Esercitazione: Configurare Workday per il provisioning utenti automatico
Questa esercitazione illustra le procedure da eseguire per effettuare il provisioning dei profili dei lavoratori da Workday a un'istanza locale di Active Directory (AD).
Nota
Usare questa esercitazione se gli utenti di cui si vuole eseguire il provisioning da Workday necessitano di un account AD locale e di un account Microsoft Entra.
- Se gli utenti di Workday necessitano solo dell'account Microsoft Entra (utenti solo cloud), fare riferimento all'esercitazione sulla configurazione del provisioning utenti di Workday in Microsoft Entra ID .
- Per configurare il writeback di attributi, ad esempio indirizzo di posta elettronica, nome utente e numero di telefono da Microsoft Entra ID a Workday, vedere l'esercitazione sulla configurazione del writeback di Workday.
Il video seguente offre una rapida panoramica dei passaggi necessari per la pianificazione dell'integrazione del provisioning con Workday.
Panoramica
Il servizio di provisioning utenti di Microsoft Entra si integra con l'API Workday Human Resources per effettuare il provisioning degli account utente. I flussi di lavoro di provisioning utenti di Workday supportati dal servizio di provisioning utenti di Microsoft Entra consentono l'automazione degli scenari di gestione del ciclo di vita delle risorse umane e delle identità seguenti:
Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a Workday, un account utente viene creato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID, con writeback delle informazioni di contatto gestite dall'IT in Workday.
Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in Workday (ad esempio il nome, il titolo o il manager), il proprio account utente viene aggiornato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, in Microsoft 365 e in altre applicazioni SaaS supportate da Microsoft Entra ID.
Terminazioni dei dipendenti: quando un dipendente viene terminato in Workday, l'account utente viene disabilitato automaticamente in Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.
Riesezioni dei dipendenti: quando un dipendente viene assunto in Workday, il vecchio account può essere riattivato o sottoposto di nuovo a provisioning automatico (a seconda delle preferenze) ad Active Directory, Microsoft Entra ID e, facoltativamente, Microsoft 365 e altre applicazioni SaaS supportate da Microsoft Entra ID.
Novità
Questa sezione illustra i recenti miglioramenti apportati all'integrazione con Workday. Per un elenco di aggiornamenti completi, modifiche pianificate e archivi, visitare Novità di Microsoft Entra ID?
Ottobre 2020 - Abilitazione del provisioning su richiesta per Workday: usando il provisioning su richiesta è ora possibile testare il provisioning end-to-end per un profilo utente specifico in Workday per verificare il mapping degli attributi e la logica dell'espressione.
Maggio 2020 - Possibilità di eseguire il writeback dei numeri di telefono in Workday: oltre alla posta elettronica e al nome utente, è ora possibile eseguire il writeback del numero di telefono di lavoro e il numero di telefono cellulare da Microsoft Entra ID a Workday. Per informazioni dettagliate, vedere l'esercitazione sull'app Writeback.
Aprile 2020 - Supporto per l'ultima versione dell'API di Workday Web Services (WWS): due volte l'anno a marzo e settembre, Workday offre aggiornamenti avanzati delle funzionalità che consentono di soddisfare gli obiettivi aziendali e modificare le esigenze della forza lavoro. Per mantenere il passo con le nuove funzionalità fornite da Workday, è possibile specificare direttamente la versione dell'API WWS che si vuole usare nell'URL di connessione. Per informazioni dettagliate su come specificare la versione dell'API Workday, vedere la sezione sulla configurazione della connettività di Workday.
Per chi è più adatta questa soluzione di provisioning utenti?
Questa soluzione di provisioning utenti Workday è idealmente la più appropriata per:
Organizzazioni che desiderano una soluzione predefinita basata sul cloud per il provisioning utenti Workday
Organizzazioni che richiedono il provisioning utenti diretto da Workday ad Active Directory o ID Microsoft Entra
Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti dal modulo Workday HCM. Vedere Get_Workers
Organizzazioni che richiedono l'aggiunta, lo spostamento e l'abbandono degli utenti alla sincronizzazione con una o più foreste, domini e unità organizzative di Active Directory in base a una modifica rilevata nel modulo Workday HCM (vedere Get_Workers)
Organizzazioni che usano Microsoft 365 per la posta elettronica
Architettura della soluzione
Questa sezione descrive l'architettura della soluzione end-to-end di provisioning degli utenti per ambienti ibridi comuni. Esistono due flussi correlati:
- Flusso di dati HR autorevole: da Workday a Active Directory locale: in questo flusso, eventi di lavoro come New Hires, Transfers, Terminations si verificano prima nel tenant hr di Workday cloud e quindi i dati degli eventi passano a Active Directory locale tramite Microsoft Entra ID e l'agente di provisioning. A seconda dell'evento, può determinare operazioni di creazione/aggiornamento/abilitazione o disabilitazione in Active Directory.
- Flusso di writeback: da Active Directory locale a Workday: una volta completata la creazione dell'account in Active Directory, viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connect e informazioni quali posta elettronica, nome utente e numero di telefono possono essere riscritto in Workday.
Flusso di dati end-to-end dell'utente
- Il team delle risorse umane esegue transazioni di ruoli di lavoro (nuovi ingressi/spostamenti/abbandoni oppure nuove assunzioni/trasferimenti/risoluzioni) in Workday HCM
- Il servizio di provisioning Microsoft Entra esegue sincronizzazioni pianificate delle identità da Workday HR e identifica le modifiche che devono essere elaborate per la sincronizzazione con Active Directory locale.
- Il servizio di provisioning Microsoft Entra richiama l'agente di provisioning Microsoft Entra Connect locale con un payload di richiesta contenente le operazioni di creazione/aggiornamento/abilitazione/disabilitazione dell'account AD.
- Microsoft Entra Connect Provisioning Agent usa un account del servizio per aggiungere/aggiornare i dati dell'account AD.
- Il motore di Sincronizzazione Microsoft Entra Connect/AD esegue la sincronizzazione differenziale per eseguire il pull degli aggiornamenti in AD.
- Gli aggiornamenti di Active Directory vengono sincronizzati con Microsoft Entra ID.
- Se è configurata, l'app Writeback di Workday esegue il writeback in Workday di attributi come l'indirizzo di posta elettronica, il nome utente e il numero di telefono.
Pianificazione della distribuzione
La configurazione del provisioning utenti da Workday ad Active Directory richiede una pianificazione considerevole che tenga conto di diversi aspetti, quali:
- Installazione dell'agente di provisioning di Microsoft Entra Connect
- Numero di app di provisioning utenti da Workday ad AD da distribuire
- Selezione dell'identificatore corrispondente corretto, mapping degli attributi, trasformazione e filtri di ambito
Per le linee guida complete e le procedure consigliate, vedere il piano di distribuzione delle applicazioni per la gestione di risorse umane basate sul cloud.
Configurare un utente del sistema di integrazione in Workday
Un requisito comune di tutti i connettori di provisioning Workday è la richiesta di credenziali di un utente del sistema di integrazione Workday per la connessione all'API Human Resources di Workday. Questa sezione descrive come creare un utente del sistema di integrazione in Workday e contiene le sezioni seguenti:
- Creazione di un utente del sistema di integrazione
- Creazione di un gruppo di sicurezza del sistema di integrazione
- Configurazione delle autorizzazioni dei criteri di sicurezza del dominio
- Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali
- Attivazione delle modifiche apportate ai criteri di sicurezza
Nota
è possibile ignorare questa procedura e usare invece un account amministratore di Workday come account di integrazione del sistema. Questa operazione può funzionare correttamente per le demo, ma non è consigliata per le distribuzioni di produzione.
Creazione di un utente del sistema di integrazione
Per creare un utente di sistema di integrazione, seguire questa procedura:
Accedere al tenant di Workday usando un account amministratore. Nell'applicazione Workday immettere "create user" nella casella di ricerca e quindi fare clic su Create Integration System User (Crea utente del sistema di integrazione).
Completare l'attività Create Integration System User specificando un nome utente e una password per un nuovo utente del sistema di integrazione.
- Lasciare deselezionata l'opzione Richiedi nuova password all'accesso successivo , perché l'utente accede a livello di codice.
- Lasciare il valore predefinito minuti di timeout sessione pari a 0, che impedisce il timeout prematuro delle sessioni dell'utente.
