Udostępnij za pośrednictwem

Konfigurowanie produktu Workday na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego artykułu jest przedstawienie kroków, które należy wykonać w celu aprowizacji profilów pracowników z Workday do lokalnego Active Directory (AD).

Uwaga

Użyj tego artykułu, jeśli użytkownicy, których chcesz aprowizować z produktu Workday, potrzebują lokalnego konta usługi AD i konta Microsoft Entra.

Poniższy film wideo zawiera krótkie omówienie kroków związanych z planowaniem integracji aprowizacji z programem Workday.

Omówienie

Usługa aprowizacji użytkowników firmy Microsoft Entra integruje się z interfejsem API zasobów ludzkich produktu Workday w celu aprowizacji kont użytkowników. Przepływy pracy aprowizacji użytkowników produktu Workday obsługiwane przez usługę aprowizacji użytkowników firmy Microsoft Entra umożliwiają automatyzację następujących scenariuszy zarządzania zasobami ludzkimi i cyklem życia tożsamości:

  • Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do produktu Workday konto użytkownika jest automatycznie tworzone w usłudze Active Directory, Identyfikatorze Entra firmy Microsoft oraz opcjonalnie w usłudze Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra z zapisem informacji kontaktowych zarządzanych przez it do produktu Workday.

  • Aktualizacje atrybutu pracownika i profilu — po zaktualizowaniu rekordu pracownika w usłudze Workday (na przykład nazwy, tytułu lub menedżera) konto użytkownika jest automatycznie aktualizowane w usłudze Active Directory, Identyfikatorze Entra firmy Microsoft oraz opcjonalnie rozwiązaniu Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez identyfikator Firmy Microsoft Entra.

  • Wypowiedzenia pracowników – kiedy pracownik jest zwalniany w systemie Workday, jego konto użytkownika jest automatycznie wyłączane w Active Directory, Microsoft Entra ID, oraz opcjonalnie w Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez Microsoft Entra ID.

  • Ponowne zatrudnienie pracownika — gdy pracownik zostaje ponownie zatrudniony w Workday, jego stare konto może zostać automatycznie ponownie aktywowane lub przydzielone na nowo (w zależności od preferencji) do usługi Active Directory, Microsoft Entra ID, a opcjonalnie Microsoft 365 i innych aplikacji SaaS obsługiwanych przez Microsoft Entra ID.

Co nowego

Ta sekcja zawiera najnowsze ulepszenia integracji produktu Workday. Aby uzyskać listę kompleksowych aktualizacji, planowanych zmian i archiwów, odwiedź stronę Co nowego w identyfikatorze Entra firmy Microsoft?

  • Październik 2020 r. — włączona aprowizacja na żądanie dla produktu Workday: przy użyciu aprowizacji na żądanie można teraz przetestować kompleksową aprowizację dla określonego profilu użytkownika w usłudze Workday, aby zweryfikować mapowanie atrybutów i logikę wyrażeń.

  • Maj 2020 r. — Możliwość zapisywania zwrotnego numerów telefonów w usłudze Workday: oprócz poczty e-mail i nazwy użytkownika można teraz zapisywać zwrotny numer telefonu służbowego i numer telefonu komórkowego z identyfikatora Microsoft Entra ID do produktu Workday. Aby uzyskać więcej informacji, zapoznaj się z samouczkiem aplikacji zapisu zwrotnego.

  • Kwiecień 2020 r. — obsługa najnowszej wersji interfejsu API usług sieci Web Workday (WWS): Dwa razy w roku, w marcu i wrześniu, Workday dostarcza rozbudowane aktualizacje, które pomagają osiągać cele biznesowe i dostosowywać się do zmieniających się wymagań kadrowych. Aby nadążyć za nowymi funkcjami dostarczanymi przez program Workday, możesz bezpośrednio określić wersję interfejsu API WWS, której chcesz użyć w adresie URL połączenia. Aby uzyskać szczegółowe informacje na temat sposobu określania wersji interfejsu API produktu Workday, zapoznaj się z sekcją dotyczącą konfigurowania łączności produktu Workday.

Dla kogo najlepiej nadaje się to rozwiązanie aprowizacji użytkowników?

To rozwiązanie zarządzania użytkownikami Workday idealnie nadaje się do:

  • Organizacje, które chcą wstępnie utworzonego rozwiązania opartego na chmurze na potrzeby aprowizacji użytkowników produktu Workday

  • Organizacje, które wymagają bezpośredniej aprowizacji użytkowników z produktu Workday do usługi Active Directory lub identyfikatora Entra firmy Microsoft

  • Organizacje, które wymagają aprowizacji użytkowników przy użyciu danych uzyskanych z modułu Workday HCM (zobacz Get_Workers)

  • Organizacje, które wymagają dołączania, przenoszenia i opuszczania użytkowników do synchronizacji z co najmniej jednym lasem, domenami i jednostkami organizacyjnymi usługi Active Directory w oparciu o zmiany wykryte w module Workday HCM (zobacz Get_Workers)

