Руководство по Настройка Workday для автоматической подготовки пользователей
Цель этого учебника — показать, как подготавливать профили работников из Workday в локальной службе Azure Active Directory (AD).
Примечание.
Используйте это руководство, если пользователи, которые вы хотите подготовить из Workday, требуются локальная учетная запись AD и учетная запись Microsoft Entra.
- Если пользователям из Workday требуется только учетная запись Microsoft Entra (только облачные пользователи), обратитесь к руководству по настройке Workday для подготовки пользователей Идентификатора Microsoft Entra.
- Чтобы настроить обратную запись атрибутов, таких как адрес электронной почты, имя пользователя и номер телефона из идентификатора Microsoft Entra в Workday, ознакомьтесь с руководством по настройке обратной записи Workday.
В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции подготовки с Workday.
Обзор
Служба подготовки пользователей Microsoft Entra интегрируется с API кадров Workday для подготовки учетных записей пользователей. Рабочие процессы подготовки пользователей Workday, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:
Нанимать новых сотрудников. При добавлении нового сотрудника в Workday учетная запись пользователя автоматически создается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra, с обратной записью в Workday.
Обновления атрибутов и профилей сотрудников— когда запись сотрудника обновляется в Workday (например, имя, название или менеджер), ее учетная запись пользователя автоматически обновляется в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.
Завершение работы сотрудников. При завершении работы сотрудника в Workday их учетная запись пользователя автоматически отключается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.
Повторное получение сотрудников. При повторном подключении сотрудников в Workday их старая учетная запись может быть автоматически активирована или повторно подготовлена (в зависимости от вашего предпочтения) в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra ID.
Новые возможности
В этом разделе записаны последние улучшения интеграции с Workday. Список комплексных обновлений, запланированных изменений и архивов см . в новых возможностях идентификатора Microsoft Entra ID?
Октябрь 2020 г. — включенная подготовка по запросу для Workday: с помощью подготовки по запросу теперь можно проверить сквозную подготовку для определенного профиля пользователя в Workday, чтобы проверить сопоставление атрибутов и логику выражений.
Май 2020 г. — возможность записи номеров телефонов обратной записи в Workday: помимо электронной почты и имени пользователя, теперь можно записать рабочий номер телефона и номер мобильного телефона из Идентификатора Microsoft Entra в Workday. Дополнительные сведения см. в учебнике по приложению для обратной записи.
Апрель 2020 г. — поддержка последней версии API веб-служб Workday (WWS): в два раза в год в марте и сентябре Workday предоставляет расширенные функции обновления, которые помогут вам выполнить бизнес-цели и изменить требования к рабочей силе. Чтобы обеспечить соответствие новым функциям, предоставляемым Workday, можно напрямую указать версию API WWS, которую вы хотите использовать в URL-адресе подключения. Дополнительные сведения о том, как указать версию API-интерфейса Workday, см. в разделе о настройке подключения к Workday.
Кому это решение подготовки пользователей подходит лучше всего?
Это решение подготовки пользователей в Workday идеально подходит для:
организаций, которым необходимо готовое облачное решение для подготовки пользователей в Workday;
Организации, которым требуется прямая подготовка пользователей из Workday в Active Directory или идентификатор Microsoft Entra
организаций, которым требуется подготавливать пользователей с помощью данных, полученных из модуля HCM Workday (см. раздел об операции Get_Workers);
Организации, требующие присоединения, перемещения и выхода пользователей для синхронизации с одним или несколькими лесами Active Directory, доменами и подразделениями на основе изменений, обнаруженных в модуле Workday HCM (см . Get_Workers).
организаций, использующих Microsoft 365 для электронной почты.
Архитектура решения
В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:
- Достоверный поток данных кадров — от Workday до локальная служба Active Directory. В этом потоке рабочие события, такие как новые сотрудники, передачи, передачи, завершения, сначала происходят в облачном клиенте Workday HR, а затем данные событий передаются в локальная служба Active Directory через идентификатор Microsoft Entra и агент подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.
- Поток обратной записи — от локальная служба Active Directory до Workday: после завершения создания учетной записи в Active Directory он синхронизируется с идентификатором Microsoft Entra Connect, а также сведения, такие как электронная почта, имя пользователя и номер телефона, можно записать обратно в Workday.
Полноценный поток данных пользователей
- Команда отдела кадров выполняет транзакции с работниками (присоединение, перемещение и удаление или найм, перевод и увольнение) в Workday HCM.
- Служба подготовки Microsoft Entra выполняет запланированные синхронизации удостоверений из Workday HR и определяет изменения, которые необходимо обработать для синхронизации с локальная служба Active Directory.
- Служба подготовки Microsoft Entra вызывает локальный агент подготовки Microsoft Entra Connect с полезными данными запроса, содержащими учетные записи AD create/update/enable/disable operations.
- Агент подготовки Microsoft Entra Connect использует учетную запись службы для добавления и обновления данных учетной записи AD.
- Подсистема синхронизации Microsoft Entra Connect / AD выполняет разностную синхронизацию для извлечения обновлений в AD.
- Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
- Если приложение обратной записи Workday настроено, оно выполняет обратную запись таких атрибутов, как адрес электронной почты, имя пользователя и номер телефона, в Workday.
Планирование развертывания
Для настройки подготовки пользователей из Workday в Azure AD требуется основательное планирование, охватывающее различные аспекты, в числе которых:
- Настройка агента подготовки Microsoft Entra Connect
- количество развертываемых приложений подготовки пользователей из Workday в AD;
- Выбор подходящего идентификатора, сопоставления атрибутов, преобразований и фильтров области
Подробные инструкции см. в плане развертывания облачных служб управления персоналом.
Настройка пользователя системы интеграции в Workday
Общее требование всех соединителей подготовки Workday состоит в том, что для подключения к API отдела кадров Workday необходимы учетные данные для пользователя системы интеграции Workday. В следующих разделах описывается создание пользователя системы интеграции в Workday:
- Создание пользователя системы интеграции
- Создание группы безопасности интеграции
- Настройка разрешений политики безопасности домена
- Настройка разрешений политики безопасности для бизнес-процессов
- Активация изменений политики безопасности
Примечание.
Эту процедуру можно обойти и вместо этого использовать учетную запись администратора Workday в качестве учетной записи интеграции системы. Это может работать хорошо для демонстраций, но не рекомендуется для рабочих развертываний.
Создание пользователя системы интеграции
Создание пользователя системы интеграции:
Войдите в клиент Workday с помощью учетной записи администратора. В области Workday Application введите в поле поиска "create user", а затем щелкните ссылку Create Integration System User (Создать пользователя системы интеграции).
Завершите задачу Создание пользователя системы интеграции , указав имя пользователя и пароль для нового пользователя системы интеграции.
- Оставьте флажок "Требовать новый пароль" при следующем входе, так как этот пользователь выполняет вход программным способом.
- Оставьте время ожидания сеанса с значением по умолчанию 0, что предотвращает преждевременное истечение времени ожидания сеансов пользователя.
- Выберите параметр Do Not Allow UI Sessions (Не разрешать сеансы пользовательского интерфейса), так как он предоставляет пользователю пароль системы интеграции при входе в Workday.
Создание группы безопасности интеграции
На этом шаге вы создадите группу безопасности системы интеграции без ограничений или ограниченной интеграции в Workday и назначьте пользователя системы интеграции, созданного на предыдущем шаге этой группе.
