Integrazione del provisioning di Microsoft Entra con Workday
Il servizio di provisioning utenti di Microsoft Entra si integra con Workday HCM per gestire il ciclo di vita delle identità degli utenti. Microsoft Entra ID offre tre integrazioni predefinite:
- Provisioning utenti da Workday a Active Directory locale
- Workday al provisioning utenti di Microsoft Entra
- Writeback di Workday
Questo articolo illustra il funzionamento dell'integrazione e come personalizzare il comportamento di provisioning per diversi scenari di gestione delle risorse umane.
Stabilire la connettività
Limitazione dell'accesso dell'API Workday agli endpoint di Microsoft Entra
Il servizio di provisioning Microsoft Entra usa l'autenticazione di base per connettersi agli endpoint dell'API dei servizi Web Workday.
Per proteggere ulteriormente la connettività tra il servizio di provisioning Microsoft Entra e Workday, è possibile limitare l'accesso in modo che l'utente del sistema di integrazione designato acceda solo alle API Workday dagli intervalli IP di Microsoft Entra consentiti. Contattare l'amministratore di Workday per completare la configurazione seguente nel tenant di Workday.
- Scaricare gli intervalli IP più recenti per il cloud pubblico di Azure.
- Aprire il file e cercare il tag
AzureActiveDirectory. - Copiare tutti gli intervalli di indirizzi IP elencati nell'elemento addressPrefixes e usare l'intervallo per compilare l'elenco di indirizzi IP.
- Accedere al portale di amministrazione di Workday.
- Accedere all'attività Gestisci intervalli IP per creare un nuovo intervallo IP per i data center di Azure. Specificare gli intervalli IP (usando la notazione CIDR) come elenco delimitato da virgole.
- Accedere all'attività Gestisci criteri di autenticazione per creare un nuovo criterio di autenticazione. Nel criterio di autenticazione, utilizzare l'elenco dei permessi di autenticazione per specificare l'intervallo IP di Microsoft Entra e il gruppo di sicurezza a cui è consentito l'accesso da questo intervallo IP. Salvare le modifiche.
- Accedere all'attività Attiva tutte le modifiche dei criteri di autenticazione in sospeso per confermare le modifiche.
Limitazione dell'accesso ai dati del ruolo di lavoro in Workday tramite gruppi di sicurezza vincolati
La procedura predefinita per configurare l'utente del sistema di integrazione Workday concede l'accesso per recuperare tutti gli utenti nel tenant di Workday. In alcuni scenari di integrazione può essere necessario limitare l'accesso. Ad esempio, restituisce solo gli utenti di determinate organizzazioni di supervisione dalla chiamata API Get_Workers.
È possibile limitare l'accesso usando l'amministratore di Workday e configurando gruppi di sicurezza del sistema di integrazione vincolati. Per altre informazioni, vedere la sezione sicurezza contestuale Get_Workers in questo documento Workday Concept: Linee guida per i Web service SOAP di Get Workers (Accesso alla community workday richiesto per questo articolo).
Questa strategia di limitazione dell'accesso tramite ISSG vincolato (gruppi di sicurezza del sistema di integrazione) è utile negli scenari seguenti:
- Scenario di implementazione in più fasi: si dispone di un tenant di Workday di grandi dimensioni e si prevede di eseguire un'implementazione graduale di Workday in Microsoft Entra ID automatizzato del provisioning. In questo scenario, anziché escludere gli utenti che non rientrano nell'ambito della fase corrente con i filtri di ambito Microsoft Entra ID, è consigliabile configurare ISSG vincolato in modo che solo i ruoli di lavoro nell'ambito siano visibili a Microsoft Entra ID.
- Scenario di più processi di provisioning: si dispone di un tenant di Workday di grandi dimensioni e di più domini di Active Directory che supportano una business unit/divisione/azienda diversa. Per supportare questa topologia, si vuole eseguire più processi di provisioning di Workday in Microsoft Entra con ogni processo di provisioning di un set specifico di ruoli di lavoro. In questo scenario, invece di usare filtri di ambito di Microsoft Entra ID per escludere i dati del ruolo di lavoro, è consigliabile configurare ISSG vincolato in modo che solo i dati di lavoro pertinenti siano visibili a Microsoft Entra ID.