- Selezionare l'opzione Do Not Allow UI Sessions (Non consentire sessioni di interfaccia utente) in quanto aggiunge un livello di sicurezza che impedisce a un utente con la password del sistema di integrazione di accedere a Workday.
Creazione di un gruppo di sicurezza del sistema di integrazione
In questo passaggio si creerà un gruppo di sicurezza del sistema di integrazione non vincolato o vincolato in Workday e si assegnerà l'utente del sistema di integrazione creato nel passaggio precedente a questo gruppo.
Per creare un gruppo di sicurezza, seguire questa procedura:
Immettere "create security group" nella casella di ricerca e quindi fare clic su Create Security Group(Crea gruppo di sicurezza).
Completare l'attività Creare un gruppo di sicurezza.
Esistono due tipi di gruppi di sicurezza in Workday:
- Non vincolato: tutti i membri del gruppo di sicurezza possono accedere a tutte le istanze di dati protette dal gruppo di sicurezza.
- Vincolato: tutti i membri del gruppo di sicurezza hanno accesso contestuale a un subset di istanze di dati (righe) a cui il gruppo di sicurezza può accedere.
Verificare il partner di integrazione di Workday per selezionare il tipo di gruppo di sicurezza appropriato per l'integrazione.
Una volta appurato il tipo di gruppo, selezionare Integration System Security Group (Unconstrained) (Gruppo di sicurezza del sistema di integrazione - Non vincolato) o Integration System Security Group (Constrained) (Gruppo di sicurezza del sistema di integrazione - Vincolato) dall'elenco a discesa Type of Tenanted Security Group (Tipo di gruppo di sicurezza con tenant).
Al termine della creazione del gruppo di sicurezza, verrà visualizzata una pagina in cui è possibile assegnare membri al gruppo di sicurezza. Aggiungere il nuovo utente di sistema di integrazione creato nel passaggio precedente per questo gruppo di sicurezza. Se si usa un gruppo di sicurezza vincolato , è necessario selezionare l'ambito dell'organizzazione appropriato.
Configurazione delle autorizzazioni dei criteri di sicurezza del dominio
In questo passaggio si concedono le autorizzazioni dei criteri di sicurezza del dominio per i dati del ruolo di lavoro al gruppo di sicurezza.
Per configurare le autorizzazioni dei criteri di sicurezza del dominio:
Immettere Security Group Membership and Access nella casella di ricerca e fare clic sul collegamento al report.
Cercare e selezionare il gruppo di sicurezza creato nel passaggio precedente.
Fare clic sui puntini di sospensione (
...
) accanto al nome del gruppo e dal menu selezionare Security Group > Maintain Domain Permissions for Security Group (Gestisci autorizzazioni di dominio per il gruppo di sicurezza)In Integration Permissions (Autorizzazioni di integrazione) aggiungere i domini seguenti all'elenco Domain Security Policies permitting Put access (Criteri di sicurezza che consentono l'accesso Put)
- External Account Provisioning (Provisioning account esterno)
- Worker Data: Public Worker Reports (Dati ruolo di lavoro: report ruoli di lavoro pubblici)
- Dati delle persone: informazioni sul contatto aziendale (obbligatorio se si prevede di eseguire il writeback dei dati dei contatti da Microsoft Entra ID a Workday)
- Account Workday (obbligatorio se si prevede di eseguire il writeback del nome utente/UPN da Microsoft Entra ID a Workday)
In Integration Permissions (Autorizzazioni di integrazione) aggiungere i domini seguenti all'elenco Domain Security Policies permitting Get access (Criteri di sicurezza che consentono l'accesso Get)
- Dati del ruolo di lavoro: ruoli di lavoro
- Worker Data: All Positions (Dati ruolo di lavoro: tutte le posizioni)
- Worker Data: Current Staffing Information (Dati ruolo di lavoro: informazioni del personale correnti)
- Worker Data: Business Title on Worker Profile (Dati ruolo di lavoro: qualifica riportata sul profilo)
- Dati del ruolo di lavoro: ruoli di lavoro qualificati (facoltativo: aggiungere questa opzione per recuperare i dati di qualificazione dei lavoratori per il provisioning)
- Dati del ruolo di lavoro: competenze ed esperienza (facoltativo: aggiungere questa opzione per recuperare i dati delle competenze del ruolo di lavoro per il provisioning)
Dopo aver completato i passaggi precedenti, la schermata delle autorizzazioni viene visualizzata come illustrato di seguito:
Fare clic su OK e su Done (Fatto) nella schermata successiva per completare la configurazione.
Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendali
In questo passaggio si concedono al gruppo di sicurezza le autorizzazioni dei criteri di sicurezza dei processi aziendali per i dati del ruolo di lavoro.
Nota
Questo passaggio è necessario solo per configurare il connettore dell'app Writeback di Workday.
Per configurare le autorizzazioni dei criteri di sicurezza dei processi aziendali:
Immettere Business Process Policy (Criteri di processi aziendali) nella casella di ricerca e quindi fare clic sul collegamento Edit Business Process Security Policy (Modifica criteri di sicurezza dei processi aziendali).
Nella casella di testo Tipo di processo aziendale, cercare Contatto e selezionare il processo aziendale Modifica contatto di lavoro, quindi fare clic su OK.
Nella pagina Modifica criteri di sicurezza dei processi aziendali scorrere fino alla sezione Cambia informazioni di contatto di lavoro (servizio Web).
Selezionare e aggiungere il nuovo gruppo di sicurezza del sistema di integrazione all'elenco dei gruppi di sicurezza che possono avviare la richiesta di servizi Web.
Fare clic su Done (Fine).
Attivazione delle modifiche apportate ai criteri di sicurezza
Per attivare le modifiche apportate ai criteri di sicurezza, seguire questa procedura:
Immettere "activate" (attiva) nella casella di ricerca e quindi fare clic sul collegamento Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza).
Avviare l'attività Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza) immettendo un commento a scopo di controllo e quindi fare clic su OK.
Completare l'attività nella schermata successiva selezionando la casella di controllo Confirm (Conferma) e quindi facendo clic su OK.
Prerequisiti per l'installazione dell'agente di provisioning
Prima di procedere con la sezione successiva, esaminare i prerequisiti per l'installazione dell'agente di provisioning.
Configurazione del provisioning utenti da Workday in Active Directory
Questa sezione fornisce i passaggi per configurare il provisioning degli account utente da Workday in ogni dominio di Active Directory nell'ambito dell'integrazione.
- Aggiungere l'app di connettori di provisioning e scaricare l'agente di provisioning
- Installare e configurare gli agenti di provisioning locali
- Configurare la connettività in Workday e Active Directory
- Configurare i mapping degli attributi
- Abilitare e avviare il provisioning utenti
Parte 1: Aggiungere l'app connettore di provisioning e scaricare l'agente di provisioning
Per configurare il provisioning da Workday in Active Directory:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
Cercare Workday to Active Directory User Provisioning (Provisioning utenti da Workday ad Active Directory) e aggiungere tale app dalla raccolta.
Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare Provisioning.
Modificare Modalità di provisioning su Automatico.
Fare clic sul banner di informazioni visualizzato per scaricare l'agente di provisioning.
Parte 2: Installare e configurare gli agenti di provisioning locali
Per effettuare il provisioning in Active Directory locale, è necessario installare l'agente di provisioning in un server aggiunto al dominio e con accesso di rete ai domini di Active Directory richiesti.
Trasferire il programma di installazione dell'agente scaricato nell'host del server e seguire i passaggi indicati nella sezione Installare l'agente per completare la configurazione dell'agente.
Parte 3: Nell'app di provisioning configurare la connettività a Workday e Active Directory
In questo passaggio viene stabilita la connettività con Workday e Active Directory.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni di identità>Applicazioni>aziendali> Workday in App di provisioning utenti active Directory creata nella parte 1.
Completare la sezione Credenziali amministratore come segue:
Nome utente Workday: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant. Dovrebbe essere simile al seguente: username@tenant_name
Password Workday: immettere la password dell'account del sistema di integrazione Workday
URL dell'API Workday Web Services: immettere l'URL dell'endpoint di Workday Web Services per il tenant. L'URL determina la versione dell'API Workday Web Services usata dal connettore.