Создание группы безопасности:
Введите в поле поиска текст "создать группу безопасности", а затем щелкните Создать группу безопасности.
Завершите задачу создания группы безопасности.
Есть два типа групп безопасности в Workday:
- Без ограничений: все члены группы безопасности могут получить доступ ко всем экземплярам данных, защищенным группой безопасности.
- Ограниченно. Все члены группы безопасности имеют контекстный доступ к подмножествам экземпляров данных (строк), к которым может получить доступ группа безопасности.
Обратитесь к партнеру по интеграции Workday, чтобы выбрать подходящий тип группы безопасности для интеграции.
Зная тип группы, выберите Integration System Security Group (Unconstrained) (Группа безопасности системы интеграции без ограничений) или Integration System Security Group (Сonstrained) (Группа безопасности системы интеграции с ограничениями) в раскрывающемся списке Type of Tenanted Security Group (Тип клиентской группы безопасности).
После успешного создания группы безопасности вы увидите страницу, на которой можно назначить участников группе безопасности. Добавьте в эту группу безопасности нового пользователя системы интеграции, созданного на предыдущем шаге. Если вы используете ограниченную группу безопасности, необходимо выбрать соответствующую область организации.
Настройка разрешений политики безопасности домена
На этом шаге вы предоставьте разрешения политики безопасности домена для рабочих данных группе безопасности.
Настройка разрешений политики безопасности домена:
Введите в поле поиска членство в группе безопасности и доступ к ней и щелкните ссылку на отчет.
Найдите и выберите группу безопасности, созданную на предыдущем шаге.
Щелкните многоточие (
...
) рядом с именем группы и в меню выберите > "Сохранить разрешения домена для группы безопасности"В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Put access (Политики безопасности домена, разрешающие доступ для запросов Put).
- External Account Provisioning (Подготовка внешних учетных записей)
- Worker Data: Public Worker Reports (Данные о работниках: общедоступные отчеты о работниках)
- Данные пользователя: сведения о рабочем контакте (требуется, если вы планируете обратно записывать контактные данные из идентификатора Microsoft Entra в Workday)
- Учетные записи Workday (требуется, если вы планируете записать имя пользователя или имя участника-пользователя из идентификатора Microsoft Entra в Workday)
В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Get access (Политики безопасности домена, разрешающие доступ для запросов Get).
- Рабочие данные: рабочие
- Worker Data: All Positions (Данные о работниках: все позиции)
- Worker Data: Current Staffing Information (Данные о работниках: сведения о текущем персонале)
- Worker Data: Business Title on Worker Profile (Данные о работниках: рабочая должность в профиле работника)
- Рабочие данные: квалифицированные работники (необязательно) — добавьте это для получения данных о квалификации работников для подготовки)
- Рабочие данные: навыки и опыт (необязательно. Добавьте это для получения данных о рабочих навыках для подготовки)
После выполнения описанных выше действий экран разрешений отображается, как показано ниже:
Чтобы завершить настройку, щелкните OK и Done (Готово) на следующем экране.
Настройка разрешений политики безопасности для бизнес-процессов
На этом этапе вы предоставите группе безопасности разрешения политики безопасности бизнес-процессов для данных рабочей роли.
Примечание.
Этот шаг необходим только для настройки соединителя приложения Workday Writeback.
Настройка разрешений политики безопасности для бизнес-процессов:
Введите Business Process Policy в поле поиска и выберите задачу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов).
В текстовом поле Тип бизнес-процесса выполните поиск по запросу Контакт, выберите бизнес-процесс Work Contact Change (Изменение рабочего контакта) и нажмите кнопку ОК.
Прокрутите страницу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов) до раздела Change Work Contact Information (Web Service) (Изменение рабочих контактных данных — веб-служба).
Выберите новую группу безопасности системы интеграции и добавьте ее в список групп безопасности, которая может инициировать запрос к веб-службам.
Нажмите кнопку Готово.
Активация изменений политики безопасности
Активация изменений политики безопасности:
Введите "активировать" в поле поиска и затем нажмите ссылку Активировать ожидающие изменения политики безопасности.
Начните выполнять задачу активации ожидающих изменений политики безопасности: введите комментарий для проведения аудита и нажмите кнопку ОК.
Завершите задачу на следующем экране, установив флажок Confirm (Подтверждаю) и нажав кнопку ОК.
Предварительные требования для установки агента подготовки
Прежде чем переходить к следующему разделу, изучите предварительные требования для установки агента подготовки.
Настройка подготовки пользователей из Workday в Active Directory
В этом разделе описаны шаги для подготовки учетных записей пользователей из Workday в каждом домене Active Directory в области интеграции.
- Добавление приложения соединителя подготовки и скачивание агента подготовки
- Установка и настройка локальных агентов подготовки
- Настройка подключений к Workday и Active Directory
- Настройка сопоставлений атрибутов
- Включение и запуск подготовки пользователей
Часть 1. Добавление приложения соединителя подготовки и скачивание агента подготовки
Настройка подготовки Workday в Active Directory.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
Выполните поиск по условию Подготовка пользователей Workday в Active Directory и добавьте это приложение из коллекции.
После добавления приложения и отображения экрана сведений о приложении выберите Подготовка.
Для параметра Режим подготовки к работе выберите значение Автоматически.
Щелкните информационный баннер, чтобы скачать агент подготовки.
Часть 2. Установка и настройка локальных агентов подготовки
Чтобы подготовить локальную службу Active Directory, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к нужным доменам Active Directory.
Перенесите скачанный установщик агента на узел сервера и следуйте инструкциям из раздела об установке агента, чтобы завершить настройку агента.
Часть 3. В приложении подготовки настройте подключение к Workday и Active Directory
На этом шаге мы устанавливаем подключение к Workday и Active Directory.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям> Identity>Apps Enterprise Workday в приложение подготовки пользователей>Active Directory, созданное в части 1.
В разделе Учетные данные администратора заполните поля следующим образом.
Имя пользователя Workday — введите имя пользователя учетной записи системы интеграции Workday, указав имя домена клиента. Это должно выглядеть примерно так: имя_пользователя@имя_клиента.
Пароль Workday — введите пароль учетной записи системы интеграции Workday.
URL-адрес API веб-служб Workday — введите URL-адрес конечной точки веб-служб Workday для вашего клиента. URL-адрес определяет версию API веб-служб Workday, используемую соединителем.
Формат URL-адреса Используемая версия API WWS Требуются изменения XPATH https://####.workday.com/ccx/service/tenantName версия 21.1 No https://####.workday.com/ccx/service/tenantName/Human_Resources версия 21.1 No https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# версия ##.# Да Примечание.
Если в URL-адресе не указаны сведения о версии, приложение использует веб-службы Workday (WWS) версии 21.1 и не требуется вносить никаких изменений в выражения API XPATH по умолчанию, поставляемые с приложением. Чтобы использовать определенную версию API WWS, укажите номер версии в URL-адресе.
Пример:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Если вы используете API WWS версии 30.0+, прежде чем включить задание подготовки, обновите выражения API XPATH в разделе "Сопоставление атрибутов "> Дополнительные параметры -> Изменить список атрибутов для Workday, ссылаясь на раздел "Управление конфигурацией и атрибутом Workday".Лес Active Directory — имя домена Active Directory, зарегистрированное в агенте. В раскрывающемся списке выберите целевой домен для подготовки. Как правило, это строка вида: contoso.com.
