Självstudie: Konfigurera Workday för automatisk användaretablering

  • Artikel

Målet med den här självstudien är att visa de steg du behöver utföra för att etablera arbetsprofiler från Workday till lokal Active Directory (AD).

Kommentar

Använd den här självstudien om de användare som du vill etablera från Workday behöver ett lokalt AD-konto och ett Microsoft Entra-konto.

  • Om användarna från Workday bara behöver Microsoft Entra-konto (endast molnanvändare) kan du läsa självstudien om hur du konfigurerar Workday till Microsoft Entra ID-användaretablering .
  • Om du vill konfigurera tillbakaskrivning av attribut som e-postadress, användarnamn och telefonnummer från Microsoft Entra-ID till Workday läser du självstudien om hur du konfigurerar tillbakaskrivning av Workday.

Följande video ger en snabb översikt över de steg som ingår när du planerar din etableringsintegrering med Workday.

Översikt

Microsoft Entra-tjänsten för användaretablering integreras med Workday Human Resources-API:et för att etablera användarkonton. Arbetsflöden för etablering av Workday-användare som stöds av Microsoft Entra-tjänsten för användaretablering möjliggör automatisering av följande scenarier för hantering av personal och identitetslivscykel:

  • Anställa nya anställda – När en ny anställd läggs till i Workday skapas ett användarkonto automatiskt i Active Directory, Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra ID, med tillbakaskrivning av IT-hanterad kontaktinformation till Workday.

  • Uppdateringar av anställdas attribut och profiler – När en anställds post uppdateras i Workday (till exempel deras namn, titel eller chef) uppdateras deras användarkonto automatiskt i Active Directory, Microsoft Entra ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

  • Uppsägningar av anställda – När en anställd avslutas i Workday inaktiveras deras användarkonto automatiskt i Active Directory, Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

  • Personalrehires – När en anställd återanställs i Workday kan deras gamla konto automatiskt återaktiveras eller återetableras (beroende på vad du föredrar) till Active Directory, Microsoft Entra ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

Nyheter

Det här avsnittet innehåller de senaste förbättringarna av Workday-integreringen. En lista över omfattande uppdateringar, planerade ändringar och arkiv finns på sidan Nyheter i Microsoft Entra-ID?

  • Okt 2020 – Aktiverad etablering på begäran för Workday: Med etablering på begäran kan du nu testa etablering från slutpunkt till slutpunkt för en specifik användarprofil i Workday för att verifiera attributmappnings- och uttryckslogik.

  • Maj 2020 – Möjlighet att skriva tillbaka telefonnummer till Workday: Förutom e-post och användarnamn kan du nu skriva tillbaka arbetstelefonnummer och mobiltelefonnummer från Microsoft Entra-ID till Workday. Mer information finns i självstudien för tillbakaskrivningsappen.

  • April 2020 – Stöd för den senaste versionen av WORKDAY Web Services (WWS) API: Två gånger om året i mars och september levererar Workday funktionsrika uppdateringar som hjälper dig att uppfylla dina affärsmål och förändrade personalbehov. För att hålla jämna steg med de nya funktionerna som levereras av Workday kan du nu direkt ange den WWS API-version som du vill använda i anslutnings-URL:en. Mer information om hur du anger Workday API-versionen finns i avsnittet om hur du konfigurerar Workday-anslutning.

Vem passar den här användaretableringslösningen bäst för?

Den här workday-användaretableringslösningen passar utmärkt för:

  • Organisationer som vill ha en fördefinierad, molnbaserad lösning för etablering av Workday-användare

  • Organisationer som kräver direkt användaretablering från Workday till Active Directory eller Microsoft Entra-ID

  • Organisationer som kräver att användare etableras med hjälp av data från Workday HCM-modulen (se Get_Workers)

  • Organisationer som kräver att ansluta, flytta och låta användare synkroniseras till en eller flera Active Directory-skogar, domäner och organisationsenheter baserat endast på ändringsinformation som identifierats i Workday HCM-modulen (se Get_Workers)

  • Organisationer som använder Microsoft 365 för e-post

Lösningsarkitektur

I det här avsnittet beskrivs lösningsarkitekturen för slutanvändaretablering för vanliga hybridmiljöer. Det finns två relaterade flöden:

  • Auktoritativt HR-dataflöde – från Workday till lokal Active Directory: I det här flödet sker arbetshändelser (till exempel nyanställda, överföringar, uppsägningar) först i molnet Workday HR-klientorganisationen och sedan flödar händelsedata till lokal Active Directory via Microsoft Entra-ID och etableringsagenten. Beroende på händelsen kan det leda till åtgärder för att skapa/uppdatera/aktivera/inaktivera i AD.
  • Tillbakaskrivningsflöde – från lokal Active Directory till Workday: När kontot har skapats i Active Directory synkroniseras det med Microsoft Entra-ID via Microsoft Entra Anslut och information som e-post, användarnamn och telefonnummer kan skrivas tillbaka till Workday.

Översikt

Dataflöde från slutpunkt till slutpunkt

  1. HR-teamet utför arbetstransaktioner (Joiners/Movers/Leavers eller New Hires/Transfers/Terminations) i Workday HCM
  2. Microsoft Entra-etableringstjänsten kör schemalagda synkroniseringar av identiteter från Workday HR och identifierar ändringar som måste bearbetas för synkronisering med lokal Active Directory.
  3. Microsoft Entra-etableringstjänsten anropar den lokala Microsoft Entra Anslut Provisioning Agent med en nyttolast för begäran som innehåller åtgärder för att skapa/uppdatera/aktivera/inaktivera AD-konto.
  4. Microsoft Entra Anslut Provisioning Agent använder ett tjänstkonto för att lägga till/uppdatera AD-kontodata.
  5. Microsoft Entra Anslut/AD Sync-motorn kör deltasynkronisering för att hämta uppdateringar i AD.
  6. Active Directory-uppdateringarna synkroniseras med Microsoft Entra-ID.
  7. Om workday-tillbakaskrivningsappen har konfigurerats skriver den tillbaka attribut som e-post, användarnamn och telefonnummer till Workday.

Planera distributionen

Att konfigurera Workday till Active Directory-användaretablering kräver omfattande planering som omfattar olika aspekter, till exempel:

  • Installation av Microsoft Entra Anslut etableringsagent
  • Antal Workday-till AD-användaretableringsappar som ska distribueras
  • Välja rätt matchande identifierare, attributmappning, transformering och omfångsfilter

Se hr-distributionsplanen för molnet för omfattande riktlinjer och rekommenderade metodtips.

Konfigurera integreringssystemanvändare i Workday

Ett vanligt krav för alla Workday-etableringsanslutningar är att de kräver autentiseringsuppgifter för en Workday-integreringssystemanvändare för att ansluta till Workday Human Resources-API:et. Det här avsnittet beskriver hur du skapar en integreringssystemanvändare i Workday och innehåller följande avsnitt:

Kommentar

Du kan kringgå den här proceduren och i stället använda ett globalt administratörskonto för Workday som systemintegreringskonto. Detta kan fungera bra för demonstrationer, men rekommenderas inte för produktionsdistributioner.

Skapa en integreringssystemanvändare

Så här skapar du en integreringssystemanvändare:

  1. Logga in på din Workday-klientorganisation med ett administratörskonto. I Workday-programmet anger du skapa användare i sökrutan och klickar sedan på Skapa integrationssystemanvändare.

    Skapa användare

  2. Slutför uppgiften Skapa integrationssystemanvändare genom att ange ett användarnamn och lösenord för en ny integrationssystemanvändare.