  • Organizacje korzystające z platformy Microsoft 365 na potrzeby poczty e-mail

Architektura rozwiązania

W tej sekcji opisano architekturę rozwiązania do aprowizacji użytkowników końcowych dla typowych środowisk hybrydowych. Istnieją dwa powiązane przepływy:

  • Autorytatywny przepływ danych HR — od Workday do lokalnej usługi Active Directory: w tym przepływie zdarzenia pracownicze, takie jak nowi pracownicy, transfery, zakończenia, najpierw występują w chmurze Workday HR, a następnie dane zdarzeń przepływają do lokalnej usługi Active Directory za pośrednictwem Microsoft Entra ID i Agenta Aprowizacji. W zależności od zdarzenia może to prowadzić do operacji tworzenia, aktualizowania, włączania lub wyłączania w Active Directory.
  • pl-PL: Przepływ zapisywania zwrotnego — od lokalnej usługi Active Directory do Workday: Po zakończeniu tworzenia konta w usłudze Active Directory jest zsynchronizowany z Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect, a informacje takie jak adres e-mail, nazwa użytkownika i numer telefonu można zapisać z powrotem do Workday.

Diagram koncepcyjny przeglądu.

Przepływ danych użytkownika końcowego

  1. Zespół HR wykonuje transakcje pracownicze (Nowo zatrudnieni/Przeniesienia wewnętrzne/Osoby odchodzące lub Nowe zatrudnienia/Przeniesienia/Zakończenia zatrudnienia) w Workday HCM
  2. Usługa aprowizacji Microsoft Entra uruchamia zaplanowane synchronizacje tożsamości z Workday HR i identyfikuje zmiany, które muszą zostać przetworzone w celu synchronizacji z lokalnym Active Directory.
  3. Usługa aprowizacji firmy Microsoft wywołuje lokalnego agenta aprowizacji Microsoft Entra Connect z ładunkiem żądania zawierającym operacje tworzenia/aktualizowania/włączania/wyłączania konta usługi AD.
  4. Agent aprowizacji programu Microsoft Entra Connect używa konta usługi do dodawania/aktualizowania danych konta usługi AD.
  5. Silnik Microsoft Entra Connect / AD Sync uruchamia synchronizację różnicową, aby pobrać aktualizacje w usłudze AD.
  6. Aktualizacje usługi Active Directory są synchronizowane z identyfikatorem Entra firmy Microsoft.
  7. Jeśli aplikacja Workday Writeback jest skonfigurowana, zapisuje atrybuty, takie jak adres e-mail, nazwa użytkownika i numer telefonu, do Workday.

Planowanie wdrożenia

Konfigurowanie aprowizacji użytkowników produktu Workday w usłudze Active Directory wymaga znacznego planowania obejmującego różne aspekty, takie jak:

  • Konfiguracja agenta wdrażania Microsoft Entra Connect
  • Liczba aplikacji do aprowizacji użytkowników Workday dla AD do wdrożenia
  • Wybieranie odpowiedniego identyfikatora służącego do dopasowania, mapowania atrybutów, transformacji i filtrów określania zakresu

Zapoznaj się z planem wdrażania cloud HR, aby uzyskać kompleksowe wskazówki i zalecane najlepsze rozwiązania.

Konfigurowanie użytkownika systemu integracji w programie Workday

Typowym wymaganiem wszystkich łączników aprowizacji produktu Workday jest to, że wymagają poświadczeń użytkownika systemu integracji produktu Workday w celu nawiązania połączenia z interfejsem API zasobów ludzkich produktu Workday. W tej sekcji opisano sposób tworzenia użytkownika systemu integracji w aplikacji Workday i przedstawiono następujące sekcje:

Uwaga

Można pominąć tę procedurę i zamiast tego użyć konta administratora produktu Workday jako konta integracji systemu. Może to działać dobrze w przypadku pokazów, ale nie jest zalecane w przypadku wdrożeń produkcyjnych.

Tworzenie użytkownika systemu integracji

Aby utworzyć użytkownika systemu integracji:

  1. Zaloguj się do instancji Workday, korzystając z konta administratora. W aplikacji Workday wprowadź ciąg "utwórz użytkownika" w polu wyszukiwania, a następnie kliknij Utwórz Użytkownika Systemu Integracji.

    Zrzut ekranu przedstawiający tworzenie użytkownika.

  2. Ukończ zadanie Tworzenie użytkownika systemu integracji, podając nazwę użytkownika i hasło dla nowego użytkownika systemu integracji.

    • Pozostaw opcję Wymagaj nowego hasła przy następnym logowaniu niezaznaczone, ponieważ ten użytkownik loguje się programowo.
    • Pozostaw limit czasu sesji (minuty) z domyślną wartością 0, co zapobiega przedwczesnemu przekroczeniu limitu czasu sesji użytkownika.
    • Wybierz opcję Nie zezwalaj na sesje interfejsu użytkownika, ponieważ udostępnia dodatkową warstwę zabezpieczeń, która uniemożliwia użytkownikowi z hasłem systemu integracyjnego zalogowanie się do systemu Workday.