Query di connessione di test di Workday
Per testare la connettività a Workday, Microsoft Entra ID invia la richiesta di servizi Web Workday Get_Workers seguente.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Funzionamento della sincronizzazione completa
La sincronizzazione completa nel contesto del provisioning basato su Workday si riferisce al processo di recupero di tutte le identità da Workday e alla determinazione delle regole di provisioning da applicare a ogni oggetto di lavoro. La sincronizzazione completa si verifica quando si attiva il provisioning per la prima volta e anche quando si riavvia il provisioning dall'interfaccia di amministrazione di Microsoft Entra o si usano le API Graph.
Microsoft Entra ID invia la seguente richiesta di servizi Web Workday Get_Workers per recuperare i dati del ruolo di lavoro. La query cerca il log delle transazioni di Workday per tutte le voci di lavoro datate valide a partire dall'ora corrispondente all'esecuzione della sincronizzazione completa.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Il nodo Response_Group viene usato per specificare gli attributi di lavoro da recuperare da Workday. Per una descrizione di ogni flag nel nodo Response_Group, vedere la documentazione dell'API Workday Get_Workers.
Alcuni valori di flag specificati nel nodo Response_Group vengono calcolati in base agli attributi configurati nell'applicazione di provisioning Microsoft Entra di Workday. Fare riferimento alla sezione Entità supportate per i criteri usati per impostare i valori del flag.
La risposta Get_Workers di Workday per la query precedente include il numero di record di lavoro e il numero di pagine.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Per recuperare la pagina successiva del set di risultati, la query Get_Workers successiva specifica il numero di pagina come parametro nel Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
Il servizio di provisioning di Microsoft Entra elabora ogni pagina e scorre tutti i ruoli di lavoro efficaci durante la sincronizzazione completa. Per ogni voce di lavoro importata da Workday:
- L'espressione XPATH viene applicata per recuperare i valori degli attributi da Workday.
- Vengono applicati il mapping degli attributi e le regole di corrispondenza
- Il servizio determina l'operazione da eseguire nella destinazione (Microsoft Entra ID/Active Directory).
Al termine dell'elaborazione, salva il timestamp associato all'inizio della sincronizzazione completa come filigrana. Questa filigrana funge da punto di partenza per il ciclo di sincronizzazione incrementale.
Funzionamento della sincronizzazione incrementale
Dopo la sincronizzazione completa, il servizio di provisioning di Microsoft Entra gestisce LastExecutionTimestamp e lo usa per creare query differenziali per recuperare le modifiche incrementali. Durante la sincronizzazione incrementale, Microsoft Entra ID invia i tipi di query seguenti a Workday:
- Eseguire una query per gli aggiornamenti manuali
- Eseguire una query per aggiornamenti e terminazioni datati efficaci
- Query per assunzioni datate future
Eseguire una query per gli aggiornamenti manuali
I seguenti Get_Workers richiedono query per gli aggiornamenti manuali che si sono verificati tra l'ultima esecuzione e il tempo di esecuzione corrente.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Eseguire una query per aggiornamenti e terminazioni datati efficaci
I seguenti Get_Workers richiedono query per gli aggiornamenti datati effettivi che si sono verificati tra l'ultima esecuzione e il tempo di esecuzione corrente.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Query per assunzioni datate future
Se una delle query precedenti restituisce un'assunzione datata futura, la richiesta di Get_Workers seguente viene usata per recuperare informazioni su un nuovo assunto datato futuro. L'attributo WID del nuovo assunto viene usato per eseguire la ricerca, e la data di validità viene impostata sulla data e l'ora di assunzione.
Nota
I assunti con data futura in Workday hanno il campo Attivo impostato su "0" e cambia in "1" nella data di assunzione. Il connettore progetta query per informazioni future-hire valide per la data di assunzione e questo è il motivo per cui ottiene sempre il profilo di lavoro assunto futuro con campo Attivo impostato su "1". In questo modo è possibile configurare il profilo Microsoft Entra per le assunzioni future in anticipo con tutte le informazioni corrette prepopolate. Se si vuole ritardare l'abilitazione dell'account Microsoft Entra per assunzioni future, usare la funzione di trasformazione DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Recupero degli attributi dei dati del ruolo di lavoro
L'API Get_Workers può restituire set di dati diversi associati a un ruolo di lavoro. A seconda delle espressioni dell'API XPATH configurate nello schema di provisioning, il servizio di provisioning Microsoft Entra determina quali set di dati recuperare da Workday. Di conseguenza, i flag di Response_Group vengono impostati nella richiesta di Get_Workers.
