教學課程:設定 Workday 來自動佈建使用者

  • 文章

本教學課程的目的是要說明您需要執行的步驟,以將背景工作配置檔從 Workday 布建到 內部部署的 Active Directory (AD)。

注意

如果您想要從 Workday 布建的使用者需要內部部署 AD 帳戶和 Microsoft Entra 帳戶,請使用本教學課程。

  • 如果 Workday 中的使用者只需要 Microsoft Entra 帳戶(僅限雲端使用者),請參閱將 Workday 設定為 Microsoft Entra ID 使用者布建的教學課程。
  • 若要設定從 Microsoft Entra ID 回寫至 Workday 等屬性的回寫,請參閱設定 Workday 回寫的教學課程

下列影片提供規劃與 Workday 布建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者布建服務會與 Workday 人力資源 API 整合,以布建用戶帳戶。 Microsoft Entra 使用者布建服務支援的 Workday 使用者布建工作流程,可自動化下列人力資源和身分識別生命週期管理案例:

  • 僱用新員工 - 將新員工 新增至 Workday 時,會自動在 Active Directory、Microsoft Entra ID 和 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式中建立使用者帳戶,並將 IT 管理的聯繫人資訊回寫至 Workday。

  • 員工屬性和配置檔更新 - 當員工記錄在 Workday 中更新時(例如其名稱、職稱或經理),其用戶帳戶會在 Active Directory、Microsoft Entra ID 和 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式中自動更新。

  • 員工終止 - 當員工在 Workday 中終止時,其使用者帳戶會自動停用 Active Directory、Microsoft Entra ID,以及 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。

  • 員工重新連任 - 在 Workday 中重新雇用員工時,其舊帳戶可以自動重新啟用或重新佈建(視您的喜好而定)至 Active Directory、Microsoft Entra ID,以及選擇性地由 Microsoft Entra ID 支援的 Microsoft 365 和其他 SaaS 應用程式。

最新功能

本節會擷取最近的 Workday 整合增強功能。 如需完整的更新、計劃性變更和封存清單,請流覽 Microsoft Entra ID 的新功能頁面

  • 2020 年 10 月 - 已啟用 Workday 隨選布建: 使用 選布建,您現在可以在 Workday 中測試特定使用者配置檔的端對端布建,以確認您的屬性對應和表達式邏輯。

  • 2020 年 5 月 - 能夠將電話號碼回寫至 Workday: 除了電子郵件和用戶名稱之外,您現在可以將公司電話號碼和行動電話號碼從 Microsoft Entra ID 回寫至 Workday。 如需詳細資訊,請參閱 回寫應用程式教學課程

  • 2020 年 4 月 - 最新版 Workday Web Services (WWS) API 的支援: 3 月和 9 月的兩年時間,Workday 提供功能豐富的更新,可協助您達成業務目標和變更員工需求。 若要跟上 Workday 所提供的新功能,您現在可以直接指定您想要在連線 URL 中使用的 WWS API 版本。 如需如何指定 Workday API 版本的詳細資訊,請參閱設定 Workday 連線一節

神秘 這個使用者布建解決方案最適合嗎?

此 Workday 使用者布建解決方案最適合:

  • 想要預先建置的雲端式解決方案以布建 Workday 用戶的組織

  • 需要將使用者從 Workday 直接布建到 Active Directory 或 Microsoft Entra 識別符的組織

  • 使用 Workday HCM 模組取得的數據來佈建使用者的組織(請參閱 Get_Workers

  • 需要加入、移動和離開使用者的組織,必須根據 Workday HCM 模組中偵測到的變更資訊,將使用者同步至一或多個 Active Directory 樹系、網域和 OU(請參閱 Get_Workers

  • 使用 Microsoft 365 進行電子郵件的組織

解決方案架構

本節說明常見混合式環境的端對端使用者布建解決方案架構。 有兩個相關的流程:

  • 授權 HR 數據流 – 從 Workday 到 內部部署的 Active Directory:在此流程背景工作事件中,第一次發生在雲端 Workday HR 租使用者中,然後事件數據會透過 Microsoft Entra ID 和布建代理程式流入 內部部署的 Active Directory。 視事件而定,它可能會導致在 AD 中建立/更新/啟用/停用作業。
  • 回寫流程 – 從 內部部署的 Active Directory 到 Workday:在 Active Directory 中建立帳戶之後,就會透過 Microsoft Entra 連線 與 Microsoft Entra 標識符同步處理,而且電子郵件、使用者名稱和電話號碼等資訊可以寫回 Workday。

概觀

端對端用戶數據流

  1. HR 小組會在 Workday HCM 中執行背景工作交易 (Joiners/Movers/Leavers 或 New Hires/Transfers/Terminations)
  2. Microsoft Entra 布建服務會從 Workday HR 執行身分識別的排程同步處理,並識別需要處理的變更,以便與 內部部署的 Active Directory 同步處理。
  3. Microsoft Entra 布建服務會使用包含 AD 帳戶建立/更新/啟用/停用作業的要求承載,叫用內部部署 Microsoft Entra 連線 布建代理程式。
  4. Microsoft Entra 連線 布建代理程式會使用服務帳戶來新增/更新 AD 帳戶數據。
  5. Microsoft Entra 連線/AD 同步 引擎會執行差異同步,以在 AD 中提取更新。
  6. Active Directory 更新會與 Microsoft Entra ID 同步。
  7. 如果已設定 Workday 回寫應用程式,它會將電子郵件、使用者名稱和電話號碼等屬性寫回 Workday。

規劃您的部署

將 Workday 設定為 Active Directory 使用者布建需要相當多的規劃,涵蓋不同層面,例如:

  • 設定 Microsoft Entra 連線 布建代理程式
  • 要部署的 Workday 到 AD 使用者佈建應用程式數目
  • 選取正確的比對標識碼、屬性對應、轉換和範圍篩選

如需完整的指導方針和建議的最佳做法, 請參閱雲端 HR 部署計劃

在 Workday 中設定整合系統使用者

所有 Workday 布建連接器的常見需求是,他們需要 Workday 整合系統用戶的認證,才能連線到 Workday 人力資源 API。 本節說明如何在 Workday 中建立整合系統使用者,並具有下列各節:

注意

可以略過此程式,並改用 Workday 全域系統管理員帳戶作為系統整合帳戶。 這適用於示範,但不建議用於生產環境部署。

建立整合系統使用者

若要建立整合系統使用者:

  1. 使用系統管理員帳戶登入 Workday 租使用者。 在 Workday 應用程式中,於搜尋方塊中輸入建立使用者,然後按兩下 [ 建立整合系統使用者]。

    建立使用者

  2. 為新的整合系統使用者提供使用者名稱和密碼,以完成建立整合系統使用者工作。

    • 取消核取 [ 下次登入 時需要新密碼] 選項,因為此使用者會以程序設計方式登入。
    • 將會話逾時分鐘保留預設值為 0,這會防止使用者的會話過早逾時。
    • 選取 [不允許 UI 會話] 選項,因為它提供一層額外的安全性,可防止具有整合系統密碼的使用者登入 Workday。