    Zrzut ekranu przedstawiający tworzenie użytkownika systemu integracji.

Tworzenie grupy zabezpieczeń integracji

W tym kroku utworzysz nieskrępowaną lub ograniczoną grupę zabezpieczeń systemu integracji w usłudze Workday i przypiszesz użytkownika systemu integracji utworzonego w poprzednim kroku do tej grupy.

Aby utworzyć grupę zabezpieczeń:

  1. Wprowadź polecenie create security group (Utwórz grupę zabezpieczeń) w polu wyszukiwania, a następnie kliknij pozycję Create Security Group (Utwórz grupę zabezpieczeń).

    Zrzut ekranu przedstawiający ciąg

  2. Ukończ zadanie Utwórz grupę zabezpieczeń.

    • Istnieją dwa typy grup zabezpieczeń w programie Workday:

      • Bez ograniczeń: wszyscy członkowie grupy zabezpieczeń mogą uzyskiwać dostęp do wszystkich wystąpień danych zabezpieczonych przez grupę zabezpieczeń.
      • Ograniczone: wszyscy członkowie grupy zabezpieczeń mają kontekstowy dostęp do podzbioru wystąpień danych (wierszy), do których grupa zabezpieczeń może uzyskać dostęp.

    • Skontaktuj się z partnerem integracji produktu Workday, aby wybrać odpowiedni typ grupy zabezpieczeń dla integracji.

    • Gdy znasz typ grupy, wybierz pozycję Grupa zabezpieczeń systemu integracji (bez ograniczeń) lub Grupa zabezpieczeń systemu integracji (ograniczona) z listy rozwijanej Typ dzierżawionej grupy zabezpieczeń.

      Zrzut ekranu przedstawiający tworzenie grupy zabezpieczeń.

  3. Po pomyślnym utworzeniu grupy zabezpieczeń zostanie wyświetlona strona, na której można przypisać członków do grupy zabezpieczeń. Dodaj nowego użytkownika systemu integracji utworzonego w poprzednim kroku do tej grupy zabezpieczeń. Jeśli używasz ograniczonej grupy zabezpieczeń, musisz wybrać odpowiedni zakres organizacji.

    Zrzut ekranu przedstawiający edytowanie grupy zabezpieczeń.

Konfigurowanie uprawnień zasad zabezpieczeń domeny

W tym kroku przyznasz grupie zabezpieczeń uprawnienia polityki zabezpieczeń domeny dla danych roboczych.

Aby skonfigurować uprawnienia zasad zabezpieczeń domeny:

  1. Wprowadź pozycję Członkostwo w grupie zabezpieczeń i dostęp w polu wyszukiwania, a następnie kliknij link raportu.

    Zrzut ekranu przedstawiający członkostwo w grupie zabezpieczeń wyszukiwania.

  2. Wyszukaj i wybierz grupę zabezpieczeń utworzoną w poprzednim kroku.

    Zrzut ekranu przedstawiający wybieranie grupy zabezpieczeń.

  3. Kliknij wielokropek (...) obok nazwy grupy i z menu wybierz pozycję Grupa > zabezpieczeń Zachowaj uprawnienia domeny dla grupy zabezpieczeń

    Zrzut ekranu okna Wybierz Zarządzanie uprawnieniami domeny.

  4. W obszarze Uprawnienia integracji, dodaj następujące domeny do listy Zasady zabezpieczeń domeny zezwalające na dostęp Put.

    • Aprowizowanie kont zewnętrznych
    • Dane pracowników: Raporty pracowników publicznych
    • Dane osobowe: informacje kontaktowe dotyczące pracy (wymagane, jeśli planujesz zapisywanie zwrotnych danych kontaktowych z identyfikatora Entra firmy Microsoft do produktu Workday)
    • Konta produktu Workday (wymagane, jeśli planujesz zapisywanie zwrotne nazwy użytkownika/nazwy UPN z identyfikatora Entra firmy Microsoft do produktu Workday)

  5. W obszarze Uprawnienia integracji dodaj następujące domeny do listy Zasady zabezpieczeń domeny zezwalające na uzyskiwanie dostępu

    • Dane pracowników: Pracownicy
    • Dane pracownika: wszystkie stanowiska
    • Dane pracowników: bieżące informacje o zatrudnieniu
    • Dane pracownika: Stanowisko służbowe w profilu pracownika
    • Dane pracowników: Kwalifikowani Pracownicy (opcjonalnie — dodaj tę opcję, aby pobrać dane kwalifikacji pracowników na potrzeby aprowizacji)
    • Dane pracowników: umiejętności i doświadczenie (opcjonalnie — dodaj je, aby pobrać dane umiejętności pracowników do aprowizacji)

  6. Po wykonaniu powyższych kroków zostanie wyświetlony ekran uprawnień, jak pokazano poniżej:

    Zrzut ekranu przedstawiający wszystkie uprawnienia zabezpieczeń domeny.

