Share via

Workday configureren voor automatisch voorzien in gebruikers

  • Artikel

Het doel van dit artikel is om de stappen weer te geven die u moet uitvoeren om werkrolprofielen van Workday in te richten in on-premises Active Directory (AD).

Notitie

Gebruik dit artikel als de gebruikers die u wilt inrichten vanuit Workday een on-premises AD-account en een Microsoft Entra-account nodig hebben.

  • Als de gebruikers van Workday alleen een Microsoft Entra-account nodig hebben (alleen cloudgebruikers), raadpleegt u het artikel over Workday configureren voor Microsoft Entra ID gebruikersinrichting.
  • Raadpleeg het artikel over hetconfigureren van write-back van kenmerken zoals e-mailadres, gebruikersnaam en telefoonnummer van Microsoft Entra-id naar Workday.

In de volgende video vindt u een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met Workday.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met de Workday Human Resources-API om gebruikersaccounts in te richten. De werkstromen voor gebruikersinrichting van Workday die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers, maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

Wat is nieuw

In dit gedeelte vindt u informatie over recente verbeteringen van de integratie van Workday. Ga naar Wat is er nieuw in Microsoft Entra ID voor een lijst met uitgebreide updates, geplande wijzigingen en archieven?

  • Okt 2020 - Inrichting op aanvraag ingeschakeld voor Workday: Met inrichting op aanvraag kunt u nu end-to-end-inrichting testen voor een specifiek gebruikersprofiel in Workday om uw kenmerktoewijzing en expressielogica te controleren.

  • Mei 2020 - Mogelijkheid om telefoonnummers terug te schrijven naar Workday: naast e-mail en gebruikersnaam kunt u nu het telefoonnummer en mobiele telefoonnummer van Microsoft Entra-id terugschrijven naar Workday. Raadpleeg voor meer informatie de zelfstudie over de Writeback-app.

  • April 2020 - Ondersteuning voor de nieuwste versie van de WWS-API (Workday Web Services): Twee keer per jaar in maart en september biedt Workday uitgebreide updates die u helpen uw bedrijfsdoelen te bereiken en de personeelsbehoeften te veranderen. Als u de nieuwe functies van Workday wilt bijhouden, kunt u rechtstreeks de WWS API-versie opgeven die u wilt gebruiken in de verbindings-URL. Meer informatie over het opgeven van de versie van de Workday-API vindt u in het gedeelte over het configureren van Workday-connectiviteit.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze oplossing voor het inrichten van gebruikers van Workday is het meest geschikt voor:

  • Organisaties die behoefte hebben aan een vooraf ontwikkelde, cloudoplossing voor het inrichten van gebruikers met Workday

  • Organisaties die directe gebruikervoorziening van Workday naar Active Directory of Microsoft Entra ID vereisen

  • Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit de HCM-module van Workday (zie Get_Workers)

  • Organisaties waarbij gebruikers die toetreden, verplaatsen of vertrekken, moeten worden gesynchroniseerd met een of meer Active Directory-forests, domeinen en OE's, uitsluitend op basis van een wijziging die is gedetecteerd in de Workday HCM-module (zie Get_Workers).

  • Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur voor de oplossing

In deze sectie wordt de end-to-end-architectuur beschreven voor het inrichten van gebruikers voor gangbare hybride omgevingen. Er zijn twee gerelateerde stromen:

  • Gezaghebbende HR-gegevensstroom: van Workday naar on-premises Active Directory: In deze stroom worden werkgebeurtenissen zoals nieuwe medewerkers, overplaatsingen, beëindigingen eerst uitgevoerd in de cloud-HR-tenant van Workday en vervolgens worden de gebeurtenisgegevens doorgestuurd naar on-premises Active Directory via Microsoft Entra ID en de provisioningagent. Afhankelijk van de gebeurtenis kan dit leiden tot handelingen zoals maken, bijwerken, inschakelen of uitschakelen in Active Directory.
  • Writeback-stroom: van on-premises Active Directory naar Workday: zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra ID via Microsoft Entra Connect en kunnen gegevens, zoals e-mail, gebruikersnaam en telefoonnummer, worden teruggeschreven naar Workday.

Conceptueel diagram van overzicht.

End-to-end gegevensstroom van gebruikers

  1. Het HR-team voert werknemersmutaties (nieuwe medewerkers/overplaatsingen/afscheidenden of nieuwe aanstellingen/overplaatsingen/ontslagen) uit in Workday HCM.
  2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit Workday HR uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
  3. De Microsoft Entra-provisioningdienst roept de on-premises Microsoft Entra Connect-provisioningagent aan met een aanvraagpayload die bewerkingen omvat voor het maken, bijwerken, inschakelen of uitschakelen van AD-accounts.
  4. De Microsoft Entra Connect Provisioning Agent maakt gebruik van een serviceaccount om AD-accountgegevens toe te voegen/bij te werken.
  5. De Microsoft Entra Connect/AD Sync-engine voert deltasynchronisatie uit om updates in AD op te halen.
  6. De Active Directory-updates worden gesynchroniseerd met De Microsoft Entra-id.
  7. Als de app Workday Writeback is geconfigureerd, worden kenmerken zoals e-mailadres, gebruikersnaam en telefoonnummer teruggeschreven naar Workday.

Uw implementatie plannen

Het configureren van het inrichten van gebruikers van Workday in Active Directory vereist een degelijke planning waarbij rekening moet worden gehouden met verschillende aspecten, zoals:

  • Installatie van de Microsoft Entra Connect-voorzieningsagent
  • Aantal te implementeren apps voor het inrichten van Workday-gebruikers in AD
  • De juiste overeenkomende identificator, kenmerktoewijzing, transformatie en bereikfilters selecteren

Raadpleeg het implementatieplan voor HR-gegevens vanuit de cloud voor uitgebreide richtlijnen en best practices.

Integratiesysteemgebruiker configureren in Workday

Een veelvoorkomende vereiste voor alle provisioning connectors van Workday is dat ze de inloggegevens van een Workday-integratiesysteemgebruiker nodig hebben om verbinding te maken met de Workday Human Resources API. In dit gedeelte wordt beschreven hoe u een integratiesysteemgebruiker maakt in Workday. De volgende onderwerpen komen aan bod:

Notitie

Het is mogelijk om deze procedure te omzeilen en in plaats daarvan een Workday-beheerdersaccount te gebruiken als systeemintegratieaccount. Dit werkt mogelijk prima voor demo's, maar wordt niet aanbevolen voor productie-implementaties.

Een integratiesysteemgebruiker maken

U kunt als volgt een integratiesysteemgebruiker maken:

  1. Meld u met een beheerdersaccount aan bij uw Workday-tenant. Typ in de Workday Application de tekst 'create user' in het zoekvak en klik vervolgens op Create Integration System User.

    Schermopname van het maken van een gebruiker.

  2. Voer de taak Create Integration System User uit door een gebruikersnaam en wachtwoord op te geven voor de nieuwe integratiesysteemgebruiker.

    • Laat de optie Nieuw wachtwoord vereisen bij volgende aanmelding uitgeschakeld, omdat deze gebruiker zich programmatisch aanmeldt.
    • Laat de Time-out Minuten van de Sessie ingesteld op de standaardwaarde van 0, zodat de gebruikerssessies niet voortijdig verlopen.
    • Selecteer de optie Do Not Allow UI Sessions, aangezien dit een extra beveiligingslaag biedt die voorkomt dat een gebruiker met het wachtwoord van het integratiesysteem kan inloggen op Workday.

    Schermopname van Create Integration System User.

Een integratiebeveiligingsgroep maken

In deze stap maakt u een niet-getrainde of beperkte beveiligingsgroep voor integratiesystemen in Workday en wijst u de gebruiker van het integratiesysteem toe die u in de vorige stap hebt gemaakt aan deze groep.

Een beveiligingsgroep maken:

  1. Typ 'create security group' in het zoekvak en klik vervolgens op Create Security Group.

    Schermopname met 'create security group' ingevoerd in het zoekvak en 'Create Security Group - Task' weergegeven in de zoekresultaten.

