教學課程:將 Workday 設定為 Microsoft Entra 使用者布建

  • 文章

本教學課程的目的是要說明您需要執行的步驟,以將背景工作資料從 Workday 布建到 Microsoft Entra ID。

注意

如果您想要從 Workday 布建的使用者是不需要內部部署 AD 帳戶的僅限雲端使用者,請使用本教學課程。 如果使用者只需要內部部署 AD 帳戶或 AD 和 Microsoft Entra 帳戶,請參閱將 Workday 設定為 Active Directory 使用者布建的 教學課程。

下列影片提供規劃與 Workday 布建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者布建服務 會與 Workday 人力資源 API 整合,以布建使用者帳戶。 Microsoft Entra 使用者布建服務支援的 Workday 使用者布建工作流程,可自動化下列人力資源和身分識別生命週期管理案例:

  • 雇用新員工 - 將新員工 新增至 Workday 時,會自動在 Microsoft Entra 識別碼中建立使用者帳戶,並選擇性地建立 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式,並將電子郵件地址回寫至 Workday。

  • 員工屬性和設定檔更新 - 當員工記錄在 Workday 中更新時(例如其名稱、職稱或經理),其使用者帳戶將自動更新 Microsoft Entra ID,並選擇性地更新 Microsoft 365 和其他 Microsoft Entra ID 所支援的 SaaS 應用程式。

  • 員工終止 - 當員工在 Workday 中終止時,其使用者帳戶會在 Microsoft Entra 識別碼中自動停用,並選擇性地停用 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。

  • 員工重新連任 - 在 Workday 中重新雇用員工時,其舊帳戶可以自動重新啟用或重新布建(視您的喜好而定)至 Microsoft Entra ID,以及選擇性地由 Microsoft Entra ID 支援的 Microsoft 365 和其他 SaaS 應用程式。

神秘這個使用者布建解決方案最適合嗎?

此 Workday to Microsoft Entra 使用者布建解決方案最適合:

  • 想要預先建置的雲端式解決方案以布建 Workday 使用者的組織

  • 需要從 Workday 到 Microsoft Entra ID 進行直接使用者布建的組織

  • 要求使用者使用從 Workday 取得的資料布建的組織

  • 使用 Microsoft 365 進行電子郵件的組織

解決方案架構

本節說明僅限雲端使用者的端對端使用者布建解決方案架構。 有兩個相關的流程:

  • 授權 HR 資料流程 – 從 Workday 到 Microsoft Entra 識別碼: 在此流程背景工作事件中,會先發生在 Workday 中,然後事件資料流程向 Microsoft Entra ID。 視事件而定,它可能會導致在 Microsoft Entra ID 中建立/更新/啟用/停用作業。

  • 回寫流程 – 從內部部署的 Active Directory到 Workday: 在 Active Directory 中建立帳戶之後,就會透過 Microsoft Entra 連線與 Microsoft Entra 識別碼同步處理,以及電子郵件、使用者名稱和電話號碼等資訊可以寫回 Workday。

    Overview

端對端使用者資料流程

  1. HR 小組會在 Workday 員工中心執行背景工作交易 (Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations)
  2. Microsoft Entra 布建服務會從 Workday EC 執行身分識別的排程同步處理,並識別需要處理的變更,以便與內部部署的 Active Directory同步處理。
  3. Microsoft Entra 布建服務會決定變更,並在 Microsoft Entra ID 中叫用使用者的建立/更新/啟用/停用作業。
  4. 如果已設定 Workday 回 寫應用程式,它會從 Microsoft Entra ID 擷取電子郵件、使用者名稱和電話號碼等屬性。
  5. Microsoft Entra 布建服務會在 Workday 中設定電子郵件、使用者名稱和電話號碼。

規劃您的部署

設定從 Workday 到 Microsoft Entra ID 的雲端 HR 驅動使用者布建,需要相當多的規劃涵蓋不同層面,例如:

  • 判斷比對識別碼
  • 屬性對應
  • 屬性轉換
  • 範圍篩選

如需這些主題的完整指導方針, 請參閱雲端 HR 部署計畫

在 Workday 中設定整合系統使用者

請參閱設定整合系統使用者 一節 ,以建立具有擷取背景工作資料許可權的 Workday 整合系統使用者帳戶。

設定從 Workday 到 Microsoft Entra 識別碼的使用者布建

下列各節說明針對僅限雲端部署設定從 Workday 到 Microsoft Entra ID 的使用者布建步驟。

第 1 部分:新增 Microsoft Entra 布建連接器應用程式,以及建立 Workday 的連線

若要為僅限雲端的使用者設定 Workday 至 Microsoft Entra 布建:

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [新增應用程式]。

  3. 搜尋 Workday 至 Microsoft Entra 使用者布建 ,並從資源庫新增該應用程式。

  4. 新增應用程式並顯示應用程式詳細資料畫面之後,請選取 [ 布建 ]。

  5. 將 [ 布建 模式 ] 變更為 [自動 ]。

  6. 完成 [管理員認證 ] 區段,如下所示:

    • Workday 使用者 名稱 – 輸入 Workday 整合系統帳戶的使用者名稱,並附加租使用者功能變數名稱。 看起來應該像這樣:username@contoso4

    • Workday 密碼 – 輸入 Workday 整合系統帳戶的密碼

    • Workday Web 服務 API URL – 輸入租使用者的 Workday Web 服務端點 URL。 URL 會決定連接器所使用的 Workday Web 服務 API 版本。