Контейнер Active Directory — выберите различающееся имя контейнера, в котором агент должен по умолчанию создавать учетные записи пользователей. Пример: OU=Standard Users,OU=Users,DC=contoso,DC=test
Примечание.
Этот параметр применяется только для создания учетных записей пользователей, если атрибут parentDistinguishedName не настроен в сопоставлениях атрибутов. Этот параметр не используется для операций поиска пользователей или обновления. Областью действия операции поиска является все дочернее дерево домена.
Электронная почта для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).
Примечание.
Служба подготовки Microsoft Entra отправляет уведомление по электронной почте, если задание подготовки переходит в состояние карантина .
Нажмите кнопку Проверить подключение. Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи убедитесь, что учетные данные Workday и AD, заданные в настройках агента, действительны.
После успешного сохранения учетных данных в разделе "Сопоставления" отображается сопоставление "Синхронизация рабочих ролей Workday" по умолчанию с Локальным Active Directory
Часть 4. Настройка сопоставлений атрибутов
В этом разделе описана настройка потоков данных пользователей из Workday в Active Directory.
На вкладке "Подготовка" в разделе Сопоставления щелкните Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory).
В поле Область исходного объекта можно выбрать, какие наборы пользователей в Workday должны учитываться при подготовке в AD, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в Workday". Примеры фильтров
Пример. Охват пользователей с идентификаторами рабочих ролей в диапазоне от 1000000 до 2000000 (не включая 2000000)
Атрибут: WorkerID
Оператор: REGEX Match
Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9])
Пример: только сотрудники, а не временные работники
Атрибут: EmployeeID
Оператор: не равно NULL
Совет
При первом настройке приложения подготовки необходимо проверить и проверить сопоставления атрибутов и выражения, чтобы убедиться, что он дает нужный результат. Корпорация Майкрософт рекомендует использовать фильтры области действия в разделе Область исходного объекта и подготовку по требованию для проверки сопоставлений с несколькими тестовыми пользователями из Workday. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.
Внимание
Поведение по умолчанию обработчика подготовки заключается в том, чтобы отключить или удалить неподходящих пользователей. Это может быть нежелательно в случае интеграции Workday с AD. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.
В поле Действия с целевыми объектами можно в глобальном масштабе отфильтровать, какие действия доступны для выполнения в Active Directory. Самыми распространенными являются создание и обновление.
В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты Workday сопоставляются с атрибутами Active Directory.
Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:
Тип сопоставления
Прямой — записывает значение атрибута Workday без изменений в атрибут AD.
Константа — записывает статическое постоянное строковое значение в атрибут AD.
Выражение — позволяет записывать пользовательское значение в атрибут AD на основании одного или нескольких атрибутов Workday. Дополнительные сведения см. в статье о выражениях.
Исходный атрибут — атрибут пользователя из Workday. Если нужный атрибут отсутствует, см . статью "Настройка списка атрибутов пользователя Workday".
Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление записывает это значение. В наиболее распространенной конфигурации это поле остается пустым.
Целевой атрибут — атрибут пользователя в Active Directory.
Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между Workday и Active Directory. Как правило, значение задается в поле ИД работника для Workday, который обычно сопоставляется с одним из атрибутов ИД сотрудника в Active Directory.
Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.
Применить это сопоставление
Всегда — применить это сопоставление как при создании, так и при обновлении пользователей
Только при создании — применить это сопоставление только при создании пользователей
Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".
Ниже приведено несколько примеров сопоставлений атрибутов между Workday и Active Directory с некоторыми общими выражениями.
Выражение, которое сопоставляется с атрибутом parentDistinguishedName, используется для подготовки пользователей для разных подразделений на основе одного или нескольких исходных атрибутов Workday. В этом примере пользователи размещаются в разных подразделениях в зависимости от того, в каком городе они находитесь.
Атрибут userPrincipalName в Active Directory создается с помощью функции отмены дублирования SelectUniqueValue, которая проверяет наличие созданного значения в целевом домене AD и задает его, только если это уникально.
Здесь приведена документация по написанию выражений. В этот раздел входят примеры, демонстрирующие удаление специальных символов.
АТРИБУТ WORKDAY | АТРИБУТ ACTIVE DIRECTORY | ИДЕНТИФИКАТОР СОПОСТАВЛЕНИЯ? | СОЗДАНИЕ ИЛИ ОБНОВЛЕНИЕ |
---|---|---|---|
WorkerID | EmployeeID | Да | Записывается только при создании |
PreferredNameData | cn | Записывается только при создании | |
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) | userPrincipalName | Записывается только при создании | |
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) |
sAMAccountName | Записывается только при создании | |
Switch([Active], , "0", "True", "1", "False") | accountDisabled | Создание и обновление | |
FirstName | givenName | Создание и обновление | |
LastName | sn | Создание и обновление | |
PreferredNameData | displayName | Создание и обновление | |
Компания | company | Создание и обновление | |
SupervisoryOrganization | department | Создание и обновление | |
ManagerReference | manager | Создание и обновление | |
BusinessTitle | title | Создание и обновление | |
AddressLineData | streetAddress | Создание и обновление | |
Municipality | l | Создание и обновление | |
CountryReferenceTwoLetter | co | Создание и обновление | |
CountryReferenceTwoLetter | c | Создание и обновление | |
CountryRegionReference | st | Создание и обновление | |
WorkSpaceReference | physicalDeliveryOfficeName | Создание и обновление | |
PostalCode | postalCode | Создание и обновление | |
PrimaryWorkTelephone | telephoneNumber | Создание и обновление | |
Факс | facsimileTelephoneNumber | Создание и обновление | |
Мобильные | мобильный | Создание и обновление | |
LocalReference | preferredLanguage | Создание и обновление | |
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") | parentDistinguishedName | Создание и обновление |
Завершив настройку сопоставления атрибутов, можно протестировать подготовку по требованию для одного пользователя, а затем включить и запустить службу подготовки пользователей.
Включение и запуск подготовки пользователей
После завершения конфигураций приложений подготовки Workday и проверки подготовки для одного пользователя с подготовкой по запросу можно включить службу подготовки.
Совет
По умолчанию при включении службы подготовки она инициирует операции подготовки для всех пользователей в области. При наличии ошибок в сопоставлении или проблем с данными Workday задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуем настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями с помощью подготовки по требованию перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.
Перейдите в колонку Подготовка и щелкните Начать подготовку.
Эта операция запускает начальную синхронизацию, которая может занять переменное количество часов в зависимости от количества пользователей в клиенте Workday. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.
В любое время проверьте вкладку "Подготовка" в Центре администрирования Microsoft Entra, чтобы узнать, какие действия выполнила служба подготовки. Журналы подготовки перечисляют все отдельные события синхронизации, выполняемые службой подготовки, например, которые пользователи считывают из Workday, а затем добавляются или обновляются в Active Directory. Инструкции по просмотру журналов подготовки и устранению ошибок подготовки см. в разделе "Устранение неполадок".
После завершения начальной синхронизации он записывает сводный отчет аудита на вкладке подготовки , как показано ниже.
Часто задаваемые вопросы
Вопросы о возможностях решения
- Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?
- Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?
- Кэшируют ли профили пользователей Workday в облаке Microsoft Entra или на уровне агента подготовки?
- Поддерживает ли решение назначение локальных групп AD пользователю?
- Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?
- Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?
- Разделы справки предлагать улучшения или запрашивать новые функции, связанные с интеграцией Workday и Microsoft Entra?
Вопросы по работе агента подготовки
- Какая версия агента подготовки является общедоступной?
- Как узнать версию моего агента подготовки?
- Автоматически ли корпорация Майкрософт отправляет обновления агента подготовки?
- Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Connect?
- Как настроить агент подготовки для использования прокси-сервера исходящих HTTP-подключений?
- Разделы справки убедитесь, что агент подготовки может взаимодействовать с клиентом Microsoft Entra, и брандмауэры не блокируют порты, необходимые агенту?
- Как отменить регистрацию домена, связанного с агентом подготовки?
- Как удалить агент подготовки?
Вопросы по конфигурации и сопоставлению атрибутов Workday и AD
- Как создать резервную копию или экспортировать рабочую копию сопоставления атрибутов подготовки Workday и схемы?
- У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?
- Можно ли подготовить фотографию пользователя из Workday в Active Directory?
- Как на основе согласия пользователя синхронизировать мобильные номера из Workday для публичного использования?
- Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?
- Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?
- Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?
Вопросы о возможностях решения
Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?
Когда локальный агент подготовки получает запрос на создание новой учетной записи AD, он автоматически создает сложный случайный пароль, соответствующий требованиям сложности, определенным сервером AD, и устанавливает его для объекта пользователя. Этот пароль не регистрируется нигде.
Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?
Нет, отправка Уведомления по электронной почте после завершения операций подготовки не поддерживается в текущем выпуске.
Кэшируют ли профили пользователей Workday в облаке Microsoft Entra или на уровне агента подготовки?
Нет, решение не поддерживает кэш профилей пользователей. Служба подготовки Microsoft Entra просто выступает в качестве обработчика данных, считывает данные из Workday и записывает данные в целевой идентификатор Active Directory или Microsoft Entra ID. Дополнительные сведения о конфиденциальности пользователей и хранении данных см. в разделе Управление персональными данными.
Поддерживает ли решение назначение локальных групп AD пользователю?
В настоящее время эта функция не поддерживается. Рекомендуемое решение — развернуть скрипт PowerShell, который запрашивает конечную точку API Microsoft Graph для подготовки данных журнала и использует их для активации таких сценариев, как назначение групп. Этот сценарий PowerShell можно присоединить к планировщику задач и развернуть в том же окне, где запущен агент подготовки.
Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?
В настоящее время решение использует следующие API Workday:
В разделе Учетные данные администратора используется формат URL-адреса API WWS, который определяет версию API, используемую для Get_Workers.
- Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName, то используется API версии 21.1.
- Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources, то используется API версии 21.1.
- Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#, то используется указанная версия API. (Например, если указана версия 34.0, используется.)
Функция обратной записи электронной почты Workday использует Change_Work_Contact_Information (версии 30.0).
Функция обратной записи имени пользователя Workday использует Update_Workday_Account (версии 31.2).
Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?
Да, эта конфигурация поддерживается. Ниже приведены основные действия, необходимые для настройки такого сценария.
- Разверните агент подготовки #1 и зарегистрируйте его в клиенте Microsoft Entra #1.
- Разверните агент подготовки #2 и зарегистрируйте его в клиенте Microsoft Entra #2.
- На основе дочерних доменов, которым управляет каждый агент подготовки, настройте каждый агент с доменами. Один агент может обрабатывать несколько доменов.
- В Центре администрирования Microsoft Entra настройте приложение Подготовки пользователей Ad для Workday в каждом клиенте и настройте его с соответствующими доменами.
Разделы справки предлагать улучшения или запрашивать новые функции, связанные с интеграцией Workday и Microsoft Entra?
Мы очень ценим ваши отзывы, так как они помогают нам задать направление для будущих выпусков и улучшений. Мы приветствуем все отзывы и рекомендуем вам отправить вашу идею или предложение по улучшению на форуме отзывов Идентификатора Microsoft Entra. Чтобы просмотреть конкретные идеи, связанные с интеграцией Workday, выберите категорию Приложения SaaS и выполните поиск по ключевому слову Workday, чтобы найти существующие идеи и предложения по Workday.
Когда предлагаете новую идею, проверьте, не предложил ли кто-то еще аналогичную функцию. В этом случае вы можете проголосовать за возможность или запрос на усовершенствование. Вы также можете оставить комментарий относительно вашего конкретного варианта использования, чтобы показать поддержку идеи и продемонстрировать, как функция ценна для вас тоже.
Вопросы по работе агента подготовки
Какая версия агента подготовки является общедоступной?
Ознакомьтесь с агентом подготовки Microsoft Entra Connect: журнал выпусков версии последней общедоступной версии агента подготовки.
Как узнать версию моего агента подготовки?
- Войдите на сервер Windows, где установлен агент подготовки.
- Перейдите к панель управления ->Удалить или изменить меню программы.
- Найдите версию, соответствующую записи Агента подготовки Microsoft Entra Connect.
Автоматически ли корпорация Майкрософт отправляет обновления агента подготовки?
Да, корпорация Майкрософт автоматически обновляет агент подготовки, если служба Microsoft Entra Connect Agent Updater запущена и запущена.
Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Connect?
Да, агент подготовки можно установить на том же сервере, на котором выполняется Microsoft Entra Connect.
Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra. Агент хранит учетные данные локально на сервере?
Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra только для подключения к клиенту Microsoft Entra. Он не сохраняет учетные данные локально на сервере. Однако он хранит учетные данные, используемые для подключения к локальному домену Active Directory, в локальном хранилище паролей Windows.
Как настроить агент подготовки для использования прокси-сервера исходящих HTTP-подключений?
Агент подготовки поддерживает использование исходящего прокси-сервера. Это можно настроить, изменив файл конфигурации агента C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Добавьте в него следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>
.
Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Разделы справки убедитесь, что агент подготовки может взаимодействовать с клиентом Microsoft Entra, и брандмауэры не блокируют порты, необходимые агенту?
Можно также проверить, открыты ли все необходимые порты.
Можно ли настроить один агент подготовки для подготовки нескольких доменов AD?
Да, один агент подготовки можно настроить для обработки нескольких доменов AD, если он может напрямую подключаться к соответствующим контроллерам домена. Корпорация Майкрософт рекомендует настроить группу из 3 агентов подготовки, обслуживающих один и тот же набор доменов AD, чтобы обеспечить высокий уровень доступности и обеспечить поддержку отработки отказа.
Как отменить регистрацию домена, связанного с агентом подготовки?
*, получите идентификатор клиента клиента Microsoft Entra.
Войдите на сервер Windows, где запущен агент подготовки.
Откройте PowerShell от имени администратора Windows.
Перейдите в каталог, содержащий скрипты регистрации, и выполните следующие команды, заменив параметр [tenant ID] значением вашего идентификатора клиента.
cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder" Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1" Get-PublishedResources -TenantId "[tenant ID]"
В появившемся списке агентов скопируйте значение поля
id
из ресурса, в котором resourceName соответствует вашему доменному имени AD.Вставьте значение идентификатора в эту команду и выполните ее в PowerShell.
Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
Повторно запустите мастер настройки агента.
Любые другие агенты, которые ранее были назначены этому домену, необходимо перенастроить.
Как удалить агент подготовки?
- Войдите на сервер Windows, где установлен агент подготовки.
- Перейдите в меню Панель управления ->Удаление или изменение программы.
- Удалите следующие программы:
- Агент подготовки Microsoft Entra Connect
- Microsoft Entra Connect Agent Updater
- Пакет агента подготовки Microsoft Entra Connect
Вопросы по конфигурации и сопоставлению атрибутов Workday и AD
Как создать резервную копию или экспортировать рабочую копию сопоставления атрибутов подготовки Workday и схемы?
С помощью API Microsoft Graph можно экспортировать конфигурацию подготовки пользователей Workday. Дополнительные сведения см. в разделе Экспорт и импорт конфигурации.
У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?
Решение поддерживает настраиваемые атрибуты Workday и Active Directory. Чтобы добавить такие атрибуты в схему сопоставления, откройте колонку Сопоставление атрибутов и прокрутите вниз, чтобы развернуть раздел Показать дополнительные параметры.
Чтобы добавить настраиваемые атрибуты Workday, щелкните параметр Edit attribute list for Workday (Изменить список атрибутов для Workday), а чтобы добавить настраиваемые атрибуты AD — параметр Edit attribute list for On Premises Active Directory (Изменить список атрибутов для локальной службы Active Directory).
См. также:
Как настроить решение так, чтобы обновлять только атрибуты в AD с учетом изменений Workday и не создавать новые учетные записи AD?
Это можно сделать, выбрав параметр Действия с целевыми объектами в колонке Сопоставления атрибутов, как показано ниже:
Установите флажок "Обновить", чтобы принимать только операции обновления из Workday в AD.
Можно ли подготовить фотографию пользователя из Workday в Active Directory?
В настоящее время решение не поддерживает настройку двоичных атрибутов, таких как эскизPhoto и jpegPhoto в Active Directory.
Как на основе согласия пользователя синхронизировать мобильные номера из Workday для публичного использования?
Перейдите в колонку "Подготовка" в приложении подготовки Workday.
Щелкните "Сопоставления атрибутов".
В разделе "Сопоставления" выберите "Синхронизация рабочих ролей Workday" в Локальную службу Active Directory (или синхронизация рабочих ролей Workday с идентификатором Microsoft Entra).
На странице сопоставления атрибутов прокрутите экран вниз и установите флажок "Показать дополнительные параметры". Щелкните Edit attribute list for Workday (Изменить список атрибутов для Workday).
В открывающейся колонке найдите атрибут Mobile и щелкните строку, чтобы изменить выражение API
Замените выражение API следующим новым выражением, которое извлекает номер рабочего мобильного телефона только в том случае, если для параметра публичного использования установлено значение True в Workday.
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
Сохраните список атрибутов.
Сохраните сопоставление атрибутов.
Очистите текущее состояние и перезапустите полную синхронизацию.
Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?
Это общее требование для настройки атрибута displayName в AD, чтобы он также предоставлял сведения о отделе пользователя и стране или регионе. Например, если Джон Смит работает в отделе маркетинга в США, может потребоваться, чтобы его отображаемое имя отображалось как Смит, Джон (Marketing-US).
Вот как можно обрабатывать такие требования для создания CN или displayName , чтобы включить такие атрибуты, как компания, бизнес-подразделение, город или страна или регион.
Каждый атрибут Workday извлекается с помощью базового выражения XPath API, которое настраивается в меню Сопоставление атрибутов > раздел Advanced (Дополнительно) > Edit attribute list for Workday (Изменить список атрибутов для Workday). Ниже приведено выражение API XPATH по умолчанию для атрибутов Workday PreferredFirstName, PreferredLastName, Company и SupervisoryOrganization.
Атрибут Workday Выражение XPath API PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text() PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text() Company wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text() Согласуйте с командой Workday, допустимо ли приведенное выше выражение API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.
Аналогичным образом информация о стране или регионе, присутствующая в Workday, извлекается с помощью следующего выражения XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference.
В разделе списка атрибутов Workday доступны 5 атрибутов, связанных со страной или регионом.
Атрибут Workday Выражение XPath API CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text() CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text() CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text() CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor Согласуйте с командой Workday, допустимы ли приведенные выше выражения API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.
Чтобы создать правильное выражение сопоставления атрибутов, определите, какой атрибут Workday "авторитетно" представляет имя, фамилию, страну или регион и отдел пользователя. Предположим, у нас есть атрибуты PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter и SupervisoryOrganization соответственно. Их можно использовать, чтобы создать приведенное ниже выражение для атрибута AD displayName и получить отображаемое имя, например Воронков, Иван (Маркетинг-Россия).
Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
После получения правильного выражения измените таблицу сопоставления атрибутов и измените сопоставление атрибутов displayName , как показано ниже:
Расширим приведенный выше пример. Допустим, вы хотите преобразовать названия городов из Workday в сокращенные значения, а затем использовать их, чтобы создать отображаемые имена, например Воронков, Иван (MOS) или Сазанова, Мария (SPT). Это можно сделать с использованием выражения оператора switch с атрибутом Workday Municipality в качестве определяющей переменной.
Switch ( [Municipality], Join(", ", [PreferredLastName], [PreferredFirstName]), "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"), "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"), "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)") )
См. также:
Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?
Предположим, вы хотите создать уникальные значения для атрибута samAccountName, используя комбинацию атрибутов FirstName и LastName из Workday. Ниже приведено выражение, с которого можно начать:
SelectUniqueValue(
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)
Как работает приведенное выше выражение: если пользователь Джон Смит, он сначала пытается создать JSmith, если JSmith уже существует, то он создает JoSmith, если это существует, он создает JohSmith. Выражение также проверяет, чтобы созданное значение соответствовало ограничениям длины и специальных знаков, связанных с samAccountName.
См. также:
Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?
Используйте функцию NormalizeDiacritics, чтобы удалить специальные символы в имени и фамилии пользователя при создании адреса электронной почты или значения CN для пользователя.
Советы по устранению неполадок
В этом разделе содержатся конкретные рекомендации по устранению неполадок подготовки с интеграцией Workday с помощью журналов подготовки Microsoft Entra и журналов windows Server Просмотр событий. Он основан на общих шагах и концепциях устранения неполадок, описанных в руководстве. Отчеты об автоматической подготовке учетных записей пользователей
В этом разделе описываются следующие аспекты устранения неполадок:
- Настройка агента подготовки для создания журналов компонента "Просмотр событий"
- Настройка средства просмотра событий Windows для устранения неполадок агента
- Настройка журналов подготовки Центра администрирования Microsoft Entra для устранения неполадок со службами
- Общие сведения о журналах операций создания учетных записей пользователей AD
- Общие сведения о журналах операций обновления руководителя
- Устранение распространенных ошибок
Настройка агента подготовки для создания журналов компонента "Просмотр событий"
Войдите на компьютер Windows Server, где развернут агент подготовки.
Остановите агент подготовки Microsoft Entra Connect.
Создайте копию исходного файла конфигурации: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Замените имеющийся раздел
<system.diagnostics>
указанным ниже.- Конфигурация прослушивателя etw отправляет сообщения в журналы EventViewer.