La tabella fornisce indicazioni sulla configurazione del mapping da usare per recuperare un set di dati specifico.
| # | Entità Workday | Inclusa per impostazione predefinita | Modello XPATH da specificare nel mapping per recuperare entità non predefinite |
|---|---|---|---|
| 1 | Personal Data |
Sì | wd:Worker_Data/wd:Personal_Data |
| 2 | Employment Data |
Sì | wd:Worker_Data/wd:Employment_Data |
| 3 | Additional Job Data |
Sì | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
| 4 | Organization Data |
Sì | wd:Worker_Data/wd:Organization_Data |
| 5 | Management Chain Data |
Sì | wd:Worker_Data/wd:Management_Chain_Data |
| 6 | Supervisory Organization |
Sì | SUPERVISORY |
| 7 | Company |
Sì | COMPANY |
| 8 | Business Unit |
No | BUSINESS_UNIT |
| 9 | Business Unit Hierarchy |
No | BUSINESS_UNIT_HIERARCHY |
| 10 | Company Hierarchy |
No | COMPANY_HIERARCHY |
| 11 | Cost Center |
No | COST_CENTER |
| 12 | Cost Center Hierarchy |
No | COST_CENTER_HIERARCHY |
| 13 | Fund |
No | FUND |
| 14 | Fund Hierarchy |
No | FUND_HIERARCHY |
| 15 | Gift |
No | GIFT |
| 16 | Gift Hierarchy |
No | GIFT_HIERARCHY |
| 17 | Grant |
No | GRANT |
| 18 | Grant Hierarchy |
No | GRANT_HIERARCHY |
| 19 | Business Site Hierarchy |
No | BUSINESS_SITE_HIERARCHY |
| 20 | Matrix Organization |
No | MATRIX |
| 21 | Pay Group |
No | PAY_GROUP |
| 22 | Programs |
No | PROGRAMS |
| 23 | Program Hierarchy |
No | PROGRAM_HIERARCHY |
| 24 | Region |
No | REGION_HIERARCHY |
| 25 | Location Hierarchy |
No | LOCATION_HIERARCHY |
| 26 | Account Provisioning Data |
No | wd:Worker_Data/wd:Account_Provisioning_Data |
| 27 | Background Check Data |
No | wd:Worker_Data/wd:Background_Check_Data |
| 28 | Benefit Eligibility Data |
No | wd:Worker_Data/wd:Benefit_Eligibility_Data |
| 29 | Benefit Enrollment Data |
No | wd:Worker_Data/wd:Benefit_Enrollment_Data |
| 30 | Career Data |
No | wd:Worker_Data/wd:Career_Data |
| 31 | Compensation Data |
No | wd:Worker_Data/wd:Compensation_Data |
| 32 | Contingent Worker Tax Authority Data |
No | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
| 33 | Development Item Data |
No | wd:Worker_Data/wd:Development_Item_Data |
| 34 | Employee Contracts Data |
No | wd:Worker_Data/wd:Employee_Contracts_Data |
| 35 | Employee Review Data |
No | wd:Worker_Data/wd:Employee_Review_Data |
| 36 | Feedback Received Data |
No | wd:Worker_Data/wd:Feedback_Received_Data |
| 37 | Worker Goal Data |
No | wd:Worker_Data/wd:Worker_Goal_Data |
| 38 | Photo Data |
No | wd:Worker_Data/wd:Photo_Data |
| 39 | Qualification Data |
No | wd:Worker_Data/wd:Qualification_Data |
| 40 | Related Persons Data |
No | wd:Worker_Data/wd:Related_Persons_Data |
| 41 | Role Data |
No | wd:Worker_Data/wd:Role_Data |
| 42 | Skill Data |
No | wd:Worker_Data/wd:Skill_Data |
| 43 | Succession Profile Data |
No | wd:Worker_Data/wd:Succession_Profile_Data |
| 44 | Talent Assessment Data |
No | wd:Worker_Data/wd:Talent_Assessment_Data |
| 45 | User Account Data |
No | wd:Worker_Data/wd:User_Account_Data |
| 46 | Worker Document Data |
No | wd:Worker_Data/wd:Worker_Document_Data |
Nota
Ogni entità Workday elencata nella tabella è protetta da criteri di sicurezza del dominio in Workday. Se non è possibile recuperare qualsiasi attributo associato all'entità dopo l'impostazione di XPATH corretto, rivolgersi all'amministratore di Workday per assicurarsi che siano configurati i criteri di sicurezza del dominio appropriati per l'utente del sistema di integrazione associato all'app di provisioning. Ad esempio, per recuperare i dati delle competenze, è necessario ottenere l'accesso nel dominio del Workday dei Dati Workday: competenze ed esperienza.