  2. Voltooi de taak Create Security Group.

    • Er zijn twee typen beveiligingsgroepen in Workday:

      • Onbeperkt: Alle leden van de beveiligingsgroep hebben toegang tot alle gegevensexemplaren die door de beveiligingsgroep worden beveiligd.
      • Beperkt: alle leden van de beveiligingsgroep hebben contextuele toegang tot een subset van gegevensexemplaren (rijen) waartoe de beveiligingsgroep toegang heeft.

    • Overleg met uw integratiepartner voor Workday om het juiste type beveiligingsgroep te selecteren voor de integratie.

    • Als u weet welk type groep u moet gebruiken, selecteert u Integration System Security Group (Unconstrained) of Integration System Security Group (Constrained) in de vervolgkeuzelijst Type of Tenanted Security Group.

      Schermopname van CreateSecurity Group.

  3. Nadat het maken van de beveiligingsgroep is voltooid, ziet u een pagina waar u leden kunt toewijzen aan de beveiligingsgroep. Voeg de nieuwe integratiesysteemgebruiker toe die in de vorige stap is gemaakt aan deze beveiligingsgroep. Als u een beperkte beveiligingsgroep gebruikt, moet u het juiste organisatiebereik selecteren.

    Schermopname van Beveiligingsgroep bewerken.

Machtigingen voor domeinbeveiligingsbeleid configureren

In deze stap verleent u machtigingen voor het domeinbeveiligingsbeleid aan de beveiligingsgroep voor de werknemersgegevens.

Machtigingen voor domeinbeveiligingsbeleid configureren:

  1. Voer Beveiligingsgroeplidmaatschap en -toegang in het zoekvak in en klik op de koppeling naar het rapport.

    Schermopname van zoekmogelijkheden voor beveiligingsgroepslidmaatschappen.

  2. Zoek en selecteer de beveiligingsgroep die in de vorige stap is gemaakt.

    Schermopname van 'Select Security Group'.

  3. Klik op het beletselteken (...) naast de groepsnaam en selecteer in het menu de optie Domeinmachtigingen voor beveiligingsgroep > onderhouden voor beveiligingsgroep

    Schermopname van Selecteer Domeinmachtigingen beheren.

  4. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Put-toegang

    • External Account Provisioning
    • Werknemergegevens: Openbare werker rapporten
    • Persoonsgegevens: Contactgegevens voor werk (vereist als u van plan bent om contactgegevens van Microsoft Entra ID naar Workday terug te schrijven)
    • Workday-accounts (vereist als u van plan bent om gebruikersnaam/UPN van Microsoft Entra ID naar Workday terug te schrijven)

  5. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Get-toegang

    • Werkrolgegevens: Werknemers
    • Werknemersgegevens: Alle Functies
    • Werknemersgegevens: Huidige bezettingsinformatie
    • Werkrolgegevens: Functietitel op werkprofiel
    • Werknemersgegevens: Gekwalificeerde werknemers (optioneel: voeg dit toe om werknemerskwalificatiegegevens voor inrichting op te halen)
    • Werknemersgegevens: vaardigheden en ervaring (optioneel: voeg dit toe om vaardighedengegevens van werknemers op te halen voor provisioning)

  6. Nadat u de bovenstaande stappen hebt voltooid, wordt het machtigingsscherm weergegeven zoals hieronder wordt weergegeven:

    Schermopname van alle domeinbeveiligingsmachtigingen.

  7. Klik op OK en Gereed op het volgende scherm om de configuratie te voltooien.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren

In deze stap verleent u aan de beveiligingsgroep machtigingen voor beveiligingsbeleid voor bedrijfsprocessen voor de gegevens van werknemers.

Notitie

Deze stap is alleen vereist voor het instellen van de connector voor de Writeback-app van Workday.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren:

  1. Typ business process policy in het zoekvak en klik vervolgens op de link Edit Business Process Security Policy - Task.

    Schermopname met 'Business Process Policy' ingevoerd in het zoekvak en 'Edit Business Process Security Policy - Task' geselecteerd.

  2. Zoek in het tekstvak Business Process Type naar Contact, selecteer het bedrijfsproces Work Contact Change en klik op OK.

    Schermopname met de pagina Edit Business Process Security Policy en Work Contact Change gemarkeerd in het menu Business Process Type.

  3. Op de pagina Edit Business Process Security Policy, scrol naar de sectie Change Work Contact Information (Web Service).

  4. Selecteer de nieuwe beveiligingsgroep voor het integratiesysteem en voeg deze toe aan de lijst met beveiligingsgroepen die de aanvraag bij webservices kunnen initiëren.

    Schermopname van bedrijfsprocesbeveiligingsbeleid.

  5. Klik op Done.

Wijzigingen in beveiligingsbeleid activeren

Wijzigingen in beveiligingsbeleid activeren:

  1. Typ 'activate' in het zoekvak en klik vervolgens op de link Activate Pending Security Policy Changes.

    Schermopname van Activate.

  2. Start de taak Activate Pending Security Policy Changes door een opmerking in te voeren voor controledoeleinden en klik vervolgens op OK.

  3. Voltooi de taak op het volgende scherm door het selectievakje Confirm in te schakelen en klik vervolgens op OK.

    Schermopname van Openstaande beveiliging activeren.

Installatievereisten voor Provisioning Agent

Raadpleeg de installatievereisten voor de provisioningagent voordat u naar het volgende gedeelte gaat.

Configuratie van gebruikersprovisioning van Workday naar Active Directory

In deze sectie vindt u de stappen voor het inrichten van gebruikersaccounts van Workday in de Active Directory-domeinen binnen het bereik van uw integratie.

Deel 1: De app voor de voorzieningsconnector toevoegen en de voorzieningsagent downloaden

Om Workday naar Active Directory-userprovisioning te configureren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

  2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.

  3. Zoek Workday to Active Directory User Provisioning en voeg die app toe vanuit de galerie.

  4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

  5. Stel de Provisioningmodus in op Automatisch.

  6. Klik op de informatiebanner die verschijnt om de Provisioning Agent te downloaden.

    Schermopname van Download Agent.

Deel 2: Lokale voorzieningsagent(en) installeren en configureren

Om te voorzien in Active Directory on-premises, moet de Provisioning agent geïnstalleerd zijn op een server die deel uitmaakt van het domein en netwerktoegang heeft tot de gewenste Active Directory-domeinen.

Plaats het installatieprogramma van de gedownloade agent op de serverhost en volg de stappen die zijn vermeld in het gedeelte Agent installeren om de configuratie van de agent te voltooien.

Deel 3: Configureer in de inrichtings-app de connectiviteit met Workday en Active Directory

In deze stap maken we verbinding met Workday en Active Directory.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

  2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen> Workday naar Active Directory Gebruikersvoorziening-app die in deel 1 is gemaakt.

  3. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

    • Gebruikersnaam voor Workday: Voer de gebruikersnaam van het account voor het Workday-integratiesysteem in, waarbij de domeinnaam van de tenant is toegevoegd. Het ziet er ongeveer als volgt uit: username@tenant_name

    • Wachtwoord voor Workday: voer het wachtwoord van het account voor het Workday-integratiesysteem in

    • API-URL van Workday-webservices: Geef de URL naar het eindpunt van Workday-webservices voor uw tenant op. De URL bepaalt de versie van de Workday-webservices-API die door de connector wordt gebruikt.

      URL-indeling Gebruikte versie van WWS-API XPATH-wijzigingen vereist
      https://####.workday.com/ccx/service/tenantName v21.1 Nee
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Nee
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Ja

      Notitie

      Als er geen versiegegevens zijn opgegeven in de URL, gebruikt de app Workday-webservices (WWS) v21.1. Er zijn dan geen wijzigingen vereist voor de standaard API-expressies van XPATH die worden geleverd bij de app. Als u een specifieke WWS API-versie wilt gebruiken, geeft u versienummer op in de URL
      Voorbeeld: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Als u een WWS-API v30.0+ gebruikt voordat u de inrichtingstaak inschakelt, werkt u de XPATH API-expressies bij onder > die verwijst naar de sectie Uw configuratie- en Workday-kenmerkreferentie beheren.