    • Lämna alternativet Kräv nytt lösenord vid Nästa inloggning avmarkerat eftersom den här användaren loggar in programmatiskt.
    • Lämna tidsgränsen för sessionen minuter med standardvärdet 0, vilket hindrar användarens sessioner från att ta tid i förtid.
    • Välj alternativet Tillåt inte användargränssnittssessioner eftersom det ger ett extra säkerhetslager som förhindrar att en användare med lösenordet för integrationssystemet loggar in på Workday.

    Skapa integrationssystemanvändare

Skapa en integrationssäkerhetsgrupp

I det här steget skapar du en obehindrat eller begränsad säkerhetsgrupp för integrationssystem i Workday och tilldelar den integrationssystemanvändare som skapades i föregående steg till den här gruppen.

Så här skapar du en säkerhetsgrupp:

  1. Ange skapa säkerhetsgrupp i sökrutan och klicka sedan på Skapa säkerhetsgrupp.

    Skärmbild som visar

  2. Slutför aktiviteten Skapa säkerhetsgrupp.

    • Det finns två typer av säkerhetsgrupper i Workday:

      • Ej tränad: Alla medlemmar i säkerhetsgruppen kan komma åt alla datainstanser som skyddas av säkerhetsgruppen.
      • Begränsad: Alla säkerhetsgruppmedlemmar har kontextuell åtkomst till en delmängd datainstanser (rader) som säkerhetsgruppen kan komma åt.

    • Kontakta din Workday-integrationspartner för att välja lämplig typ av säkerhetsgrupp för integreringen.

    • När du känner till grupptypen väljer du Integration System Security Group (Unconstrained) eller Integration System Security Group (Begränsad) i listrutan Typ av klientorganisationssäkerhetsgrupp .

      SkapaSäkerhetsgrupp

  3. När säkerhetsgruppen har skapats visas en sida där du kan tilldela medlemmar till säkerhetsgruppen. Lägg till den nya integreringssystemanvändaren som skapades i föregående steg i den här säkerhetsgruppen. Om du använder en begränsad säkerhetsgrupp måste du också välja rätt organisationsomfång.

    Redigera säkerhetsgrupp

Konfigurera behörigheter för domänsäkerhetsprinciper

I det här steget beviljar du principbehörigheter för domänsäkerhet för arbetsdata till säkerhetsgruppen.

Så här konfigurerar du behörigheter för domänsäkerhetsprinciper:

  1. Ange Medlemskap och åtkomst för säkerhetsgrupper i sökrutan och klicka på rapportlänken.

    Medlemskap i söksäkerhetsgrupp

  2. Sök efter och välj den säkerhetsgrupp som skapades i föregående steg.

    Välj säkerhetsgrupp

  3. Klicka på ellipsen (...) bredvid gruppnamnet och på menyn väljer du Underhåll av domänbehörigheter för säkerhetsgrupper i säkerhetsgruppen >

    Välj Underhåll domänbehörigheter

  4. Under Integreringsbehörigheter lägger du till följande domäner i listan Domänsäkerhetsprinciper som tillåter Put access

    • Etablering av externt konto
    • Arbetsdata: Offentliga arbetsrapporter
    • Persondata: Kontaktinformation för arbete (krävs om du planerar att skriva tillbaka kontaktdata från Microsoft Entra-ID till Workday)
    • Workday-konton (krävs om du planerar att skriva tillbaka användarnamn/UPN från Microsoft Entra-ID till Workday)

  5. Under Integreringsbehörigheter lägger du till följande domäner i listan Domänsäkerhetsprinciper som tillåter Få åtkomst

    • Arbetsdata: Arbetare
    • Arbetsdata: Alla positioner
    • Arbetsdata: Aktuell personalinformation
    • Arbetsdata: Företagstitel för arbetsprofil
    • Arbetsdata: Kvalificerade arbetare (valfritt – lägg till detta för att hämta arbetskvalificeringsdata för etablering)
    • Arbetsdata: Kunskaper och erfarenhet (valfritt – lägg till detta för att hämta arbetskunskapsdata för etablering)

  6. När du har slutfört stegen ovan visas behörighetsskärmen enligt nedan:

    Alla domänsäkerhetsbehörigheter

  7. Klicka på OK och Klar på nästa skärm för att slutföra konfigurationen.

Konfigurera behörigheter för affärsprocesssäkerhetsprinciper

I det här steget beviljar du principbehörigheter för affärsprocesssäkerhet för arbetsdata till säkerhetsgruppen.

Kommentar

Det här steget krävs endast för att konfigurera anslutningsappen Workday Writeback.

Så här konfigurerar du behörigheter för affärsprocesssäkerhetsprinciper:

  1. Ange Affärsprocessprincip i sökrutan och klicka sedan på länken Redigera affärsprocesssäkerhetsprincipaktivitet .

    Skärmbild som visar

  2. I textrutan Affärsprocesstyp söker du efter Kontakt och väljer Arbetskontakt Ändra affärsprocess och klickar på OK.

    Skärmbild som visar sidan

  3. På sidan Redigera affärsprocesssäkerhetsprincip bläddrar du till avsnittet Ändra arbetskontaktinformation (webbtjänst).

  4. Välj och lägg till den nya säkerhetsgruppen för integrationssystemet i listan över säkerhetsgrupper som kan initiera webbtjänstbegäran.

    Säkerhetsprinciper för affärsprocesser

  5. Klicka på Klar.

Aktivera ändringar av säkerhetsprinciper

Så här aktiverar du ändringar av säkerhetsprinciper:

  1. Ange aktivera i sökrutan och klicka sedan på länken Aktivera väntande ändringar av säkerhetsprinciper.

    Aktivera

  2. Starta aktiviteten Aktivera väntande ändringar av säkerhetsprinciper genom att ange en kommentar i granskningssyfte och klicka sedan på OK.

  3. Slutför uppgiften på nästa skärm genom att markera kryssrutan Bekräfta och klicka sedan på OK.

    Aktivera väntande säkerhet

Installationskrav för etableringsagent

Granska installationskraven för etableringsagenten innan du fortsätter till nästa avsnitt.

Konfigurera användaretablering från Workday till Active Directory

Det här avsnittet innehåller steg för etablering av användarkonton från Workday till varje Active Directory-domän inom ramen för din integrering.

Del 1: Lägg till etableringsappen och ladda ned etableringsagenten

Så här konfigurerar du Workday till Active Directory-etablering:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.

  3. Sök efter Workday till Active Directory User Provisioning och lägg till appen från galleriet.

  4. När appen har lagts till och skärmen med appinformation visas väljer du Etablering.

  5. Ändra etableringsläget till Automatisk.

  6. Klicka på informationsbanderollen som visas för att ladda ned etableringsagenten.

    Ladda ned agent

Del 2: Installera och konfigurera lokala etableringsagenter

Om du vill etablera till Active Directory lokalt måste etableringsagenten installeras på en domänansluten server som har nätverksåtkomst till önskade Active Directory-domäner.

Överför installationsprogrammet för den nedladdade agenten till servervärden och följ stegen i avsnittet Installera agent för att slutföra agentkonfigurationen.

Del 3: Konfigurera anslutningen till Workday och Active Directory i etableringsappen

I det här steget upprättar vi anslutning med Workday och Active Directory.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>> Workday till Active Directory User Provisioning App som skapats i del 1.

  3. Slutför avsnittet Administratörsautentiseringsuppgifter på följande sätt:

    • Användarnamn för Workday – Ange användarnamnet för workday-integrationssystemets konto med det domännamn för klientorganisationen som läggs till. Det bör se ut ungefär så här: username@tenant_name

    • Workday-lösenord – Ange lösenordet för workday-integrationssystemets konto

    • URL för Workday Web Services-API:et – Ange URL:en till workday-webbtjänstslutpunkten för din klientorganisation. URL:en avgör vilken version av Workday Web Services-API:et som används av anslutningsappen.