Ecco alcuni esempi su come estendere l'integrazione di Workday per soddisfare requisiti specifici.
Esempio 1: Recupero delle informazioni sul centro di costo e sul gruppo di pagamento
Si supponga di voler recuperare i set di dati seguenti da Workday e usarli nelle regole di provisioning:
- Centro di costo
- Gerarchia del centro di costo
- Gruppo di pagamento
I set di dati precedenti non sono inclusi per impostazione predefinita. Per recuperare questi set di dati:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore di applicazioni.
Passare a Identità>Applicazioni>Applicazioni aziendali.
Selezionare l'applicazione di provisioning utenti Workday in Active Directory/Microsoft Entra.
Selezionare Provisioning.
Modificare i mapping e aprire l'elenco di attributi Workday dalla sezione avanzata.
Aggiungere le definizioni di attributi seguenti e contrassegnarle come "Obbligatorio". Questi attributi non vengono mappati ad alcun attributo in Active Directory o in Microsoft Entra ID. Vengono usati come segnali al connettore per recuperare le informazioni sul centro di costo, sulla gerarchia del centro di costo e sul gruppo di pagamento.
Nome attributo Espressione API XPATH CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Quando il set di dati Centro di costo e gruppo di pagamento è disponibile nella risposta Get_Workers, è possibile usare i valori XPATH per recuperare il nome del centro di costo, il codice del centro di costo e il gruppo di pagamento.
Nome attributo Espressione API XPATH CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Esempio 2: Recupero di dati di qualificazione e competenze
Si supponga di voler recuperare le certificazioni associate a un utente. Queste informazioni sono disponibili come parte del set di dati di qualificazione. Per ottenere questo set di dati come parte della risposta Get_Workers, usare il codice XPATH seguente:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Esempio 3: Recupero delle assegnazioni dei gruppi di provisioning
Si supponga di voler recuperare i gruppi di provisioning assegnati a un ruolo di lavoro. Queste informazioni sono disponibili come parte del set di dati di provisioning account. Per ottenere questi dati, come parte della risposta Get_Workers , usare il codice XPATH seguente:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Gestione di diversi scenari di risorse umane
Questa sezione illustra come personalizzare l'app di provisioning per gli scenari di gestione di risorse umane seguenti:
- Supporto per le conversioni dei ruoli di lavoro
- Recupero delle assegnazioni di lavoro internazionali e dei dettagli dei processi secondari
Supporto per le conversioni dei ruoli di lavoro
In questa sezione viene descritto il supporto del servizio di provisioning di Microsoft Entra per gli scenari in cui un lavoratore esegue la conversione da un dipendente a tempo pieno (FTE) a un lavoratore contingente (CW) o viceversa. A seconda del modo in cui vengono elaborate le conversioni di lavoro in Workday, potrebbero essere presenti aspetti di implementazione diversi da considerare.