- Конфигурация прослушивателя textWriterListener отправляет сообщения трассировки в файл ProvAgentTrace.log. Раскомментируйте только строки, относящиеся к textWriterListener, для расширенного устранения неполадок.
<system.diagnostics> <sources> <source name="AAD Connect Provisioning Agent"> <listeners> <add name="console"/> <add name="etw"/> <!-- <add name="textWriterListener"/> --> </listeners> </source> </sources> <sharedListeners> <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/> <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent"> <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/> </add> <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> --> </sharedListeners> </system.diagnostics>
Запустите агент подготовки Microsoft Entra Connect.
Настройка средства просмотра событий Windows для устранения неполадок агента
Войдите на компьютер Windows Server, где развернут агент подготовки.
Откройте настольное приложение просмотра событий Windows Server.
Выберите Журналы Windows > Приложение.
Используйте параметр Filter Current Log..., чтобы просмотреть все события, зарегистрированные в исходном агенте подготовки Microsoft Entra Connect, и исключить события с идентификатором события "5", указав фильтр "-5", как показано ниже.
Примечание.
Идентификатор события 5 записывает сообщения начальной загрузки агента в облачную службу Microsoft Entra, поэтому мы фильтруем его при анализе файлов журнала.
Нажмите кнопку ОК и отсортируйте полученное представление по столбцу Дата и время.
Настройка журналов подготовки Центра администрирования Microsoft Entra для устранения неполадок со службами
Запустите Центр администрирования Microsoft Entra и перейдите в раздел "Подготовка" приложения подготовки Workday.
Нажмите кнопку "Столбцы" на странице "Журналы подготовки", чтобы отобразить только следующие столбцы в представлении (дата, действие, состояние, причина состояния). Эта конфигурация гарантирует, что вы сосредоточитесь только на данных, которые имеют отношение к устранению неполадок.
Отфильтруйте представление, используя параметры запроса Целевой объект и Диапазон дат.
- Задайте для параметра запроса Целевой объект значение "ИД работника" или "ИД сотрудника" объекта работника Workday.
- Задайте для диапазона дат соответствующий период времени, за который необходимо проверить наличие ошибок или проблем с подготовкой.
Общие сведения о журналах операций создания учетных записей пользователей AD
При обнаружении нового найма в Workday (предположим, с идентификатором сотрудника 21023) служба подготовки Microsoft Entra пытается создать новую учетную запись пользователя AD для рабочей роли и в процессе создает 4 записи журнала подготовки, как описано ниже:
Щелкнув любую из записей журнала подготовки, откроется страница сведений о действиях. Вот что отображается на странице сведений о действиях для каждого типа записи журнала.
Запись импорта Workday: эта запись журнала отображает сведения о рабочей роли, полученные из Workday. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport" JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field) SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
Запись импорта AD: эта запись журнала отображает сведения о учетной записи, полученной из AD. Так как во время первоначального создания пользователя нет учетной записи AD, причина состояния действия указывает, что в Active Directory не найдена учетная запись со значением атрибута совпадающего идентификатора. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте пункт меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).
Найдите запись с идентификатором события = 9, которая предоставляет фильтр поиска LDAP, используемый агентом для получения учетной записи AD. Вы можете проверить, является ли он подходящим фильтром поиска для получения уникальных записей пользователей.
Запись, которая немедленно следует за ней (с идентификатором события 2), фиксирует результат операции поиска и возвращенные результаты.
Запись действия правила синхронизации. Эта запись журнала отображает результаты правил сопоставления атрибутов и настроенные фильтры области вместе с действием подготовки, которое выполняется для обработки входящего события Workday. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с действием синхронизации. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.
ErrorCode : None // Use the error code captured here to troubleshoot sync issues EventName : EntrySynchronizationAdd // Implies that the object is added JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
Если существуют проблемы с выражениями сопоставления атрибутов или входящие данные Workday имеют проблемы (например, пустое или null-значение для обязательных атрибутов), то на этом этапе вы увидите сбой с кодом ошибки, предоставляя сведения о сбое.
Запись экспорта AD. Эта запись журнала отображает результат операции создания учетной записи AD вместе со значениями атрибутов, заданными в процессе. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с операцией создания учетной записи. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле. В разделе "Дополнительные сведения" для параметра EventName задано значение EntryExportAdd, для параметра JoiningProperty устанавливается значение атрибута идентификатора сопоставления, для параметра SourceAnchor — значение WorkdayID (WID), связанное с записью, а для параметра TargetAnchor — значение атрибута ObjectGuid AD созданного пользователя.
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues EventName : EntryExportAdd // Implies that object is created JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте пункт меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).
Найдите запись HTTP POST, соответствующую метке времени операции экспорта с идентификатором события = 2. Эта запись содержит значения атрибутов, отправленные службой подготовки агенту подготовки.
Сразу после указанного выше события должно быть другое событие, которое фиксирует ответ операции создания учетной записи AD. Это событие возвращает новый объект ObjectGuid, созданный в AD, и он задается в качестве атрибута TargetAnchor в службе подготовки.
Общие сведения о журналах операций обновления руководителя
Атрибут руководителя является ссылочным атрибутом в AD. Служба подготовки не задает атрибут диспетчера как часть операции создания пользователя. Скорее, атрибут руководителя устанавливается как часть операции обновления после создания учетной записи AD для пользователя. Предположим, что новый сотрудник с идентификатором 21451 активирован в Workday, а у руководителя нового сотрудника (21023) уже есть учетная запись AD. В этом сценарии поиск журналов подготовки для пользователя 21451 отображается 5 записей.
Первые 4 записи похожи на те, которые мы рассматривали в рамках операции создания пользователя. 5-я запись — это экспорт, связанный с обновлением атрибута руководителя. В записи журнала отображается результат операции обновления руководителя учетной записи AD, которая выполняется с использованием атрибута objectGuid руководителя.
// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023
// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451
Устранение распространенных ошибок
В этом разделе рассматриваются распространенные ошибки при подготовке пользователей Workday и способы их устранения. Ошибки разделены на следующие группы:
- ошибки подготовки агента;
- Ошибки подключения.
- ошибки создания учетной записи пользователя AD;
- ошибки обновления учетной записи пользователя AD.
Ошибки подготовки агента
# | Сценарий ошибки | Возможные причины | Рекомендуемое решение |
---|---|---|---|
1. | Ошибка при установке агента подготовки с сообщением об ошибке: не удалось запустить службу Microsoft Entra Connect Provisioning Agent (AADConnectProvisioningAgent). Убедитесь, что у вас есть достаточные привилегии для запуска системы. | Эта ошибка обычно возникает, если вы пытаетесь установить агент подготовки на контроллере домена и групповой политике запрещает запуск службы. Он также отображается, если у вас есть предыдущая версия агента, и вы не удалили его перед началом новой установки. | Установите агент подготовки на сервере, отличном от сервера контроллера домена. Перед установкой нового агента убедитесь, что предыдущие версии агента удалены. |
2. | Служба Windows "Агент подготовки Microsoft Entra Connect" находится в начальном состоянии и не переключается на состояние "Выполнение ". | В ходе установки мастер агента создает локальную учетную запись (NT Service\AADConnectProvisioningAgent) на сервере, и эта учетная запись для входа в систему используется для запуска службы. Если политика безопасности на сервере Windows не позволяет локальным учетным записям запускать службы, эта ошибка возникает. | Откройте консоль служб. Щелкните правой кнопкой мыши агент подготовки Microsoft Entra Connect и на вкладке входа укажите учетную запись администратора домена для запуска службы. Перезапустите службу. |
3. | При настройке агента подготовки с доменом AD на шаге подключения Active Directory мастер долго загружает схему AD, но в конечном итоге время ожидания истекает. | Эта ошибка обычно отображается, если мастеру не удается связаться с сервером контроллера домена AD из-за проблем брандмауэра. | На экране мастера подключения Active Directory при предоставлении учетных данных для домена AD есть параметр select domain controller priority. Используя этот параметр, выберите контроллер домена, который находится на том же сайте, что и сервер агента, и убедитесь в отсутствии правил брандмауэра, блокирующих связь. |
Ошибки подключения.