  7. Kliknij przycisk OK i pozycję Gotowe na następnym ekranie, aby ukończyć konfigurację.

Konfigurowanie uprawnień zasad zabezpieczeń procesów biznesowych

W tym kroku przyznasz grupie zabezpieczeń uprawnienia zasad "bezpieczeństwo procesów biznesowych" dla danych pracownika.

Uwaga

Ten krok jest wymagany tylko do skonfigurowania łącznika aplikacji "Workday Writeback".

Aby skonfigurować uprawnienia zasad zabezpieczeń procesów biznesowych:

  1. Wprowadź zasady procesów biznesowych w polu wyszukiwania, a następnie kliknij link Edytuj zasady zabezpieczeń procesów biznesowych.

    Zrzut ekranu przedstawiający pozycję

  2. W polu tekstowym Typ procesu biznesowego, wyszukaj Kontakt i wybierz Zmiana kontaktu służbowego procesu biznesowego, a następnie kliknij OK.

    Zrzut ekranu przedstawiający stronę

  3. Na stronie Edytowanie zasad zabezpieczeń procesów biznesowych przewiń do sekcji Zmień Informacje Kontaktowe w Pracy (Usługa internetowa).

  4. Wybierz i dodaj nową grupę zabezpieczeń systemu integracji do listy grup zabezpieczeń, które mogą zainicjować żądanie usług internetowych.

    Zrzut ekranu przedstawiający zasady zabezpieczeń procesów biznesowych.

  5. Kliknij pozycję Gotowe.

Aktywowanie zmian zasad zabezpieczeń

Aby aktywować zmiany zasad zabezpieczeń:

  1. Wprowadź ciąg aktywuj w polu wyszukiwania, a następnie kliknij link Aktywuj oczekujące zmiany zasad zabezpieczeń.

    Zrzut ekranu przedstawiający aktywowanie.

  2. Rozpocznij zadanie Aktywuj oczekujące zmiany zasad zabezpieczeń, wprowadzając komentarz do celów inspekcji, a następnie kliknij OK.

  3. Wykonaj zadanie na następnym ekranie, zaznaczając pole wyboru Potwierdź, a następnie kliknij przycisk OK.

    Zrzut ekranu przedstawiający aktywowanie oczekujących zabezpieczeń.

Wymagania wstępne dotyczące instalacji agenta aprowizacji

Przed przejściem do następnej sekcji przejrzyj wymagania wstępne instalacji agenta odpowiedzialnego za aprowizację.

Konfigurowanie aprowizacji użytkowników z produktu Workday do usługi Active Directory

Ta sekcja zawiera kroki udostępniania kont użytkowników z Workday do każdej domeny usługi Active Directory w zakresie twojej integracji.

Część 1. Dodawanie aplikacji łącznika aprowizacji i pobieranie agenta aprowizacji

Aby skonfigurować aprowizację Workday do Active Directory:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Identity>Applications>Aplikacje dla przedsiębiorstw>Nowa aplikacja.

  3. Wyszukaj Workday to Active Directory User Provisioning i dodaj tę aplikację z galerii.

  4. Po dodaniu aplikacji i wyświetleniu ekranu szczegółów aplikacji wybierz pozycję Aprowizowanie.

  5. Zmień tryb aprowizacji na Automatyczny.

  6. Kliknij wyświetlany baner informacyjny, aby pobrać agenta aprowizacji.

    Zrzut ekranu przedstawiający agenta pobierania.

Część 2. Instalowanie i konfigurowanie lokalnych agentów aprowizacji

Aby aprowizować usługę Active Directory lokalnie, agent aprowizacji musi być zainstalowany na serwerze przyłączonym do domeny, który ma dostęp sieciowy do żądanych domen usługi Active Directory.

Przenieś pobrany instalator agenta na hosta serwera i wykonaj kroki opisane w sekcji Instalowanie agenta, aby ukończyć konfigurację agenta.

Część 3. W aplikacji aprowizacji skonfiguruj łączność z usługą Workday i Active Directory

W tym kroku ustanawiamy łączność z usługami Workday i Active Directory.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw> Workday do aplikacji aprowizacji użytkowników usługi Active Directory utworzonej w części 1.

  3. Wypełnij sekcję Poświadczenia administratora w następujący sposób:

    • Nazwa użytkownika produktu Workday — wprowadź nazwę użytkownika konta systemu integracji produktu Workday z dołączona nazwą domeny dzierżawy. Powinien wyglądać mniej więcej tak: username@tenant_name

    • Hasło produktu Workday — wprowadź hasło konta systemu integracji produktu Workday

    • Adres URL interfejsu API usług sieci Web produktu Workday — wprowadź adres URL punktu końcowego usług sieci Web produktu Workday dla Twojego dzierżawcy. Adres URL określa wersję interfejsu API usług sieci Web Workday używanego przez łącznik.

