.

  9. Нажмите ОК.

  10. В области Запрос вставьте XML-код, указанный ниже. Задайте для параметра Employee_ID идентификатор сотрудника реального пользователя в клиенте Workday. Задайте для параметра wd:version версию WWS, которую вы планируете использовать. Выберите пользователя, у которого заполнен атрибут, который вы хотите извлечь.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. Нажмите кнопку Send Request (Отправить запрос) (с зеленой стрелкой), чтобы выполнить команду. Если команда выполнена успешно, ответ должен отображаться в области Response (Ответ). Убедитесь, что ответ содержит данные идентификатора пользователя, которые вы ввели, и не содержит ошибок.

  12. Если команда выполнена успешно, скопируйте XML-код из области Response (Ответ) и сохраните его как XML-файл.

  13. В командной строке Workday Studio последовательно выберите File > Open File (Файл > Открыть файл) и откройте только что сохраненный XML-файл. Это действие открывает файл в редакторе XML Workday Studio.

    Снимок экрана редактора XML Workday Studio с открытым в нем XML-файлом.

  14. В дереве файлов перейдите к файлу /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker, чтобы найти данные пользователя.

  15. В разделе wd:Worker найдите атрибут, который нужно добавить, и выберите его.

  16. Скопируйте выражение XPath для выбранного атрибута из поля Document Path (Путь к документу).

  17. Удалите префикс /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ из скопированного выражения.

  18. Если последний элемент в скопированном выражении является узлом (например, /wd:Birth_Date), добавьте /text() в конец выражения. Это можно не делать, если последний элемент является атрибутом (например, "/@wd: type").

  19. Результат должен выглядеть приблизительно так: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Это значение является то, что вы копируете и вводите в Центр администрирования Microsoft Entra.

Чтобы добавить настраиваемый атрибут пользователя Workday в конфигурацию подготовки, сделайте следующее:

  1. Запустите Центр администрирования Microsoft Entra и перейдите к разделу подготовки приложения подготовки Workday, как описано ранее в этом руководстве.

  2. Задайте для параметра Состояние подготовки значение Выкл. и нажмите кнопку Сохранить. Этот шаг помогает убедиться, что изменения вступили в силу только в том случае, если вы будете готовы.

  3. В разделе "Сопоставления" выберите "Синхронизация рабочих ролей Workday" в Локальную службу Active Directory (или синхронизация рабочих ролей Workday с идентификатором Microsoft Entra).

  4. Прокрутите вниз до следующего экрана и выберите Показать расширенные параметры.

  5. Выберите ссылку Изменить список атрибутов для Workday.

    Снимок экрана, на котором показана страница подготовки пользователей Workday к Microsoft Entra — подготовка пользователей с выделенным действием

  6. Прокрутите страницу вниз до списка атрибутов, где находятся поля для заполнения.

  7. В поле Имя введите отображаемое имя для атрибута.

  8. В поле Тип выберите тип, соответствующий атрибуту (чаще всего это строка).

  9. В поле Выражение API введите выражение XPath, скопированное из Workday Studio. Пример: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Нажмите кнопку Добавить атрибут.

    Workday Studio

  11. Нажмите кнопку Сохранить выше, а затем — Да в диалоговом окне. Закройте экран сопоставления атрибутов, если он еще открыт.

  12. Вернитесь на главную вкладку "Подготовка" , снова выберите "Синхронизировать рабочие роли Workday" в Локальную службу Active Directory (или синхронизировать рабочие роли с идентификатором Microsoft Entra ID).

  13. Выберите Добавить новое сопоставление.

  14. Новый атрибут должен появиться в Атрибут источника.

  15. В случае необходимости добавьте сопоставление для нового атрибута.

  16. В конце не забудьте задать для параметра Состояние подготовки значение Вкл. и сохранить это изменение.

Экспорт и импорт конфигурации

См. статью Экспорт и импорт конфигурации подготовки

Управление персональными данными

Для решения подготовки Workday для Active Directory требуется, чтобы агент подготовки был установлен на локальном сервере Windows. Этот агент создает журналы в журнале событий Windows, который может содержать персональные данные в зависимости от сопоставления атрибутов Workday и AD. Чтобы обеспечить соблюдение обязательств по обеспечению конфиденциальности пользователей, можно настроить так, чтобы никакие данные не хранились в журналах событий более 48 часов, создав запланированную задачу Windows для очистки журнала событий.

Служба подготовки Microsoft Entra входит в категорию обработчика данных классификации GDPR. В качестве конвейера обработчика данных Azure AD Connect Health предоставляет службы обработки данных ключевым партнерам и пользователям. Служба подготовки Microsoft Entra не создает пользовательские данные и не контролирует сбор персональных данных и способ его использования. Получение данных, агрегирование, анализ и отчеты в службе подготовки Microsoft Entra основаны на существующих корпоративных данных.

Примечание.

Дополнительные сведения о просмотре и удалении персональных данных см. в руководстве Майкрософт на сайте Запросы субъектов данных, определенные в GDPR, в отношении Windows. Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.

В отношении хранения данных служба подготовки Microsoft Entra не создает отчеты, выполняет аналитику или предоставляет аналитические сведения за 30 дней. Поэтому служба подготовки Microsoft Entra не хранит, обрабатывает или сохраняет данные за 30 дней. Эта конструкция соответствует нормативным требованиям GDPR, нормативным требованиям майкрософт по обеспечению конфиденциальности и политикам хранения данных Microsoft Entra.

Следующие шаги