    建立整合系統使用者

建立整合安全組

在此步驟中,您會在 Workday 中建立不受限制或限制的整合系統安全組,並將在上一個步驟中建立的整合系統使用者指派給此群組。

若要建立安全組:

  1. 在搜尋方塊中輸入建立安全組,然後按兩下 [ 建立安全組]。

    此螢幕快照顯示搜尋方塊中輸入的「建立安全組」,以及搜尋結果中顯示的「建立安全組 - 工作」。

  2. 完成建立 安全組 工作。

    • Workday 中有兩種類型的安全組:

      • 不受限制: 安全組的所有成員都可以存取安全組所保護的所有數據實例。
      • 限制: 所有安全組成員都可以存取安全組可存取的數據實例子集(數據列)。

    • 請洽詢您的 Workday 整合合作夥伴,以選取適合整合的安全組類型。

    • 一旦您知道群組類型,請從 [租使用者安全組類型] 下拉式清單中選取 [整合系統安全組] 或 [整合系統安全組][限制]。

      CreateSecurity Group

  3. 建立安全組成功之後,您會看到一個頁面,您可以在其中將成員指派給安全組。 將上一個步驟中建立的新整合系統使用者新增至此安全組。 如果您使用 限制 安全組,您也必須選取適當的組織範圍。

    編輯安全組

設定網域安全策略許可權

在此步驟中,您會將背景工作數據的「網域安全性」原則許可權授與安全組。

若要設定網域安全策略許可權:

  1. 在搜尋方塊中輸入 安全組成員資格和存取 權,然後按兩下報表連結。

    搜尋安全組成員資格

  2. 搜尋並選取在上一個步驟中建立的安全組。

    選取安全組

  3. 單擊組名旁邊的省略號 (...),然後從功能表中選取 > [安全組維護安全組網域許可權]

    選取 [維護網域權限]

  4. 在 [整合許可權],將下列網域新增至允許放置存取的網域安全策略清單

    • 外部帳戶布建
    • 背景工作數據:公用背景工作報告
    • 人員數據:工作聯繫人資訊(如果您打算將聯繫人數據從 Microsoft Entra ID 回寫至 Workday,則為必要資訊
    • Workday 帳戶 (如果您打算將用戶名稱/UPN 從 Microsoft Entra ID 回寫至 Workday,則為必要帳戶)

  5. 在 [整合許可權],將下列網域新增至允許取得存取的網域安全策略清單

    • 背景工作數據:背景工作
    • 背景工作數據:所有職位
    • 背景工作數據:目前的人員配置資訊
    • 背景工作數據:背景工作配置檔上的商務標題
    • 背景工作資料:合格的背景工作 角色 (選擇性 - 新增此選項以擷取布建的背景工作資格資料)
    • 背景工作數據:技能與體驗 (選擇性 - 新增此選項以擷取布建的背景工作技能數據)

  6. 完成上述步驟之後,許可權畫面隨即出現,如下所示:

    所有網域安全性許可權

  7. 在下一個畫面上按兩下 [確定 ] 和 [完成 ],以完成設定。

設定商務程式安全策略許可權

在此步驟中,您會將背景工作數據的「商務程式安全性」原則許可權授與安全組。

注意

只有在設定 Workday 回寫應用程式連接器時,才需要此步驟。

若要設定商務程式安全原則許可權:

  1. 在搜尋方塊中輸入商務程序原則,然後按兩下 [編輯商務程式安全策略] 工作的連結

    顯示搜尋方塊中 [商務程序原則] 的螢幕快照,並已選取 [編輯商務程式安全策略 - 工作]。

  2. 在 [ 商務程序類型] 文本框中,搜尋 [聯繫人 ],然後選取 [ 工作聯繫人變更 商務程式],然後按兩下 [ 確定]。

    顯示 [編輯商務程式安全策略] 頁面和 [商務程序類型] 功能選取 [工作聯繫人變更] 的螢幕快照。

  3. 在 [ 編輯商務程式安全策略 ] 頁面上,捲動至 [變更工作聯繫人資訊][Web 服務] 區段。

  4. 選取並新增新的整合系統安全組至可起始 Web 服務要求的安全組清單。

    商務程式安全策略

  5. 按兩下 [ 完成]。

啟用安全策略變更

若要啟用安全原則變更:

  1. 在搜尋方塊中輸入activate,然後按兩下 [啟用擱置的安全策略變更] 連結

    啟動

  2. 輸入稽核用途的批注,然後按兩下 [ 確定],以開始啟動擱置的安全策略變更工作。

  3. 勾選 [確認] 複選框,然後按兩下 [確定],以完成下一個畫面上的工作

    啟用擱置安全性

布建代理程式安裝必要條件

請檢閱布 建代理程式安裝必要條件 ,再繼續進行下一節。

設定從 Workday 到 Active Directory 的使用者布建

本節提供從 Workday 到整合範圍內每個 Active Directory 網域的用戶帳戶布建步驟。

第 1 部分:新增布建連接器應用程式並下載布建代理程式

若要將 Workday 設定為 Active Directory 布建:

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式>企業應用程式>] [新增應用程式]。

  3. 搜尋 Workday 至 Active Directory 使用者布建,並從資源庫新增該應用程式。

  4. 新增應用程式並顯示應用程式詳細數據畫面之後,請選取 [ 布建]。

  5. 將 [ 布建模式 ] 變更為 [自動]。

  6. 按兩下顯示的資訊橫幅以下載布建代理程式。

    下載代理程式

第 2 部分:安裝和設定內部部署佈建代理程式(s)

若要布建至內部部署 Active Directory,布建代理程式必須安裝在具有所需 Active Directory 網域之網路存取權的已加入網域的伺服器上。

將下載的代理程式安裝程式傳送至伺服器主機,並遵循安裝代理程式一節中列出的步驟來完成代理程式設定。

第 3 部分:在布建應用程式中,設定 Workday 和 Active Directory 的連線能力

在此步驟中,我們會建立與 Workday 和 Active Directory 的連線。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Identity Applications Enterprise 應用程式>> Workday 至第 1 部分中建立的 Active Directory 使用者布建應用程式。>

  3. 完成 [管理員 認證] 區段,如下所示:

    • Workday 用戶 名稱 – 輸入 Workday 整合系統帳戶的用戶名稱,並附加租用戶功能變數名稱。 看起來應該像這樣: username@tenant_name

    • Workday 密碼 – 輸入 Workday 整合系統帳戶的密碼

    • Workday Web 服務 API URL – 輸入租使用者的 Workday Web 服務端點 URL。 URL 會決定連接器所使用的 Workday Web 服務 API 版本。

      URL 格式 使用的 WWS API 版本 需要 XPATH 變更
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Yes

      注意

      如果未在 URL 中指定任何版本資訊,應用程式會使用 Workday Web Services (WWS) v21.1,而且不需要變更隨附於應用程式的預設 XPATH API 運算式。 若要使用特定的 WWS API 版本,請在 URL 中指定版本號碼
      範例: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      如果您使用 WWS API v30.0+,請在開啟布建作業之前,請在 [屬性對應 -> 進階選項 -> 編輯 Workday 的屬性清單] 底下更新 XPATH API 表達式,以參閱管理您的設定Workday 屬性參考一節。