      Format adresu URL Używana wersja interfejsu API WWS Wymagane zmiany XPATH
      https://####.workday.com/ccx/service/tenantName wersja 21.1 Nie.
      https://####.workday.com/ccx/service/tenantName/Human_Resources wersja 21.1 Nie.
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Tak

      Uwaga

      Jeśli w adresie URL nie określono żadnych informacji o wersji, aplikacja używa usług Sieci Web Workday (WWS) w wersji 21.1, a żadne zmiany nie są wymagane do domyślnych wyrażeń interfejsu API XPATH dostarczanych z aplikacją. Aby użyć określonej wersji interfejsu API WWS, określ numer wersji w adresie URL
      Przykład: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Jeśli używasz API WWS w wersji 30.0 lub nowszej, przed włączeniem zadania udostępniania zaktualizuj wyrażenia API XPATH w obszarze Mapowanie atrybutów — Opcje zaawansowane — Edytuj listę atrybutów dla Workday, odwołując się do sekcji Zarządzanie konfiguracją i odniesienie atrybutów Workday.

    • Forests Active Directory — „Nazwa” domeny Active Directory, która została zarejestrowana w agencie. Użyj listy rozwijanej, aby wybrać domenę docelową na potrzeby aprowizacji. Ta wartość jest zazwyczaj ciągiem, takim jak: contoso.com

    • Kontener usługi Active Directory — wprowadź nazwę wyróżniającą (DN) kontenera, w którym agent powinien domyślnie tworzyć konta użytkowników. Przykład: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Uwaga

      To ustawienie ma zastosowanie tylko w przypadku tworzenia konta użytkownika, jeśli atrybut parentDistinguishedName nie jest skonfigurowany w odwzorowaniach atrybutów. To ustawienie nie jest używane dla operacji wyszukiwania ani aktualizacji użytkownika. Całe drzewo podrzędne domeny mieści się w zakresie operacji wyszukiwania.

    • Wiadomość e-mail z powiadomieniem — wprowadź swój adres e-mail i zaznacz pole wyboru "Wyślij wiadomość e-mail, jeśli wystąpi błąd".

      Uwaga

      Usługa aprowizacji Entra firmy Microsoft wysyła powiadomienie e-mail, jeśli zadanie aprowizacji przejdzie w stan kwarantanny.

    • Kliknij przycisk Testuj połączenie . Jeśli test połączenia zakończy się pomyślnie, kliknij przycisk Zapisz u góry. Jeśli zakończy się to niepowodzeniem, sprawdź dokładnie, czy poświadczenia produktu Workday i poświadczenia usługi AD skonfigurowane w konfiguracji agenta są prawidłowe.

    • Po pomyślnym zapisaniu poświadczeń sekcja Mapowania wyświetla domyślne mapowanie Synchronizuj pracowników Workday do lokalnej usługi Active Directory

Część 4. Konfigurowanie mapowań atrybutów

W tej sekcji skonfigurujesz sposób przepływu danych użytkownika z produktu Workday do usługi Active Directory.

  1. Na karcie Aprowizowanie w obszarze Mapowania kliknij pozycję Synchronizuj pracowników Workday z lokalnym systemem Active Directory.

  2. W polu Zakres obiektu źródłowego można wybrać, które zestawy użytkowników w usłudze Workday powinny być w zakresie aprowizacji w usłudze AD, definiując zestaw filtrów opartych na atrybutach. Domyślnym zakresem jest "wszyscy użytkownicy w programie Workday". Przykładowe filtry:

    • Przykład: zakres dla użytkowników z identyfikatorami pracowników od 1000000 do 2000000 (z wyjątkiem 2000000)

      • Atrybut: WorkerID

      • Operator: Dopasowanie REGEX

      • Wartość: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Przykład: Tylko pracownicy, a nie warunkowi pracownicy

      • Atrybut: EmployeeID

      • Operator: nie jest NULL

    Napiwek

    Podczas konfigurowania aplikacji prowizjonowania po raz pierwszy należy przetestować i zweryfikować mapowanie atrybutów i wyrażenie, aby się upewnić, że daje pożądany wynik. Microsoft zaleca używanie filtrów zakresu w obszarze Zakres obiektu źródłowego oraz aprowizowania na żądanie do przetestowania mapowań przy użyciu kilku testowych użytkowników Workday. Po sprawdzeniu, czy mapowania działają, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

    Uwaga

    Domyślnym zachowaniem aparatu aprowizacji jest wyłączenie/usunięcie użytkowników, którzy wykraczają poza zakres. Może to nie być pożądane w integracji produktu Workday z usługą AD. Aby zastąpić to zachowanie domyślne, zapoznaj się z artykułem Pomiń usuwanie kont użytkowników, które wykraczają poza zakres

  3. W polu Akcje obiektu docelowego można globalnie filtrować akcje wykonywane w usłudze Active Directory. Tworzenie i aktualizowanie są najbardziej powszechne.

  4. W sekcji Mapowania atrybutów można zdefiniować sposób mapowania poszczególnych atrybutów produktu Workday na atrybuty usługi Active Directory.