    • Active Directory-forest: De 'naam' van uw Active Directory domein, zoals dit is geregistreerd bij de agent. Gebruik de vervolgkeuzelijst om het doeldomein voor voorziening te selecteren. Deze waarde bestaat meestal uit een tekenreeks zoals contoso.com

    • Active Directory-container: Voer de DN in van de container waarin de agent standaard gebruikersaccounts moet maken. Voorbeeld: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Notitie

      Deze instelling wordt alleen gebruikt voor het maken van gebruikersaccounts als het kenmerk parentDistinguishedName niet is geconfigureerd in de kenmerktoewijzingen. Deze instelling wordt niet gebruikt voor zoek- of updatebewerkingen van gebruikers. De gehele domeinsubboom valt binnen de scope van de zoekopdracht.

    • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

      Notitie

      De Microsoft Entra-voorzieningsservice verzendt een e-mailmelding als de voorzieningstaak een quarantaine-status krijgt.

    • Klik op de knop Verbinding testen. Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de test mislukt, controleert u of de Workday-referenties en de AD-referenties die zijn geconfigureerd voor de installatie van de agent geldig zijn.

    • Zodra de referenties succesvol zijn opgeslagen, wordt in de sectie Toewijzingen de standaardtoewijzing Workday-werknemers synchroniseren met on-premises Active Directory weergegeven.

Deel 4: Kenmerktoewijzingen configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van Workday naar Active Directory.

  1. Klik op het tabblad Inrichten onder Toewijzingen op Workday-werknemers synchroniseren met on-premises Active Directory.

  2. In het veld Bereik van bronobject kunt u selecteren welke sets van gebruikers in Workday binnen het bereik moeten vallen voor provisioning naar AD. Dit doet u door een set van op kenmerken gebaseerde filters te definiëren. Het standaardbereik is 'alle gebruikers in Workday'. Voorbeelden van filters:

    • Voorbeeld: Beperk gebruikers tot werknemer-ID's tussen 1000000 en 2000000 (exclusief 2000000)

      • Kenmerk: WorkerID

      • Operator: REGEX-overeenkomst

      • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Voorbeeld: Alleen werknemers en niet afhankelijke werknemers

      • Kenmerk: EmployeeID

      • Operator: is niet NULL

    Tip

    Wanneer u de inrichtings-app voor de eerste keer configureert, moet u uw kenmerktoewijzingen en expressies testen en controleren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft raadt aan om bereikfilters te gebruiken onder Bereik van bronobject en inrichting op aanvraag om uw toewijzingen te testen met een paar testgebruikers van Workday. Zodra u hebt gecontroleerd dat de toewijzingen werken, kunt u het filter verwijderen of het geleidelijk uitbreiden om meer gebruikers op te nemen.

    Let op

    Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw integratie van Workday en AD. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.

  3. In het veld Acties voor doelobject kunt u globaal filteren op welke acties er worden uitgevoerd in Active Directory. Maken en Bijwerken worden het meest gebruikt.

  4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van Workday worden toegewezen aan kenmerken van Active Directory.

  5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

    • Koppelingstype

      • Direct: de waarde van het Workday-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

      • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

      • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer Workday-kenmerken. Zie voor meer informatie dit artikel over expressies.

    • Bronkenmerk: het gebruikerskenmerk uit Workday. Als het kenmerk dat u zoekt niet aanwezig is, raadpleeg dan de lijst met gebruikerskenmerken van Workday aanpassen.

    • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, schrijft de toewijzing deze waarde in plaats daarvan. De meest voorkomende configuratie is om dit leeg te laten.

    • Doelkenmerk: het gebruikerskenmerk in Active Directory.

    • Objecten koppelen met dit kenmerk: geeft aan of deze toewijzing moet worden gebruikt om gebruikers uniek te identificeren tussen Workday en Active Directory. Deze waarde wordt meestal ingesteld op het veld Worker ID voor Workday. Dit veld wordt doorgaans toegewezen aan een van de kenmerken Werknemer-id in Active Directory.

    • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Als er meerdere zijn, worden ze geëvalueerd in de volgorde die door dit veld is bepaald. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

    • Deze verdeling toepassen

      • Altijd – Pas deze toewijzing toe bij zowel het aanmaken als bijwerken van gebruikers

      • Alleen tijdens gebruikerscreatie - Pas deze toewijzing alleen toe bij acties voor het aanmaken van gebruikers

  6. Om uw toewijzingen op te slaan, klikt u op Opslaan bovenaan de sectie Kenmerktoewijzing.

    Schermopname die de pagina

Hieronder ziet u enkele voorbeelden van kenmerktoewijzingen tussen Workday en Active Directory, met enkele algemene expressies

  • De expressie die is gekoppeld aan het kenmerk parentDistinguishedName wordt gebruikt om een gebruiker in te richten bij verschillende organisatie-eenheden op basis van een of meer bronkenmerken van Workday. In dit voorbeeld worden gebruikers in verschillende organisatie-eenheden geplaatst op basis van de stad waarin ze zich bevinden.

  • Het kenmerk userPrincipalName in Active Directory wordt gegenereerd met behulp van de deduplicatiefunctie SelectUniqueValue, die controleert op het bestaan van een gegenereerde waarde in het AD-doeldomein en deze alleen instelt als deze uniek is.

  • hier vindt u documentatie over het schrijven van expressies. In dit gedeelte vindt u voorbeelden van het verwijderen van speciale tekens.

WERKDAG-KENMERK ACTIVE DIRECTORY-KENMERK OVEREENKOMENDE ID? MAKEN/BIJWERKEN
WorkerID MedewerkerID Ja Alleen geschreven tijdens het maken
PreferredNameData cn Alleen opgeslagen bij aanmaken
SelectUniqueValue( Join("@", Join(".", [Voornaam], [Achternaam]), "contoso.com"), Join("@", Join(".", Mid([Voornaam], 1, 1), [Achternaam]), "contoso.com"), Join("@", Join(".", Mid([Voornaam], 1, 2), [Achternaam]), "contoso.com")) gebruikershoofdnaam Alleen tijdens het maken geschreven
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Alleen opgeslagen bij aanmaken
Switch([Actief], "0", "True", "1", "False") account uitgeschakeld Maken en bijwerken
FirstName voornaam Maken en bijwerken
LastName sn Maken en bijwerken
PreferredNameData weergavenaam Maken en bijwerken
Bedrijf bedrijf Maken en bijwerken
ToezichthoudendeOrganisatie afdeling Maken en bijwerken
ManagerReference leidinggevende Maken en bijwerken
BusinessTitle titel Maken en bijwerken
AddressLineData straatadres Maken en bijwerken
Gemeente l Maken en bijwerken
CountryReferenceTwoLetter co Maken en bijwerken
CountryReferenceTwoLetter c Maken en bijwerken
CountryRegionReference st Maken en bijwerken
WorkSpaceReference naamFysiekBezorgkantoor Maken en bijwerken
PostalCode postalCode Maken en bijwerken
PrimaryWorkTelephone telefoonnummer Maken en bijwerken
Fax telefoonnummerFax Maken en bijwerken
Mobiel mobiele apparaten Maken en bijwerken
LocalReference voorkeurtalen Maken en bijwerken
Switch([Gemeente], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Maken en bijwerken

Nadat de configuratie van de kenmerktoewijzing is voltooid, kunt u de voorziening testen voor een enkele gebruiker met voorziening op aanvraag en vervolgens kunt u de gebruikersvoorzieningsservice inschakelen en starten.

Gebruikersvoorzieningen inschakelen en in gang zetten

Zodra de configuraties van de Workday-inrichtingsapp zijn voltooid en u de inrichting hebt gecontroleerd voor één gebruiker met inrichting op aanvraag, kunt u de inrichtingsservice inschakelen.

Tip

Wanneer u de provisioningsservice inschakelt, worden standaard provisioningsbewerkingen gestart voor alle gebruikers die binnen de scope vallen. Als er fouten zijn opgetreden in de mapping of als er problemen zijn met Workday-gegevens, kan de voorzieningstaak mislukken en in de quarantaine-status gaan. Om dit te voorkomen, raden we u als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers via on-demand provisioning voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

  1. Ga naar de Blade Inrichten en klik op Inrichting starten.

  2. Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de Workday-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

  3. Controleer op elk gewenst moment het tabblad Inrichten in het Microsoft Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers worden gelezen uit Workday en vervolgens worden toegevoegd of bijgewerkt naar Active Directory. Raadpleeg de sectie Probleemoplossing voor instructies over het controleren van de inrichtingslogboeken en het oplossen van inrichtingsfouten.