    • Active Directory 樹系 - Active Directory 網域的「名稱」,如向代理程序註冊。 使用下拉式清單選取要布建的目標網域。 此值通常是字串,例如: contoso.com

    • Active Directory 容器 - 輸入代理程式預設應該建立使用者帳戶的容器 DN。 範例: OU=Standard Users,OU=Users,DC=contoso,DC=test

      注意

      只有在屬性對應中未設定 parentDistinguishedName 屬性時,才會對用戶帳戶建立進行這項設定。 此設定不會用於使用者搜尋或更新作業。 整個網域子樹落在搜尋作業的範圍內。

    • 通知電子郵件 – 輸入您的電子郵件地址,然後核取 [發生失敗時傳送電子郵件] 複選框。

      注意

      如果布建作業進入 隔離 狀態,Microsoft Entra 布建服務就會傳送電子郵件通知。

    • 按兩下 [測試 連線] 按鈕。 如果連線測試成功,請按兩下頂端的 [ 儲存 ] 按鈕。 如果失敗,請仔細檢查代理程式設定上設定的 Workday 認證和 AD 認證是否有效。

      顯示 [布建] 頁面的螢幕快照,其中包含輸入的認證。

    • 成功儲存認證之後,[對應] 區段會顯示將 Workday 背景工作角色同步處理至內部部署 Active Directory 的預設對應

第 4 部分:設定屬性對應

在本節中,您將設定用戶數據從 Workday 流向 Active Directory 的方式。

  1. 在 [布建] 索引標籤的 [對應] 底下,按兩下 [同步處理工作日背景工作角色至內部部署 Active Directory]。

  2. 在 [ 來源物件範圍 ] 字段中,您可以藉由定義一組以屬性為基礎的篩選,來選取 Workday 中的哪些使用者應該在布建至 AD 的範圍內。 默認範圍是「Workday 中的所有使用者」。 範例篩選:

    • 範例:範圍至背景工作標識符介於 10000000 到 2000000 之間的使用者(不包括 200000000)

      • 屬性:WorkerID

      • 運算子:REGEX 比對

      • 值: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • 範例:僅限員工,而非分工

      • 屬性:EmployeeID

      • 運算子:IS NOT NULL

    提示

    當您第一次設定布建應用程式時,您必須測試並驗證您的屬性對應和表示式,以確保它提供您所需的結果。 Microsoft 建議在 Source 物件範圍和隨選布建下使用範圍篩選器,以使用 Workday 中的一些測試用戶來測試對應。 驗證對應是否正常運作之後,您可以移除篩選條件,或逐漸展開以包含更多使用者。

    警告

    布建引擎的預設行為是停用/刪除超出範圍的使用者。 這在 Workday 與 AD 整合中可能不理想。 若要覆寫此預設行為,請參閱略過刪除超出範圍的用戶帳戶一文

  3. 在 [ 目標物件動作 ] 字段中,您可以全域篩選 Active Directory 上執行的動作。 建立更新 是最常見的。

  4. 在 [ 屬性對應] 區 段中,您可以定義個別 Workday 屬性對應至 Active Directory 屬性的方式。

  5. 按兩下現有的屬性對應來更新它,或按一下 畫面底部的[新增對應 ] 以新增對應。 個別屬性對應支援下列屬性:

    • 對應類型

      • Direct – 將 Workday 屬性的值寫入 AD 屬性,且沒有任何變更

      • 常數 - 將靜態常數位符串值寫入 AD 屬性

      • 表達式 – 可讓您根據一或多個 Workday 屬性,將自定義值寫入 AD 屬性。 如需詳細資訊,請參閱本文的表達式

    • 來源屬性 - Workday 中的用戶屬性。 如果您要尋找的屬性不存在,請參閱 自定義 Workday 使用者屬性的清單。

    • 預設值 – 選擇性。 如果來源屬性有空值,對應將會改為寫入此值。 最常見的設定是將此設定保留空白。

    • 目標屬性 – Active Directory 中的用戶屬性。

    • 比對使用此屬性 的物件 – 是否應該使用此對應來唯一識別 Workday 與 Active Directory 之間的使用者。 此值通常會在 Workday 的 [背景工作識別符] 字段上設定,這通常會對應至 Active Directory 中的其中一個 [員工標識符] 屬性。

    • 比對優先順序 – 可以設定多個比對屬性。 當有多個時,會依照此欄位所定義的順序進行評估。 一旦找到相符專案,就不會評估任何進一步的相符屬性。

    • 套用此對應

      • 一律 – 在使用者建立和更新動作上套用此對應

      • 僅在建立 期間 - 只在使用者建立動作上套用此對應

  6. 若要儲存對應,請按兩下 [屬性對應] 區段頂端的 [ 儲存 ]。

    此螢幕快照顯示已選取 [儲存] 動作的 [屬性對應] 頁面。

以下是 Workday 與 Active Directory 之間的一些範例屬性對應,其中包含一些常見的表達式

  • 對應至 parentDistinguishedName 屬性的運算式是用來根據一或多個 Workday 來源屬性,將使用者布建到不同的 OU。 此範例會根據用戶位於哪個城市,將使用者放在不同的 OU 中。

  • Active Directory 中的 userPrincipalName 屬性是使用重複函數 SelectUniqueValue 來產生,該函式會檢查目標 AD 網域中是否有產生的值,而且只有在唯一時才設定它。

  • 這裡有關於撰寫表示式的檔。 本節包含如何移除特殊字元的範例。

WORKDAY 屬性 ACTIVE DIRECTORY 屬性 相符標識碼? CREATE / UPDATE
WorkerID EmployeeID 只在建立時寫入
PreferredNameData cn 只在建立時寫入
SelectUniqueValue(Join(“@”, Join(“.”, [FirstName], [LastName], “contoso.com”),Join(“@”, Join(“, Mid([FirstName], 1, 1, [LastName]), ”contoso.com“),Join(”@“, Join(”.“, Mid([FirstName], 1, 2), ”LastName]), “contoso.com”)) userPrincipalName 只在建立時寫入
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName 只在建立時寫入
Switch([Active], , , “0”, “True”, “1”, “False”) accountDisabled 建立 + 更新
FirstName givenName 建立 + 更新
LastName sn 建立 + 更新
PreferredNameData displayName 建立 + 更新
公司 公司 建立 + 更新
SupervisoryOrganization 部門 建立 + 更新
ManagerReference manager 建立 + 更新
BusinessTitle title 建立 + 更新
AddressLineData streetAddress 建立 + 更新
l 建立 + 更新
CountryReferenceTwoLetter co 建立 + 更新
CountryReferenceTwoLetter c 建立 + 更新
CountryRegionReference st 建立 + 更新
WorkSpaceReference physicalDeliveryOfficeName 建立 + 更新
PostalCode 郵遞區號 建立 + 更新
PrimaryWorkTelephone telephoneNumber 建立 + 更新
傳真 facsimileTelephoneNumber 建立 + 更新
行動 行動 建立 + 更新
LocalReference preferredLanguage 建立 + 更新
Switch([Municipality], “OU=Default Users,DC=contoso,DC=com”, “Dallas”, “OU=Dallas,OU=Users,DC=contoso,DC=com”, “奧斯汀”, “OU=奧斯汀,OU=Users,DC=contoso,DC=com”, “Seattle”, “OU=Seattle,OU=Users,DC=contoso,DC=com”, “London”, “OU=London,OU=Users,DC=contoso,DC=com”) parentDistinguishedName 建立 + 更新

