Come sincronizzare gli attributi per i flussi di lavoro del ciclo di vita

  • Articolo

I flussi di lavoro contengono attività specifiche che possono essere eseguite automaticamente sugli utenti in base alle condizioni di esecuzione specificate. La pianificazione automatica del flusso di lavoro è supportata in base agli attributi utente employeeHireDate e employeeLeaveDateTime in Microsoft Entra ID.

Per sfruttare appieno i flussi di lavoro del ciclo di vita, il provisioning degli utenti deve essere automatizzato e gli attributi pertinenti per la pianificazione devono essere sincronizzati.

Pianificazione degli attributi pertinenti

La tabella seguente illustra gli attributi pertinenti di pianificazione (trigger) e i metodi di sincronizzazione supportati.

Attributo Type Supportato nel provisioning in ingresso HR Supportato nella sincronizzazione cloud di Microsoft Entra Connect Supportato in Microsoft Entra Connect Sync
employeeHireDate DateTimeOffset
employeeLeaveDateTime DateTimeOffset

Nota

L'impostazione manuale di employeeLeaveDateTime per gli utenti solo cloud richiede autorizzazioni speciali. Per altre informazioni vedere Configurare la proprietà employeeLeaveDateTime per un utente

Questo documento illustra come configurare la sincronizzazione dalla sincronizzazione cloud Microsoft Entra Connect locale o da Microsoft Entra Connect per gli attributi necessari.

Nota

Non esiste alcun attributo EmployeeHireDate o EmployeeLeaveDateTime corrispondente in Active Directory. Se si esegue la sincronizzazione da Active Directory (AD) locale, è necessario identificare un attributo in Active Directory che può essere usato. Questo attributo deve essere una stringa.

Informazioni sulla formattazione di EmployeeHireDate ed EmployeeLeaveDateTime

EmployeeHireDate ed EmployeeLeaveDateTime contengono date e ore che devono essere formattate in modo specifico. Ciò significa che potrebbe essere necessario usare un'espressione per convertire il valore dell'attributo di origine in un formato accettato da EmployeeHireDate o EmployeeLeaveDateTime. Nella tabella seguente viene descritto il formato previsto e viene fornita un'espressione di esempio su come convertire i valori.

Scenario Espressione/Formato Destinazione Ulteriori informazioni
Provisioning utenti da Workday ad Active Directory FormatDateTime([StatusHireDate], ,"yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ") Attributo stringa di Active Directory locale Mapping degli attributi per Workday
Provisioning utenti da SuccessFactors ad Active Directory FormatDateTime([endDate], ,"M/d/yyyy hh:mm:ss tt","yyyyMMddHHmmss.fZ") Attributo stringa di Active Directory locale Mapping degli attributi per SAP Success Factors
Importazione personalizzata in Active Directory Il formato deve essere "yyyyMMddHHmmss.fZ" Attributo stringa di Active Directory locale Mapping degli attributi per qualsiasi altro sistema di record
API utente di Microsoft Graph Il formato deve essere "YYYY-MM-DDThh:mm:ssZ" EmployeeHireDate ed EmployeeLeaveDateTime
Provisioning utenti da Workday a Microsoft Entra Può usare un mapping diretto. Non è necessaria alcuna espressione, ma può essere usata per regolare la parte temporale di EmployeeHireDate ed EmployeeLeaveDateTime EmployeeHireDate ed EmployeeLeaveDateTime
Provisioning utenti da SuccessFactors a Microsoft Entra Può usare un mapping diretto. Non è necessaria alcuna espressione, ma può essere usata per regolare la parte temporale di EmployeeHireDate ed EmployeeLeaveDateTime EmployeeHireDate ed EmployeeLeaveDateTime

Per altre informazioni sulle espressioni, vedere Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.

Gli esempi di espressione nella tabella usano endDate per SAP e StatusHireDate per Workday. Tuttavia, è possibile scegliere di usare attributi diversi.

Ad esempio è possibile usare StatusContinuousFirstDayOfWork anziché StatusHireDate per Workday. In questa istanza l'espressione sarà:

FormatDateTime([StatusContinuousFirstDayOfWork], , "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ")

Nella tabella seguente è riportato un elenco di attributi suggeriti e i relativi consigli sullo scenario relativo.