  4. Zodra de initiële synchronisatie is voltooid, wordt er een auditoverzichtsrapport op het tabblad Inrichten geschreven, zoals hieronder wordt weergegeven.

    Schermopname van de voortgangsbalk van de configuratie

Veelgestelde vragen (FAQ)

Vragen over mogelijkheden van oplossing

Hoe stelt de oplossing het wachtwoord in voor een nieuw gebruikersaccount in Active Directory als een nieuwe werknemer wordt verwerkt vanuit Workday?

Wanneer de on-premises inrichtingsagent een aanvraag krijgt voor het maken van een nieuw AD-account, wordt er automatisch een complex willekeurig wachtwoord gegenereerd dat voldoet aan de vereisten voor wachtwoordcomplexiteit die zijn gedefinieerd door de AD-server en wordt dit wachtwoord ingesteld voor het gebruikersobject. Dit wachtwoord wordt nergens geregistreerd.

Biedt de oplossing ondersteuning voor het verzenden van e-mailmeldingen als de inrichtingsbewerkingen zijn voltooid?

Nee, het verzenden van e-mailmeldingen na het voltooien van inrichtingsbewerkingen wordt niet ondersteund in de huidige versie.

Slaat de oplossing Workday-gebruikersprofielen in de Microsoft Entra-cloud of in de inrichtingsagentlaag op?

Nee, de oplossing onderhoudt geen cache met gebruikersprofielen. De Microsoft Entra-voorzieningsservice dient als een gegevensverwerker, leest gegevens uit Workday en schrijft naar de doel-Active Directory of Microsoft Entra ID. Zie de sectie Persoonlijke gegevens beheren voor informatie over de privacy van gebruikers en het bewaren van gegevens.

Ondersteunt de oplossing de toewijzing van on-premises AD-groepen aan de gebruiker?

Deze functionaliteit wordt momenteel niet ondersteund. De aanbevolen tijdelijke oplossing is het implementeren van een PowerShell-script waarmee het Microsoft Graph API-eindpunt wordt opgevraagd voor het inrichten van logboekgegevens en dat wordt gebruikt om scenario's zoals groepstoewijzing te activeren. Dit PowerShell-script kan worden gekoppeld aan een taakplanner en worden geïmplementeerd op dezelfde computer als die waarop de inrichtingsagent wordt uitgevoerd.

Welke Workday-API's gebruikt de oplossing voor het opvragen en bijwerken van werknemersprofielen in Workday?

De oplossing maakt momenteel gebruik van de volgende Workday-API's:

  • De notatie van de Workday Web Services API-URL die wordt gebruikt in de sectie Admin Credentials bepaalt de API-versie die wordt gebruikt voor Get_Workers:

    • Als de URL-indeling is, https://####.workday.com/ccx/service/tenantName wordt API v21.1 gebruikt.
    • Als de URL-indeling is: https://####.workday.com/ccx/service/tenantName/Human_Resources , wordt API v21.1 gebruikt
    • Als de URL-indeling: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# is, wordt de opgegeven API-versie gebruikt. (Voorbeeld: als v34.0 is opgegeven, wordt dit gebruikt.)

  • De functie voor write-back van e-mailadressen van Workday maakt gebruik van Change_Work_Contact_Information (v 30.0)

  • De functie voor terugschrijven van gebruikersnamen van Workday maakt gebruik van Update_Workday_Account (v31.2)

Kan ik mijn Workday HCM-tenant configureren met twee Microsoft Entra-tenants?

Ja, deze configuratie wordt ondersteund. Dit zijn de algemene stappen voor het configureren van dit scenario:

  • Implementeer de inrichtingsagent #1 en registreer deze bij Microsoft Entra-tenant #1.
  • Implementeer de inrichtingsagent #2 en registreer deze bij Microsoft Entra-tenant #2.
  • Op basis van de "onderliggende domeinen" die elke inrichtingsagent beheert, configureert u elke agent met de betreffende domeinen. Eén agent kan meerdere domeinen beheren.
  • Stel in het Microsoft Entra-beheercentrum de app Workday in voor AD-gebruikersinrichting in elke tenant en configureer deze met de respectieve domeinen.

Uw feedback is zeer belangrijk omdat deze ons helpt de richting te bepalen voor toekomstige releases en verbeteringen. We verwelkomen alle feedback en moedigen u aan uw idee of verbeteringssuggesties in te dienen op het feedbackforum van Microsoft Entra ID. Voor specifieke feedback met betrekking tot de Workday-integratie selecteert u de categorie SaaS Applications en zoekt u met het trefwoord Workday om bestaande feedback te vinden over Workday.

Schermopname van UserVoice Workday.

Als u een nieuw idee wilt voorstellen, kijk dan eerst of niet iemand anders al een vergelijkbare functie heeft voorgesteld. In dat geval kunt u stemmen op die aanvraag voor een nieuwe functie of verbetering. U kunt ook een opmerking over uw specifieke use-case achterlaten om uw ondersteuning voor het idee weer te geven en te laten zien hoe de functie ook waardevol voor u is.

Vragen over voorzieningsagent

Wat is de GA-versie van de provisioneringsagent?

Raadpleeg Microsoft Entra Connect Provisioning Agent: Versiereleasegeschiedenis voor de nieuwste algemeen beschikbare versie van de Provisioning Agent.

Hoe kan ik zien welke versie van de inrichtingsagent ik heb?

  1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
  2. Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen.
  3. Zoek de versie die overeenkomt met de vermelding Microsoft Entra Connect Provisioning Agent.

Worden Provisioning Agent-updates automatisch door Microsoft gepusht?

Ja, Microsoft werkt de inrichtingsagent automatisch bij als de Windows-service Microsoft Entra Connect Agent Updater actief is.

Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect wordt uitgevoerd?

Ja, u kunt de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Connect wordt uitgevoerd.

Op het moment van configuratie vraagt de inrichtingsagent om beheerdersreferenties van Microsoft Entra. Worden de referenties lokaal op de server opgeslagen door de Agent?

Tijdens de configuratie vraagt de inrichtingsagent alleen om beheerdersreferenties van Microsoft Entra om verbinding te maken met uw Microsoft Entra-tenant. De referenties worden niet lokaal op de server opgeslagen. De referenties die worden gebruikt om verbinding te maken met het on-premises Active Directory-domein worden wel opgeslagen in een lokale Windows-wachtwoordkluis.

Hoe kan ik de inrichtingsagent configureren voor het gebruik van een proxyserver voor uitgaande HTTP-communicatie?

De Provisioning Agent ondersteunt het gebruik van een uitgaande proxy. U kunt dit configureren door het configuratiebestand C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config te bewerken. Voeg de volgende regels toe aan het einde van het bestand vlak voor de afsluitende </configuration> tag. Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die door de agent zijn vereist?

U kunt ook controleren of alle vereiste poorten open zijn.

Kan één inrichtingsagent worden geconfigureerd voor het inrichten van meerdere AD-domeinen?

Ja, een inrichtingsagent kan worden geconfigureerd voor het verwerken van meerdere AD-domeinen, op voorwaarde dat de agent contact heeft met de betreffende domeincontrollers. Microsoft raadt aan om een groep van 3 inrichtingsagents in te stellen die dezelfde set AD-domeinen leveren om hoge beschikbaarheid te garanderen en failover-ondersteuning te bieden.

Hoe kan ik het domein dat is gekoppeld aan mijn provisioneringsagent deregistreren?

*, haal de tenant-id van uw Microsoft Entra-tenant op.

  • Meld u aan bij de Windows-server waarop de inrichtingsagent wordt uitgevoerd.

  • Open PowerShell als Windows-beheerder.

  • Ga naar de map met de registratiescripts en voer de volgende opdrachten uit om de parameter [tenant-id] te vervangen door de waarde van uw tenant-id.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Er verschijnt een lijst met agenten. Kopieer uit deze lijst de waarde van het veld id van de resource waarvan de waarde voor resourceName gelijk is aan de naam van uw AD-domein.

  • Plak de ID-waarde in deze opdracht en voer de opdracht uit in PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Voer de configuratiewizard voor de agent opnieuw uit.

  • Alle andere agents die eerder aan dit domein zijn toegewezen, moeten opnieuw worden geconfigureerd.

Hoe kan ik de Provisioning Agent verwijderen?

  • Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
  • Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen
  • Verwijder de volgende programma's:
    • Inrichtingsagent voor Microsoft Entra Connect
    • Updater voor Microsoft Entra Connect-agent
    • Microsoft Entra Connect Verstoringsagentpakket

Vragen over het koppelen van kenmerken van Workday en AD en over de configuratie

Hoe kan ik een back-up maken van een werkkopie met de toewijzingen en het schema van inrichtingskenmerken van Workday of hoe kan ik die exporteren?

U kunt de Microsoft Graph API gebruiken om uw Workday-gebruikersvoorzieningenconfiguratie te exporteren. Raadpleeg de stappen in de sectie Uw Workday-gebruikersvoorzieningen-kenmerktoewijzingsconfiguratie exporteren en importeren voor nadere details.

Ik heb aangepaste kenmerken in Workday en Active Directory. Hoe kan ik de oplossing configureren voor gebruik van deze aangepaste kenmerken?

De oplossing ondersteunt aangepaste kenmerken voor Workday en Active Directory. Als u aangepaste kenmerken wilt toevoegen aan het toewijzingsschema, opent u de blade Kenmerktoewijzing en scrolt u omlaag om de sectie Geavanceerde opties weergeven uit te vouwen.

Schermopname van Lijst met kenmerken bewerken.

Als u uw aangepaste Workday-kenmerken wilt toevoegen, selecteert u de optie Kenmerkenlijst bewerken voor Workday. Om de aangepaste AD-kenmerken toe te voegen, selecteert u de optie Kenmerkenlijst bewerken voor On-premises Active Directory.

Zie ook:

Hoe kan ik de oplossing zodanig configureren dat kenmerken in AD alleen worden bijgewerkt op basis van wijzigingen in Workday en er geen nieuwe AD-accounts worden gemaakt?

Deze configuratie kan worden bereikt door Acties voor doelobject in het venster Kenmerktoewijzingen als volgt in te stellen:

Schermopname van de actie Bijwerken.

Selecteer het selectievakje "Bijwerken" zodat alleen update-bewerkingen van Workday naar AD worden overgebracht.

Kan ik de foto van gebruikers in Workday gebruiken in Active Directory?

De oplossing biedt momenteel geen ondersteuning voor het instellen van binaire kenmerken, zoals thumbnailPhoto en jpegPhoto in Active Directory.

  • Ga naar het "Blade Inrichten" van uw Workday Provisioning-App.

  • Klik op de Kenmerktoewijzingen.

  • Onder Toewijzingen selecteer Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra ID).

  • Scrol op de pagina Kenmerktoewijzingen naar beneden en vink het selectievakje "Geavanceerde opties tonen" aan. Klik op Kenmerkenlijst bewerken voor Workday.

  • Zoek in de geopende blade het kenmerk 'Mobiel' en klik in de rij, zodat u de API-expressie kunt bewerkenSchermopname van Mobiel AVG.

  • Vervang de API-expressie door de volgende nieuwe expressie, waarmee het zakelijke mobiele nummer alleen wordt opgehaald als de vlag Public Usage in Workday is ingesteld op True.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Sla de kenmerkenlijst op.

  • Sla de kenmerktoewijzing op.

  • Wis de huidige status en start de volledige synchronisatie opnieuw.

Hoe kan ik weergavenamen opmaken in AD op basis van de kenmerken van gebruikers voor afdeling/land/plaats en hoe kan ik regionale afwijkingen afhandelen?

het is een algemene vereiste om het kenmerk displayName in AD te configureren, zodat het ook informatie biedt over de afdeling en het land/de regio van de gebruiker. Als John Smith bijvoorbeeld in de Afdeling Marketing in de VS werkt, wilt u misschien dat zijn displayName wordt weergegeven als Smith, John (Marketing-US).

U kunt dergelijke vereisten voor het samenstellen van CN of displayName als volgt afhandelen om kenmerken zoals bedrijf, bedrijfseenheid, plaats of land/regio op te nemen.

  • Elk Workday-kenmerk wordt opgehaald met behulp van een onderliggende XPATH API-expressie, die kan worden geconfigureerd in kenmerktoewijzing -> Geavanceerde sectie -> Kenmerkenlijst bewerken voor Workday. Hier ziet u de standaard XPATH-API-expressie voor Workday PreferredFirstName, PreferredLastName, Company en SupervisoryOrganization-kenmerken.

    Workday-kenmerk API XPATH-expressie
    Voorkeursvoornaam wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    Voorkeursachternaam wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Bedrijf wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    Toezichthoudende Organisatie wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Neem contact op met uw Workday-team om te bevestigen dat de API-expressie hierboven geldig is voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

  • Op een vergelijkbare manier worden de land- of regiogegevens die aanwezig zijn in Workday opgehaald met behulp van de volgende XPATH-expressie: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    In de sectie met Workday-kenmerken zijn vijf land- en regiospecifieke kenmerken beschikbaar.

    Workday-attribuut API XPATH-expressie
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Neem contact op met uw Workday-team om te bevestigen dat de API-expressies hierboven geldig zijn voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

  • Om de juiste kenmerkmapping-expressie te maken, bepaalt u welk Workday-kenmerk 'gezaghebbend' is voor de voornaam, de achternaam, het land/de regio en de afdeling van de gebruiker. Stel dat de kenmerken respectievelijk PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter en SupervisoryOrganization zijn. U kunt deze informatie als volgt gebruiken om een expressie te maken voor het AD-kenmerk displayName om een weergavenaam zoals Smith, John (Marketing-US) te produceren.

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Nadat u de juiste expressie hebt, bewerkt u de tabel Kenmerktoewijzingen en wijzigt u de kenmerktoewijzing displayName , zoals hieronder wordt weergegeven: Schermopname van DisplayName Mapping.

  • Als we het bovenstaande voorbeeld uitbreiden, bijvoorbeeld om plaatsnamen uit Workday om te zetten in drie hoofdletters en deze vervolgens te gebruiken om weergavenamen te genereren zoals Smith, John (CHI) of Doe, Jane (NYC), kan dit resultaat worden bereikt met behulp van een Switch-expressie met het Workday-kenmerk Municipality als de determinante variabele.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Zie ook:

Hoe kan ik SelectUniqueValue gebruiken om unieke waarden te genereren voor het kenmerk samAccountName?

Stel dat u unieke waarden wilt genereren voor het kenmerk samAccountName aan de hand van een combinatie van de kenmerken FirstName en LastName uit Workday. Hieronder ziet u een expressie die u als uitgangspunt kunt nemen:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Hoe de bovenstaande expressie werkt: Als de gebruiker John Smith is, probeert deze eerst JSmith te genereren, als JSmith al bestaat, wordt JoSmith gegenereerd, als dat bestaat, wordt JohSmith gegenereerd. De expressie zorgt er ook voor dat de gegenereerde waarde voldoet aan de lengtebeperking en de beperking voor speciale tekens die zijn gekoppeld aan samAccountName.

Zie ook:

Hoe kan ik tekens met diakritische tekens verwijderen en deze converteren naar gewone tekens?

Gebruik de functie NormalizeDiacritics om speciale tekens te verwijderen uit de voor- en achternaam van de gebruiker bij het samenstellen van het e-mailadres of de CN-waarde voor de gebruiker.

Tips voor probleemoplossing

Deze paragraaf biedt specifieke richtlijnen voor het oplossen van voorzieningsproblemen met uw Workday-integratie door gebruik te maken van de Microsoft Entra-voorzieningslogboeken en Windows Server Event Viewer logboeken. Het bouwt voort op de algemene stappen en concepten die zijn vastgelegd in de zelfstudie: Rapportage over automatische inrichting van gebruikersaccounts

In deze sectie worden de volgende aspecten van het oplossen van problemen behandeld:

Inrichtingsagent configureren om Event Viewer-logs uit te voeren

  1. Aanmelden bij de Windows-server waarop de inrichtingsagent is geïmplementeerd

  2. Stop de service Microsoft Entra Connect Provisioning Agent.

  3. Maak een kopie van het oorspronkelijke configuratiebestand: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Vervang het bestaande gedeelte <system.diagnostics> door het volgende.