屬性對應設定完成後,您可以使用隨選布建來測試單一使用者的布建,然後啟用並啟動使用者布建服務

啟用和啟動使用者布建

一旦 Workday 布建應用程式設定完成,且您已驗證布建單一使用者 隨選布建之後,您就可以開啟布建服務。

提示

根據預設,當您開啟布建服務時,它會起始範圍中所有使用者的布建作業。 如果對應或 Workday 數據問題發生錯誤,布建作業可能會失敗並進入隔離狀態。 若要避免這種情況,最佳做法是,建議您先設定來源物件範圍篩選,並使用一些測試用戶測試屬性對應,再針對所有用戶啟動完整同步處理。 一旦確認對應正常運作,併為您提供所需的結果,您就可以移除篩選條件,或逐漸展開以包含更多使用者。

  1. 移至 [ 布建] 刀鋒視窗,然後按兩下 [開始布 ]。

  2. 此作業將會啟動初始同步處理,視 Workday 租使用者中的用戶數目而定,可能需要一個可變的時數。 您可以檢查進度列,以追蹤同步週期的進度。

  3. 隨時檢查 Azure 入口網站 中的 [稽核記錄] 索引標籤,以查看布建服務已執行的動作。 稽核記錄會列出布建服務所執行的所有個別同步事件,例如要從 Workday 讀取哪些使用者,然後接著新增或更新至 Active Directory。 如需如何檢閱稽核記錄並修正布建錯誤的指示,請參閱疑難解答一節。

  4. 初始同步處理完成後,它會在 [布建] 索引標籤中撰寫稽核摘要報告,如下所示。

    布建進度列

常見問題集 (FAQ)

解決方案功能問題

從 Workday 處理新進員工時,解決方案如何為 Active Directory 中的新使用者帳戶設定密碼?

當內部部署布建代理程式取得建立新 AD 帳戶的要求時,它會自動產生複雜的隨機密碼,以符合 AD 伺服器所定義的密碼複雜度需求,並在使用者對象上設定此值。 此密碼不會記錄到任何地方。

解決方案是否支援在布建作業完成之後傳送電子郵件通知?

否,目前版本不支援在完成布建作業之後傳送電子郵件通知。

解決方案是否會在 Microsoft Entra 雲端或布建代理程式層快取 Workday 使用者設定檔?

否,解決方案不會維護使用者配置檔的快取。 Microsoft Entra 布建服務只是做為數據處理者,從 Workday 讀取數據並寫入目標 Active Directory 或 Microsoft Entra ID。 如需用戶隱私權和數據保留的相關詳細數據,請參閱管理個人資料一節

解決方案是否支援將內部部署AD群組指派給使用者?

目前不支援此功能。 建議的因應措施是部署PowerShell腳本,以查詢 Microsoft Graph API 端點以取得 稽核記錄數據 ,並使用該腳本來觸發群組指派等案例。 此 PowerShell 腳本可以附加至工作排程器,並部署在執行布建代理程式的相同方塊上。

解決方案會使用哪一個 Workday API 來查詢和更新 Workday 背景工作角色設定檔?

解決方案目前使用下列 Workday API:

  • 管理員 認證一節中使用的 Workday Web Services API URL 格式會決定用於Get_Workers的 API 版本

    • 如果 URL 格式為: https://####.workday.com/ccx/service/tenantName ,則會使用 API v21.1。
    • 如果 URL 格式為: https://####.workday.com/ccx/service/tenantName/Human_Resources ,則會使用 API v21.1
    • 如果 URL 格式為: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# ,則會使用指定的 API 版本。 (範例:如果指定 v34.0,則會使用它。

  • Workday 電子郵件回寫功能使用 Change_Work_Contact_Information (v30.0)

  • Workday 使用者名稱回寫功能使用 Update_Workday_Account (v31.2)

是否可以使用兩個 Microsoft Entra 租用戶來設定 Workday HCM 租使用者?

是,支持此設定。 以下是設定此案例的高階步驟:

  • 部署布建代理程式 #1,並將其註冊給 Microsoft Entra 租使用者 #1。
  • 部署布建代理程式 #2,並將其註冊給 Microsoft Entra 租使用者 #2。
  • 根據每個布建代理程式將管理的「子域」,使用網域設定每個代理程式。 一個代理程式可以處理多個網域。
  • 在 Azure 入口網站 中,在每個租使用者中將 Workday 設定為 AD 使用者佈建應用程式,並使用個別網域進行設定。

您的意見反應非常重視,因為它可協助我們設定未來版本和增強功能的方向。 我們歡迎所有意見反應,並鼓勵您在 Microsoft Entra ID 的意見反應論壇中提交您的想法或改進建議。 如需與 Workday 整合相關的特定意見反應,請選取 SaaS 應用程式類別,並使用關鍵詞 Workday 來搜尋與 Workday 相關的現有意見反應。

UserVoice SaaS 應用程式

UserVoice Workday

建議新想法時,請檢查是否有其他人已建議類似的功能。 在此情況下,您可以投票投票功能或增強要求。 您也可以針對您的特定使用案例留下批注,以顯示您對想法的支援,並示範此功能對您而言如何具有價值。

布建代理程序問題

布建代理程式的 GA 版本為何?

請參閱 Microsoft Entra 連線 布建代理程式:布建代理程式最新版本的版本發行歷程記錄

如何? 知道我的布建代理程式版本嗎?

  • 登入安裝布建代理程式的 Windows 伺服器。

  • 移至 [控制台 -> 卸載或變更程式功能表

  • 尋找對應至 Microsoft Entra 連線 布建代理程式專案的版本

    Azure 入口網站

Microsoft 是否會自動推送布建代理程式更新?

是,如果 Windows 服務 Microsoft Entra 連線 Agent Updater 已啟動並執行,Microsoft 會自動更新布建代理程式。

我可以在執行 Microsoft Entra 連線 的同一部伺服器上安裝布建代理程式嗎?

是,您可以在執行 Microsoft Entra 連線 的相同伺服器上安裝布建代理程式。

設定時,布建代理程式會提示 Microsoft Entra 管理員認證。 Agent 是否將認證儲存在本機伺服器上?

在設定期間,布建代理程式只會提示您輸入 Microsoft Entra 系統管理員認證,以連線到您的 Microsoft Entra 租使用者。 它不會將認證儲存在本機伺服器上。 不過,它會保留用來連線到本機 Windows 密碼保存庫中 內部部署的 Active Directory 網域的認證。

如何? 將布建代理程式設定為使用 Proxy 伺服器進行輸出 HTTP 通訊?

布建代理程式支援使用輸出 Proxy。 您可以編輯代理程式配置檔 C:\Program Files\Microsoft Azure AD 連線 Provisioning Agent\AAD 連線 ProvisioningAgent.exe.config 來設定它。將下列幾行新增至檔案的結尾,就在結尾</configuration>標記之前。 將變數 [proxy-server] 和 [proxy-port] 取代為您的 Proxy 伺服器名稱和埠值。

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

如何? 確定布建代理程式能夠與 Microsoft Entra 租用戶通訊,而且代理程式不需要任何防火牆?