Formato di URL Versione dell'API Workday Web Services usata Modifiche XPATH necessarie https://####.workday.com/ccx/service/tenantName v21.1 No https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Sì Nota
Se non sono specificate informazioni sulla versione nell'URL, l'app usa Workday Web Services (WWS) v21.1 e non è necessario apportare modifiche alle espressioni predefinite dell'API XPATH fornite con l'app. Per usare una versione specifica dell'API WWS, specificare il numero di versione nell'URL
Esempio:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Se si usa un'API WWS v30.0+, prima di attivare il processo di provisioning, aggiornare le espressioni dell'API XPATH in Mapping attributi -> Opzioni avanzate -> Modificare l'elenco di attributi per Workday facendo riferimento alla sezione Gestione della configurazione e riferimento all'attributo di Workday.Foresta di Active Directory: il "nome" del dominio di Active Directory, così come registrato con l'agente. Usare l'elenco a discesa per selezionare il dominio di destinazione per il provisioning. In genere, il valore corrisponde a una stringa simile a: contoso.com
Contenitore di Active Directory: immettere il nome distinto del contenitore in cui l'agente deve creare gli account utente per impostazione predefinita. Esempio: OU=Standard Users,OU=Users,DC=contoso,DC=test
Nota
Questa impostazione viene eseguita solo per le creazioni di account utente se l'attributo parentDistinguishedName non è configurato nei mapping degli attributi. Questa impostazione non viene usata per le operazioni di ricerca o aggiornamento degli utenti. L'intero sottoalbero del dominio rientra nell'ambito dell'operazione di ricerca.
Messaggio di posta elettronica di notifica: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.
Nota
Il servizio di provisioning Microsoft Entra invia una notifica tramite posta elettronica se il processo di provisioning entra in uno stato di quarantena .
Fare clic sul pulsante Test connessione. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore. In caso contrario, verificare che le credenziali di Workday e Active Directory configurate nel programma di installazione dell'agente siano valide.
Dopo aver salvato correttamente le credenziali, nella sezione Mapping viene visualizzato il mapping predefinito Synchronize Workday Workers to On Premises Active Directory
Parte 4: Configurare i mapping degli attributi
In questa sezione viene configurato il flusso dei dati utente da Workday ad Active Directory.
Nella scheda Provisioning in Mapping fare clic su Synchronize Workday Workers to On Premises (Sincronizza ruoli di lavoro Workday in Active Directory locale).
Nel campo Source Object Scope (Ambito dell'oggetto di origine) è possibile selezionare i set di utenti in Workday da includere nell'ambito per il provisioning in AD, definendo un set di filtri basati su attributi. L'ambito predefinito è "tutti gli utenti in Workday". Filtri di esempio:
Esempio: ambito per gli utenti con ID di lavoro compreso tra 1000000 e 2000000 (escluso 2000000)
Attributo: WorkerID
Operatore: Corrispondenza REGEX
Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Esempio: Solo i dipendenti, senza i lavoratori occasionali
Attributo: EmployeeID
Operatore: non è NULL
Suggerimento
Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping e le espressioni degli attributi per assicurarsi che restituisca il risultato desiderato. Microsoft consiglia di usare filtri di ambito in Ambito oggetto di origine e provisioning su richiesta per testare i mapping con alcuni utenti di test di Workday. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.
Attenzione
Il comportamento predefinito del motore di provisioning è disabilitare/eliminare gli utenti che non rientrano nell'ambito. Questa operazione è sconsigliabile per l'integrazione da Workday ad Active Directory. Per eseguire l'override di questo comportamento predefinito, fare riferimento all'articolo Ignorare l'eliminazione di account utente che non rientrano nell'ambito
Nel campo Target Object Actions (Azioni oggetto di destinazione) è possibile applicare un filtro a livello globale per le azioni che vengono eseguite in Active Directory. Create (Crea) e Update (Aggiorna) sono le più comuni.
Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.
Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping. Il mapping di un singolo attributo supporta queste proprietà:
Tipo di mapping
Direct (Diretto): scrive il valore dell'attributo di Workday nell'attributo di AD, senza modifiche
Costant (Costante): scrive un valore stringa costante statico nell'attributo di AD
Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday. Per altre informazioni, vedere questo articolo sulle espressioni.
Attributo di origine: l'attributo utente in Workday. Se l'attributo che si sta cercando non è presente, vedere Personalizzazione dell'elenco degli attributi utente di Workday.
Valore predefinito: facoltativo. Se l'attributo di origine ha un valore vuoto, il mapping scrive invece questo valore. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.
Attributo di destinazione: l'attributo utente in Active Directory.
Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Active Directory. In genere, è impostato sul campo ID ruolo di lavoro per Workday, che solitamente è associato a uno degli attributi ID dipendente in Active Directory.
Precedenza abbinamento: è possibile impostare più attributi corrispondenti. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.
Applica questo mapping
Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utente
Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utente
Per salvare i mapping, fare clic su Save, Salva, nella parte superiore della sezione Attribute-Mapping, Mapping attributi.
Di seguito sono riportati alcuni esempi di mapping degli attributi tra Workday e Active Directory, con alcune espressioni comuni
L'espressione che esegue il mapping all'attributo parentDistinguishedName viene usata per effettuare il provisioning di un utente in diverse unità organizzative in base a uno o più attributi di origine di Workday. Questo esempio inserisce gli utenti in unità organizzative diverse in base alla città in cui si trovano.
L'attributo userPrincipalName in Active Directory viene generato usando la funzione di deduplicazione SelectUniqueValue che verifica l'esistenza di un valore generato nel dominio di ACTIVE Directory di destinazione e lo imposta solo se è univoco.
qui è disponibile la documentazione sulla scrittura di espressioni. Questa sezione include alcuni esempi di come rimuovere i caratteri speciali.
ATTRIBUTO DI WORKDAY | ATTRIBUTO DI ACTIVE DIRECTORY | ID CORRISPONDENTE? | CREAZIONE / AGGIORNAMENTO |
---|---|---|---|
WorkerID | EmployeeID | Sì | Scritto solo al momento della creazione |
PreferredNameData | cn | Scritto solo al momento della creazione | |
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) | userPrincipalName | Scritto solo al momento della creazione | |
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) |
sAMAccountName | Scritto solo al momento della creazione | |
Switch([Active], , "0", "True", "1", "False") | accountDisabled | Creazione e aggiornamento | |
FirstName | givenName | Creazione e aggiornamento | |
LastName | sn | Creazione e aggiornamento | |
PreferredNameData | displayName | Creazione e aggiornamento | |
Azienda | company | Creazione e aggiornamento | |
SupervisoryOrganization | department | Creazione e aggiornamento | |
ManagerReference | manager | Creazione e aggiornamento | |
BusinessTitle | title | Creazione e aggiornamento | |
AddressLineData | streetAddress | Creazione e aggiornamento | |
Municipality | l | Creazione e aggiornamento | |
CountryReferenceTwoLetter | co | Creazione e aggiornamento | |
CountryReferenceTwoLetter | c | Creazione e aggiornamento | |
CountryRegionReference | st | Creazione e aggiornamento | |
WorkSpaceReference | physicalDeliveryOfficeName | Creazione e aggiornamento | |
PostalCode | postalCode | Creazione e aggiornamento | |
PrimaryWorkTelephone | telephoneNumber | Creazione e aggiornamento | |
Fax | facsimileTelephoneNumber | Creazione e aggiornamento | |
Dispositivi mobili | per dispositivi mobili | Creazione e aggiornamento | |
LocalReference | preferredLanguage | Creazione e aggiornamento | |
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "SEATTLE", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso=com") | parentDistinguishedName | Creazione e aggiornamento |
Una volta completata la configurazione del mapping degli attributi, è possibile testare il provisioning per un singolo utente usando il provisioning su richiesta e quindi abilitare e avviare il servizio di provisioning utenti.
Abilitare e avviare il provisioning utenti
Dopo aver completato le configurazioni dell'app di provisioning workday e aver verificato il provisioning per un singolo utente con provisioning su richiesta, è possibile attivare il servizio di provisioning.
Suggerimento
Per impostazione predefinita, quando si attiva il servizio di provisioning, avvia le operazioni di provisioning per tutti gli utenti nell'ambito. Se sono presenti errori di mapping o problemi di dati in Workday, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti di test con il provisioning su richiesta prima di avviare la sincronizzazione completa per tutti gli utenti. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.