  5. Kliknij istniejące mapowanie atrybutów, aby go zaktualizować, lub kliknij pozycję Dodaj nowe mapowanie w dolnej części ekranu, aby dodać nowe mapowania. Pojedyncze mapowanie atrybutów obsługuje następujące właściwości:

    • Typ mapowania

      • Direct — zapisuje wartość atrybutu Workday w atrybucie AD bez zmian

      • Stała — zapisywanie statycznej, stałej wartości ciągu do atrybutu AD

      • Wyrażenie — umożliwia zapisanie niestandardowej wartości w atrybucie Active Directory na podstawie jednego lub więcej atrybutów Workday. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wyrażeń.

    • Atrybut źródłowy — atrybut użytkownika z produktu Workday. Jeśli atrybut, którego szukasz, nie jest obecny, zobacz Dostosowywanie listy atrybutów użytkownika Workday.

    • Wartość domyślna — opcjonalnie. Jeśli atrybut źródłowy ma pustą wartość, mapowanie zapisuje tę wartość. Najbardziej typową konfiguracją jest pozostawienie tego pustego.

    • Atrybut docelowy — atrybut użytkownika w usłudze Active Directory.

    • Dopasuj obiekty przy użyciu tego atrybutu — określa, czy to mapowanie powinno być używane do unikatowego identyfikowania użytkowników między programem Workday i usługą Active Directory. Ta wartość jest zwykle ustawiana w polu Identyfikator pracownika dla Workday, które jest zwykle mapowane na jeden z atrybutów identyfikatora pracownika w Active Directory.

    • Precedencja dopasowania — można ustawić wiele atrybutów dopasowania. Jeśli istnieje wiele, są one oceniane w kolejności zdefiniowanej przez to pole. Po znalezieniu dopasowania nie są oceniane żadne dalsze pasujące atrybuty.

    • Zastosuj to mapowanie

      • Zawsze — zastosuj to mapowanie zarówno w akcjach tworzenia użytkownika, jak i aktualizowania

      • Tylko podczas tworzenia — zastosuj to mapowanie tylko w akcjach tworzenia użytkownika

  6. Aby zapisać mapowania, kliknij przycisk Zapisz w górnej części sekcji Mapowanie atrybutów.

    Zrzut ekranu przedstawiający stronę

Poniżej przedstawiono przykładowe mapowania atrybutów między usługą Workday i usługą Active Directory z niektórymi typowymi wyrażeniami

  • Wyrażenie mapowane na atrybut parentDistinguishedName służy do aprowizowania użytkownika do różnych jednostek organizacyjnych na podstawie co najmniej jednego atrybutu źródłowego produktu Workday. W tym przykładzie użytkownicy są umieszczani w różnych jednostkach organizacyjnych w zależności od tego, w jakim mieście się znajdują.

  • Atrybut userPrincipalName w Active Directory jest generowany przy użyciu funkcji deduplikacji SelectUniqueValue, która sprawdza istnienie wygenerowanej wartości w docelowej domenie Active Directory i ustawia ją tylko wtedy, gdy jest unikatowa.

  • W tym miejscu znajduje się dokumentacja dotycząca pisania wyrażeń. Ta sekcja zawiera przykłady usuwania znaków specjalnych.

ATRYBUT PRODUKTU WORKDAY ATRYBUT USŁUGI ACTIVE DIRECTORY PASUJĄCY IDENTYFIKATOR? TWORZENIE/AKTUALIZOWANIE
Identyfikator pracownika EmployeeID (Identyfikator pracownika) Tak Napisane tylko podczas tworzenia
PreferredNameData cn Napisane tylko podczas tworzenia
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) nazwa główna użytkownika Napisane tylko podczas tworzenia
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Napisane tylko podczas tworzenia
Switch([Active], , "0", "True", "1", "False") konto wyłączone Tworzenie i aktualizowanie
FirstName givenName Tworzenie i aktualizowanie
LastName sn Tworzenie i aktualizowanie
PreferredNameData nazwa wyświetlana Tworzenie i aktualizowanie
Firma firma Tworzenie i aktualizowanie
Organizacja Nadzorcza dział Tworzenie i aktualizowanie
ManagerReference menedżer Tworzenie i aktualizowanie
BusinessTitle tytuł Tworzenie i aktualizowanie
DaneLiniiAdresowych adres ulicy Tworzenie i aktualizowanie
Gmina l Tworzenie i aktualizowanie
CountryReferenceTwoLetter co Tworzenie i aktualizowanie
CountryReferenceTwoLetter c Tworzenie i aktualizowanie
CountryRegionReference XXI w. Tworzenie i aktualizowanie
WorkSpaceReference NazwaBiuraDostawyFizycznej Tworzenie i aktualizowanie
Kod pocztowy kod pocztowy Tworzenie i aktualizowanie
GłównyTelefonSłużbowy numer telefonu Tworzenie i aktualizowanie
Faks Numer telefonu faksu Tworzenie i aktualizowanie
Rozwiązania mobilne mobilny Tworzenie i aktualizowanie
LocalReference preferowany język Tworzenie i aktualizowanie
Switch([Gminy], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") nadrzędnaNazwaWyróżniona Tworzenie i aktualizowanie

Po zakończeniu konfiguracji mapowania atrybutów można przetestować aprowizację pojedynczego użytkownika przy użyciu aprowizacji na żądanie, a następnie włączyć i uruchomić usługę aprowizacji użytkowników.