    • De listener-configuratie etw verzendt berichten naar de Event Viewer-logboeken
    • De listener-config textWriterListener verzendt traceringsberichten naar het bestand ProvAgentTrace.log. Verwijder de opmerking bij de regels met betrekking tot textWriterListener alleen voor geavanceerde probleemoplossing.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Start de service Microsoft Entra Connect Provisioning Agent.

Windows Logboekviewer instellen voor het oplossen van problemen met agenten

  1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïmplementeerd.

  2. Open de desktop-app Windows Server Logboekviewer.

  3. Selecteer > voor Windows-logboeken.

  4. Gebruik de optie Huidig logboek filteren... om alle gebeurtenissen weer te geven die zijn geregistreerd onder de bron microsoft Entra Connect Provisioning Agent en gebeurtenissen uitsluiten met gebeurtenis-id '5', door het filter '-5' op te geven, zoals hieronder wordt weergegeven.

    Notitie

    Gebeurtenis-id 5 legt bootstrap-berichten van agents vast aan de Microsoft Entra-cloudservice. Daarom filteren we deze tijdens het analyseren van de logboekbestanden.

    Schermopname van Windows Logboekviewer.

  5. Klik op OK en sorteer de resultaten op de kolom Datum en tijd.

Inrichtingslogboeken voor het Microsoft Entra-beheercentrum instellen voor het oplossen van problemen met de service

  1. Start het Microsoft Entra-beheercentrum en navigeer naar de sectie Inrichten van uw Workday-inrichtingstoepassing.

  2. Gebruik de knop Kolommen op de pagina Inrichtingslogboeken om alleen de volgende kolommen weer te geven in de weergave (Datum, Activiteit, Status, Reden van status). Deze configuratie zorgt ervoor dat u zich alleen kunt concentreren op gegevens die relevant zijn voor het oplossen van problemen.

    Schermopname van de kolommen van het inrichtingslogboek.

  3. Gebruik de queryparameters Doel en Datumbereik om de weergave te filteren.

    • Stel de queryparameter Doel in op de werknemer-id ('Worker ID' of 'Employee ID') van het werknemersobject uit Workday.
    • Stel het Datumbereik in op een geschikte periode waarin u wilt controleren op fouten of problemen met de voorziening.

    Schermopname van inrichtingslogboekfilters.

Inzicht in logboeken voor het aanmaken van AD-gebruikersaccounts

Wanneer er een nieuwe medewerker in Workday wordt gedetecteerd (bijvoorbeeld met werknemer-id 21023), probeert de Microsoft Entra-inrichtingsservice een nieuw AD-gebruikersaccount voor de werknemer te maken en worden in het proces vier inrichtingslogboekrecords gemaakt, zoals hieronder wordt beschreven:

Schermopname van inrichtingslogboeken maken.

Wanneer u op een van de inrichtingslogboekrecords klikt, wordt de pagina Activiteitsgegevens geopend. Hier ziet u de pagina Activiteitsgegevens voor elk type logboekrecord.

  • Workday-importrecord : deze logboekrecord geeft de werkrolgegevens weer die zijn opgehaald uit Workday. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • AD-importrecord : deze logboekrecord geeft informatie weer van het account dat is opgehaald uit AD. Net als bij het maken van de initiële gebruikers is er geen AD-account, geeft de activiteitsstatusreden aan dat er geen account met de overeenkomende ID-attribuutwaarde is gevonden in Active Directory. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Om logboekrecords van de inrichtingsagent te vinden die overeenkomen met deze AD-importbewerking, opent u de Windows Logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te zoeken die de kenmerkwaarde Overeenkomende ID/Eigenschap Koppelen bevatten (in dit geval 21023).

    Schermopname van Zoeken.

    Zoek naar de vermelding met gebeurtenis-id = 9, waarmee u het LDAP-zoekfilter krijgt dat door de agent wordt gebruikt om het AD-account op te halen. U kunt controleren of dit het juiste zoekfilter is om unieke gebruikersvermeldingen op te halen.

    De record direct daarna met Event ID = 2 bevat het resultaat van de zoekbewerking en of deze resultaten heeft opgeleverd.

  • Actierecord voor synchronisatieregels : deze logboekrecord bevat de resultaten van de kenmerktoewijzingsregels en geconfigureerde bereikfilters, samen met de inrichtingsactie die wordt uitgevoerd om de binnenkomende Workday-gebeurtenis te verwerken. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met de synchronisatie-actie. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object is added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Als er problemen zijn met uw kenmerktoewijzingsexpressies of de binnenkomende Workday-gegevens problemen hebben (bijvoorbeeld: lege of null-waarde voor vereiste kenmerken), ziet u in deze fase een fout met de foutcode die details van de fout opgeeft.

  • AD-exportrecord : Deze logboekrecord geeft het resultaat weer van de bewerking voor het maken van EEN AD-account, samen met de kenmerkwaarden die in het proces zijn ingesteld. Gebruik de informatie in de sectie Aanvullende details van de logboekvermelding om problemen op te lossen met de account aanmaakbewerking. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren. In de sectie "Aanvullende details" is 'EventName' ingesteld op 'EntryExportAdd', is 'JoiningProperty' ingesteld op de waarde van het "Matching ID"-attribuut, is 'SourceAnchor' ingesteld op de WorkdayID (WID) die aan de record is gekoppeld, en is 'TargetAnchor' ingesteld op de waarde van het AD-kenmerk "ObjectGuid" van de nieuw aangemaakte gebruiker.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object is created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user

    Als u de logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-exportbewerking, opent u de Windows-logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te vinden die de attribuutwaarde Overeenkomende ID/Koppelings Eigenschap bevatten (in dit geval 21023).

    Zoek naar een HTTP POST-record die overeenkomt met de tijdstempel van de exportbewerking met gebeurtenis-id = 2. Deze record bevat de kenmerkwaarden die door de inrichtingsservice naar de inrichtingsagent worden verzonden.

    Schermopname van het 'HTTP POST'-record in het logboek van de inrichtingsagent.

    Direct na afloop van de bovenstaande gebeurtenis moet er een andere gebeurtenis plaatsvinden die de respons van de bewerking voor het maken van het AD-account vastlegt. Deze gebeurtenis retourneert het nieuwe objectGuid dat is gemaakt in AD en het wordt ingesteld als het kenmerk TargetAnchor in de provisioningservice.

    Schermopname van het logboek van de 'Provisioning Agent' met de objectGuid die door AD is gemaakt, gemarkeerd.

Inzicht in logboeken voor het bijwerken van managers

Het kenmerk Manager is een verwijzingskenmerk in AD. De inrichtingsservice stelt het managerkenmerk niet in als onderdeel van de creatie van de gebruiker. In plaats daarvan wordt het kenmerk Manager ingesteld als onderdeel van een bewerking update nadat het AD-account is gemaakt voor de gebruiker. Laten we het bovenstaande voorbeeld eens uitbreiden omdat er een nieuwe werknemer met de werknemer-id 21451 is geactiveerd in Workday. De manager van deze werknemer (21023) heeft al een AD-account. In dit scenario worden er in de Provisioninglogboeken voor gebruiker 21451 vijf vermeldingen gevonden.

Schermopname van Manager Update.