Passare al pannello Provisioning e fare clic su Start provisioning (Avvia provisioning).
Questa operazione avvia la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Workday. È possibile controllare l'indicatore di stato per monitorare lo stato del ciclo di sincronizzazione.
In qualsiasi momento, controllare la scheda Provisioning nell'interfaccia di amministrazione di Microsoft Entra per visualizzare le azioni eseguite dal servizio di provisioning. I log di provisioning elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio i quali gli utenti vengono letti da Workday e quindi aggiunti o aggiornati in Active Directory. Vedere la sezione Risoluzione dei problemi per istruzioni su come esaminare i log di provisioning e correggere gli errori di provisioning.
Al termine della sincronizzazione iniziale, scrive un report di riepilogo del controllo nella scheda Provisioning , come illustrato di seguito.
Domande frequenti
Domande relative alla funzionalità di soluzione
- Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?
- La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?
- La soluzione memorizza nella cache i profili utente di Workday nel cloud Microsoft Entra o a livello dell'agente di provisioning?
- La soluzione supporta l'assegnazione in locale di gruppi di Active Directory all'utente?
- Quale API di Workday viene usata dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?
- È possibile configurare il tenant di Workday HCM con due tenant di Microsoft Entra?
- Ricerca per categorie suggerire miglioramenti o richiedere nuove funzionalità correlate all'integrazione di Workday e Microsoft Entra?
Domande relative all'agente di provisioning
- Qual è la versione disponibile a livello generale dell'agente di provisioning?
- Come capire la versione dell'agente di provisioning?
- Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?
- È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect?
- Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?
- Ricerca per categorie assicurarsi che l'agente di provisioning sia in grado di comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?
- Come annullare la registrazione del dominio associato all'agente di provisioning?
- Come si disinstalla l'agente di provisioning?
Domande relative al mapping attributi e alla configurazione Workday to Active Directory
- Come eseguire il backup o esportare una copia di lavoro del mapping e dello schema dell'attributo di provisioning di Workday?
- Avere attributi personalizzati in Workday e Azure Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?
- È possibile effettuare il provisioning delle foto degli utenti da Workday ad Active Directory?
- Come è possibile sincronizzare i numeri di telefono da Workday per uso pubblico, in base il consenso dell'utente?
- Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?
- Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?
- Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?
Domande relative alla funzionalità di soluzione
Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?
Quando l'agente di provisioning locale ottiene una richiesta per creare un nuovo account di AD, viene generata automaticamente una password casuale complessa progettata per soddisfare i requisiti di complessità delle password definiti dal server AD e la imposta per l'oggetto utente. Questa password non viene registrata da nessuna parte.
La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?
No, l'invio di notifiche tramite posta elettronica dopo il completamento delle operazioni di provisioning non è supportato nella versione corrente.
La soluzione memorizza nella cache i profili utente di Workday nel cloud Microsoft Entra o a livello dell'agente di provisioning?
No, la soluzione non gestisce una cache di profili utente. Il servizio di provisioning Di Microsoft Entra funge semplicemente da responsabile del trattamento dei dati, leggendo i dati da Workday e scrivendo nell'ID Active Directory o Microsoft Entra ID di destinazione. Vedere la sezione Managing personal data (Gestione dei dati personali) per dettagli relativi alla privacy e alla conservazione dei dati dell'utente.
La soluzione supporta l'assegnazione in locale di gruppi di AD all'utente?
Questa funzionalità non è attualmente supportata. La soluzione alternativa consigliata consiste nel distribuire uno script di PowerShell che esegue una query sull'endpoint dell'API Microsoft Graph per il provisioning dei dati di log e usarlo per attivare scenari come l'assegnazione di gruppi. Questo script di PowerShell può essere collegato a un'utilità di pianificazione e distribuito nella stessa finestra in cui è in esecuzione l'agente di provisioning.
Quali API di Workday vengono usate dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?
La soluzione attualmente usa le API di Workday seguenti:
Il formato dell'URL dell'API dei servizi Web Workday usato nella sezioneCredenziali amministratore, determina la versione dell'API usata per Get_Workers
- Se il formato dell'URL è : https://####.workday.com/ccx/service/tenantName , viene usata l'API v21.1.
- Se il formato dell'URL è: https://####.workday.com/ccx/service/tenantName/Human_Resources , viene usata l'API v21.1
- Se il formato dell'URL è : https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# , viene usata la versione api specificata. Ad esempio: se viene specificata la versione 34.0, viene usata.
La funzionalità di writeback della posta elettronica di Workday usa Change_Work_Contact_Information (v30.0)
La funzionalità di writeback del nome utente di Workday usa Update_Workday_Account (v31.2)
È possibile configurare il tenant di Workday HCM con due tenant di Microsoft Entra?
Sì, questa configurazione è supportata. Ecco i passaggi di livello elevato per configurare questo scenario:
- Distribuire l'agente di provisioning n. 1 e registrarlo con il tenant di Microsoft Entra #1.
- Distribuire l'agente di provisioning n. 2 e registrarlo con il tenant di Microsoft Entra #2.
- In base ai "domini figlio" gestiti da ogni agente di provisioning, configurare ogni agente con i domini. Un agente può gestire più domini.
- Nell'interfaccia di amministrazione di Microsoft Entra configurare Workday to AD User Provisioning App in ogni tenant e configurarla con i rispettivi domini.
Ricerca per categorie suggerire miglioramenti o richiedere nuove funzionalità correlate all'integrazione di Workday e Microsoft Entra?
I commenti sono molto apprezzati, perché aiutano a stabilire la direzione per miglioramenti e versioni future. Microsoft accoglie tutti i commenti e suggerimenti e invita l'utente a inviare un'idea o un suggerimento di miglioramento nel forum di feedback di Microsoft Entra ID. Per feedback specifici relativi all'integrazione di Workday, selezionare la categoria SaaS Applications (Applicazioni SaaS) ed effettuare la ricerca usando le parole chiave Workday per commenti e suggerimenti relativi a Workday.
Quando si suggerisce una nuova idea, verificare se altri utenti hanno già suggerito una funzionalità simile. In tal caso, è possibile votare a favore della richiesta di funzionalità o miglioramento. È anche possibile lasciare un commento relativo al caso d'uso specifico per mostrare il supporto per l'idea e dimostrare come la funzionalità è utile anche per te.
Domande relative all'agente di provisioning
Qual è la versione disponibile a livello generale dell'agente di provisioning?
Vedere Microsoft Entra Connect Provisioning Agent: Cronologia delle versioni per la versione disponibile a livello generale più recente dell'agente di provisioning.
Come capire la versione dell'agente di provisioning?
Accedere al server di Windows in cui è installato l'agente di provisioning.
Passare a Pannello di controllo -> Disinstallare o modificare un menu Programma
Cercare la versione corrispondente alla voce Microsoft Entra Connect Provisioning Agent
Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?
Sì, Microsoft aggiorna automaticamente l'agente di provisioning se il servizio Windows Microsoft Entra Connect Agent Updater è operativo.
È possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect?
Sì, è possibile installare l'agente di provisioning nello stesso server che esegue Microsoft Entra Connect.
Al momento della configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra. L'agente archivia le credenziali in locale nel server?
Durante la configurazione, l'agente di provisioning richiede le credenziali di amministratore di Microsoft Entra solo per connettersi al tenant di Microsoft Entra. Non archivia le credenziali in locale nel server. Tuttavia mantiene le credenziali usate per connettersi al dominio locale di Active Directory in un insieme di credenziali delle password di Windows locale.
Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?
L'agente di provisioning supporta l'utilizzo di proxy in uscita. È possibile configurarla modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Aggiungere le righe seguenti, verso la fine del file subito prima del tag di chiusura </configuration>
.
Sostituire le variabili [server proxy] e [proxy-port] con il nome del server proxy e i valori della porta.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Ricerca per categorie assicurarsi che l'agente di provisioning sia in grado di comunicare con il tenant di Microsoft Entra e che nessun firewall blocchi le porte richieste dall'agente?
È anche possibile verificare se tutte le porte necessarie sono aperte.
Un agente di provisioning può essere configurato per effettuare il provisioning di più domini di Active Directory?
Sì, un agente di provisioning può essere configurato per gestire più domini di AD purché l'agente comunichi con i controller di dominio corrispondenti. Microsoft consiglia di configurare un gruppo di 3 agenti di provisioning che gestiscono lo stesso set di domini di Active Directory per garantire la disponibilità elevata e fornire supporto per il failover.