Если службе подготовки не удается подключиться к Workday или Active Directory, подготовка может перейти в состояние карантина. В следующей таблице приведены сведения по устранению неполадок с подключением.
# | Сценарий ошибки | Возможные причины | Рекомендуемое решение |
---|---|---|---|
1. | При нажатии кнопки "Проверить подключение" появится сообщение об ошибке: произошла ошибка при подключении к Active Directory. Убедитесь, что локальный агент подготовки запущен и настроен с правильным доменом Active Directory. | Эта ошибка обычно отображается, если агент подготовки не запущен или брандмауэр блокирует связь между идентификатором Microsoft Entra и агентом подготовки. Вы также можете увидеть эту ошибку, если домен не настроен в мастере агента. | Откройте консоль Службы на сервере Windows, чтобы убедиться, что агент запущен. Откройте мастер агента подготовки и убедитесь, что нужный домен зарегистрирован в агенте. |
2. | Задание подготовки переходит в состояние карантина в выходные дни (Fri-Sat) и мы получаем уведомление по электронной почте о том, что с синхронизацией возникла ошибка. | Одной из распространенных причин этой ошибки является запланированный простой Workday. Если вы используете клиент реализации Workday, обратите внимание, что Workday запланировал время простоя для своих клиентов реализации в выходные дни (обычно с пятницы вечером до субботы) и в течение этого периода приложения подготовки Workday могут перейти в состояние карантина, так как он не может подключиться к Workday. Задание возвращается в нормальное состояние, как только клиент реализации Workday возвращается в сеть. В редких случаях эта ошибка может также появиться, если пароль пользователя системы интеграции был изменен из-за обновления клиента или если учетная запись заблокирована либо истек срок ее действия. | Обратитесь к администратору Workday или партнеру по интеграции, чтобы узнать, когда Workday планирует время простоя, чтобы игнорировать предупреждения в период простоя и подтвердить доступность после подключения экземпляра Workday. |
Ошибки создания учетной записи пользователя AD
# | Сценарий ошибки | Возможные причины | Рекомендуемое решение |
---|---|---|---|
1. | Сбои операции экспорта в журнале подготовки с сообщением Error: OperationsError-SvcErrr: произошла ошибка операции. Для службы каталогов не настроена превосходная ссылка. Поэтому служба каталогов не может выдавать ссылки на объекты за пределами этого леса. | Эта ошибка обычно отображается, если подразделение контейнера Active Directory не задано правильно или возникают проблемы с сопоставлением выражений, используемым для родительскогоDistinguishedName. | Проверьте параметр подразделения контейнера Active Directory на наличие опечаток. Если вы используете parentDistinguishedName в сопоставлении атрибутов, убедитесь, что он всегда вычисляет известный контейнер в домене AD. Проверьте событие экспорта в журналах подготовки, чтобы просмотреть созданное значение. |
2. | Сбои операций экспорта в журнале подготовки с кодом ошибки: SystemForCrossDomainIdentityManagementBadResponse и сообщение Error: ConstraintViolation-AtrErr: недопустимое значение в запросе. Значение атрибута не было в допустимом диапазоне значений. \nError Details: CONSTRAINT_ATT_TYPE - company. | Хотя эта ошибка относится только к атрибуту company, она может возникнуть и для других атрибутов, таких как CN. Эта ошибка появляется из-за принудительного ограничения схемы AD. По умолчанию такие атрибуты, как company и CN в AD, имеют верхний предел длины в 64 знака. Если значение, полученное из Workday, превышает 64 символов, отображается это сообщение об ошибке. | Проверьте событие экспорта в журналах подготовки, чтобы просмотреть значение атрибута, указанного в сообщении об ошибке. Рассмотрите возможность усечения значения, исходящего из Workday, с помощью функции Mid или изменения сопоставлений с атрибутом AD, который не имеет аналогичных ограничений длины. |
Ошибки обновления учетной записи пользователя AD
В процессе обновления учетной записи пользователя AD служба подготовки считывает информацию из Workday и AD, запускает правила сопоставления атрибутов и определяет, нужно ли применить какое-либо изменение. Соответственно инициируется событие обновления. Если какой-либо из этих шагов возникает сбой, он вошел в журналы подготовки. В следующей таблице приведены сведения по устранению распространенных ошибок обновления.
# | Сценарий ошибки | Возможные причины | Рекомендуемое решение |
---|---|---|---|
1. | Сбои действий правила синхронизации в журнале подготовки с сообщением EventName = EntrySynchronizationError и ErrorCode = EndpointUnavailable. | Эта ошибка отображается, если служба сопоставления не может получить данные профиля пользователя из Active Directory из-за ошибки обработки, обнаруженной локальным агентом подготовки. | Проверьте журналы средства просмотра событий агента подготовки на наличие ошибок, которые указывают на проблемы с операцией чтения (отфильтруйте по идентификатору события 2). |
2. | Атрибут диспетчера в AD не обновляется для определенных пользователей в AD. | Наиболее вероятной причиной этой ошибки является использование правил области, а менеджер пользователя не является частью области. Вы также можете столкнуться с этой проблемой, если соответствующий атрибут идентификатора менеджера (например, EmployeeID) не найден в целевом домене AD или не задан правильным значением. | Просмотрите фильтр области действия и добавьте руководителя в нужную область. Проверьте профиль руководителя в AD, чтобы убедиться, что для соответствующего атрибута идентификатора есть значение. |
Управление конфигурацией
В этом разделе описывается, как вы можете дополнительно расширять и настраивать вашу конфигурацию подготовки пользователей на основе Workday, а также управлять ею. В нем рассматриваются следующие темы:
Настройка списка атрибутов пользователя Workday
Приложения подготовки Workday для Active Directory и Идентификатора Microsoft Entra содержат список атрибутов пользователей Workday по умолчанию, которые можно выбрать. Однако эти списки не являются исчерпывающими. Приложение Workday поддерживает сотни пользовательских атрибутов, которые могут быть стандартными или уникальными для клиента Workday.
Служба подготовки Microsoft Entra поддерживает возможность настройки списка или атрибута Workday для включения всех атрибутов, предоставляемых в Get_Workers операции API кадров.
Для этого необходимо использовать Workday Studio для извлечения выражений XPath, представляющих атрибуты, которые вы хотите использовать, а затем добавить их в конфигурацию подготовки с помощью расширенного редактора атрибутов.
Чтобы получить выражение XPath для атрибута пользователя Workday, сделайте следующее:
Скачайте и установите Workday Studio. Для доступа к установщику требуется учетная запись сообщества Workday.