      URL-format WWS API-version som används XPATH-ändringar krävs
      https://####.workday.com/ccx/service/tenantName v21.1 Nej
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Nej
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Ja

      Kommentar

      Om ingen versionsinformation anges i URL:en använder appen Workday Web Services (WWS) v21.1 och inga ändringar krävs för de XPATH API-standarduttryck som levereras med appen. Om du vill använda en specifik WWS API-version anger du versionsnummer i URL:en
      Exempel: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Om du använder ett WWS API v30.0+, innan du aktiverar etableringsjobbet, uppdaterar du XPATH API-uttrycken under Attributmappning –> Avancerade alternativ –> Redigera attributlista för Workday som refererar till avsnittet Hantera din konfigurations- och Workday-attributreferens.

    • Active Directory-skog – Namnet på din Active Directory-domän, som registrerats med agenten. Använd listrutan för att välja måldomänen för etablering. Det här värdet är vanligtvis en sträng som: contoso.com

    • Active Directory-container – Ange containerns DN där agenten ska skapa användarkonton som standard. Exempel: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Kommentar

      Den här inställningen spelar bara in för att skapa användarkonton om attributet parentDistinguishedName inte har konfigurerats i attributmappningarna. Den här inställningen används inte för användarsöknings- eller uppdateringsåtgärder. Hela domänunderträdet faller inom sökåtgärdens omfattning.

    • E-postavisering – Ange din e-postadress och markera kryssrutan "skicka e-post om ett fel inträffar".

      Kommentar

      Microsoft Entra-etableringstjänsten skickar ett e-postmeddelande om etableringsjobbet hamnar i karantäntillstånd.

    • Klicka på knappen Testa Anslut ion. Om anslutningstestet lyckas klickar du på knappen Spara längst upp. Om det misslyckas kontrollerar du att autentiseringsuppgifterna för Workday och de AD-autentiseringsuppgifter som konfigurerats i agentkonfigurationen är giltiga.

      Skärmbild som visar sidan

    • När autentiseringsuppgifterna har sparats visar avsnittet Mappningar standardmappningen Synkronisera workday-arbetare till Lokal Active Directory

Del 4: Konfigurera attributmappningar

I det här avsnittet konfigurerar du hur användardata flödar från Workday till Active Directory.

  1. På fliken Etablering under Mappningar klickar du på Synkronisera workday-arbetare till Lokal Active Directory.

  2. I fältet Omfång för källobjekt kan du välja vilka uppsättningar användare i Workday som ska finnas i omfånget för etablering till AD genom att definiera en uppsättning attributbaserade filter. Standardomfånget är "alla användare i Workday". Exempelfilter:

    • Exempel: Omfång för användare med arbets-ID mellan 10000000 och 2000000 (exklusive 2000000)

      • Attribut: WorkerID

      • Operator: REGEX Match

      • Värde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Exempel: Endast anställda och inte kontingentanställda

      • Attribut: EmployeeID

      • Operator: ÄR INTE NULL

    Dricks

    När du konfigurerar etableringsappen för första gången måste du testa och verifiera attributmappningarna och -uttrycken för att se till att det ger dig önskat resultat. Microsoft rekommenderar att du använder omfångsfilter under Omfång för källobjekt och etablering på begäran för att testa dina mappningar med några testanvändare från Workday. När du har kontrollerat att mappningarna fungerar kan du antingen ta bort filtret eller gradvis expandera det så att det omfattar fler användare.

    Varning

    Standardbeteendet för etableringsmotorn är att inaktivera/ta bort användare som inte omfattas. Detta kanske inte är önskvärt i din Workday till AD-integrering. Om du vill åsidosätta det här standardbeteendet läser du artikeln Hoppa över borttagning av användarkonton som inte omfattas

  3. I fältet Målobjektåtgärder kan du globalt filtrera vilka åtgärder som utförs i Active Directory. Skapa och uppdatera är vanligast.

  4. I avsnittet Attributmappningar kan du definiera hur enskilda Workday-attribut mappas till Active Directory-attribut.

  5. Klicka på en befintlig attributmappning för att uppdatera den eller klicka på Lägg till ny mappning längst ned på skärmen för att lägga till nya mappningar. En enskild attributmappning stöder följande egenskaper:

    • Mappningstyp

      • Direct – skriver värdet för attributet Workday till AD-attributet utan ändringar

      • Konstant – Skriva ett statiskt, konstant strängvärde till AD-attributet

      • Uttryck – Gör att du kan skriva ett anpassat värde till AD-attributet baserat på ett eller flera Workday-attribut. Mer information finns i den här artikeln om uttryck.

    • Källattribut – användarattributet från Workday. Om attributet du letar efter inte finns, se Anpassa listan över Workday-användarattribut.

    • Standardvärde – Valfritt. Om källattributet har ett tomt värde skriver mappningen det här värdet i stället. Den vanligaste konfigurationen är att lämna detta tomt.

    • Målattribut – användarattributet i Active Directory.

    • Matcha objekt med det här attributet – om den här mappningen ska användas för att unikt identifiera användare mellan Workday och Active Directory. Det här värdet anges vanligtvis i fältet Arbets-ID för Workday, som vanligtvis mappas till ett av medarbetar-ID-attributen i Active Directory.

    • Matchande prioritet – Flera matchande attribut kan anges. När det finns flera utvärderas de i den ordning som definieras av det här fältet. Så snart en matchning hittas utvärderas inga ytterligare matchande attribut.

    • Tillämpa den här mappningen

      • Always – Tillämpa den här mappningen på både åtgärder för att skapa och uppdatera användare

      • Endast under skapandet – Använd endast den här mappningen på åtgärder för att skapa användare

  6. Om du vill spara dina mappningar klickar du på Spara överst i avsnittet Attributmappning.

    Skärmbild som visar sidan

Nedan visas några exempel på attributmappningar mellan Workday och Active Directory, med några vanliga uttryck

  • Uttrycket som mappar till attributet parentDistinguishedName används för att etablera en användare till olika organisationsenheter baserat på ett eller flera Workday-källattribut. Det här exemplet placerar användare i olika organisationsenheter baserat på vilken stad de befinner sig i.

  • Attributet userPrincipalName i Active Directory genereras med hjälp av dedupliceringsfunktionen SelectUniqueValue som kontrollerar om det finns ett genererat värde i ad-måldomänen och endast anger det om det är unikt.

  • Det finns dokumentation om hur du skriver uttryck här. Det här avsnittet innehåller exempel på hur du tar bort specialtecken.

WORKDAY-ATTRIBUT ACTIVE DIRECTORY-ATTRIBUT MATCHANDE ID? SKAPA/UPPDATERA
WorkerID EmployeeID Ja Skrivs endast vid skapa
PreferredNameData Cn Skrivs endast vid skapa
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Skrivs endast vid skapa
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Skrivs endast vid skapa
Switch([Active], , "0", "True", "1", "False") accountDisabled Skapa + uppdatera
FirstName givenName Skapa + uppdatera
LastName Sn Skapa + uppdatera
PreferredNameData displayName Skapa + uppdatera
Företag Företag Skapa + uppdatera
Tillsynsorganisering Avdelning Skapa + uppdatera
ManagerReference Manager Skapa + uppdatera
BusinessTitle rubrik Skapa + uppdatera
AddressLineData streetAddress Skapa + uppdatera
Kommun l Skapa + uppdatera
CountryReferenceTwoLetter co Skapa + uppdatera
CountryReferenceTwoLetter c Skapa + uppdatera
CountryRegionReference St Skapa + uppdatera
WorkSpaceReference physicalDeliveryOfficeName Skapa + uppdatera
Postnummer postalCode Skapa + uppdatera
PrimaryWorkTelephone telephoneNumber Skapa + uppdatera
Fax facsimileTelephoneNumber Skapa + uppdatera
Mobil Mobil Skapa + uppdatera
LocalReference preferredLanguage Skapa + uppdatera
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Skapa + uppdatera

När konfigurationen för attributmappning har slutförts kan du testa etableringen för en enskild användare med etablering på begäran och sedan aktivera och starta användaretableringstjänsten.