Attributo HR Sistema HR Scenario Attributo di Microsoft Entra
StatusHireDate Workday Nuovo dipendente EmployeeHireDate
StatusContinuousFirstDayOfWork Workday Nuovo dipendente EmployeeHireDate
StatusDateEnteredWorkforce Workday Nuovo dipendente EmployeeHireDate
StatusOriginalHireDate Workday Nuovo dipendente EmployeeHireDate
StatusEndEmploymentDate Workday Dipendente che abbandona l'azienda EmployeeLeaveDateTime
StatusResignationDate Workday Dipendente che abbandona l'azienda EmployeeLeaveDateTime
StatusRetirementDate Workday Dipendente che abbandona l'azienda EmployeeLeaveDateTime
StatusTerminationDate Workday Dipendente che abbandona l'azienda EmployeeLeaveDateTime
startDate SAP SF Nuovo dipendente EmployeeHireDate
firstDateWorked SAP SF Nuovo dipendente EmployeeHireDate
lastDateWorked SAP SF Dipendente che abbandona l'azienda EmployeeLeaveDateTime
endDate SAP SF Dipendente che abbandona l'azienda EmployeeLeaveDateTime

Per altri attributi, vedere le Informazioni di riferimento sugli attributi di Workday e le Informazioni di riferimento sugli attributi di SuccessFactors SAP.

Importanza del tempo

Per garantire l'accuratezza della tempistica dei flussi di lavoro pianificati, è fondamentale prendere in considerazione:

  • La parte relativa all'ora dell'attributo deve essere impostata di conseguenza, ad esempio employeeHireDate deve presentare un'ora all'inizio del giorno ad esempio employeeLeaveDateTime 1AM o 5AM e deve presentare un'ora alla fine del giorno, ad esempio 9PM o 11PM
  • I flussi di lavoro non verranno eseguiti prima dell'ora specificata nell'attributo, ma la pianificazione del tenant (per impostazione predefinita 3h) può ritardare l'esecuzione del flusso di lavoro. Ad esempio, se si imposta employeeHireDate su 8AM ma la pianificazione del tenant non viene eseguita fino alle 9AM, il flusso di lavoro non verrà elaborato fino ad allora. Se un nuovo dipendente inizia alle 8:00, è consigliabile impostare l'ora su un valore simile (ora di inizio - pianificazione del tenant) per assicurarsi che venga eseguito prima dell'arrivo del dipendente.
  • È consigliabile impostare la durata massima su 24 ore se si usa il pass di accesso temporaneo (TAP). In questo modo si garantisce che il pass di accesso temporaneo non sia scaduto dopo l'invio a un dipendente che potrebbe trovarsi in un fuso orario diverso. Per altre informazioni, vedere Configurare il Pass di accesso temporaneo in Microsoft Entra ID per registrare i metodi di autenticazione senza password.
  • Quando si importano i dati, è necessario comprendere se e come l'origine fornisce informazioni sul fuso orario per gli utenti per apportare potenzialmente modifiche per garantire l'accuratezza della tempistica.

Creare una regola di sincronizzazione personalizzata nella sincronizzazione cloud di Microsoft Entra Connect per EmployeeHireDate

La procedura seguente illustra la creazione di una regola di sincronizzazione tramite la sincronizzazione cloud.

  1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a >Gestione ibrida>Microsoft Entra Connect.
  2. Selezionare Gestisci sincronizzazione cloud di Microsoft Entra Connect.
  3. In Configurazione selezionare la configurazione.
  4. Selezionare Fare clic per modificare i mapping. Questo collegamento apre la schermata Mapping attributi.
  5. Selezionare Aggiungi attributo.
  6. Specificare le informazioni seguenti:
    • Tipo di mapping: Diretto
    • Attributo di origine: msDS-cloudExtensionAttribute1
    • Valore predefinito: lasciare vuoto
    • Attributo di destinazione: employeeHireDate
    • Applica questo mapping: SempreScreenshot del mapping degli attributi cloud.
  7. Selezionare Applica.
  8. Nella schermata Mapping attributi dovrebbe essere visualizzato il nuovo mapping degli attributi.
  9. Selezionare Salva schema.

Per altre informazioni sugli attributi, vedere Mapping degli attributi nella sincronizzazione cloud di Microsoft Entra Connect.

Come creare una regola di sincronizzazione personalizzata in Microsoft Entra Connect per EmployeeHireDate

L'esempio seguente illustra come configurare una regola di sincronizzazione personalizzata che sincronizza l'attributo di Active Directory con l'attributo employeeHireDate in Microsoft Entra ID.