Загрузите WSDL-файл Workday Human_Resources, подходящий для версии API WWS, которую вы планируете использовать из каталога веб-служб Workday.
Запустите Workday Studio.
На панели команд выберите Workday > Test Web Service in Tester (Workday > Тестировать веб-службу в тестере).
Щелкните External (Внешний) и выберите WSDL-файл Human_Resources, скачанный на шаге 2.
Задайте для поля Location (Расположение) значение
https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources
. Замените значение IMPL-CC фактическим типом экземпляра и значение TENANT (Клиент) реальным именем клиента.Задайте для параметра Operation значение Get_Workers.
Щелкните ссылку configure (Настроить) под областями Request/Response (Запрос/Ответ), чтобы задать учетные данные Workday. Установите флажок Authentication (Аутентификация), а затем введите имя пользователя и пароль учетной записи системы интеграции Workday. Убедитесь, что имя пользователя отформатировано как "имя@клиент", и оставьте флажок возле параметра WS-Security UsernameToken.
Нажмите ОК.
В области Запрос вставьте XML-код, указанный ниже. Задайте для параметра Employee_ID идентификатор сотрудника реального пользователя в клиенте Workday. Задайте для параметра wd:version версию WWS, которую вы планируете использовать. Выберите пользователя, у которого заполнен атрибут, который вы хотите извлечь.
<?xml version="1.0" encoding="UTF-8"?> <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema"> <env:Body> <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1"> <wd:Request_References wd:Skip_Non_Existing_Instances="true"> <wd:Worker_Reference> <wd:ID wd:type="Employee_ID">21008</wd:ID> </wd:Worker_Reference> </wd:Request_References> <wd:Response_Group> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Personal_Information>true</wd:Include_Personal_Information> <wd:Include_Employment_Information>true</wd:Include_Employment_Information> <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data> <wd:Include_Organizations>true</wd:Include_Organizations> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data> <wd:Include_Photo>true</wd:Include_Photo> <wd:Include_User_Account>true</wd:Include_User_Account> <wd:Include_Roles>true</wd:Include_Roles> </wd:Response_Group> </wd:Get_Workers_Request> </env:Body> </env:Envelope>
Нажмите кнопку Send Request (Отправить запрос) (с зеленой стрелкой), чтобы выполнить команду. Если команда выполнена успешно, ответ должен отображаться в области Response (Ответ). Убедитесь, что ответ содержит данные идентификатора пользователя, которые вы ввели, и не содержит ошибок.
Если команда выполнена успешно, скопируйте XML-код из области Response (Ответ) и сохраните его как XML-файл.
В командной строке Workday Studio последовательно выберите File > Open File (Файл > Открыть файл) и откройте только что сохраненный XML-файл. Это действие открывает файл в редакторе XML Workday Studio.
В дереве файлов перейдите к файлу /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker, чтобы найти данные пользователя.
В разделе wd:Worker найдите атрибут, который нужно добавить, и выберите его.
Скопируйте выражение XPath для выбранного атрибута из поля Document Path (Путь к документу).
Удалите префикс /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ из скопированного выражения.
Если последний элемент в скопированном выражении является узлом (например, /wd:Birth_Date), добавьте /text() в конец выражения. Это не обязательно, если последний элемент является атрибутом (например, "/@wd: тип").
Результат должен выглядеть приблизительно так:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
. Это значение является то, что вы копируете и вводите в Центр администрирования Microsoft Entra.
Чтобы добавить настраиваемый атрибут пользователя Workday в конфигурацию подготовки, сделайте следующее:
Запустите Центр администрирования Microsoft Entra и перейдите к разделу подготовки приложения подготовки Workday, как описано ранее в этом руководстве.
Задайте для параметра Состояние подготовки значение Выкл. и нажмите кнопку Сохранить. Этот шаг помогает убедиться, что изменения вступили в силу только в том случае, если вы будете готовы.
В разделе "Сопоставления" выберите "Синхронизация рабочих ролей Workday" в Локальную службу Active Directory (или синхронизация рабочих ролей Workday с идентификатором Microsoft Entra).
Прокрутите вниз до следующего экрана и выберите Показать расширенные параметры.
Выберите ссылку Изменить список атрибутов для Workday.
Прокрутите страницу вниз до списка атрибутов, где находятся поля для заполнения.
В поле Имя введите отображаемое имя для атрибута.
В поле Тип выберите тип, соответствующий атрибуту (чаще всего это строка).
В поле Выражение API введите выражение XPath, скопированное из Workday Studio. Пример:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Нажмите кнопку Добавить атрибут.
Нажмите кнопку Сохранить выше, а затем — Да в диалоговом окне. Закройте экран сопоставления атрибутов, если он по-прежнему открыт.
Вернитесь на главную вкладку "Подготовка" , снова выберите "Синхронизировать рабочие роли Workday" в Локальную службу Active Directory (или синхронизировать рабочие роли с идентификатором Microsoft Entra ID).
Выберите Добавить новое сопоставление.
Новый атрибут должен появиться в Атрибут источника.
В случае необходимости добавьте сопоставление для нового атрибута.
В конце не забудьте задать для параметра Состояние подготовки значение Вкл. и сохранить это изменение.
Экспорт и импорт конфигурации
См. статью Экспорт и импорт конфигурации подготовки
Управление персональными данными
Для решения подготовки Workday для Active Directory требуется, чтобы агент подготовки был установлен на локальном сервере Windows. Этот агент создает журналы в журнале событий Windows, который может содержать персональные данные в зависимости от сопоставления атрибутов Workday и AD. Чтобы обеспечить соблюдение обязательств по обеспечению конфиденциальности пользователей, можно настроить так, чтобы никакие данные не хранились в журналах событий более 48 часов, создав запланированную задачу Windows для очистки журнала событий.
Служба подготовки Microsoft Entra входит в категорию обработчика данных классификации GDPR. В качестве конвейера обработчика данных Azure AD Connect Health предоставляет службы обработки данных ключевым партнерам и пользователям. Служба подготовки Microsoft Entra не создает пользовательские данные и не контролирует сбор персональных данных и способ его использования. Получение данных, агрегирование, анализ и отчеты в службе подготовки Microsoft Entra основаны на существующих корпоративных данных.
Примечание.
Дополнительные сведения о просмотре и удалении персональных данных см. в руководстве Майкрософт на сайте Запросы субъектов данных, определенные в GDPR, в отношении Windows. Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
В отношении хранения данных служба подготовки Microsoft Entra не создает отчеты, выполняет аналитику или предоставляет аналитические сведения за 30 дней. Поэтому служба подготовки Microsoft Entra не хранит, обрабатывает или сохраняет данные за 30 дней. Эта конструкция соответствует нормативным требованиям GDPR, нормативным требованиям майкрософт по обеспечению конфиденциальности и политикам хранения данных Microsoft Entra.
Следующие шаги
- Дополнительные сведения о сценариях интеграции и вызовах веб-служб Microsoft Entra ID и Workday
- Сведения о просмотре журналов и получении отчетов о действиях по подготовке
- Узнайте, как настроить единый вход между Workday и идентификатором Microsoft Entra
- Сведения о настройке обратной записи Workday
- Сведения об использовании API Microsoft Graph для управления конфигурациями подготовки