Aktivera och starta användaretablering

När konfigurationerna för Workday-etableringsappen har slutförts och du har verifierat etableringen för en enskild användare med etablering på begäran kan du aktivera etableringstjänsten.

Dricks

Som standard när du aktiverar etableringstjänsten initieras etableringsåtgärder för alla användare i omfånget. Om det finns fel i mappnings- eller Workday-dataproblem kan etableringsjobbet misslyckas och hamna i karantäntillståndet. För att undvika detta rekommenderar vi att du konfigurerar källobjektomfångsfiltret och testar attributmappningarna med några testanvändare med etablering på begäran innan du startar den fullständiga synkroniseringen för alla användare. När du har kontrollerat att mappningarna fungerar och ger dig önskat resultat kan du antingen ta bort filtret eller gradvis expandera det för att inkludera fler användare.

  1. Gå till bladet Etablering och klicka på Starta etablering.

  2. Den här åtgärden startar den första synkroniseringen, vilket kan ta ett varierande antal timmar beroende på hur många användare som finns i Workday-klientorganisationen. Du kan kontrollera förloppsindikatorn för att spåra förloppet för synkroniseringscykeln.

  3. När som helst går du till fliken Granskningsloggar i Azure-portalen för att se vilka åtgärder etableringstjänsten har utfört. Granskningsloggarna visar en lista över alla enskilda synkroniseringshändelser som utförs av etableringstjänsten, till exempel vilka användare som läss ut från Workday och sedan läggs till eller uppdateras i Active Directory. I avsnittet Felsökning finns anvisningar om hur du granskar granskningsloggarna och åtgärdar etableringsfel.

  4. När den första synkroniseringen är klar kommer den att skriva en granskningssammanfattningsrapport på fliken Etablering enligt nedan.

    Förloppsindikator för etablering

Vanliga frågor och svar (FAQ)

Frågor om lösningsfunktioner

Hur ställer lösningen in lösenordet för det nya användarkontot i Active Directory när du bearbetar en ny anställning från Workday?

När den lokala etableringsagenten får en begäran om att skapa ett nytt AD-konto genererar den automatiskt ett komplext slumpmässigt lösenord som är utformat för att uppfylla kraven på lösenordskomplexitet som definierats av AD-servern och anger detta på användarobjektet. Det här lösenordet loggas inte någonstans.

Stöder lösningen att skicka e-postaviseringar när etableringsåtgärderna har slutförts?

Nej, att skicka e-postaviseringar efter att etableringsåtgärderna har slutförts stöds inte i den aktuella versionen.

Cachelagrar lösningen Workday-användarprofiler i Microsoft Entra-molnet eller på etableringsagentlagret?

Nej, lösningen underhåller inte en cache med användarprofiler. Microsoft Entra-etableringstjänsten fungerar helt enkelt som dataprocessor, läser data från Workday och skriver till målets Active Directory- eller Microsoft Entra-ID. Mer information om användarsekretess och datakvarhållning finns i avsnittet Hantera personliga data .

Stöder lösningen tilldelning av lokala AD-grupper till användaren?

Den här funktionen stöds inte för närvarande. Rekommenderad lösning är att distribuera ett PowerShell-skript som frågar Microsoft Graph API-slutpunkten efter granskningsloggdata och använder dem för att utlösa scenarier som grupptilldelning. Det här PowerShell-skriptet kan kopplas till en schemaläggare och distribueras i samma ruta som kör etableringsagenten.

Vilka Workday-API:er använder lösningen för att fråga efter och uppdatera Workday-arbetsprofiler?

Lösningen använder för närvarande följande Workday-API:er:

  • URL-formatet för Workday Web Services-API: et som används i avsnittet Autentiseringsuppgifter för administratörer avgör vilken API-version som används för Get_Workers

    • Om URL-formatet är: https://####.workday.com/ccx/service/tenantName används API v21.1.
    • Om URL-formatet är: https://####.workday.com/ccx/service/tenantName/Human_Resources används API v21.1
    • Om URL-formatet är: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# används den angivna API-versionen. (Exempel: om v34.0 har angetts används det.)

  • Tillbakaskrivningsfunktionen för workday-e-post använder Change_Work_Contact_Information (v30.0)

  • Tillbakaskrivningsfunktionen för workday-användarnamn använder Update_Workday_Account (v31.2)

Kan jag konfigurera min Workday HCM-klientorganisation med två Microsoft Entra-klienter?

Ja, den här konfigurationen stöds. Här följer de övergripande stegen för att konfigurera det här scenariot:

  • Distribuera etableringsagent nr 1 och registrera den med Microsoft Entra-klient nr 1.
  • Distribuera etableringsagent nr 2 och registrera den med Microsoft Entra-klient nr 2.
  • Baserat på de underordnade domäner som varje etableringsagent hanterar konfigurerar du varje agent med domänerna. En agent kan hantera flera domäner.
  • I Azure-portalen konfigurerar du Workday to AD User Provisioning App i varje klientorganisation och konfigurerar den med respektive domäner.

Din feedback är högt värderad eftersom den hjälper oss att ange riktningen för framtida versioner och förbättringar. Vi välkomnar all feedback och rekommenderar att du skickar in din idé eller ditt förbättringsförslag i feedbackforumet för Microsoft Entra ID. För specifik feedback som rör Workday-integreringen väljer du kategorin SaaS-program och söker med nyckelorden Workday för att hitta befintlig feedback relaterad till Workday.

UserVoice SaaS-appar

UserVoice Workday

När du föreslår en ny idé kontrollerar du om någon annan redan har föreslagit en liknande funktion. I så fall kan du rösta på funktionen eller begäran om förbättringar. Du kan också lämna en kommentar om ditt specifika användningsfall för att visa ditt stöd för idén och visa hur funktionen kommer att vara värdefull för dig också.

Frågor om etableringsagent

Vilken är GA-versionen av etableringsagenten?

Se Microsoft Entra Anslut Provisioning Agent: Versionshistorik för den senaste GA-versionen av etableringsagenten.

Hur gör jag för att känner till versionen av min etableringsagent?

  • Logga in på Windows-servern där etableringsagenten är installerad.

  • Gå till Kontrollpanelen ->Uninstall eller Ändra en programmeny

  • Leta efter den version som motsvarar posten Microsoft Entra Anslut Provisioning Agent

    Azure Portal

Skickar Microsoft automatiskt uppdateringar av etableringsagenten?

Ja, Microsoft uppdaterar etableringsagenten automatiskt om Windows-tjänsten Microsoft Entra Anslut Agent Updater är igång.

Kan jag installera etableringsagenten på samma server som kör Microsoft Entra Anslut?

Ja, du kan installera etableringsagenten på samma server som kör Microsoft Entra Anslut.

Vid tidpunkten för konfigurationen frågar etableringsagenten efter autentiseringsuppgifter för Microsoft Entra-administratör. Lagrar agenten autentiseringsuppgifterna lokalt på servern?

Under konfigurationen uppmanar etableringsagenten endast Microsoft Entra-administratörsautentiseringsuppgifter att ansluta till din Microsoft Entra-klientorganisation. Autentiseringsuppgifterna lagras inte lokalt på servern. Den behåller dock de autentiseringsuppgifter som används för att ansluta till lokal Active Directory domänen i ett lokalt Windows-lösenordsvalv.