      URL 格式 使用的 WWS API 版本 需要 XPATH 變更
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Yes

      注意

      如果未在 URL 中指定任何版本資訊,應用程式會使用 Workday Web Services (WWS) v21.1,而且不需要變更隨附于應用程式的預設 XPATH API 運算式。 若要使用特定的 WWS API 版本,請在 URL 中指定版本號碼
      範例: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      如果您使用 WWS API v30.0+,請在開啟布建作業之前,請在 [屬性對應 - > 進階選項 - > 編輯 Workday 的屬性清單] 底下 更新 XPATH API 運算式 ,以參閱管理您的設定 Workday 屬性參考 一節 。

    • 通知電子郵件 – 輸入您的電子郵件地址,然後核取 [發生失敗時傳送電子郵件] 核取方塊。

    • 按一下 [ 測試連線] 按鈕。

    • 如果連線測試成功,請按一下頂端的 [ 儲存 ] 按鈕。 如果失敗,請仔細檢查 Workday URL 和認證在 Workday 中是否有效。

第 2 部分:設定 Workday 和 Microsoft Entra 屬性對應

在本節中,您將設定僅限雲端使用者從 Workday 流向 Microsoft Entra ID 的使用者資料的方式。

  1. 在 [布建] 索引標籤的 [對應 ] 底下 ,按一下 [ 將背景工作角色同步處理至 Microsoft Entra ID ]。

  2. 在 [ 來源物件範圍 ] 欄位中,您可以藉由定義一組以屬性為基礎的篩選,選取 Workday 中的哪些使用者應該在布建至 Microsoft Entra ID 的範圍內。 預設範圍是「Workday 中的所有使用者」。 範例篩選:

    • 範例:範圍設定為 10000000 到 2000000 之間的使用者

      • 屬性:WorkerID

      • 運算子:REGEX 比對

      • 值: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • 範例:只有一般員工,而不是一般員工

      • 屬性:ContingentID

      • 運算子:IS NOT Null

  3. 在 [ 目標物件動作 ] 欄位中,您可以全域篩選在 Microsoft Entra 識別碼上執行的動作。 建立 更新 是最常見的。

  4. 在 [ 屬性對應] 區 段中,您可以定義個別 Workday 屬性對應至 Active Directory 屬性的方式。

  5. 按一下現有的屬性對應來更新它,或按一下 畫面底部的 [新增對應 ] 以新增對應。 個別屬性對應支援下列屬性:

    • 對應類型

      • Direct – 將 Workday 屬性的值寫入 AD 屬性,且沒有任何變更

      • 常數 - 將靜態常數位符串值寫入 AD 屬性

      • 運算式 – 可讓您根據一或多個 Workday 屬性,將自訂值寫入 AD 屬性。 如需詳細資訊,請參閱本文的運算式

    • 來源屬性 - Workday 中的使用者屬性。 如果您要尋找的屬性不存在,請參閱 自訂 Workday 使用者屬性 的清單。

    • 預設值 – 選擇性。 如果來源屬性有空值,對應將會改為寫入此值。 最常見的設定是將此設定保留空白。

    • 目標屬性 – Microsoft Entra ID 中的使用者屬性。

    • 比對使用此屬性 的物件 – 是否應該使用此屬性來唯一識別 Workday 與 Microsoft Entra 識別碼之間的使用者。 此值通常會在 Workday 的 [背景工作識別碼] 欄位上設定,這通常會對應至 Microsoft Entra ID 中的 [員工識別碼] 屬性 (new) 或擴充屬性。

    • 比對優先順序 – 可以設定多個比對屬性。 當有多個時,會依照此欄位所定義的順序進行評估。 一旦找到相符專案,就不會評估任何進一步的相符屬性。

    • 套用此對應

      • 一律 – 在使用者建立和更新動作上套用此對應

      • 僅在建立 期間 - 只在使用者建立動作上套用此對應

  6. 若要儲存對應,請按一下 [屬性對應] 區段頂端的 [ 儲存 ]。

啟用和啟動使用者布建

一旦 Workday 布建應用程式設定完成,您就可以開啟布建服務。

提示

根據預設,當您開啟布建服務時,它會起始範圍中所有使用者的布建作業。 如果對應或 Workday 資料問題發生錯誤,布建作業可能會失敗並進入隔離狀態。 若要避免這種情況,最佳做法是建議您先設定 來源物件範圍 篩選,並測試屬性對應與少數測試使用者,然後再啟動所有使用者的完整同步處理。 一旦確認對應正常運作,並為您提供所需的結果,您就可以移除篩選準則,或逐漸展開以包含更多使用者。

  1. 在 [ 布建] 索引 標籤中,將 [ 布建狀態 ] 設定為 [ 開啟 ]。

  2. 按一下 [檔案] 。

  3. 此作業將會啟動初始同步處理,視 Workday 租使用者中的使用者數目而定,可能需要一個可變的時數。 您可以檢查進度列,以追蹤同步週期的進度。

  4. 隨時檢查 Azure 入口網站中的 [稽核記錄 ] 索引標籤,以查看布建服務已執行的動作。 稽核記錄會列出布建服務所執行的所有個別同步事件,例如要從 Workday 讀取哪些使用者,然後接著新增或更新至 Microsoft Entra ID。

  5. 初始同步處理完成後,它會在 [布 建] 索引標籤中 撰寫稽核摘要報告,如下所示。

    Provisioning progress bar

下一步