De eerste vier records zijn vergelijkbaar met de records die we hebben onderzocht in de gebruikersaanmaakbewerking. De vijfde record is de export die is gekoppeld aan het bijwerken van het kenmerk Manager. De logboekrecord bevat het resultaat van de bewerking voor het bijwerken van het AD-account van de manager, die wordt uitgevoerd met behulp van het kenmerk objectGuid van de manager.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Veelvoorkomende fouten oplossen

In deze sectie besteden we aandacht aan fouten die vaak optreden bij het inrichten van gebruikers van Workday en hoe u die kunt oplossen. De fouten kunnen als volgt worden gegroepeerd:

Fouten met voorzieningsagent

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Fout bij het installeren van de inrichtingsagent met foutbericht: Service 'Microsoft Entra Connect Provisioning Agent' (AADConnectProvisioningAgent) kan niet worden gestart. Controleer of u voldoende bevoegdheden hebt om het systeem te starten. Deze fout wordt meestal weergegeven als u de inrichtingsagent probeert te installeren op een domeincontroller en groepsbeleid voorkomt dat de service wordt gestart. Het is ook zichtbaar als u een eerdere versie van de agent hebt uitgevoerd en u deze nog niet hebt verwijderd voordat u een nieuwe installatie start. Installeer de inrichtingsagent op een server die geen domeincontroller is. Zorg ervoor dat vorige versies van de agent zijn verwijderd voordat u de nieuwe agent installeert.
2. De Windows-service Microsoft Entra Connect Provisioning Agent heeft de beginstatus en schakelt niet over naar de status Actief . Als onderdeel van de installatie maakt de agentwizard een lokaal account (NT Service\AADConnectProvisioningAgent) op de server. Dit is het aanmeldingsaccount dat wordt gebruikt voor het starten van de service. Als een beveiligingsbeleid op uw Windows-server voorkomt dat lokale accounts de services uitvoeren, treedt deze fout op. Open de Services-console. Klik met de rechtermuisknop op de Windows-service 'Microsoft Entra Connect Provisioning Agent' en geef op het aanmeldingstabblad het account op van een domeinbeheerder om de service uit te voeren. Start de service opnieuw.
3. Tijdens het configureren van de inrichtingsagent met uw AD-domein, in de stap Verbinding maken met Active Directory, duurt het lang om het AD-schema te laden en treedt er uiteindelijk een time-out op. Deze fout komt meestal voor als de wizard geen contact kan maken met de controllerserver van het AD-domein door firewallproblemen. Op het scherm van de wizard Active Directory verbinden, terwijl u de referenties voor uw AD-domein opgeeft, is er een optie genaamd Prioriteit van domeincontroller selecteren. Gebruik deze optie om een domeincontroller te selecteren die zich in dezelfde site als de server van de agent bevindt en zorg ervoor dat er geen firewallregels zijn die de communicatie blokkeren.

Connectiviteitsfouten

Als de inrichtingsservice geen verbinding kan maken met Workday of Active Directory, kan dit tot gevolg hebben dat het inrichtingsproces in quarantainestatus terechtkomt. Gebruik de onderstaande tabel om verbindingsproblemen op te lossen.

# Scenario in geval van fout Mogelijke oorzaken Aanbevolen oplossing
1. Wanneer u op Verbinding testen klikt, wordt het foutbericht weergegeven: Er is een fout opgetreden bij het maken van verbinding met Active Directory. Zorg ervoor dat de on-premises inrichtingsagent wordt uitgevoerd en dat deze is geconfigureerd met het juiste Active Directory-domein. Deze fout wordt meestal weergegeven als de inrichtingsagent niet wordt uitgevoerd of als er een firewall is die de communicatie tussen Microsoft Entra-id en de inrichtingsagent blokkeert. Mogelijk ziet u deze fout ook als het domein niet is geconfigureerd in de wizard Agent. Open de console Services op de Windows-server om te controleren of de agent wordt uitgevoerd. Open de wizard van de inrichtingsagent en controleer of het juiste domein bij de agent is geregistreerd.
2. De inrichtingstaak gaat in quarantainestatus tijdens het weekend (vrijdag-zaterdag) en we krijgen een e-mailmelding dat er een fout is met de synchronisatie. Een veelvoorkomende oorzaak van deze fout is de geplande downtime voor Workday. Als u een Workday-implementatietenant gebruikt, moet u er rekening mee houden dat Workday gepland onderhoud uitvoert voor zijn implementatietenants in het weekend (meestal van vrijdagavond tot zaterdagochtend) en dat in die periode de inrichtingsapps van Workday in een quarantaine-status terecht kunnen komen omdat ze geen verbinding kunnen maken met Workday. De status wordt weer normaal zodra de Workday-implementatietenant weer online is. In zeldzame gevallen ziet u deze fout mogelijk ook als het wachtwoord van de integratiesysteemgebruiker is gewijzigd vanwege het vernieuwen van de tenant, of als het account is vergrendeld of de status Verlopen heeft. Neem contact op met de Workday-beheerder of integratiepartner voor informatie over de geplande downtime van Workday om de waarschuwingen tijdens deze periode te negeren en de beschikbaarheid te bevestigen zodra het Workday-exemplaar weer online is.

Fouten bij het maken van Azure AD-gebruikersaccount

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Mislukte exportbewerkingen in het inrichtingslogboek met het bericht Fout: OperationsError-SvcErr: Er is een bewerkingsfout opgetreden. Er is geen superieure verwijzing geconfigureerd voor de adreslijstservice. De adreslijstservice kan daarom geen verwijzingen naar objecten buiten dit forest uitgeven. Deze fout wordt meestal weergegeven als de Active Directory-container niet juist is ingesteld of als er problemen zijn met de expressietoewijzing die wordt gebruikt voor parentDistinguishedName. Controleer of de OU-parameter voor Active Directory-container geen typefouten bevat. Als u parentDistinguishedName gebruikt in de kenmerktoewijzing, zorgt u ervoor dat deze altijd evalueert naar een bekende container binnen het AD-domein. Controleer de gebeurtenis Exporteren in de inrichtingslogboeken om de gegenereerde waarde te bekijken.
2. Exportbewerkingsfouten in het inrichtingslogboek met foutcode: SystemForCrossDomainIdentityManagementBadResponse en bericht Fout: ConstraintViolation-AtrErr: een waarde in het verzoek is ongeldig. Een waarde voor het kenmerk was niet in het acceptabele waardenbereik. \nFoutdetails: CONSTRAINT_ATT_TYPE - bedrijf. Hoewel deze fout specifiek is voor het kenmerk company, kan deze fout ook worden weergegeven voor andere kenmerken, zoals CN. Deze fout is het gevolg van een door AD afgedwongen schemabeperking. Standaard geldt voor kenmerken zoals company en CN in AD een maximum van 64 tekens. Als de waarde die afkomstig is van Workday langer is dan 64 tekens, wordt dit foutbericht weergegeven. Controleer de gebeurtenis Exporteren in de inrichtingslogboeken om de waarde voor het kenmerk te zien dat in het foutbericht is gerapporteerd. Overweeg de waarde die afkomstig is van Workday af te breken met behulp van de Mid functie of de toewijzingen te wijzigen naar een AD-attribuut dat niet dezelfde lengtebeperkingen heeft.

Fouten bij het bijwerken van Azure AD-gebruikersaccount

Tijdens het bijwerken van AD-gebruikersaccounts haalt de inrichtingsservice gegevens op uit zowel Workday als AD, worden vervolgens de regels voor kenmerktoewijzing uitgevoerd en wordt ten slotte bepaald of er een wijziging moet worden doorgevoerd. Als gevolg daarvan wordt er een bijwerkgebeurtenis geactiveerd. Als een van deze stappen een fout tegenkomt, wordt deze geregistreerd in de logboeken. Gebruik de onderstaande tabel om veelvoorkomende updatefouten op te lossen.

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Synchronisatieregelactiefouten in het inrichtingslogboek met het bericht EventName = EntrySynchronizationError en ErrorCode = EndpointUnavailable. Deze fout wordt weergegeven als de inrichtingsservice geen gebruikersprofielgegevens kan ophalen uit Active Directory vanwege een verwerkingsfout op de on-premises inrichtingsagent. Controleer de logboeken van de Provisioning Agent op foutgebeurtenissen die duiden op problemen met de leesbewerking (filter op gebeurtenis-ID #2).
2. Het kenmerk Manager in AD wordt niet bijgewerkt voor bepaalde gebruikers in AD. De meest waarschijnlijke oorzaak van deze fout is als u bereikregels gebruikt en de manager van de gebruiker geen deel uitmaakt van het bereik. U kunt dit probleem ook tegenkomen als het overeenkomende id-kenmerk van de manager (zoals EmployeeID) niet wordt gevonden in het doel-AD-domein of niet is ingesteld op de juiste waarde. Controleer het scopingsfilter en voeg de managergebruiker toe aan het bereik. Controleer het profiel van de manager in AD om ervoor te zorgen dat er een waarde is voor het overeenkomende id-kenmerk.

Uw configuratie beheren

In deze sectie wordt beschreven hoe u een configuratie met door Workday aangestuurde gebruikersinrichting verder kunt uitbreiden, aanpassen en beheren. De volgende onderwerpen komen aan bod:

De lijst met gebruikerskenmerken van Workday aanpassen

De inrichtingsapps van Workday voor Active Directory en Microsoft Entra ID bevatten beide een standaardlijst met gebruikerskenmerken van Workday waaruit u kunt kiezen. Deze lijsten zijn echter niet uitgebreid. Workday ondersteunt honderden mogelijke gebruikerskenmerken, die standaard of uniek kunnen zijn voor uw Workday-tenant.