Come annullare la registrazione del dominio associato all'agente di provisioning?
*, ottenere l'ID tenant del tenant di Microsoft Entra.
Accedere al server di Windows in cui è installato l'agente di provisioning.
Aprire PowerShell come amministratore Windows.
Passare alla directory contenente gli script di registrazione ed eseguire i comandi seguenti sostituendo il parametro [ID tenant] con il valore dell'ID tenant.
cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder" Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1" Get-PublishedResources -TenantId "[tenant ID]"
Nell'elenco di agenti che vengono visualizzati: copiare il valore del campo
id
dalla risorsa la cui proprietà resourceName è uguale al nome di dominio Active Directory.Incollare il valore ID in questo comando ed eseguire il comando in Powershell.
Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
Avviare la configurazione guidata dell'agente.
Tutti gli altri agenti assegnati in precedenza a questo dominio devono essere riconfigurati.
Come si disinstalla l'agente di provisioning?
- Accedere al server di Windows in cui è installato l'agente di provisioning.
- Passare a Pannello di controllo -> Disinstallare o modificare un menu Programma
- Disinstallare i programmi seguenti:
- Microsoft Entra Connect Provisioning Agent
- Aggiornamento dell'agente di Microsoft Entra Connect
- Pacchetto dell'agente di provisioning Microsoft Entra Connect
Domande relative al mapping attributi e alla configurazione da Workday ad Active Directory
Come eseguire il backup o esportare una copia di lavoro del mapping e dello schema dell'attributo di provisioning di Workday?
È possibile usare l'API Microsoft Graph per esportare la configurazione del provisioning utenti di Workday. Vedere i passaggi descritti nella sezione Exporting and Importing your Workday User Provisioning Attribute Mapping configuration (Esportare e importare la configurazione del mapping attributi di provisioning utenti di Workday) per informazioni dettagliate.
Avere attributi personalizzati in Workday e Azure Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?
La soluzione supporta gli attributi personalizzati di Workday e Active Directory. Per aggiungere attributi personalizzati allo schema di mapping, aprire il pannello Attribute Mapping (Mapping degli attributi) e scorrere verso il basso per espandere la sezione Show advanced options (Mostra opzioni avanzate).
Per aggiungere gli attributi di Workday personalizzati, selezionare l'opzione Edit attribute list for Workday (Modifica elenco attributi per Workday); per aggiungere attributi AD personalizzati, selezionare l'opzione Edit attribute list for On Premises Active Directory (Modifica elenco attributi per Active Directory locale).
Vedere anche:
Come si configura la soluzione per aggiornare solo gli attributi in Active Directory in base ai cambiamenti di Workday per non creare nuovi account Active Directory?
Questa configurazione può essere ottenuta impostando Azioni oggetto di destinazione nel pannello Mapping degli attributi come illustrato di seguito:
Selezionare la casella di controllo "Update" (Aggiorna) solo per le operazioni di aggiornamento da Workday ad Active Directory.
È possibile effettuare il provisioning delle foto dell'utente da Workday ad Active Directory?
La soluzione attualmente non supporta l'impostazione di attributi binari come thumbnailPhoto e jpegPhoto in Active Directory.
Come è possibile sincronizzare i numeri di telefono da Workday per uso pubblico, in base il consenso dell'utente?
Passare al pannello "Provisioning" dell'app di provisioning Workday.
Fare clic sui mapping degli attributi
In Mapping selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza ruoli di lavoro di Workday in Active Directory locale) o Synchronize Workday Workers to Microsoft Entra ID (Sincronizza ruoli di lavoro workday con l'ID Microsoft Entra).
Nella pagina dei mapping degli attributi, scorrere verso il basso e selezionare la casella "Show Advanced Options" (Mostra opzioni avanzate). Selezionare Edit attribute list for Workday (Modifica elenco attributi per Workday)
Nel pannello che si apre individuare l'attributo "Mobile" e fare clic sulla riga per poter modificare l'espressione API
Sostituire l'espressione API con la nuova espressione seguente, che recupera il numero del cellulare di lavoro solo se "Public Usage Flag" (Flag di utilizzo pubblico) è impostato su "True" in Workday.
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
Salvare l'elenco attributi.
Salvare il mapping attributi.
Cancellare lo stato corrente e riavviare la sincronizzazione completa.
Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?
è un requisito comune configurare l'attributo displayName in ACTIVE Directory in modo che fornisca anche informazioni sul reparto e sul paese/area geografica dell'utente. Ad esempio, se John Smith lavora nel Reparto marketing negli Stati Uniti, è possibile che il suo displayName venga visualizzato come Smith, John (Marketing-US).
Ecco come gestire tali requisiti per la costruzione di CN o displayName per includere attributi come società, business unit, città o paese/area geografica.
Ogni attributo di Workday viene recuperato usando un'espressione API XPATH sottostante, configurabile in Mapping attributi -> Sezione avanzata -> Modifica elenco di attributi per Workday. Ecco l'espressione API XPATH predefinita per gli attributi di Workday PreferredFirstName, PreferredLastName, Company e SupervisoryOrganization.
Attributo di Workday Espressione API XPATH PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text() PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text() Company wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text() Confermare assieme al proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).
Analogamente, le informazioni relative al paese/area presenti in Workday vengono recuperate usando l'XPATH seguente: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference
Sono disponibili 5 attributi relativi al paese/area che sono disponibili nella sezione dell'elenco attributi di Workday.
Attributo di Workday Espressione API XPATH CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text() CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text() CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text() CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor Verificare con il proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).
Per compilare la corretta espressione di mapping degli attributi, identificare quale attributo di Workday "autorevole" rappresenta il nome proprio, il cognome, il paese/area e il reparto dell'utente. Si supponga che gli attributi siano rispettivamente PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter e SupervisoryOrganization. È possibile usare questo attributo per compilare un'espressione per l'attributo di Active Directory displayName come indicato di seguito per ottenere un nome visualizzato, come Smith, John (Marketing-US).
Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
Dopo aver ottenuto l'espressione corretta, modificare la tabella Mapping attributi e modificare il mapping dell'attributo displayName come illustrato di seguito:
Ampliando l'esempio precedente, si consideri l'ipotesi di convertire i nomi di città provenienti da Workday in valori a sintassi abbreviata e usarli per creare nomi visualizzati, come Smith, John (CHI) oppure Doe, Jane (NYC), allora questo risultato può essere ottenuto usando un'espressione Switch con l'attributo Workday Municipality come variabile determinante.
Switch ( [Municipality], Join(", ", [PreferredLastName], [PreferredFirstName]), "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"), "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"), "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)") )
Vedere anche:
Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?
Si consideri l'ipotesi di generare valori univoci per l'attributo samAccountName mediante una combinazione degli attributi FirstName e LastName da Workday. Di seguito un'espressione che è possibile iniziare con:
SelectUniqueValue(
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)
Funzionamento dell'espressione precedente: se l'utente è John Smith, prova prima a generare JSmith, se JSmith esiste già, quindi genera JoSmith, se esistente, genera JohSmith. L'espressione assicura anche che il valore generato soddisfi il limite di lunghezza e le limitazioni di caratteri speciali associati a samAccountName.
Vedere anche:
- Sintassi della funzione Mid
- Sintassi della funzione Replace
- Sintassi della funzione SelectUniqueValue
Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?
Usare la funzione NormalizeDiacritics per rimuovere i caratteri speciali nel nome e cognome dell'utente durante la creazione di un indirizzo di posta elettronica o valore CN per l'utente.
Suggerimenti per la risoluzione dei problemi
Questa sezione fornisce indicazioni specifiche su come risolvere i problemi di provisioning con l'integrazione di Workday usando i log di provisioning di Microsoft Entra e i log di windows Server Visualizzatore eventi. Si basa sui passaggi e i concetti di risoluzione dei problemi generici acquisiti nell'esercitazione : Creazione di report sul provisioning automatico degli account utente
Questa sezione contiene gli aspetti della risoluzione problemi seguenti:
- Configurare l'agente di provisioning per generare i log di Visualizzatore eventi
- Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente
- Configurazione dei log di provisioning dell'interfaccia di amministrazione di Microsoft Entra per la risoluzione di problemi del servizio
- Riconoscimento di log per operazioni di creazione per l'account utente di AD
- Riconoscimento di log per operazioni di aggiornamento manager
- Risoluzione degli errori più comuni
Configurare l'agente di provisioning per generare i log di Visualizzatore eventi
Accedere al computer Windows Server in cui è distribuito l'agente di provisioning
Arrestare il servizio Microsoft Entra Connect Provisioning Agent.