Włączanie i uruchamianie konfigurowania użytkowników

Po zakończeniu konfiguracji aplikacji Workday i zweryfikowaniu aprowizacji pojedynczego użytkownika za pomocą aprowizacji na żądanie możesz włączyć usługę aprowizacji.

Napiwek

Domyślnie, po włączeniu usługi aprowizacji, inicjuje ona operacje aprowizacji dla wszystkich użytkowników w zasięgu działania. Jeśli występują błędy w mapowaniu lub problemy z danymi Workday, zadanie aprowizacji może zakończyć się niepowodzeniem i przejść do stanu kwarantanny. Aby tego uniknąć, zalecamy skonfigurowanie filtru zakresu obiektów źródłowych i przetestowanie mapowań atrybutów przy użyciu kilku testowych użytkowników przy użyciu aprowizacji na żądanie przed uruchomieniem pełnej synchronizacji dla wszystkich użytkowników. Po sprawdzeniu, czy mapowania działają i dają żądane wyniki, możesz usunąć filtr lub stopniowo rozwinąć go, aby uwzględnić więcej użytkowników.

  1. Przejdź do obszaru Prowizjonowanie i kliknij pozycję Rozpocznij prowizjonowanie.

  2. Ta operacja rozpoczyna synchronizację początkową, która może potrwać różną liczbę godzin, w zależności od liczby użytkowników w dzierżawie Workday. Możesz sprawdzić pasek postępu, aby śledzić postęp cyklu synchronizacji.

  3. W dowolnym momencie sprawdź kartę Aprowizacja w centrum administracyjnym firmy Microsoft Entra, aby zobaczyć, jakie akcje wykonała usługa aprowizacji. Dzienniki aprowizacji wyświetlają listę wszystkich poszczególnych zdarzeń synchronizacji wykonanych przez usługę aprowizacji, takich jak użytkownicy, którzy są pobierani z Workday i następnie dodawani lub aktualizowani w usłudze Active Directory. Zapoznaj się z sekcją Rozwiązywanie problemów, aby uzyskać instrukcje dotyczące przeglądania dzienników aprowizacji i naprawiania błędów aprowizacji.

  4. Po zakończeniu synchronizacji początkowej zapisuje raport podsumowania audytu na karcie Aprowizacja, jak pokazano poniżej.

    Zrzut ekranu pokazujący pasek postępu prowizjonowania

Często zadawane pytania

Pytania dotyczące możliwości rozwiązania

W jaki sposób podczas przetwarzania nowego zatrudnienia z produktu Workday rozwiązanie ustawia hasło dla nowego konta użytkownika w usłudze Active Directory?

Gdy lokalny agent aprowizacji otrzymuje żądanie utworzenia nowego konta usługi AD, automatycznie generuje złożone losowe hasło przeznaczone do spełnienia wymagań dotyczących złożoności hasła zdefiniowanych przez serwer usługi AD i ustawia je na obiekcie użytkownika. To hasło nie jest rejestrowane nigdzie.

Czy rozwiązanie obsługuje wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji?

Nie, wysyłanie powiadomień e-mail po zakończeniu operacji aprowizacji nie jest obsługiwane w bieżącej wersji.

Czy rozwiązanie buforuje profile użytkowników produktu Workday w chmurze Firmy Microsoft Entra lub w warstwie agenta aprowizacji?

Nie, rozwiązanie nie obsługuje pamięci podręcznej profilów użytkowników. Usługa aprowizacji Microsoft Entra działa po prostu jako podmiot przetwarzający dane, odczytując dane z produktu Workday i zapisując je w docelowej usłudze Active Directory lub Microsoft Entra ID. Zobacz sekcję Zarządzanie danymi osobowymi, aby uzyskać szczegółowe informacje dotyczące prywatności i przechowywania danych użytkownika.

Czy rozwiązanie obsługuje przypisywanie lokalnych grup usługi AD do użytkownika?

Ta funkcja nie jest obecnie obsługiwana. Zalecane obejście polega na wdrożeniu skryptu programu PowerShell, który wysyła zapytanie do punktu końcowego interfejsu API programu Microsoft Graph w celu aprowizacji danych dziennika i używa go do wyzwalania scenariuszy, takich jak przypisanie grupy. Ten skrypt programu PowerShell można dołączyć do harmonogramu zadań i wdrożyć go na tym samym komputerze, na którym działa agent aprowizacji.

Jakie interfejsy API Workday są używane przez rozwiązanie do zapytań i aktualizacji profilów pracowników Workday?