De Microsoft Entra-inrichtingsservice ondersteunt de mogelijkheid om uw lijst- of Workday-kenmerk aan te passen zodat alle kenmerken worden opgenomen die beschikbaar zijn in de Get_Workers bewerking van de Human Resources-API.

Als u deze wijziging wilt uitvoeren, moet u Workday Studio gebruiken om de XPath-expressies te extraheren die de kenmerken vertegenwoordigen die u wilt gebruiken en deze vervolgens toe te voegen aan uw inrichtingsconfiguratie met behulp van de geavanceerde kenmerkeditor.

Een XPath-expressie ophalen voor een gebruikerskenmerk van Workday:

  1. Download en installeer Workday Studio. U hebt een Workday-communityaccount nodig om toegang te krijgen tot het installatieprogramma.

  2. Download het WSDL-bestand Human_Resources van Workday dat specifiek is voor de WWS API-versie die u wilt gebruiken vanuit de Workday Web Services Directory

  3. Start Workday Studio.

  4. Selecteer in de opdrachtbalk de optie Workday > Test Web Service in Tester .

  5. Selecteer External en daarna het WSDL-bestand Human_Resources dat u hebt gedownload in stap 2.

    Schermopname van het geopende bestand Human_Resources in Workday Studio.

  6. Stel het veld Location in op https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, maar vervang "IMPL-CC" door het type instantie dat u gebruikt en "TENANT" door de echte naam van uw tenant.

  7. Stel Operation in op Get_Workers.

  8. Klik op de kleine link configure onder de deelvensters Request/Response om uw Workday-referenties in te stellen. Schakel Authentication in en voer vervolgens de gebruikersnaam en het wachtwoord in voor uw Workday-integratiesysteemaccount. Zorg ervoor dat u de gebruikersnaam opmaken als name@tenant en laat de optie WS-Security UsernameToken geselecteerd. Schermopname van het tabblad

  9. Klik op OK.

  10. Plak in het deelvenster Request de onderstaande XML. Stel Employee_ID in op de werknemer-id van een echte gebruiker in uw Workday-tenant. Stel wd:version in voor de versie van WWS die u wilt gebruiken. Selecteer een gebruiker met het kenmerk dat u wilt ophalen.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Klik op Send Request (de groene pijl) om de opdracht uit te voeren. Als de opdracht lukt, wordt het antwoord weergegeven in het deelvenster Response. Controleer het antwoord om er zeker van te zijn dat het de gegevens bevat van de gebruikers-id die u hebt ingevoerd, en niet een fout.

  12. Als alles in orde is, kopieert u de XML uit het deelvenster Response en slaat u deze op als XML-bestand.

  13. Selecteer Bestand > openen in de opdrachtbalk van Workday Studio... en open het XML-bestand dat u hebt opgeslagen. Met deze actie wordt het bestand geopend in de XML-editor van Workday Studio.

    Schermopname van een X M L-bestand geopend in de X M L-editor van Workday Studio.

  14. Navigeer in de bestandsstructuur door /env: Envelop > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker om de gegevens van uw gebruiker te vinden.

  15. Zoek onder wd: Worker het kenmerk dat u wilt toevoegen en selecteer het.

  16. Kopieer de XPath-expressie voor uw geselecteerde kenmerk uit het veld Document Path.

  17. Verwijder het voorvoegsel /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ uit de gekopieerde expressie.

  18. Als het laatste item in de gekopieerde expressie een knooppunt is (bijvoorbeeld: '/wd: Birth_Date'), voegt u /text() toe aan het einde van de expressie. Dit is niet nodig als het laatste item een kenmerk is (bijvoorbeeld: '/@wd: type').

  19. Het resultaat moet er ongeveer uitzien als wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Deze waarde is wat u kopieert en invoert in het Microsoft Entra-beheercentrum.

Uw aangepaste Workday-gebruikerskenmerk toevoegen aan uw inrichtingsconfiguratie:

  1. Start het Microsoft Entra-beheercentrum en navigeer naar de sectie Inrichten van uw Workday-inrichtingstoepassing, zoals eerder in deze zelfstudie is beschreven.

  2. Stel Inrichtingsstatus in op Uiten selecteer Opslaan. Met deze stap kunt u ervoor zorgen dat uw wijzigingen alleen van kracht worden wanneer u klaar bent.

  3. Onder Toewijzingen, selecteer Workday-werknemers synchroniseren met on-premise Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra ID).

  4. Scrol naar de onderkant van het volgende scherm en selecteer Geavanceerde opties weergeven.

  5. Selecteer Kenmerkenlijst bewerken voor Workday.

  6. Scrol naar de onderkant van de lijst met kenmerken om bij de invoervelden te komen.

  7. Geef bij Naam een weergavenaam op voor het kenmerk.

  8. Selecteer bij Type het type dat het beste overeenkomt met uw kenmerk (Tekenreeks is het meest gebruikelijke type).

  9. Geef bij API-expressie de XPath-expressie op die u hebt gekopieerd uit Workday Studio. Voorbeeld: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Selecteer Kenmerk toevoegen.

    Schermopname van Workday Studio.

  11. Selecteer hierboven Opslaan en klik vervolgens op Ja in het dialoogvenster dat verschijnt. Sluit het scherm Kenmerktoewijzing als deze nog steeds is geopend.

  12. Ga terug naar het hoofdtabblad Inrichten en selecteer Workday-werknemers opnieuw synchroniseren met on-premises Active Directory (of werkrollen synchroniseren met Microsoft Entra ID).

  13. Selecteer Nieuwe mapping toevoegen.

  14. Het nieuwe kenmerk moet nu in de lijst Bronkenmerk staan.

  15. Voeg desgewenst een toewijzing voor het nieuwe kenmerk toe.

  16. Vergeet niet om, wanneer u klaar bent, de Inrichtingsstatus weer op Aan in te stellen en op te slaan.

Uw configuratie exporteren en importeren

Raadpleeg voor meer informatie het artikel over het exporteren en importeren van de inrichtingsconfiguratie.

Persoonlijke gegevens beheren

De oplossing voor het inrichten van Workday-gebruikers in Active Directory vereist dat er een inrichtingsagent is geïnstalleerd op een on-premises Windows-server. Deze agent maakt logboeken in het Windows-gebeurtenislogboek die persoonlijke gegevens kunnen bevatten, afhankelijk van de kenmerktoewijzingen tussen Workday en AD. Om de privacyrechten van gebruikers na te leven, kunt u ervoor zorgen dat er niet langer dan 48 uur gegevens in de gebeurtenislogboeken worden bewaard door een geplande Windows-taak in te stellen waarmee het gebeurtenislogboek wordt gewist.

De Microsoft Entra-inrichtingsservice valt in de categorie gegevensverwerker van AVG-classificatie. Als een pijplijn voor het verwerken van gegevens, biedt de service voorzieningen voor gegevensverwerking aan belangrijke partners en eindgebruikers. Microsoft Entra-inrichtingsservice genereert geen gebruikersgegevens en heeft geen onafhankelijke controle over welke persoonlijke gegevens worden verzameld en hoe deze worden gebruikt. Het ophalen, samenvoegen, analyseren en rapporteren van gegevens in Microsoft Entra-inrichtingsservice is gebaseerd op bestaande bedrijfsgegevens.

Notitie

Voor informatie over het weergeven of verwijderen van persoonsgegevens, raadpleegt u de richtlijnen van Microsoft op de site Verzoek tot toegang tot persoonsgegevens met betrekking tot de AVG (Algemene Verordening Gegevensbescherming). Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.

Met betrekking tot het bewaren van gegevens genereert de Microsoft Entra-inrichtingsservice geen rapporten, voert geen analyses uit, en biedt geen inzichten voor meer dan 30 dagen. Daarom slaat de Microsoft Entra-dienst voor toewijzing geen gegevens op, verwerkt ze niet, of bewaart ze niet langer dan 30 dagen. Dit ontwerp voldoet aan de AVG-regelgeving, de privacynalevingsregels van Microsoft en het bewaarbeleid voor gegevens van Microsoft Entra.

Verwante inhoud