Creare una copia del file di configurazione originale: C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Sostituire la sezione
<system.diagnostics>
esistente con quella seguente.- Il listener etw di configurazione genera messaggi nei log di EventViewer
- Il listener textWriterListener di configurazione invia messaggi di traccia al file ProvAgentTrace.log. Rimuovere il commento dalle righe correlate a textWriterListener solo per la risoluzione avanzata dei problemi.
<system.diagnostics> <sources> <source name="AAD Connect Provisioning Agent"> <listeners> <add name="console"/> <add name="etw"/> <!-- <add name="textWriterListener"/> --> </listeners> </source> </sources> <sharedListeners> <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/> <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent"> <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/> </add> <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> --> </sharedListeners> </system.diagnostics>
Avviare il servizio Microsoft Entra Connect Provisioning Agent.
Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agente
Accedere al computer Windows Server in cui è installato l'agente di provisioning
Aprire l'app desktop Visualizzatore eventi di Windows Server.
Selezionare Windows Logs Application (Applicazione log > di Windows).
Usare l'opzione Filtra log corrente per visualizzare tutti gli eventi registrati nell'agente di provisioning Microsoft Entra Connect di origine ed escludere gli eventi con ID evento "5", specificando il filtro "-5", come illustrato di seguito.
Nota
L'ID evento 5 acquisisce i messaggi di bootstrap dell'agente nel servizio cloud Microsoft Entra e quindi lo filtra durante l'analisi dei file di log.
Fare clic su OK e ordinare la visualizzazione dei risultati dalla colonna di data e ora.
Configurazione dei log di provisioning dell'interfaccia di amministrazione di Microsoft Entra per la risoluzione di problemi del servizio
Avviare l'interfaccia di amministrazione di Microsoft Entra e passare alla sezione Provisioning dell'applicazione di provisioning workday.
Utilizzare il pulsante Colonne nella pagina Log di provisioning per visualizzare solo le colonne seguenti nella visualizzazione (Data, Attività, Stato, Motivo stato). Questa configurazione permette di concentrare l'attenzione solo sui dati rilevanti per la risoluzione dei problemi.
Usare i parametri di query Destinazione e Intervallo di date per filtrare la visualizzazione.
- Impostare il parametro di query Destinazione all' "ID ruolo di lavoro" o "ID dipendente" dell'oggetto di lavoro di Workday.
- Impostare Date Range (Intervallo di date) per un periodo di tempo appropriato ad analizzare errori o problemi con il provisioning.
Riconoscimento di log per operazioni di creazione per l'account utente di AD
Quando viene rilevato un nuovo assunto in Workday (ad esempio con ID dipendente 21023), il servizio di provisioning Di Microsoft Entra tenta di creare un nuovo account utente di ACTIVE Directory per il ruolo di lavoro e nel processo crea 4 record di log di provisioning, come descritto di seguito:
Quando si fa clic su uno dei record di log di provisioning, viene visualizzata la pagina Dettagli attività. Ecco cosa viene visualizzata la pagina Dettagli attività per ogni tipo di record di log.
Record di importazione workday: questo record di log visualizza le informazioni sul ruolo di lavoro recuperate da Workday. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport" JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field) SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
Record di importazione di Active Directory: questo record di log visualizza le informazioni dell'account recuperato da AD. Come durante la creazione iniziale dell'utente non esiste alcun account AD, il motivo dello stato dell'attività indica che non è stato trovato alcun account con il valore dell'attributo ID corrispondente in Active Directory. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
Per trovare i record di log dell'agente di provisioning corrispondenti a questa operazione di importazione di ACTIVE Directory, aprire i log di Windows Visualizzatore eventi e usare l'opzione di menu Trova... per trovare le voci di log contenenti il valore dell'attributo id corrispondente/join della proprietà (in questo caso 21023).
Cercare la voce con ID evento = 9, che fornisce il filtro di ricerca LDAP usato dall'agente per recuperare l'account AD. È possibile verificare se questo è il filtro di ricerca corretto per recuperare le voci univoche dell'utente.
Il record che lo segue immediatamente con Event ID = 2 acquisisce il risultato dell'operazione di ricerca e comunica se ha prodotto risultati.
Record azione regola di sincronizzazione: questo record di log visualizza i risultati delle regole di mapping degli attributi e i filtri di ambito configurati insieme all'azione di provisioning eseguita per elaborare l'evento Workday in ingresso. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'azione di sincronizzazione. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.
ErrorCode : None // Use the error code captured here to troubleshoot sync issues EventName : EntrySynchronizationAdd // Implies that the object is added JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
Se si verificano problemi con le espressioni di mapping degli attributi o i dati di Workday in ingresso presentano problemi (ad esempio: valore vuoto o Null per gli attributi obbligatori), si osserverà un errore in questa fase con ErrorCode che fornisce i dettagli dell'errore.
Record di esportazione di Active Directory: questo record di log visualizza il risultato dell'operazione di creazione dell'account AD insieme ai valori di attributo impostati nel processo. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'operazione di creazione account. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo. Nella sezione "Dettagli aggiuntivi", "EventName" è impostato su "EntryExportAdd", "JoiningProperty" è impostata sul valore dell'attributo ID corrispondente, "SourceAnchor" è impostato su WorkdayID (WID) associato al record e "TargetAnchor" è impostato sul valore dell'attributo AD "ObjectGuid" dell'utente appena creato.
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues EventName : EntryExportAdd // Implies that object is created JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
Per trovare i record di log dell'agente di provisioning corrispondenti a questa operazione di esportazione di Active Directory, aprire i log di Windows Visualizzatore eventi e usare l'opzione di menu Trova per trovare le voci di log contenenti il valore dell'attributo ID corrispondente/Join della proprietà (in questo caso 21023).
Cercare un record HTTP POST corrispondente al timestamp dell'operazione di esportazione con ID evento = 2. Questo record contiene i valori degli attributi inviati dal servizio di provisioning all'agente di provisioning.
Immediatamente dopo l'evento precedente, deve essere presente un altro evento che acquisisce la risposta dell'operazione di creazione account AD. Questo evento restituisce il nuovo objectGuid creato in AD ed è impostato come attributo TargetAnchor nel servizio di provisioning.
Riconoscimento di log per operazioni di aggiornamento manager
L'attributo manager è un attributo di riferimento in AD. Il servizio di provisioning non imposta l'attributo manager come parte dell'operazione di creazione dell'utente. Piuttosto l'attributo manager viene impostato come parte di un'operazione di aggiornamento dopo la creazione di account di AD per l'utente. Estendendo l'esempio precedente, si supponga che una nuova assunzione con ID dipendente "21451" venga attivata in Workday e che il manager del nuovo assunto (21023) abbia già un account AD. In questo scenario, la ricerca nei log di provisioning per l'utente 21451 visualizza 5 voci.
I primi 4 record sono come quelli descritti come parte della creazione dell'utente. Il 5° record è l'esportazione associata aggiornamento dell'attributo manager. Il record del log mostra il risultato dell'operazione di aggiornamento manager dell'account AD, che viene eseguita usando l'attributo manager objectGuid.
// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023
// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451
Risoluzione degli errori più comuni
Questa sezione illustra gli errori più comuni riscontrati con il provisioning utenti Workday e la relativa risoluzione. Le macchine virtuali sono raggruppate come indicato di seguito:
- Errori agente di provisioning
- Errori di connettività
- Errori di creazione account utente AD
- Errori di aggiornamento account utente AD
Errori agente di provisioning
# | Scenario di errore | Possibili cause | Risoluzione consigliata |
---|---|---|---|
1. | Errore durante l'installazione dell'agente di provisioning con messaggio di errore: l'avvio del servizio 'Microsoft Entra Connect Provisioning Agent' (AADConnectProvisioningAgent) non è riuscito. Verificare di disporre di privilegi sufficienti per avviare il sistema. | Questo errore viene in genere visualizzato se si sta tentando di installare l'agente di provisioning in un controller di dominio e criteri di gruppo impedisce l'avvio del servizio. viene anche visto se si dispone di una versione precedente dell'agente in esecuzione e non è stata disinstallata prima di avviare una nuova installazione. | Installare l'agente di provisioning in un server non DC. Assicurarsi che le versioni precedenti dell'agente vengano disinstallate prima di installare il nuovo agente. |
2. | Il servizio Windows 'Microsoft Entra Connect Provisioning Agent' è in stato di avvio e non passa allo stato In esecuzione . | Nell'ambito dell'installazione, la procedura guidata dell'agente crea un account locale (NT Service\AADConnectProvisioningAgent) nel server e questo è l'account di accesso usato per avviare il servizio. Se un criterio di sicurezza nel server Windows impedisce l'esecuzione dei servizi da parte degli account locali, verrà visualizzato questo errore. | Aprire la console dei servizi. Fare clic con il pulsante destro del mouse sul servizio Windows 'Microsoft Entra Connect Provisioning Agent' e nella scheda di accesso specificare l'account di un amministratore di dominio per eseguire il servizio. Riavviare il servizio . |
3. | Quando si configura l'agente di provisioning con il dominio di AD nel passaggio Connect Active Directory (Connetti Active Directory), la procedura guidata richiede troppo tempo a caricare lo schema di AD infine raggiunge il timeout. | Questo errore in genere viene visualizzato se la procedura guidata non riesce a contattare il server di controller di dominio AD a causa di problemi relativi al firewall. | Nella schermata Della procedura guidata Connetti Active Directory, fornendo le credenziali per il dominio DI ACTIVE Directory, è disponibile un'opzione denominata Select domain controller priority (Seleziona priorità controller di dominio). Usare questa opzione per selezionare un controller di dominio che sia presente nello stesso sito dell'agente del server e assicurarsi che non siano presenti regole firewall che bloccano la comunicazione. |
Errori di connettività
Se il servizio di provisioning non è in grado di connettersi a Workday o Active Directory, ciò potrebbe causare lo stato di quarantena del provisioning stesso. Usare la tabella seguente per risolvere i problemi di connettività.
# | Scenario di errore | Possibili cause | Risoluzione consigliata |
---|---|---|---|
1. | Quando si fa clic su Test connessione, viene visualizzato il messaggio di errore: Si è verificato un errore durante la connessione ad Active Directory. Assicurarsi che l'agente di provisioning locale sia in esecuzione e che sia configurato con il dominio di Active Directory corretto. | Questo errore viene in genere visualizzato se l'agente di provisioning non è in esecuzione o se è presente un firewall che blocca la comunicazione tra Microsoft Entra ID e l'agente di provisioning. È anche possibile che venga visualizzato questo errore, se il dominio non è configurato nella Procedura guidata agente. | Aprire la console dei servizi nel server di Windows per verificare che l'agente sia in esecuzione. Aprire la configurazione guidata dell'agente di provisioning e verificare che il dominio corretto sia stato registrato con l'agente. |
2. | Il processo di provisioning entra in stato di quarantena durante i fine settimana (venerdì sab) e viene visualizzata una notifica tramite posta elettronica che indica che si è verificato un errore con la sincronizzazione. | Una delle cause più comuni di questo errore è il tempo di inattività pianificato di Workday. Se si usa un tenant di implementazione di Workday, tenere presente che Workday ha pianificato il tempo di inattività per i tenant di implementazione durante i fine settimana (in genere da venerdì sera a sabato mattina) e durante quel periodo le app di provisioning di Workday potrebbero passare allo stato di quarantena perché non è in grado di connettersi a Workday. Ritorna allo stato normale quando il tenant di implementazione di Workday torna online. In rari casi, è inoltre possibile visualizzare questo errore se la password utente del sistema di integrazione viene modificata a causa di un aggiornamento del tenant o se l'account è bloccato o scaduto. | Verificare con il proprio amministratore o partner di integrazione Workday per capire quando Workday pianifica i tempi di inattività per ignorare i messaggi di avviso durante il periodo di inattività e confermare la disponibilità una volta che l'istanza Workday è di nuovo online. |
Errori di creazione account utente AD
# | Scenario di errore | Possibili cause | Risoluzione consigliata |
---|---|---|---|
1. | Errori dell'operazione di esportazione nel log di provisioning con il messaggio Errore: OperationsError-SvcErr: Si è verificato un errore di operazione. Non è stato configurato alcun riferimento superiore per il servizio directory. Il servizio directory non è quindi in grado di emettere riferimenti a oggetti esterni a questa foresta. | Questo errore viene in genere visualizzato se l'unità organizzativa contenitore di Active Directory non è impostata correttamente o se si verificano problemi con il mapping delle espressioni usato per parentDistinguishedName. | Controllare il parametro unità organizzativa Contenitore Active Directory per errori di digitazione. Se si usa parentDistinguishedName nel mapping degli attributi, assicurarsi che restituisca sempre un contenitore noto all'interno del dominio DI AD. Controllare l'evento Export nei log di provisioning per visualizzare il valore generato. |
2. | Errori dell'operazione di esportazione nel log di provisioning con codice errore: SystemForCrossDomainIdentityManagementBadResponse e messaggio Errore: ConstraintViolation-AtrErr: Un valore nella richiesta non è valido. Un valore per l'attributo non era compreso nell'intervallo di valori accettabile. \nError Details: CONSTRAINT_ATT_TYPE - company. | Mentre questo errore è specifico per l'attributo company (azienda) questo errore può verificarsi per gli altri attributi, ad esempio CN anche. Questo errore viene visualizzato a causa di un vincolo dello schema AD applicato. Per impostazione predefinita, come gli attributi società e CN in AD presentano un limite massimo di 64 caratteri. Se il valore proveniente da Workday è maggiore di 64 caratteri, viene visualizzato questo messaggio di errore. | Controllare l'evento Export nei log di provisioning per visualizzare il valore dell'attributo segnalato nel messaggio di errore. È consigliabile troncare il valore proveniente da Workday usando la funzione Mid o modificare i mapping a un attributo di ACTIVE Directory che non ha vincoli di lunghezza simili. |
Errori di aggiornamento account utente AD
Durante il processo di aggiornamento dell'account utente di AD, il servizio di provisioning legge le informazioni da Workday e AD, esegue le regole di mapping degli attributi e determina se debba essere applicata una modifica. Di conseguenza si attiva un evento di aggiornamento. Se uno di questi passaggi rileva un errore, viene registrato nei log di provisioning. Usare la tabella seguente per risolvere i problemi di aggiornamento.
# | Scenario di errore | Possibili cause | Risoluzione consigliata |
---|---|---|---|
1. | Errori di azione delle regole di sincronizzazione nel log di provisioning con il messaggio EventName = EntrySynchronizationError e ErrorCode = EndpointUnavailable. | Questo errore viene visualizzato se il servizio di provisioning non riesce a recuperare i dati del profilo utente da Active Directory a causa di un errore di elaborazione rilevato dagli agenti di provisioning locali. | Verificare nei log del Visualizzatore eventi dell'agente di provisioning per gli eventi di errore che indicano problemi con l'operazione di lettura (Filtra per ID evento n. 2). |
2. | L'attributo manager in AD non viene aggiornato per determinati utenti in AD. | La causa più probabile di questo errore è che si usano regole di ambito e il responsabile dell'utente non fa parte dell'ambito. È anche possibile che si verifichi questo problema se l'attributo ID corrispondente del manager (ad esempio EmployeeID) non viene trovato nel dominio di AD di destinazione o non è impostato sul valore corretto. | Esaminare il filtro di ambito e aggiungere l'utente manager nell'ambito. Controllare il profilo del manager in AD per assicurarsi che sia presente un valore per l'attributo ID corrispondente. |
Gestire la configurazione
Questa sezione descrive come è possibile estendere, personalizzare e gestire ulteriormente la configurazione del provisioning utenti basato su Workday. Include gli argomenti seguenti:
- Personalizzazione dell'elenco di attributi utente di Workday
- Esportazione e importazione della configurazione
Personalizzazione dell'elenco di attributi utente di Workday
Le app di provisioning di Workday per Active Directory e Microsoft Entra ID includono entrambi un elenco predefinito degli attributi utente di Workday tra cui è possibile selezionare. Tuttavia, questi elenchi non sono completi. Workday supporta molte centinaia di attributi utente possibili, che possono essere standard o univoci per il tenant di Workday.
