Esercitazione: Configurare il provisioning utenti di Workday in Microsoft Entra

Questa esercitazione descrive i passaggi da eseguire per effettuare il provisioning dei dati del ruolo di lavoro da Workday in Microsoft Entra ID.

Nota

Usare questa esercitazione se gli utenti di cui si vuole effettuare il provisioning da Workday sono utenti solo cloud che non necessitano di un account AD locale. Se gli utenti richiedono solo un account AD locale o un account AD e Microsoft Entra, vedere l'esercitazione sulla configurazione del provisioning utenti di Workday in Active Directory .

Il video seguente offre una rapida panoramica dei passaggi necessari per la pianificazione dell'integrazione del provisioning con Workday.

Panoramica

Il servizio di provisioning utenti di Microsoft Entra si integra con l'API Workday Human Resources per effettuare il provisioning degli account utente. I flussi di lavoro di provisioning utenti di Workday supportati dal servizio di provisioning utenti di Microsoft Entra consentono l'automazione degli scenari di gestione del ciclo di vita delle risorse umane e delle identità seguenti:

  • Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a Workday, un account utente viene creato automaticamente in Microsoft Entra ID e facoltativamente Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID, con writeback dell'indirizzo di posta elettronica in Workday.

  • Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in Workday (ad esempio il nome, il titolo o il manager), l'account utente viene aggiornato automaticamente microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

  • Terminazioni dei dipendenti: quando un dipendente viene terminato in Workday, l'account utente viene disabilitato automaticamente in Microsoft Entra ID e facoltativamente Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.

  • Rihires dei dipendenti: quando un dipendente viene riassunto in Workday, il vecchio account può essere riattivato o sottoposto di nuovo a provisioning (a seconda delle preferenze) all'ID Microsoft Entra e, facoltativamente, a Microsoft 365 e ad altre applicazioni SaaS supportate da Microsoft Entra ID.

Per chi è più adatta questa soluzione di provisioning utenti?

Questa soluzione di provisioning utenti da Workday a Microsoft Entra è ideale per:

  • Organizzazioni che desiderano una soluzione predefinita basata sul cloud per il provisioning utenti Workday

  • Organizzazioni che richiedono il provisioning utenti diretto da Workday a Microsoft Entra ID

  • Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti da modulo Workday

  • Organizzazioni che usano Microsoft 365 per la posta elettronica

Architettura della soluzione

Questa sezione descrive l'architettura della soluzione end-to-end di provisioning degli utenti per utenti solo cloud. Esistono due flussi correlati:

  • Flusso di dati HR autorevole: da Workday a Microsoft Entra ID: in questo flusso di eventi di lavoro (ad esempio New Hires, Transfer, Terminations) si verificano prima in Workday e quindi i dati dell'evento passano in Microsoft Entra ID. A seconda dell'evento, può causare operazioni di creazione/aggiornamento/abilitazione/disabilitazione in Microsoft Entra ID.

  • Flusso di writeback: da Active Directory locale a Workday: una volta completata la creazione dell'account in Active Directory, viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connect e informazioni quali posta elettronica, nome utente e numero di telefono possono essere riscritto in Workday.

    Diagramma conceputale del provisioning di workday

Flusso di dati end-to-end dell'utente

  1. Il team delle risorse umane esegue transazioni relative ai lavoratori (nuovi ingressi/spostamenti/abbandoni oppure nuove assunzioni/trasferimenti/risoluzioni del rapporto) in Workday Employee Central
  2. Il servizio di provisioning Microsoft Entra esegue sincronizzazioni pianificate delle identità da Workday EC e identifica le modifiche che devono essere elaborate per la sincronizzazione con Active Directory locale.
  3. Il servizio di provisioning Di Microsoft Entra determina la modifica e richiama l'operazione di creazione/aggiornamento/abilitazione/disabilitazione per l'utente in Microsoft Entra ID.
  4. Se l'app writeback di Workday è configurata, recupera attributi come posta elettronica, nome utente e numero di telefono da Microsoft Entra ID.
  5. Il servizio di provisioning Di Microsoft Entra imposta la posta elettronica, il nome utente e il numero di telefono in Workday.

Pianificazione della distribuzione

La configurazione del provisioning utenti basato sulle risorse umane cloud da Workday a Microsoft Entra ID richiede una pianificazione considerevole che copre diversi aspetti, ad esempio:

  • Determinazione dell'ID corrispondente
  • Mapping attributi
  • Trasformazione degli attributi
  • Filtri per la definizione dell'ambito

Vedere il piano di distribuzione dell'app HR basata sul cloud per indicazioni complete su questi argomenti.

Configurare un utente del sistema di integrazione in Workday

Vedere la sezione Configurare un utente del sistema di integrazione per informazioni su come creare un account utente del sistema di integrazione di Workday con le autorizzazioni per il recupero dei dati dei lavoratori.

Configurare il provisioning utenti da Workday a Microsoft Entra ID

Le sezioni seguenti descrivono i passaggi per configurare il provisioning utenti da Workday a Microsoft Entra ID per le distribuzioni solo cloud.