  1. Aprire una finestra di PowerShell come amministratore ed eseguire Set-ADSyncScheduler -SyncCycleEnabled $false per disabilitare l'utilità di pianificazione.
  2. Passare a Start\Microsoft Entra Connect\ e aprire l'Editor regole di sincronizzazione
  3. Verificare che la direzione in alto sia impostata su In ingresso.
  4. Seleziona Aggiungi regola.
  5. Nella schermata Crea regola di sincronizzazione in ingresso immettere le informazioni seguenti e selezionare Avanti.
    • Nome: In ingresso da AD - EmployeeHireDate
    • Sistema connesso: contoso.com
    • Tipo di oggetto sistema connesso: utente
    • Tipo di oggetto metaverse: persona
    • Precedenza: 20 Screenshot delle nozioni di base sulla creazione di una regola di sincronizzazione in ingresso.
  6. Nella schermata Filtro ambito selezionare Avanti.
  7. Nella schermata Regole di unione selezionare Avanti.
  8. Nella schermata Trasformazioni immettere le informazioni seguenti in Aggiungi trasformazioni.
    • Tipo di flusso: Diretto
    • Attributo di destinazione: employeeHireDate
    • Origine: msDS-cloudExtensionAttribute1 Screenshot della creazione di trasformazioni delle regole di sincronizzazione in ingresso.
  9. Selezionare Aggiungi.
  10. Nell'Editor regole di sincronizzazione verificare che la direzione nella parte superiore sia impostata su In uscita.
  11. Seleziona Aggiungi regola.
  12. Nella schermata Crea regola di sincronizzazione in uscita immettere le informazioni seguenti e selezionare Avanti.
    • Nome: In uscita verso Microsoft Entra ID - EmployeeHireDate
    • Sistema connesso: <tenant>
    • Tipo di oggetto sistema connesso: utente
    • Tipo di oggetto metaverse: persona
    • Precedenza: 21
  13. Nella schermata Filtro ambito selezionare Avanti.
  14. Nella schermata Regole di unione selezionare Avanti.
  15. Nella schermata Trasformazioni immettere le informazioni seguenti in Aggiungi trasformazioni.
    • Tipo di flusso: Diretto
    • Attributo di destinazione: employeeHireDate
    • Origine: employeeHireDate Screenshot della pagina relativa alle trasformazioni per la creazione regola di sincronizzazione in uscita.
  16. Selezionare Aggiungi.
  17. Chiudere l'editor delle regole di sincronizzazione
  18. Abilitare di nuovo l'utilità di pianificazione eseguendo Set-ADSyncScheduler -SyncCycleEnabled $true.

Nota

  • msDS-cloudExtensionAttribute1 è un'origine di esempio.
  • A partire da Microsoft Entra Connect 2.0.3.0, employeeHireDate viene aggiunto alla regola predefinita "In uscita verso Microsoft Entra ID", quindi i passaggi da 10 a 16 non sono obbligatori.
  • A partire da Microsoft Entra Connect 2.1.19.0, employeeLeaveDateTime viene aggiunto alla regola predefinita "In uscita verso Microsoft Entra ID", quindi i passaggi da 10 a 16 non sono obbligatori.

Per altre informazioni, vedere Come personalizzare una regola di sincronizzazione e Apportare una modifica alla configurazione predefinita.

Modificare il mapping degli attributi nell'applicazione di provisioning

Dopo aver configurato l'applicazione di provisioning, è possibile modificarne il mapping. Quando l'app viene creata, viene visualizzato un elenco dei mapping predefiniti tra HRM e Active Directory. Da qui è possibile modificare il mapping esistente o aggiungere un nuovo mapping.

Per aggiornare questo mapping, seguire questa procedura:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali.

  3. Aprire l'applicazione di cui è stato effettuato il provisioning.

  4. Selezionare Provisioning e quindi selezionare Modifica mapping attributi.

  5. Selezionare Mostra opzioni avanzate, quindi selezionare Modifica elenco attributi per Active Directory locale. Screenshot della modifica dell'attributo locale.

  6. Aggiungere l'attributo o gli attributi di origine creati come Type String e selezionare il controllo CheckBox obbligatorio. Screenshot dell'elenco di API di origine.

    Nota

    Il numero e il nome degli attributi di origine aggiunti dipenderanno dagli attributi sincronizzati da Active Directory.

  7. Seleziona Salva.

  8. Da qui è necessario eseguire il mapping degli attributi HRM agli attributi di Active Directory aggiunti. A tale scopo aggiungere un nuovo mapping usando un'espressione.

  9. L'espressione deve corrispondere alla formattazione trovata nella sezioneInformazioni su EmployeeHireDate ed EmployeeLeaveDateTime. Screenshot dell'impostazione del formato dell'attributo.

  10. Selezionare OK.

Come verificare questi valori di attributo in Microsoft Entra ID

Per esaminare i valori impostati su queste proprietà sugli oggetti utente in Microsoft Entra ID, è possibile usare Microsoft Graph PowerShell SDK. Ad esempio:

# Import Module
Import-Module Microsoft.Graph.Users

# Define the necessary scopes
$Scopes =@("User.Read.All", "User-LifeCycleInfo.Read.All")

# Connect using the scopes defined and select the Beta API Version
Connect-MgGraph -Scopes $Scopes


# Query a user, using its user ID, and return the desired properties
$user = Get-MgUser -UserID "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" -Property EmployeeLeaveDateTime
$User.EmployeeLeaveDateTime

Screenshot del risultato.

Passaggi successivi