Hur gör jag för att konfigurera etableringsagenten så att den använder en proxyserver för utgående HTTP-kommunikation?

Etableringsagenten stöder användning av utgående proxy. Du kan konfigurera det genom att redigera agentkonfigurationsfilen C:\Program Files\Microsoft Azure AD Anslut Provisioning Agent\AAD Anslut ProvisioningAgent.exe.config. Lägg till följande rader i den, mot slutet av filen precis före den avslutande </configuration> taggen. Ersätt variablerna [proxy-server] och [proxy-port] proxyserverns namn och portvärden.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Hur gör jag för att se till att etableringsagenten kan kommunicera med Microsoft Entra-klienten och att inga brandväggar blockerar portar som krävs av agenten?

Du kan också kontrollera om alla nödvändiga portar är öppna.

Kan en etableringsagent konfigureras för att etablera flera AD-domäner?

Ja, en etableringsagent kan konfigureras för att hantera flera AD-domäner så länge agenten har siktlinje till respektive domänkontrollant. Microsoft rekommenderar att du konfigurerar en grupp med tre etableringsagenter som betjänar samma uppsättning AD-domäner för att säkerställa hög tillgänglighet och tillhandahålla stöd för redundansväxling.

Hur gör jag för att avregistrera domänen som är associerad med min etableringsagent?

*, hämta klientorganisations-ID: t för din Microsoft Entra-klientorganisation.

  • Logga in på Windows-servern som kör etableringsagenten.

  • Öppna PowerShell som Windows-administratör.

  • Ändra till katalogen som innehåller registreringsskripten och kör följande kommandon som ersätter parametern [klient-ID] med värdet för ditt klient-ID.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Från listan över agenter som visas – kopiera värdet för fältet från resursen id vars resourceName är lika med ditt AD-domännamn.

  • Klistra in ID-värdet i det här kommandot och kör kommandot i PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Kör konfigurationsguiden agent igen.

  • Alla andra agenter som tidigare har tilldelats den här domänen måste konfigureras om.

Hur gör jag för att avinstallera etableringsagenten?

  • Logga in på Windows-servern där etableringsagenten är installerad.
  • Gå till Kontrollpanelen ->Uninstall eller Ändra en programmeny
  • Avinstallera följande program:
    • Microsoft Entra Anslut Provisioning Agent
    • Microsoft Entra Anslut Agent Updater
    • Microsoft Entra Anslut Provisioning Agent Package

Frågor om mappning och konfiguration av Workday till AD-attribut

Hur gör jag för att säkerhetskopiera eller exportera en fungerande kopia av attributet Mappning och schema för Workday-etablering?

Du kan använda Microsoft Graph API för att exportera konfigurationen av workday-användaretablering. Mer information finns i stegen i avsnittet Exportera och importera konfiguration av workday-användaretableringsattribut.

Jag har anpassade attribut i Workday och Active Directory. Hur gör jag för att konfigurera lösningen så att den fungerar med mina anpassade attribut?

Lösningen stöder anpassade Workday- och Active Directory-attribut. Om du vill lägga till anpassade attribut i mappningsschemat öppnar du bladet Attributmappning och rullar nedåt för att expandera avsnittet Visa avancerade alternativ.

Redigera attributlista

Om du vill lägga till dina anpassade Workday-attribut väljer du alternativet Redigera attributlista för Workday och för att lägga till dina anpassade AD-attribut väljer du alternativet Redigera attributlista för Lokal Active Directory.

Se även:

Hur gör jag för att konfigurera lösningen för att endast uppdatera attribut i AD baserat på Workday-ändringar och inte skapa några nya AD-konton?

Den här konfigurationen kan uppnås genom att ange målobjektåtgärderbladet Attributmappningar enligt nedan:

Uppdateringsåtgärd

Markera kryssrutan "Uppdatera" för att endast uppdatera åtgärder som ska flöda från Workday till AD.

Kan jag etablera användarens foto från Workday till Active Directory?

Lösningen stöder för närvarande inte inställning av binära attribut som thumbnailPhoto och jpegPhoto i Active Directory.

  • Gå till bladet "Etablering" i workday-etableringsappen.

  • Klicka på Attributmappningar

  • Under Mappningar väljer du Synkronisera workday-arbetare till Lokal Active Directory (eller Synkronisera workday-arbetare till Microsoft Entra-ID).

  • På sidan Attributmappningar rullar du nedåt och markerar kryssrutan "Visa avancerade alternativ". Klicka på Redigera attributlista för Workday

  • Leta upp attributet "Mobile" på bladet som öppnas och klicka på raden så att du kan redigera API-uttrycketMobil GDPR

  • Ersätt API-uttrycket med följande nya uttryck, som endast hämtar arbetsmobilnumret om flaggan för offentlig användning är inställd på "True" i Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Spara attributlistan.

  • Spara attributmappningen.

  • Rensa aktuellt tillstånd och starta om den fullständiga synkroniseringen.

Hur gör jag för att formatera visningsnamn i AD baserat på användarens attribut för avdelning/land/stad och hantera regionala varianser?

Det är ett vanligt krav att konfigurera attributet displayName i AD så att det även ger information om användarens avdelning och land/region. Om John Smith till exempel arbetar på marknadsföringsavdelningen i USA kanske du vill att hans displayName ska visas som Smith, John (Marketing-US).

Så här kan du hantera sådana krav för att skapa CN eller displayName för att inkludera attribut som företag, affärsenhet, stad eller land/region.

  • Varje Workday-attribut hämtas med hjälp av ett underliggande XPATH API-uttryck, som kan konfigureras i Attributmappning –> Avancerat avsnitt –> Redigera attributlista för Workday. Här är standarduttrycket för XPATH API för attributen Workday PreferredFirstName, PreferredLastName, Company och SupervisoryOrganization .

    Workday-attribut API XPATH-uttryck
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Företag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    Tillsynsorganisering wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Bekräfta med ditt Workday-team att API-uttrycket ovan är giltigt för din Workday-klientkonfiguration. Om det behövs kan du redigera dem enligt beskrivningen i avsnittet Anpassa listan över Workday-användarattribut.

  • På samma sätt hämtas land-/regioninformationen i Workday med hjälp av följande XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Det finns 5 lands-/regionrelaterade attribut som är tillgängliga i avsnittet Workday-attributlista.

    Workday-attribut API XPATH-uttryck
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Bekräfta med ditt Workday-team att API-uttrycken ovan är giltiga för din Workday-klientkonfiguration. Om det behövs kan du redigera dem enligt beskrivningen i avsnittet Anpassa listan över Workday-användarattribut.

  • Om du vill skapa rätt attributmappningsuttryck identifierar du vilket Workday-attribut "auktoritativt" som representerar användarens förnamn, efternamn, land/region och avdelning. Anta att attributen är PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter respektive SupervisoryOrganization. Du kan använda detta för att skapa ett uttryck för AD displayName-attributet enligt följande för att hämta ett visningsnamn som Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    När du har rätt uttryck redigerar du tabellen Attributmappningar och ändrar attributmappningen displayName enligt nedan: Visningsnamnmappning

  • Om du utökar exemplet ovan kan vi säga att du vill konvertera stadsnamn som kommer från Workday till blankstegsvärden och sedan använda det för att skapa visningsnamn som Smith, John (CHI) eller Doe, Jane (NYC), så kan det här resultatet uppnås med hjälp av ett Switch-uttryck med attributet Workday Municipality som den avgörande variabeln.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Se även:

Hur kan jag använda SelectUniqueValue för att generera unika värden för samAccountName-attributet?