Parte 1: Aggiunta dell'app connettore microsoft Entra provisioning e creazione della connessione a Workday

Per configurare il provisioning di Workday in Microsoft Entra per gli utenti solo cloud:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.

  3. Cercare Workday in Microsoft Entra user provisioning e aggiungere l'app dalla raccolta.

  4. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning.

  5. Modificare Modalità di provisioning su Automatico.

  6. Completare la sezione Credenziali amministratore come segue:

    • Nome utente Workday: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant. Dovrebbe essere simile al seguente: username@contoso4

    • Password Workday: immettere la password dell'account del sistema di integrazione Workday

    • URL dell'API Workday Web Services: immettere l'URL dell'endpoint di Workday Web Services per il tenant. L'URL determina la versione dell'API Workday Web Services usata dal connettore.

      Formato di URL Versione dell'API Workday Web Services usata Modifiche XPATH necessarie
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.#

      Nota

      Se non sono specificate informazioni sulla versione nell'URL, l'app usa Workday Web Services (WWS) v21.1 e non è necessario apportare modifiche alle espressioni predefinite dell'API XPATH fornite con l'app. Per usare una versione specifica dell'API WWS, specificare il numero di versione nell'URL
      Esempio: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Se si usa un'API WWS v30.0+, prima di attivare il processo di provisioning, aggiornare le espressioni dell'API XPATH in Mapping attributi -> Opzioni avanzate -> Modificare l'elenco di attributi per Workday facendo riferimento alla sezione Gestione della configurazione e riferimento all'attributo di Workday.

    • Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.

    • Fare clic sul pulsante Test connessione.

    • Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. In caso contrario, verificare che l'URL e le credenziali per Workday siano validi in Workday.

Parte 2: Configurare i mapping degli attributi workday e Microsoft Entra

In questa sezione si configurerà il modo in cui i dati utente passano da Workday a Microsoft Entra ID per gli utenti solo cloud.

  1. Nella scheda Provisioning in Mapping fare clic su Synchronize Workers to Microsoft Entra ID (Sincronizza ruoli di lavoro con ID Entra Microsoft).

  2. Nel campo Ambito oggetto di origine è possibile selezionare quali set di utenti in Workday devono essere inclusi nell'ambito del provisioning in Microsoft Entra ID, definendo un set di filtri basati su attributi. L'ambito predefinito è "tutti gli utenti in Workday". Filtri di esempio:

    • Esempio: Ambito per gli utenti con ID lavoratore compreso tra 1000000 e 2000000

      • Attributo: WorkerID

      • Operatore: Corrispondenza REGEX

      • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Esempio: Solo i lavoratori occasionali, senza i dipendenti

      • Attributo: ContingentID

      • Operatore: NON È NULL

  3. Nel campo Azioni oggetto di destinazione è possibile filtrare a livello globale le azioni eseguite in Microsoft Entra ID. Create (Crea) e Update (Aggiorna) sono le più comuni.

  4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.

  5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping. Il mapping di un singolo attributo supporta queste proprietà:

    • Tipo di mapping

      • Direct (Diretto): scrive il valore dell'attributo di Workday nell'attributo di AD, senza modifiche

      • Costant (Costante): scrive un valore stringa costante statico nell'attributo di AD

      • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday. Per altre informazioni, vedere questo articolo sulle espressioni.

    • Attributo di origine: l'attributo utente in Workday. Se l'attributo che si sta cercando non è presente, vedere Personalizzazione dell'elenco degli attributi utente di Workday.

    • Valore predefinito: facoltativo. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.

    • Attributo di destinazione : attributo utente in Microsoft Entra ID.

    • Trova la corrispondenza degli oggetti usando questo attributo : indica se questo attributo deve essere usato per identificare in modo univoco gli utenti tra Workday e Microsoft Entra ID. Questo valore viene in genere impostato nel campo ID ruolo di lavoro per Workday, che viene in genere mappato all'attributo ID dipendente (nuovo) o a un attributo di estensione in Microsoft Entra ID.

    • Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.

    • Applica questo mapping

      • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente

      • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente

  6. Per salvare i mapping, fare clic su Save, Salva, nella parte superiore della sezione Attribute-Mapping, Mapping attributi.

Abilitare e avviare il provisioning utenti

Una volta completate le configurazioni dell'app di provisioning di Workday, è possibile attivare il servizio di provisioning.

Suggerimento

Per impostazione predefinita quando si attiva il servizio di provisioning, verranno avviate le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati in Workday, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti test prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.

  2. Fare clic su Salva.

  3. Questa operazione avvia la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Workday. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.

  4. In qualsiasi momento, controllare la scheda Provisioning nell'interfaccia di amministrazione di Microsoft Entra per visualizzare le azioni eseguite dal servizio di provisioning. I log di provisioning elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio i quali gli utenti vengono letti da Workday e quindi aggiunti o aggiornati successivamente all'ID Microsoft Entra.

  5. Al termine della sincronizzazione iniziale, verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.

    Screenshot della barra di stato del provisioning

Passaggi successivi