Il servizio di provisioning Microsoft Entra supporta la possibilità di personalizzare l'elenco o l'attributo Workday per includere tutti gli attributi esposti nel Get_Workers funzionamento dell'API Risorse umane.
A tale scopo, è necessario usare Workday Studio per estrarre le espressioni XPath che rappresentano gli attributi da usare e quindi aggiungerli alla configurazione di provisioning usando l'editor di attributi avanzato.
Per recuperare un'espressione XPath per un attributo utente di Workday:
Scaricare e installare Workday Studio. Per accedere al programma di installazione, è necessario un account della community di Workday.
Scaricare il file WSDL specifico Human_Resources di Workday per la versione dell'API WWS che si prevede di usare dalla directory dei servizi Web Workday.
Avviare Workday Studio.
Nella barra dei comandi selezionare l'opzione Servizio Web test Workday > in Tester .
Selezionare External (Esterno) e quindi selezionare il file Human_Resources WSDL scaricato al passaggio 2.
Impostare il campo Location (Percorso) su
https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources
, ma sostituendo "IMPL-CC" con il tipo di istanza effettivo e "TENANT" con il vero nome del tenant.Impostare Operation (Operazione) su Get_Workers
Fare clic sul piccolo collegamento configure (configura) sotto i riquadri relativi a richiesta e risposta per impostare le credenziali di Workday. Selezionare Authentication (Autenticazione) e quindi immettere nome utente e password per l'account di sistema di integrazione di Workday. Assicurarsi di formattare il nome utente come name@tenant e lasciare selezionata l'opzione WS-Security UsernameToken .
Seleziona OK.
Nel riquadro Richiesta, incollare il codice XML riportato di seguito. Impostare Employee_ID sull'ID del dipendente di un utente reale nel tenant di Workday. Impostare wd: version sulla versione di WWS che si prevede di usare. Selezionare un utente per il quale l'attributo da estrarre sia popolato.
<?xml version="1.0" encoding="UTF-8"?> <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema"> <env:Body> <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1"> <wd:Request_References wd:Skip_Non_Existing_Instances="true"> <wd:Worker_Reference> <wd:ID wd:type="Employee_ID">21008</wd:ID> </wd:Worker_Reference> </wd:Request_References> <wd:Response_Group> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Personal_Information>true</wd:Include_Personal_Information> <wd:Include_Employment_Information>true</wd:Include_Employment_Information> <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data> <wd:Include_Organizations>true</wd:Include_Organizations> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data> <wd:Include_Photo>true</wd:Include_Photo> <wd:Include_User_Account>true</wd:Include_User_Account> <wd:Include_Roles>true</wd:Include_Roles> </wd:Response_Group> </wd:Get_Workers_Request> </env:Body> </env:Envelope>
Fare clic su Send Request (Invia richiesta) (freccia verde) per eseguire il comando. Se il comando ha esito positivo, la risposta verrà visualizzata nel riquadro Response (Risposta). Controllare la risposta per assicurarsi che contenga i dati dell'ID utente immesso e non un errore.
In caso di esito positivo, copiare il codice XML dal riquadro Response (Risposta) e salvarlo come file XML.
Nella barra dei comandi di Workday Studio selezionare File > apri file e aprire il file XML salvato. Questa azione apre il file nell'editor XML di Workday Studio.
Nell'albero dei file passare a /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker per trovare i dati dell'utente.
In wd: Worker trovare l'attributo da aggiungere e selezionarlo.
Copiare l'espressione XPath per l'attributo selezionato dal campo Document Path (Percorso documento).
Rimuovere il prefisso /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ dall'espressione copiata.
Se l'ultimo elemento dell'espressione copiata è un nodo (ad esempio: "/wd: Birth_Date"), aggiungere /text() alla fine dell'espressione. Questo non è necessario se l'ultimo elemento è un attributo (ad esempio: "/@wd: type").
Il risultato dovrebbe essere simile a
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
. Questo valore è quello che si copia e si immette nell'interfaccia di amministrazione di Microsoft Entra.
Per aggiungere l'attributo utente Workday personalizzato alla configurazione del provisioning:
Avviare l'interfaccia di amministrazione di Microsoft Entra e passare alla sezione Provisioning dell'applicazione di provisioning workday, come descritto in precedenza in questa esercitazione.
Impostare Stato del provisioning su No e selezionare Salva. Questo passaggio consente di assicurarsi che le modifiche vengano applicate solo quando si è pronti.
In Mapping selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza ruoli di lavoro di Workday in Active Directory locale) o Synchronize Workday Workers to Microsoft Entra ID (Sincronizza ruoli di lavoro workday con l'ID Microsoft Entra).
Scorrere fino alla parte inferiore della schermata successiva e selezionare Mostra opzioni avanzate.
Selezionare Modifica elenco attributi per Workday.
Scorrere fino alla fine dell'elenco di attributi, dove si trovano i campi di input.
Per Nome immettere un nome visualizzato per l'attributo.
Per Tipo selezionare il tipo appropriato per l'attributo (il più comune è String).
Per Espressione API immettere l'espressione XPath copiata da Workday Studio. Esempio:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Selezionare Aggiungi attributo.
Selezionare Salva sopra e quindi Sì nella finestra di dialogo. Chiudere la schermata Mapping attributi se è ancora aperta.
Tornare alla scheda Provisioning principale, selezionare di nuovo Synchronize Workday Workers to On Premises Active Directory (Or Synchronize Workers to Microsoft Entra ID) (Sincronizza ruoli di lavoro in Locale Active Directory o Synchronize Workers to Microsoft Entra ID).
Selezionare Aggiungi nuovo mapping.
Il nuovo attributo dovrebbe ora essere visualizzato nell'elenco Attributo di origine.
Aggiungere un mapping per il nuovo attributo in base alle esigenze.
Al termine, ricordarsi di impostare Stato del provisioning di nuovo su Sì e salvare.
Esportazione e importazione della configurazione
Fare riferimento all'articolo Esportare e importare la configurazione del provisioning
Gestione dei dati personali
La soluzione di provisioning di Workday per Active Directory richiede l'installazione di un agente di provisioning in un server locale Windows. Questo agente crea i log nel registro eventi di Windows che può contenere informazioni personali a seconda dei mapping degli attributi da Workday in agli attributi mapping di AD. Per conformità agli obblighi di privacy degli utenti, è possibile garantire che nessun dato venga conservato nei registri eventi oltre le 48 ore impostando un'attività pianificata di Windows per eliminare il log eventi.
Il servizio di provisioning Microsoft Entra rientra nella categoria del responsabile del trattamento dei dati della classificazione GDPR. In quanto pipeline di elaborazione dati, Azure AD Connect Health fornisce servizi di elaborazione dati ai principali partner e utenti finali. Il servizio di provisioning Microsoft Entra non genera dati utente e non ha alcun controllo indipendente sui dati personali raccolti e sul modo in cui vengono usati. Il recupero dei dati, l'aggregazione, l'analisi e la creazione di report nel servizio di provisioning Di Microsoft Entra si basano sui dati aziendali esistenti.
Nota
Per informazioni sulla visualizzazione e sull'eliminazione di dati personali, vedere le indicazioni di Microsoft sul sito relativo alle Richieste degli interessati Windows ai sensi del GDPR. Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.
Per quanto riguarda la conservazione dei dati, il servizio di provisioning di Microsoft Entra non genera report, esegue analisi o fornisce informazioni dettagliate oltre 30 giorni. Pertanto, il servizio di provisioning Microsoft Entra non archivia, elabora o conserva i dati oltre 30 giorni. Questa progettazione è conforme alle normative GDPR, alle normative sulla conformità alla privacy Microsoft e ai criteri di conservazione dei dati di Microsoft Entra.
Passaggi successivi
- Altre informazioni sugli scenari di integrazione di Microsoft Entra ID e Workday e chiamate al servizio Web
- Informazioni su come esaminare i log e ottenere report sulle attività di provisioning
- Informazioni su come configurare l'accesso Single Sign-On tra Workday e Microsoft Entra ID
- Informazioni su come configurare il writeback di Workday
- Informazioni su come usare le API Microsoft Graph per gestire le configurazioni di provisioning