Anta att du vill generera unika värden för samAccountName-attributet med hjälp av en kombination av attributen FirstName och LastName från Workday. Nedan visas ett uttryck som du kan börja med:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Hur ovanstående uttryck fungerar: Om användaren är John Smith försöker den först generera JSmith, om JSmith redan finns, genererar det JoSmith, om det finns, genererar det JohSmith. Uttrycket säkerställer också att värdet som genereras uppfyller längdbegränsningen och specialteckenbegränsningen som är associerad med samAccountName.

Se även:

Hur gör jag för att ta bort tecken med diakritiska tecken och konvertera dem till vanliga engelska alfabet?

Använd funktionen NormalizeDiacritics för att ta bort specialtecken i förnamn och efternamn för användaren, samtidigt som du skapar e-postadressen eller CN-värdet för användaren.

Felsökningstips

Det här avsnittet innehåller specifik vägledning om hur du felsöker etableringsproblem med din Workday-integrering med hjälp av Microsoft Entra-granskningsloggar och Windows Server-Loggboken loggar. Den bygger på de allmänna felsökningsstegen och begreppen som samlas in i Självstudie: Rapportering om automatisk etablering av användarkonton

Det här avsnittet beskriver följande aspekter av felsökning:

Konfigurera etableringsagenten för att generera Loggboken loggar

  1. Logga in på Windows Server-datorn där etableringsagenten distribueras

  2. Stoppa tjänsten Microsoft Entra Anslut Provisioning Agent.

  3. Skapa en kopia av den ursprungliga konfigurationsfilen: C:\Program Files\Microsoft Azure AD Anslut Provisioning Agent\AAD Anslut ProvisioningAgent.exe.config.

  4. Ersätt det befintliga <system.diagnostics> avsnittet med följande.

    • Lyssnarkonfigurationen etw genererar meddelanden till EventViewer-loggarna
    • LyssnarkonfigurationstextenWriterListener skickar spårningsmeddelanden till filen ProvAgentTrace.log. Avkommentarera raderna som är relaterade till textWriterListener endast för avancerad felsökning.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Starta tjänsten Microsoft Entra Anslut Provisioning Agent.

Konfigurera Windows Loggboken för agentfelsökning

  1. Logga in på Windows Server-datorn där etableringsagenten distribueras

  2. Öppna Windows Server Loggboken skrivbordsapp.

  3. Välj Program för Windows-loggar>.

  4. Använd alternativet Filtrera aktuell logg... för att visa alla händelser som loggas under källan Microsoft Entra Anslut Provisioning Agent och exkludera händelser med händelse-ID "5" genom att ange filtret "-5" enligt nedan.

    Kommentar

    Händelse-ID 5 samlar in agentens bootstrap-meddelanden till Microsoft Entra-molntjänsten och därför filtrerar vi dem när vi analyserar loggfilerna.

    Windows Loggboken

  5. Klicka på OK och sortera resultatvyn efter kolumnen Datum och tid .

Konfigurera granskningsloggar för tjänsten i Azure-portalen

  1. Starta Azure-portalen och gå till avsnittet Granskningsloggar i ditt Workday-etableringsprogram.

  2. Använd knappen Kolumner på sidan Granskningsloggar om du bara vill visa följande kolumner i vyn (datum, aktivitet, status, statusorsak). Den här konfigurationen säkerställer att du bara fokuserar på data som är relevanta för felsökning.

    Granskningsloggkolumner

  3. Använd frågeparametrarna Mål och Datumintervall för att filtrera vyn.

    • Ange frågeparametern Target till "Worker ID" eller "Employee ID" för Workday Worker-objektet.
    • Ange datumintervallet till en lämplig tidsperiod under vilken du vill undersöka fel eller problem med etableringen.

    Granskningsloggfilter

Förstå loggar för åtgärder för att skapa AD-användarkonton

När en ny anställning i Workday identifieras (låt oss säga med medarbetar-ID 21023) försöker Microsoft Entra-etableringstjänsten skapa ett nytt AD-användarkonto för arbetaren och skapar i processen 4 granskningsloggposter enligt beskrivningen nedan:

Skapa ops för granskningslogg

När du klickar på någon av granskningsloggposterna öppnas sidan Aktivitetsinformation . Här är vad sidan Aktivitetsinformation visar för varje loggposttyp.

  • Workday Import-post : Den här loggposten visar arbetsinformationen som hämtats från Workday. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med att hämta data från Workday. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • AD-importpost : Den här loggposten visar information om det konto som hämtats från AD. Eftersom det inte finns något AD-konto när användaren först skapades anger aktivitetsstatusorsaken att inget konto med attributet Matchande ID hittades i Active Directory. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med att hämta data från Workday. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object was not found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Om du vill hitta loggposter för etableringsagenten som motsvarar den här AD-importåtgärden öppnar du Windows-Loggboken loggarna och använder menyalternativet Sök... för att hitta loggposter som innehåller attributet Matchande ID/Koppla egenskap (i det här fallet 21023).

    Hitta

    Leta efter posten med händelse-ID = 9, vilket ger dig det LDAP-sökfilter som används av agenten för att hämta AD-kontot. Du kan kontrollera om det här är rätt sökfilter för att hämta unika användarposter.

    LDAP-sökning

    Posten som omedelbart följer den med händelse-ID = 2 fångar upp resultatet av sökåtgärden och om den returnerade några resultat.

    LDAP-resultat

  • Åtgärdspost för synkroniseringsregel: Den här loggposten visar resultatet av attributmappningsreglerna och konfigurerade omfångsfilter tillsammans med etableringsåtgärden som ska vidtas för att bearbeta den inkommande Workday-händelsen. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med synkroniseringsåtgärden. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object will be added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Om det finns problem med attributmappningsuttrycken eller om inkommande Workday-data har problem (till exempel tomt eller null-värde för obligatoriska attribut) kommer du att se ett fel i det här skedet med ErrorCode som ger information om felet.

  • AD-exportpost : Den här loggposten visar resultatet av ad-kontoskapandet tillsammans med de attributvärden som angavs i processen. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med kontoskapandeåtgärden. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält. I avsnittet "Ytterligare information" är "EventName" inställt på "EntryExportAdd", "JoiningProperty" är inställt på värdet för attributet Matchande ID, "SourceAnchor" är inställt på WorkdayID (WID) som är associerat med posten och "TargetAnchor" är inställt på värdet för AD-attributet "ObjectGuid" för den nyligen skapade användaren.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object will be created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user

    Om du vill hitta loggposter för etableringsagenten som motsvarar den här AD-exportåtgärden öppnar du Windows Loggboken-loggarna och använder menyalternativet Sök... för att hitta loggposter som innehåller attributet Matchande ID/Koppla egenskap (i det här fallet 21023).

    Leta efter en HTTP POST-post som motsvarar tidsstämpeln för exportåtgärden med händelse-ID = 2. Den här posten innehåller attributvärdena som skickas av etableringstjänsten till etableringsagenten.

    Skärmbild som visar posten HTTP POST i loggen

    Omedelbart efter händelsen ovan bör det finnas en annan händelse som samlar in svaret från åtgärden skapa AD-konto. Den här händelsen returnerar den nya objectGuid som skapats i AD och den anges som attributet TargetAnchor i etableringstjänsten.

    Skärmbild som visar loggen

Förstå loggar för hanteringsuppdateringsåtgärder

Manager-attributet är ett referensattribut i AD. Etableringstjänsten anger inte chefsattributet som en del av åtgärden för att skapa användare. I stället anges manager-attributet som en del av en uppdateringsåtgärd när AD-kontot har skapats för användaren. När vi expanderar exemplet ovan ska vi säga att en ny anställning med medarbetar-ID :t "21451" aktiveras i Workday och att nyanställdas chef (21023) redan har ett AD-konto. I det här scenariot visar sökning i granskningsloggarna efter användare 21451 5 poster.