- Scenario 1: conversione retroattiva da FTE a CW o viceversa
- Scenario 2: attualmente i lavoratori impiegati come CW/FTE, cambiano in FTE/CW oggi
- Scenario 3: il lavoratore impiegato come CW/FTE viene terminato, si rielabora come FTE/CW dopo un gap significativo
- Scenario 4: Conversione con data futura, quando il ruolo di lavoro è un CW/FTE attivo
Scenario 1: conversione retroattiva da FTE a CW o viceversa
Il team delle risorse umane può retrodatare una transazione di conversione del ruolo di lavoro in Workday per motivi aziendali validi. Gli esempi includono l'elaborazione delle retribuzioni, la conformità del budget, i requisiti legali e la gestione dei vantaggi. Ecco un esempio per illustrare come viene gestito il provisioning per lo scenario.
- È il 15 gennaio 2023 e Jane Doe è impiegato come lavoratore contingente. Le risorse umane offrono a Jane una posizione a tempo pieno.
- I termini della modifica del contratto di Jane richiedono la retrodatazione della transazione in modo da allinearla all'inizio del mese corrente. HR avvia una transazione di conversione del ruolo di lavoro retrodatata Workday il 15 gennaio 2023 con data di validità il 1° gennaio 2023. Ora sono disponibili due profili di lavoro in Workday per Jane. Il profilo CW è inattivo, mentre il profilo FTE è attivo.
- Il servizio di provisioning Microsoft Entra rileva questa modifica nel log delle transazioni di Workday il 15 gennaio 2023. Il servizio effettua automaticamente il provisioning degli attributi del nuovo profilo FTE nel ciclo di sincronizzazione successivo.
- Non sono necessarie modifiche nella configurazione dell'app di provisioning per gestire questo scenario.
Scenario 2: attualmente i lavoratori impiegati come CW/FTE, cambiano in FTE/CW oggi
Questo scenario è simile allo scenario precedente, ad eccezione del fatto che invece di eseguire il backup della transazione, HR esegue immediatamente una conversione del ruolo di lavoro effettiva. Il servizio di provisioning Microsoft Entra rileva questa modifica nel log delle transazioni di Workday. Nel ciclo di sincronizzazione successivo, il servizio effettua automaticamente il provisioning di tutti gli attributi associati a un profilo FTE attivo. Non sono necessarie modifiche nella configurazione dell'app di provisioning per gestire questo scenario.
Scenario 3: il lavoratore impiegato come CW/FTE viene terminato, si rielabora come FTE/CW dopo un gap significativo
È comune che i lavoratori inizino a lavorare in un'azienda come lavoratorI contingenti, lascino l'azienda e poi vi rientrino dopo diversi mesi come dipendenti a tempo pieno. Ecco un esempio per illustrare come viene gestito il provisioning per questo scenario.
- È il 1° gennaio 2023 e John Smith inizia a lavorare come lavoratore contingente. Poiché non esiste alcun account AD associato all'attributo WorkerID di John (attributo corrispondente), il servizio di provisioning crea un nuovo account AD e collega il ruolo di lavoro contingente di John WID (WorkdayID) all'account AD di John.
- Il contratto di John termina il 31 gennaio 2023. Nel ciclo di provisioning eseguito dopo la fine del 31 gennaio, l'account AD di John è disabilitato.
- John si applica per un'altra posizione e decide di rientrare nell'azienda come dipendente a tempo pieno a partire dal 1° maggio 2023. Il 15 aprile 2023 HR immette le informazioni di John come dipendente pre-assunto. Ora sono disponibili due profili di lavoro in Workday per John. Il profilo CW è inattivo, mentre il profilo FTE è attivo. I due record hanno lo stesso WorkerID, ma WID diversi.
- Il 15 aprile, durante il ciclo incrementale, il servizio di provisioning Microsoft Entra trasferisce automaticamente la proprietà dell'account AD al profilo di lavoro attivo. In questo caso, scollega il profilo di lavoro contingente dall'account AD e stabilisce un nuovo collegamento tra il profilo di lavoro dipendente attivo di John e l'account AD di John.
- Non sono necessarie modifiche nella configurazione dell'app di provisioning per gestire questo scenario.
Scenario 4: Conversione con data futura, quando il ruolo di lavoro è un CW/FTE attivo
In alcuni casi, un lavoratore potrebbe già essere un lavoratore attivo, quando HR avvia una transazione di conversione del ruolo di lavoro con data futura. Ecco un esempio per illustrare come viene gestito il provisioning per questo scenario e quali modifiche di configurazione sono necessarie per supportare questo scenario.