您也可以檢查所有必要的 是否開啟。

是否可以將一個布建代理程式設定為布建多個 AD 網域?

是,只要代理程式有個別域控制器的視線,就可以設定一個布建代理程式來處理多個 AD 網域。 Microsoft 建議設定一組 3 個布建代理程式,以提供相同一組 AD 網域,以確保高可用性並提供故障轉移支援。

如何? 取消註冊與我的布建代理程式相關聯的網域?

*,取得 Microsoft Entra 租使用者的租用戶標識碼

  • 登入執行布建代理程式的 Windows 伺服器。

  • 以 Windows 管理員 istrator 開啟 PowerShell。

  • 變更為包含註冊腳本的目錄,然後執行下列命令,以租使用者標識碼的值取代 [tenant ID] 參數。

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • 從出現的代理程式清單中 – 從 resourceName 等於 AD 功能變數名稱的資源複製域值id

  • 將標識碼值貼入此命令,並在PowerShell中執行命令。

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • 重新執行代理程式設定精靈。

  • 先前指派給此網域的任何其他代理程式都必須重新設定。

如何? 卸載布建代理程式?

  • 登入安裝布建代理程式的 Windows 伺服器。
  • 移至 [控制台 -> 卸載或變更程式功能表
  • 卸載下列程式:
    • Microsoft Entra 連線 布建代理程式
    • Microsoft Entra 連線 Agent Updater
    • Microsoft Entra 連線 布建代理程式套件

Workday 至 AD 屬性對應和設定問題

如何? 備份或匯出 Workday 布建屬性對應和架構的工作複本?

您可以使用 Microsoft Graph API 匯出 Workday 使用者布建設定。 如需詳細資訊,請參閱匯出和匯入 Workday 使用者布建屬性對應設定一節中的步驟。

我在 Workday 和 Active Directory 中有自定義屬性。 如何? 設定解決方案以使用我的自定義屬性?

此解決方案支援自定義 Workday 和 Active Directory 屬性。 若要將自定義屬性新增至對應架構,請開啟 [屬性對應] 刀鋒視窗,向下捲動以展開 [顯示進階選項] 區段

編輯屬性清單

若要新增自定義 Workday 屬性,請選取 [編輯 Workday 的屬性清單] 選項,然後新增自定義 AD 屬性,選取 [編輯內部部署 Active Directory 的屬性清單] 選項

另請參閱:

如何? 將解決方案設定為僅根據 Workday 變更更新 AD 中的屬性,而不會建立任何新的 AD 帳戶?

您可以在 [屬性對應] 刀鋒視窗中設定 [目標物件動作] 來達成此設定,如下所示:

更新動作

選取 [更新] 複選框,僅針對從 Workday 流向 AD 的更新作業。

我可以將使用者的照片從 Workday 布建到 Active Directory 嗎?

解決方案目前不支援在 Active Directory 中設定 binary 屬性,例如 thumbnailPhotojpegPhoto

  • 移至 Workday 布建應用程式的 [布建] 刀鋒視窗。

  • 點選單擊 [屬性對應]

  • 在 [對應] 底下,選取 [將 Workday 背景工作角色同步處理至內部部署 Active Directory] (或 [將 Workday 背景工作角色同步處理至 Microsoft Entra ID]。

  • 在 [屬性對應] 頁面上,向下卷動並核取 [顯示進階選項] 方塊。 按下 Workday 的 [ 編輯屬性清單]

  • 在開啟的刀鋒視窗中,找出 「Mobile」 屬性,然後按兩下資料列,以便編輯 API 運算式行動GDPR

  • 將 API 運算式取代為下列新運算式,只有在 Workday 中的 「公用使用旗標」設定為 「True」 時,才會擷取工作移動編號。

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • 儲存屬性清單。

  • 儲存屬性對應。

  • 清除目前狀態,然後重新啟動完整同步處理。

如何? 格式會根據使用者的部門/國家/城市屬性在AD中顯示名稱,並處理區域差異?

在 AD 中設定 displayName 屬性是常見的需求,因此也會提供使用者部門和國家/地區的相關信息。 例如,如果 John Smith 在美國行銷部門工作,您可能會希望他的 displayName 顯示為 Smith、John(Marketing-US)。

以下說明如何處理建構 CNdisplayName 這類需求,以包含公司、業務單位、城市或國家 /地區等屬性。

  • 每個 Workday 屬性都是使用基礎 XPATH API 運算式來擷取,可在 Workday 的屬性對應 -> 進階區段 -> 編輯屬性清單中設定。 以下是 Workday PreferredFirstName、PreferredLastNameCompanySupervisoryOrganization 属性的預設 XPATH API 表達式。

    Workday 屬性 API XPATH 運算式
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Company wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    請向 Workday 小組確認上述 API 運算式對 Workday 租用戶設定有效。 如有必要,您可以編輯它們,如自定義 Workday 使用者屬性清單一節所述。

  • 同樣地,使用下列 XPATH 擷取 Workday 中的國家/地區資訊: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Workday 屬性清單一節中有 5 個國家/地區相關屬性可供使用。

    Workday 屬性 API XPATH 運算式
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    向 Workday 小組確認上述 API 運算式對 Workday 租用戶設定有效。 如有必要,您可以編輯它們,如自定義 Workday 使用者屬性清單一節所述。

  • 若要建置正確的屬性對應表達式,請識別哪些 Workday 屬性「授權」代表使用者的名字、姓氏、國家/地區和部門。 假設屬性分別是 PreferredFirstName、PreferredLastNameCountryReferenceTwoLetterSupervisoryOrganization 您可以使用這個來建置AD displayName屬性的運算式,如下所示,以取得類似 Smith、John(Marketing-US)的顯示名稱。

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    擁有正確的表達式之後,請編輯 [屬性對應] 數據表並修改 displayName 屬性對應,如下所示:DisplayName 對應

  • 擴充上述範例,假設您想要將來自 Workday 的城市名稱轉換成速記值,然後使用它來建置顯示名稱,例如 Smith、John (CHI)Doe、Jane (NYC),然後使用 Switch 表達式搭配 Workday Cityy 屬性作為決定性變數來達成此結果。

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    另請參閱:

如何使用 SelectUniqueValue 來產生 samAccountName 屬性的唯一值?

假設您想要使用 Workday 中的 FirstName 和 LastName 屬性組合,為 samAccountName 屬性產生唯一值。 以下提供一個表示式,您可以從下列項目開始:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

上述表達式的運作方式:如果使用者是John Smith,它會先嘗試產生 JSmith,如果 JSmith 已經存在,則會產生JoSmith,如果存在,則會產生JohSmith。 表達式也可確保產生的值符合與 samAccountName 相關聯的長度限制和特殊字元限制。

另請參閱:

如何? 移除具有讀音符號的字元,並將其轉換成一般英文字母?