Uppdatering av hanteraren

De första 4 posterna är som de vi utforskade som en del av användarskapandeåtgärden. Den femte posten är exporten som är associerad med manager-attributuppdateringen. Loggposten visar resultatet av ad-kontohanterarens uppdateringsåtgärd, som utförs med hjälp av chefens objectGuid-attribut .

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Lösa vanliga fel

Det här avsnittet beskriver vanliga fel med Etablering av Workday-användare och hur du löser det. Felen grupperas på följande sätt:

Etableringsagentfel

# Felscenario Sannolika orsaker Rekommenderad lösning
1. Det gick inte att installera etableringsagenten med felmeddelandet: Tjänsten Microsoft Entra Anslut Provisioning Agent (AAD Anslut ProvisioningAgent) kunde inte starta. Kontrollera att du har tillräcklig behörighet för att starta systemet. Det här felet visas vanligtvis om du försöker installera etableringsagenten på en domänkontrollant och grupprincip hindrar tjänsten från att starta. Det visas också om du har en tidigare version av agenten som körs och du inte har avinstallerat den innan du startar en ny installation. Installera etableringsagenten på en icke-DC-server. Kontrollera att tidigare versioner av agenten avinstalleras innan du installerar den nya agenten.
2. Windows-tjänsten "Microsoft Entra Anslut Provisioning Agent" är i starttillstånd och växlar inte till Körningstillstånd. Som en del av installationen skapar agentguiden ett lokalt konto (NT Service\AAD Anslut ProvisioningAgent) på servern och det här är inloggningskontot som används för att starta tjänsten. Om en säkerhetsprincip på Windows-servern förhindrar att lokala konton kör tjänsterna visas det här felet. Öppna tjänstekonsolen. Högerklicka på Windows-tjänsten "Microsoft Entra Anslut Provisioning Agent" och på inloggningsfliken anger du kontot för en domänadministratör som ska köra tjänsten. Starta om tjänsten.
3. När du konfigurerar etableringsagenten med din AD-domän i steget Anslut Active Directory tar det lång tid för guiden att försöka läsa in AD-schemat och till slut överskrider tidsgränsen. Det här felet visas vanligtvis om det inte går att kontakta AD-domänkontrollantservern på grund av problem med brandväggen. På skärmen Anslut Active Directory-guiden finns det ett alternativ med namnet Välj domänkontrollantprioritet när du anger autentiseringsuppgifterna för AD-domänen. Använd det här alternativet om du vill välja en domänkontrollant som finns på samma plats som agentservern och se till att det inte finns några brandväggsregler som blockerar kommunikationen.

Anslutningsfel

Om etableringstjänsten inte kan ansluta till Workday eller Active Directory kan etableringen hamna i karantän. Använd tabellen nedan för att felsöka anslutningsproblem.

# Felscenario Sannolika orsaker Rekommenderad lösning
1. När du klickar på Test Anslut ion visas felmeddelandet: Det uppstod ett fel vid anslutning till Active Directory. Kontrollera att den lokala etableringsagenten körs och att den har konfigurerats med rätt Active Directory-domän. Det här felet visas vanligtvis om etableringsagenten inte körs eller om det finns en brandvägg som blockerar kommunikationen mellan Microsoft Entra-ID och etableringsagenten. Du kan också se det här felet om domänen inte har konfigurerats i agentguiden. Öppna tjänstkonsolen på Windows-servern för att bekräfta att agenten körs. Öppna guiden etableringsagent och bekräfta att rätt domän har registrerats med agenten.
2. Etableringsjobbet hamnar i karantäntillstånd under helgerna (fre-lör) och vi får ett e-postmeddelande om att det finns ett fel med synkroniseringen. En av de vanligaste orsakerna till felet är planerade Workday-driftstopp. Om du använder en klient för implementering av Workday ska du notera att Workday har schemalagt driftstopp för sina implementeringsklienter under helger (vanligtvis från fredag kväll till lördag morgon). Under den perioden kan Workday-etableringsappar försättas i karantäntillstånd eftersom det inte går att ansluta till Workday. Workday återfår sitt normala tillstånd när Workday-implementeringsklienten är online igen. I sällsynta fall kan du också se det här felet om lösenordet för integreringssystemanvändaren har ändrats på grund av uppdatering av klienten eller om kontot är låst eller har upphört att gälla. Kontakta din Workday-administratör eller integreringspartner för att höra efter när Workday schemalägger driftstopp. Sedan kan du ignorera varningsmeddelanden under driftstoppsperioden och få en bekräftelse om tillgänglighet när Workday-instansen är online igen.

Fel vid skapande av AD-användarkonto

# Felscenario Sannolika orsaker Rekommenderad lösning
1. Exportåtgärdsfel i granskningsloggen med meddelandet Fel: OperationsError-SvcErr: Ett åtgärdsfel uppstod. Ingen överordnad referens har konfigurerats för katalogtjänsten. Katalogtjänsten kan därför inte utfärda hänvisningar till objekt utanför den här skogen. Det här felet vanligtvis visas om Active Directory-containerns organisationsenhet inte är korrekt, eller om det finns problem med uttrycksmappningen som användes för parentDistinguishedName. Kontrollera active directory-containerns OU-parameter för stavfel. Om du använder parentDistinguishedName i attributmappningen kontrollerar du att det alltid utvärderas till en känd container i AD-domänen. Markera Exportera händelse i granskningsloggarna för att se det genererade värdet.
2. Exportåtgärdsfel i granskningsloggen med felkod: SystemForCrossDomainIdentityManagementBadResponse och meddelandeFel : ConstraintViolation-AtrErr: Ett värde i begäran är ogiltigt. Ett värde för attributet fanns inte i det acceptabla intervallet med värden. \nFelinformation: CONSTRAINT_ATT_TYPE – företag. Även om det här felet är specifikt för företagsattributet kan du se det här felet även för andra attribut som CN. Det här felet visas på grund av villkor för AD-framtvingat schema. Som standard har attribut som företag och CN i AD en övre gräns på 64 tecken. Om värdet som kommer från Workday är mer än 64 tecken visas det här felmeddelandet. Kontrollera exporthändelsen i granskningsloggarna för att se värdet för attributet som rapporterades i felmeddelandet. Överväg att trunkera värdet som kommer från Workday med funktionen Mid eller ändra mappningarna till ett AD-attribut som inte har liknande längdbegränsningar.

Ad-användarkontouppdateringsfel

Under ad-användarkontouppdateringsprocessen läser etableringstjänsten information från både Workday och AD, kör attributmappningsreglerna och avgör om någon ändring behöver börja gälla. Därför utlöses en uppdateringshändelse. Om något av dessa steg påträffar ett fel loggas det i granskningsloggarna. Använd tabellen nedan för att felsöka vanliga uppdateringsfel.

# Felscenario Sannolika orsaker Rekommenderad lösning
1. Fel med synkroniseringsregeln i granskningsloggen med meddelandet EventName = EntrySynchronizationError och ErrorCode = EndpointUnavailable. Det här felet visas om etableringstjänsten inte kan hämta användarprofildata från Active Directory på grund av ett bearbetningsfel som påträffades av den lokala etableringsagenten. Kontrollera Loggboken loggarna för etableringsagenten för felhändelser som indikerar problem med läsåtgärden (Filtrera efter händelse-ID nr 2).
2. Chefsattributet i AD uppdateras inte för vissa användare i AD. Den troligaste orsaken till det här felet är om du använder omfångsregler och användarens chef inte ingår i omfånget. Du kan också stöta på det här problemet om chefens matchande ID-attribut (t.ex. EmployeeID) inte hittas i AD-måldomänen eller inte har angetts till rätt värde. Granska omfångsfiltret och lägg till manager-användaren i omfånget. Kontrollera chefens profil i AD för att se till att det finns ett värde för det matchande ID-attributet.