È il 1° gennaio 2023 e John Smith inizia a lavorare come lavoratore contingente. Poiché non esiste alcun account AD associato all'attributo WorkerID di John (attributo corrispondente), il servizio di provisioning crea un nuovo account AD e collega il ruolo di lavoro contingente di John WID (WorkdayID) all'account AD di John.
Il 15 gennaio, HR avvia una transazione per convertire John da lavoratore dipendente a tempo pieno a partire dal 1° febbraio 2023.
Poiché il servizio di provisioning di Microsoft Entra elabora automaticamente assunzioni con data futura, elabora il nuovo profilo di lavoro dipendente a tempo pieno di John il 15 gennaio e aggiorna il profilo di John in AD con i dettagli sull'impiego a tempo pieno anche se è ancora un lavoratore contingente.
Per evitare questo comportamento e assicurarsi che il provisioning dei dettagli FTE di John venga effettuato il 1° febbraio 2023, eseguire le modifiche di configurazione seguenti.
Modifiche alla configurazione
- Contattare l'amministratore di Workday per creare un gruppo di provisioning denominato "Conversioni con data futura".
- Implementare la logica in Workday per aggiungere record di lavoro dipendente/contingente con conversioni con data futura a questo gruppo di provisioning.
- Aggiornare l'app di provisioning Microsoft Entra per leggere questo gruppo di provisioning. Fare riferimento alle istruzioni riportate qui su come recuperare il gruppo di provisioning
- Creare un filtro di ambito in Microsoft Entra ID per escludere i profili di lavoro che fanno parte di questo gruppo di provisioning.
- In Workday implementare la logica in modo che, quando la data di conversione sia effettiva, Workday rimuova il record di lavoro dipendente/contingente pertinente dal gruppo di provisioning in Workday.
- Con questa configurazione, il record del lavoratore dipendente/contingente esistente continua a essere efficace e le modifiche di provisioning vengono apportate solo al giorno della conversione.
Nota
Durante la sincronizzazione completa iniziale, è possibile notare un comportamento in cui i valori degli attributi associati al precedente profilo di lavoro inattivo fluiscano nell'account AD dei ruoli di lavoro convertiti. Questa operazione è temporanea e, man mano che la sincronizzazione completa avanza, viene infine sovrascritta dai valori di attributo del profilo di lavoro attivo. Una volta completata la sincronizzazione completa e il processo di provisioning raggiunge lo stato stabile, seleziona sempre il profilo di lavoro attivo durante la sincronizzazione incrementale.
Recupero delle assegnazioni di lavoro internazionali e dei dettagli dei processi secondari
Per impostazione predefinita, il connettore Workday recupera gli attributi associati al processo primario del ruolo di lavoro. Il connettore supporta anche il recupero di Additional Job Data associati alle assegnazioni di processi internazionali o ai processi secondari.
Usare la procedura per recuperare gli attributi associati alle assegnazioni di processi internazionali:
- Impostare l'URL di connessione Workday usa l'API del servizio Web Workday versione 30.0 o successiva. Impostare di conseguenza i valori XPATH corretti nell'app di provisioning Workday.
- Usare il selettore
@wd:Primary_Job=0nel nodoWorker_Job_Dataper recuperare l'attributo corretto.- Esempio 1: Per ottenere
SecondaryBusinessTitle, usare XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text() - Esempio 2: Per ottenere
SecondaryBusinessLocation, usare XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Esempio 1: Per ottenere
Limitazioni note
Questa sezione elenca le limitazioni note correnti che i clienti possono riscontrare nell'integrazione di Workday.
- Il connettore non supporta il recupero dei campi calcolati di Workday.
- Il connettore non supporta la sincronizzazione delle foto da Workday.
- Il connettore non supporta il recupero avanzato dei ruoli di lavoro che devono effettuare l'ultimo giorno di lavoro.
- Durante la sincronizzazione incrementale, potrebbe verificarsi un ritardo nell'elaborazione dell'evento di terminazione per i ruoli di lavoro che si trovano nelle aree Asia Pacifico e Australia/Nuova Zelanda.