使用 Function NormalizeDiacritics 來移除使用者名字和姓氏中的特殊字元,同時建構使用者的電子郵件位址或 CN 值。

疑難排解秘訣

本節提供如何使用 Microsoft Entra 稽核記錄和 Windows Server 事件檢視器 記錄,針對 Workday 整合的布建問題進行疑難解答的特定指引。 它會以教學課程:報告自動用戶帳戶布建中 擷取的一般疑難解答步驟和概念為基礎

本節涵蓋疑難解答的下列層面:

設定布建代理程式以發出 事件檢視器 記錄

  1. 登入部署布建代理程式的 Windows Server 電腦

  2. 停止 Microsoft Entra 連線 布建代理程序的服務

  3. 建立原始組態檔的複本:C:\Program Files\Microsoft Azure AD 連線 Provisioning Agent\AAD 連線 ProvisioningAgent.exe.config

  4. 以下列內容取代現有的 <system.diagnostics> 區段。

    • 接聽程式設定 etw 會將訊息發出至 EventViewer 記錄
    • 接聽程式設定 textWriterListener 會將追蹤訊息傳送至檔案 ProvAgentTrace.log。 僅針對進階疑難解答取消批注與 textWriterListener 相關的行。
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. 啟動 Microsoft Entra 連線 布建代理程序的服務

針對代理程式疑難解答設定 Windows 事件檢視器

  1. 登入部署布建代理程式的 Windows Server 電腦

  2. 開啟 Windows Server 事件檢視器 傳統型應用程式。

  3. 選取 [Windows 記錄 > 應用程式]。

  4. 使用 [篩選目前記錄檔...] 選項,藉由指定篩選 “-5” 來檢視來源 Microsoft Entra 連線 布建代理程式下記錄的所有事件,並排除事件標識符為 “5” 的事件,如下所示。

    注意

    事件標識碼 5 會將代理程式啟動程式訊息擷取至 Microsoft Entra 雲端服務,因此我們會在分析記錄檔時加以篩選。

    Windows 事件檢視器

  5. 按兩下 [ 確定 ],然後依 [日期和時間 ] 資料行排序結果檢視。

設定 Azure 入口網站稽核記錄以進行服務疑難解答

  1. 啟動 Azure 入口網站,然後流覽至 Workday 布建應用程式的 [稽核記錄] 區段。

  2. 使用 [稽核記錄] 頁面上的 [ 數據 行] 按鈕,在檢視中只顯示下列數據行(日期、活動、狀態、狀態原因)。 此設定可確保您只專注於與疑難解答相關的數據。

    稽核記錄數據行

  3. 使用 [目標和日期範圍] 查詢參數來篩選檢視。

    • [目標 查詢] 參數設定為 Workday 背景工作物件的 “Worker ID” 或 “Employee ID”。
    • [日期範圍 ] 設定為您想要調查布建錯誤或問題的適當時段。

    稽核記錄篩選

瞭解 AD 使用者帳戶建立作業的記錄

偵測到 Workday 中的新進員工時(假設員工標識符 為 21023),Microsoft Entra 布建服務會嘗試為背景工作建立新的 AD 用戶帳戶,並在程式中建立 4 個稽核記錄記錄,如下所述:

稽核記錄建立作業

當您按下任何稽核記錄檔記錄時,[ 活動詳細 數據] 頁面隨即開啟。 以下是每個記錄記錄類型的 [活動詳細數據] 頁面顯示的內容

  • Workday 匯 入記錄:此記錄檔記錄會顯示從 Workday 擷取的背景工作資訊。 使用記錄記錄的 [ 其他詳細數據 ] 區段中的資訊,針對從 Workday 擷取數據的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • AD 匯 入記錄:此記錄檔記錄會顯示從 AD 擷取的帳戶資訊。 如同在初始使用者建立期間沒有 AD 帳戶, 活動狀態原因 會指出 Active Directory 中找不到具有相符標識元屬性值的帳戶。 使用記錄記錄的 [ 其他詳細數據 ] 區段中的資訊,針對從 Workday 擷取數據的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object was not found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    若要尋找對應至此 AD 匯入作業的布建代理程序記錄,請開啟 Windows 事件檢視器 記錄,並使用 [尋找...] 功能表選項來尋找包含相符標識碼/聯結屬性值的記錄專案(在此案例中為 21023)。

    Find

    尋找事件 標識碼 = 9 的專案,這會提供代理程式用來擷取 AD 帳戶的 LDAP 搜尋篩選器。 您可以確認這是正確的搜尋篩選條件,以擷取唯一的用戶專案。

    LDAP 搜尋

    緊接在事件 標識碼 = 2 之後的記錄會擷取搜尋作業的結果,如果傳回任何結果,則為 。

    LDAP 結果

  • 同步處理規則動作 記錄:此記錄檔記錄會顯示屬性對應規則的結果,並設定範圍篩選器,以及將採取的布建動作來處理傳入 Workday 事件。 使用記錄檔記錄的 [ 其他詳細數據 ] 區段中的資訊,針對同步處理動作的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object will be added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    如果您的屬性對應表示式或傳入的 Workday 資料有問題(例如:必要屬性的空白或 Null 值),您將會在此階段觀察失敗,並顯示 ErrorCode 提供失敗的詳細數據。

  • AD 匯出 記錄:此記錄檔記錄會顯示AD帳戶建立作業的結果,以及程式中設定的屬性值。 使用記錄檔記錄的 [其他詳細數據 ] 區段中的資訊,針對帳戶建立作業的問題進行疑難解答。 下面顯示範例記錄,以及如何解譯每個欄位的指標。 在 [其他詳細數據] 區段中,“EventName” 設定為 “EntryExportAdd”,“JoiningProperty” 會設定為相符標識符屬性的值,“SourceAnchor” 會設定為與記錄相關聯的 WorkdayID (WID),而 “TargetAnchor” 會設定為新建立使用者的 AD “ObjectGuid” 屬性值。

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object will be created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user

    若要尋找對應至此 AD 匯出作業的布建代理程序記錄,請開啟 Windows 事件檢視器 記錄,並使用 [尋找...] 功能表選項來尋找包含相符標識碼/聯結屬性值的記錄專案(在此案例中為 21023)。

    使用事件識別碼 = 2 尋找對應至匯出作業時間戳的 HTTP POST 記錄。 此記錄會包含布建服務傳送給布建代理程式的屬性值。

    顯示 [布建代理程式] 記錄中 [HTTP POST] 記錄的螢幕快照。

    在上述事件之後,應該有另一個事件擷取建立AD帳戶作業的回應。 這個事件會傳回在AD中建立的新 objectGuid,而且它會設定為布建服務中的 TargetAnchor 屬性。

    顯示 [布建代理程式] 記錄的螢幕快照,其中已醒目提示 AD 中建立 objectGuid。

瞭解管理員更新作業的記錄

管理員屬性是 AD 中的參考屬性。 布建服務不會將管理員屬性設定為使用者建立作業的一部分。 相反地,管理員屬性會在為使用者建立AD帳戶之後,設定為更新作業的一部分。 展開上述範例,假設員工標識碼為 「21451」 的新進員工已在 Workday 中啟動,而新進員工經理 (21023) 已經有 AD 帳戶。 在此案例中,搜尋使用者 21451 的稽核記錄會顯示 5 個專案。