Hantera din konfiguration

I det här avsnittet beskrivs hur du kan utöka, anpassa och hantera konfigurationen av workday-driven användaretablering ytterligare. Den beskriver följande ämnen:

Anpassa listan över Workday-användarattribut

Workday-etableringsapparna för Active Directory och Microsoft Entra ID innehåller båda en standardlista med Workday-användarattribut som du kan välja mellan. Dessa listor är dock inte omfattande. Workday stöder många hundratals möjliga användarattribut, som antingen kan vara standard eller unika för din Workday-klientorganisation.

Microsoft Entra-etableringstjänsten stöder möjligheten att anpassa listan eller Workday-attributet så att de inkluderar attribut som exponeras i Get_Workers driften av API:et för mänskliga resurser.

Om du vill göra den här ändringen måste du använda Workday Studio för att extrahera de XPath-uttryck som representerar de attribut som du vill använda och sedan lägga till dem i konfigurationen av etableringen med hjälp av den avancerade attributredigeraren.

Så här hämtar du ett XPath-uttryck för ett Workday-användarattribut:

  1. Ladda ned och installera Workday Studio. Du behöver ett Workday Community-konto för att få åtkomst till installationsprogrammet.

  2. Ladda ned Filen Workday Human_Resources WSDL som är specifik för den WWS API-version som du planerar att använda från Workday Web Services Directory

  3. Starta Workday Studio.

  4. I kommandofältet väljer du alternativet Workday > Test Web Service i Tester .

  5. Välj Extern och välj den Human_Resources WSDL-fil som du laddade ned i steg 2.

    Skärmbild som visar filen

  6. Ange fältet Plats till https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, men ersätt "IMPL-CC" med din faktiska instanstyp och "KLIENT" med ditt riktiga klientnamn.

  7. Ange Åtgärden till Get_Workers

  8. Klicka på den lilla länken konfigurera under fönstret Begäran/svar för att ange dina Workday-autentiseringsuppgifter. Kontrollera autentisering och ange sedan användarnamn och lösenord för ditt Workday-integrationssystemkonto. Se till att formatera användarnamnet som name@tenant och låt alternativet WS-Security UsernameToken vara markerat. Skärmbild som visar fliken

  9. Välj OK.

  10. I fönstret Begäran klistrar du in XML-koden nedan. Ange Employee_ID till medarbetar-ID för en riktig användare i din Workday-klientorganisation. Ange wd:version till den version av WWS som du planerar att använda. Välj en användare som har attributet fyllt som du vill extrahera.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Klicka på skicka begäran (grön pil) för att köra kommandot. Om svaret lyckas bör det visas i fönstret Svar . Kontrollera svaret för att se till att det har data för användar-ID:t som du angav och inte ett fel.

  12. Om det lyckas kopierar du XML-koden från fönstret Svar och sparar den som en XML-fil.

  13. I kommandofältet i Workday Studio väljer du Öppna fil > ... och öppnar XML-filen som du sparade. Den här åtgärden öppnar filen i Workday Studio XML-redigeraren.

    Skärmbild av en X M L-fil som är öppen i

  14. I filträdet navigerar du genom /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker för att hitta användarens data.

  15. Under wd: Worker hittar du det attribut som du vill lägga till och väljer det.

  16. Kopiera XPath-uttrycket för det valda attributet från fältet Dokumentsökväg .

  17. Ta bort prefixet /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ från det kopierade uttrycket.

  18. Om det sista objektet i det kopierade uttrycket är en nod (exempel: "/wd: Birth_Date"), lägger du sedan till /text() i slutet av uttrycket. Detta är inte nödvändigt om det sista objektet är ett attribut (exempel: "/@wd: type").

  19. Resultatet bör vara ungefär som wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Det här värdet är vad du ska kopiera till Azure-portalen.

Så här lägger du till ditt anpassade Workday-användarattribut i etableringskonfigurationen:

  1. Starta Azure-portalen och gå till avsnittet Etablering i ditt Workday-etableringsprogram enligt beskrivningen tidigare i den här självstudien.

  2. Ställ in EtableringsstatusAv och välj Spara. Det här steget hjälper dig att se till att ändringarna endast börjar gälla när du är redo.

  3. Under Mappningar väljer du Synkronisera workday-arbetare till Lokal Active Directory (eller Synkronisera workday-arbetare till Microsoft Entra-ID).

  4. Rulla längst ned på nästa skärm och välj Visa avancerade alternativ.

  5. Välj Redigera attributlista för Workday.

    Skärmbild som visar sidan

  6. Rulla längst ned i attributlistan till platsen där indatafälten finns.

  7. Som Namn anger du ett visningsnamn för attributet.

  8. För Typ väljer du typ som motsvarar attributet (Sträng är vanligast).

  9. För API-uttryck anger du det XPath-uttryck som du kopierade från Workday Studio. Exempel: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Välj Lägg till attribut.

    Workday Studio

  11. Välj Spara ovan och sedan Ja i dialogrutan. Stäng skärmen Attributmappning om den fortfarande är öppen.

  12. På huvudfliken Etablering väljer du Synkronisera workday-arbetare till Lokal Active Directory (eller Synkronisera arbetare till Microsoft Entra-ID) igen.

  13. Välj Lägg till ny mappning.

  14. Det nya attributet bör nu visas i listan Källattribut .

  15. Lägg till en mappning för det nya attributet efter behov.

  16. Kom ihåg att ange Etableringsstatus till och spara när du är klar.

Exportera och importera konfigurationen

Se artikeln Exportera och importera etableringskonfiguration

Hantera personliga data

Workday-etableringslösningen för Active Directory kräver att en etableringsagent installeras på en lokal Windows-server, och den här agenten skapar loggar i Windows-händelseloggen som kan innehålla personliga data beroende på dina workday-till AD-attributmappningar. För att uppfylla användarens sekretesskrav kan du se till att inga data bevaras i händelseloggarna längre än 48 timmar genom att konfigurera en schemalagd Windows-uppgift för att rensa händelseloggen.

Microsoft Entra-etableringstjänsten tillhör databehandlingskategorin för GDPR-klassificering. Som en databehandlingspipeline tillhandahåller tjänsten databehandlingstjänster till viktiga partner och slutkonsumenter. Microsoft Entra-etableringstjänsten genererar inte användardata och har ingen oberoende kontroll över vilka personuppgifter som samlas in och hur de används. Datahämtning, aggregering, analys och rapportering i Microsoft Entra-etableringstjänsten baseras på befintliga företagsdata.

Kommentar

Information om hur du visar eller tar bort personuppgifter finns i Microsofts vägledning om begäranden från Windows-datasubjekt för GDPR-webbplatsen . För allmän information om GDPR, se GDPR-avsnittet för Microsoft Trust Center och GDPR-avsnitt av Service Trust Portal.

När det gäller datakvarhållning genererar Microsoft Entra-etableringstjänsten inte rapporter, utför analyser eller ger insikter längre än 30 dagar. Därför lagrar, bearbetar eller behåller inte Microsoft Entra-etableringstjänsten några data längre än 30 dagar. Den här designen är kompatibel med GDPR-reglerna, Microsofts regler för sekretessefterlevnad och Microsoft Entra-datakvarhållningsprinciper.

Nästa steg