管理員更新

前 4 筆記錄就像我們在使用者建立作業中探索的記錄一樣。 第 5 筆記錄是與管理員屬性更新相關聯的匯出。 記錄檔記錄會顯示 AD 帳戶管理員更新作業的結果,這是使用管理員的 objectGuid 屬性執行。

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

解決常見的錯誤

本節涵蓋 Workday 使用者布建的常見錯誤,以及如何加以解決。 錯誤會依下列方式分組:

布建代理程序錯誤

# 錯誤案例 可能的原因 建議的解決方案
1. 安裝布建代理程式時發生錯誤訊息:服務 'Microsoft Entra 連線 Provisioning Agent' (AAD 連線 ProvisioningAgent) 無法啟動。確認您有足夠的許可權可啟動系統。 如果您嘗試在域控制器上安裝布建代理程式,且組策略會防止服務啟動,通常會顯示此錯誤。 如果您執行的是舊版的代理程式,而且在啟動新安裝之前尚未卸載,也會看到它。 在非 DC 伺服器上安裝布建代理程式。 在安裝新代理程式之前,請確定已卸載舊版代理程式。
2. Windows 服務 「Microsoft Entra 連線 布建代理程式」處於啟動狀態,且不會切換至 [執行中] 狀態。 在安裝期間,代理程式精靈會在伺服器上建立本機帳戶 (NT Service\AAD 連線 ProvisioningAgent),這是用來啟動服務的登入帳戶。 如果 Windows 伺服器上的安全策略會防止本機帳戶執行服務,您將會遇到此錯誤。 開啟 [服務] 主控台。 以滑鼠右鍵按兩下 Windows 服務 [Microsoft Entra 連線 布建代理程式],然後在 [登入] 索引卷標中指定要執行服務的網域系統管理員帳戶。 重新啟動 服務。
3. 在 Active Directory 連線 的步驟中,使用 AD 網域設定布建代理程式時,精靈會花很長的時間嘗試載入 AD 架構,最後逾時。 如果精靈因防火牆問題而無法連絡 AD 域控制器伺服器,通常就會顯示此錯誤。 [連線 Active Directory 精靈] 畫面上,提供 AD 網域的認證時,有一個選項稱為 [選取域控制器優先順序]。 使用此選項可選取與代理程式伺服器位於相同站臺中的域控制器,並確定沒有封鎖通訊的防火牆規則。

連線錯誤

如果布建服務無法連線到 Workday 或 Active Directory,可能會導致布建進入隔離狀態。 使用下表來針對連線問題進行疑難解答。

# 錯誤案例 可能的原因 建議的解決方案
1. 當您按兩下 [測試 連線 ion] 時,會收到錯誤訊息:連線到 Active Directory 時發生錯誤。請確定內部部署布建代理程式正在執行,且其已設定為正確的 Active Directory 網域。 如果布建代理程式未執行,或 Microsoft Entra ID 與布建代理程式之間發生防火牆封鎖通訊,通常會顯示此錯誤。 如果代理程式精靈中未設定網域,您可能也會看到此錯誤。 在 Windows 伺服器上開啟 Services 控制台,以確認代理程式正在執行。 開啟布建代理程式精靈,並確認已向代理程式註冊正確的網域。
2. 布建作業在週末進入隔離狀態(Fri-Sat),我們會收到電子郵件通知,指出同步處理發生錯誤。 此錯誤的其中一個常見原因是計劃性 Workday 停機。 如果您目前使用 Workday 實作租用戶,請注意,Workday 針對它的實作租用戶在週末有排定的停機時間 (通常是從星期五傍晚到星期六早上),而在這段期間,Workday 佈建應用程式可能會進入隔離狀態,因為它無法連線到 Workday。 一旦 Workday 實作租用戶恢復上線,它就會回到正常狀態。 在罕見的情況下,如果「整合系統使用者」的密碼因租用戶重新整理而發生變更,或帳戶處於鎖定或過期狀態,您也可能看到此錯誤。 請洽詢您的 Workday 系統管理員或整合合作夥伴,以了解 Workday 排定於何時停機,以在停機期間忽略警示訊息,並在 Workday 執行個體恢復上線後確認可用性。

AD 用戶帳戶建立錯誤

# 錯誤案例 可能的原因 建議的解決方案
1. 匯出稽核記錄中的作業失敗,並出現錯誤訊息 :OperationsError-SvcErr:發生作業錯誤。尚未針對目錄服務設定任何進階參考。因此,目錄服務無法向這個樹系外部的對象發出轉介。 通常,如果未正確設定 [Active Directory 容器] OU,或用於 parentDistinguishedName 的「運算式對應」有問題,就會出現此錯誤。 檢查 Active Directory 容器 OU 參數是否有錯字。 如果您在屬性對應中使用 parentDistinguishedName,請確定它一律會評估為 AD 網域內的已知容器。 請檢查稽核記錄中的「匯出」事件,以查看產生的值。
2. 匯出稽核記錄中的作業失敗,錯誤碼如下: SystemForCrossDomainIdentityManagementBadResponse 和訊息 錯誤:ConstraintViolation-AtrErr:要求中的值無效。屬性的值不在可接受的值範圍內。\nError 詳細數據:CONSTRAINT_ATT_TYPE - 公司 雖然此錯誤專屬於 公司 屬性,但您可能會看到此錯誤的其他屬性,例如 CN 。 此錯誤會因為AD強制執行的架構條件約束而出現。 根據預設,AD中的 companyCN屬性的上限為 64 個字元。 如果來自 Workday 的值超過 64 個字元,您會看到此錯誤訊息。 檢查稽核記錄中的 Export 事件,以查看錯誤訊息中所報告屬性的值。 請考慮使用 Mid 函式截斷來自 Workday 的值,或將對應變更為沒有類似長度條件約束的 AD 屬性。

AD 使用者帳戶更新錯誤

在 AD 使用者帳戶更新程式期間,布建服務會從 Workday 和 AD 讀取資訊、執行屬性對應規則,並判斷是否有任何變更需要生效。 因此會觸發更新事件。 如果上述任何步驟發生失敗,則會記錄在稽核記錄中。 使用下表針對常見的更新錯誤進行疑難解答。

# 錯誤案例 可能的原因 建議的解決方案
1. 稽核記錄中的同步處理規則動作失敗,訊息 為 EventName = EntrySynchronizationError 和 ErrorCode = EndpointUnavailable 如果布建服務因內部部署布建代理程式所發生的處理錯誤而無法從 Active Directory 擷取使用者配置檔數據,就會顯示此錯誤。 檢查布建代理程式 事件檢視器 記錄,以取得指出讀取作業問題的錯誤事件(依事件標識元篩選 #2)。
2. AD 中的 manager 屬性不會針對 AD 中的特定使用者更新。 此錯誤最有可能的原因是您使用範圍規則,而使用者的管理員不屬於範圍。 如果在目標 AD 網域中找不到 Manager 的相符標識碼屬性(例如 EmployeeID),或未設定為正確的值,您也可能遇到此問題。 檢閱範圍篩選,並在範圍中新增管理員使用者。 檢查 AD 中的管理員設定檔,以確定有相符標識碼屬性的值。

管理您的設定

本節說明如何進一步擴充、自定義和管理 Workday 驅動使用者布建設定。 本文涵蓋下列主題:

自定義 Workday 使用者屬性清單

Active Directory 和 Microsoft Entra ID 的 Workday 布建應用程式都包含您可以選取的預設 Workday 使用者屬性清單。 不過,這些清單並不全面。 Workday 支援數百個可能的使用者屬性,這些屬性可以是標準或 Workday 租使用者的唯一屬性。

Microsoft Entra 布建服務支援自定義清單或 Workday 屬性的能力,以包含人力資源 API Get_Workers作業中公開的任何屬性。

若要進行這項變更,您必須使用 Workday Studio 來擷取 XPath 表達式,這些表達式代表您想要使用的屬性,然後使用進階屬性編輯器將它們新增至布建組態。

若要擷取 Workday 使用者屬性的 XPath 運算式:

  1. 下載並安裝 Workday Studio。 您將需要 Workday 社群帳戶才能存取安裝程式。

  2. 從 Workday Web Services 目錄下載您計劃從 Workday Web Services 目錄使用之 WWS API 版本專屬的 Workday Human_Resources WSDL 檔案

  3. 啟動 Workday Studio。

  4. 從命令行中,選取 [測試人員中的 Workday > Test Web 服務] 選項。

  5. 選取 [ 外部],然後選取您在步驟 2 中下載Human_Resources WSDL 檔案。

    顯示 Workday Studio 中開啟 「Human_Resources」檔案的螢幕快照。

  6. 將 [ 位置] 欄位設定為 https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources,但將 「IMPL-CC」 取代為您的實際實例類型,並將 「TENANT」 取代為您的實際租用戶名稱。

  7. 將作業設定Get_Workers

  8. 按兩下 [要求/回應] 窗格下方的小型設定連結,以設定您的 Workday 認證。 檢查 [驗證],然後輸入 Workday 整合系統帳戶的使用者名稱和密碼。 請務必將用戶名稱格式化為name@tenant,並讓 WS-Security UsernameToken 選項保持選取狀態。 此螢幕快照顯示已輸入 [用戶名稱] 和 [密碼] 的 [安全性] 索引標籤,並已選取 [WS-Security Username Token]。

  9. 選取 [確定]。

  10. 在 [ 要求 ] 窗格中,貼上下列 XML。 將Employee_ID設定為 Workday 租用戶中實際使用者的員工標識碼。 將 wd:version 設定為您計劃使用的 WWS 版本。 選取已填入您想要擷取之屬性的使用者。

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. 按兩下 [ 傳送要求 ] (綠色箭號) 以執行命令。 如果成功,回應應該會出現在 [ 回應 ] 窗格中。 檢查回應,以確保其具有您輸入的使用者標識碼數據,而不是錯誤。

  12. 如果成功,請從 [回應 ] 窗格複製 XML,並將其儲存為 XML 檔案。

  13. 在 Workday Studio 的命令行中,選取 [ 檔案 > 開啟檔案... ],然後開啟您儲存的 XML 檔案。 此動作會在 Workday Studio XML 編輯器中開啟檔案。

    [Workday Studio X M L 編輯器] 中開啟 X M L 檔案的螢幕快照。

  14. 在檔案樹狀目錄中,流覽 /env: Envelope > env: Body > wd:Get_Workers_Response wd:Response_Data >> wd: Worker 以尋找用戶的數據。

  15. 在 wd: Worker 底下,尋找您想要新增的屬性,然後加以選取。

  16. 從 [檔案路徑] 欄位複製所選屬性的 XPath 運算式。

  17. 從複製的表達式中移除 /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ 前置詞。

  18. 如果複製表達式中的最後一個專案是節點(例如:“/wd: Birth_Date”),則在表達式結尾附加 /text()。 如果最後一個專案是屬性,則不需要此專案(例如:“/@wd:type”。

  19. 結果應該類似 wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()。 此值是您將複製到 Azure 入口網站 的內容。

若要將自定義 Workday 使用者屬性新增至布建組態:

  1. 啟動 Azure 入口網站,並流覽至 Workday 布建應用程式的 [布建] 區段,如本教學課程稍早所述。

  2. 將 [布建狀態] 設定為 [關閉],然後選取 [儲存]。 此步驟有助於確保您的變更只有在準備好時才會生效。

  3. 在 [對應] 底下,選取 [將 Workday 背景工作角色同步處理至內部部署 Active Directory] (或 [將 Workday 背景工作角色同步處理至 Microsoft Entra ID]。

  4. 捲動至下一個畫面底部,然後選取 [ 顯示進階選項]。

  5. 選取 [編輯 Workday 的屬性清單]。

    顯示 [Workday 至 Microsoft Entra 使用者布建 - 布建] 頁面的螢幕快照,其中已醒目提示 [Workday 的編輯屬性清單] 動作。

  6. 捲動至屬性清單底部的輸入欄位。

  7. 針對 [ 名稱],輸入屬性的顯示名稱。

  8. 針對 [ 類型],選取適當對應至您屬性的類型(字串最 常見)。

  9. 針對 [API 表達式],輸入您從 Workday Studio 複製的 XPath 表達式。 範例: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. 選取 [ 新增屬性]。

    Workday Studio

  11. 選取上述的 [ 儲存 ],然後選取 [是 ] 對話框。 如果仍然開啟[屬性對應] 畫面,請關閉它。

  12. 回到主要 [布建] 索引 卷標,選取 [將 Workday 背景工作角色同步處理至內部部署 Active Directory ] (或 再次將背景工作角色同步至 Microsoft Entra ID)。

  13. 選取 [ 新增對應]。

  14. 您的新屬性現在應該會出現在 [來源屬性 ] 清單中。

  15. 視需要新增新屬性的對應。

  16. 完成後,請記得將 [布建狀態] 設定回 [開啟] 並儲存。

匯出和匯入組態

請參閱匯出和匯入布建組態一文

管理個人資料

Active Directory 的 Workday 布建解決方案需要將布建代理程式安裝在內部部署 Windows 伺服器上,而此代理程式會在 Windows 事件記錄檔中建立記錄,視您的 Workday 到 AD 屬性對應而定,這些記錄檔可能包含個人資料。 若要遵守使用者隱私權義務,您可以藉由設定 Windows 排程工作來清除事件記錄檔,確保事件記錄檔中不會保留任何數據超過 48 小時。

Microsoft Entra 布建服務屬於 GDPR 分類的數據處理器 類別。 作為數據處理者管線,服務會將數據處理服務提供給主要合作夥伴和終端取用者。 Microsoft Entra 布建服務不會產生用戶數據,而且無法獨立控制收集哪些個人資料及其使用方式。 Microsoft Entra 布建服務中的數據擷取、匯總、分析和報告是以現有的企業數據為基礎。

注意

如需檢視或刪除個人資料的相關信息,請檢閱 Microsoft 關於 GDPR 網站的 Windows 數據主體要求指引。 如需 GDPR 的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段服務信任入口網站的 GDPR 區段

至於數據保留,Microsoft Entra 布建服務不會產生報告、執行分析或提供超過 30 天的深入解析。 因此,Microsoft Entra 布建服務不會儲存、處理或保留超過 30 天的任何數據。 此設計符合 GDPR 法規、Microsoft 隱私權合規性法規和 Microsoft Entra 數據保留原則。

下一步