Rozwiązanie obecnie używa następujących interfejsów API Workday:

  • Format adresu URL interfejsu API usług sieci Web produktu Workday, używany w sekcji Poświadczenia administratora, określa wersję interfejsu API używaną do Get_Workers.

    • Jeśli format adresu URL to : https://####.workday.com/ccx/service/tenantName , używany jest interfejs API w wersji 21.1.
    • Jeśli format adresu URL to: https://####.workday.com/ccx/service/tenantName/Human_Resources, to interfejs API w wersji 21.1 jest używany.
    • Jeśli format adresu URL to , https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# używana jest określona wersja interfejsu API. (Przykład: jeśli określono v34.0, to jest używane).

  • Workday Email Writeback używa Change_Work_Contact_Information (wersja 30.0)

  • Funkcja zapisu zwrotnego nazw użytkowników w Workday używa Update_Workday_Account (v31.2)

Czy mogę skonfigurować dzierżawę rozwiązania Workday HCM z dwiema dzierżawami firmy Microsoft Entra?

Tak, ta konfiguracja jest obsługiwana. Poniżej przedstawiono ogólne kroki konfigurowania tego scenariusza:

  • Wdróż agenta aprowizacji nr 1 i zarejestruj go w dzierżawie Microsoft Entra #1.
  • Wdróż agenta provisioningu #2 i zarejestruj go dla dzierżawcy Microsoft Entra #2.
  • Na podstawie "domen podrzędnych", którymi zarządza każdy agent aprowizacji, skonfiguruj każdego agenta za pomocą tych konkretnych domen. Jeden agent może obsługiwać wiele domen.
  • W centrum administracyjnym Microsoft Entra skonfiguruj aplikację do aprowizacji użytkowników z Workday do AD w każdej dzierżawie i przypisz do niej odpowiednie domeny.

Twoja opinia jest bardzo ceniona, ponieważ pomaga nam określić kierunek przyszłych wydań i ulepszeń. Z zadowoleniem przyjmujemy wszystkie opinie i zachęcamy do przesłania pomysłu lub sugestii dotyczących ulepszeń na forum opinii firmy Microsoft Entra ID. Aby uzyskać konkretne opinie związane z integracją produktu Workday, wybierz kategorię Aplikacje SaaS i wyszukaj je przy użyciu słów kluczowych Workday , aby znaleźć istniejące opinie dotyczące produktu Workday.

Zrzut ekranu UserVoice Workday.

Podczas sugerowania nowego pomysłu sprawdź, czy ktoś inny już zasugerował podobną funkcję. W takim przypadku możesz głosować za funkcją lub żądaniem ulepszenia. Możesz również pozostawić komentarz dotyczący konkretnego przypadku użycia, aby wyrazić swoje poparcie dla pomysłu i pokazać, jak ta funkcja jest dla Ciebie cenna.

Pytania dotyczące agenta aprowizacji

Jaka jest wersja ogólnie dostępnego agenta aprowizacji?

Zapoznaj się z Microsoft Entra Connect Provisioning Agent: historia wersji aby uzyskać informacje o najnowszej wersji agenta aprowizacji (GA).

Jak mogę sprawdzić wersję mojego Agenta Konfiguracyjnego?

  1. Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  2. Przejdź do Panel sterowania -> Odinstaluj lub Zmień menu Program.
  3. Wyszukaj wersję odpowiadającą wpisowi Microsoft Entra Connect Provisioning Agent.

Czy firma Microsoft automatycznie wysyła aktualizacje agenta aprowizacji?

Tak, firma Microsoft automatycznie aktualizuje agenta aprowizacji, jeśli usługa Microsoft Entra Connect Agent Updater jest uruchomiona.

Czy mogę zainstalować agenta aprowizacji na tym samym serwerze z uruchomionym programem Microsoft Entra Connect?

Tak, można zainstalować agenta aprowizacji na tym samym serwerze, na którym działa program Microsoft Entra Connect.

Podczas konfiguracji agent aprowizacji prosi o podanie poświadczeń administratora Microsoft Entra. Czy agent przechowuje poświadczenia lokalnie na serwerze?

Podczas konfiguracji agent aprowizacji prosi o podanie poświadczeń administratora usługi Microsoft Entra jedynie w celu połączenia z dzierżawą Microsoft Entra. Nie przechowuje poświadczeń lokalnie na serwerze. Jednak zachowuje poświadczenia używane do nawiązywania połączenia z domeną Active Directory lokalnie w lokalnym magazynie haseł systemu Windows.

Jak mogę skonfigurować agenta aprowizacji do korzystania z serwera proxy na potrzeby komunikacji wychodzącej HTTP?

Agent aprowizacji obsługuje korzystanie z serwera proxy do ruchu wychodzącego. Można go skonfigurować, edytując plik konfiguracji agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Dodaj do niego następujące wiersze na końcu pliku tuż przed tagiem zamykającym </configuration> . Zastąp zmienne [proxy-server] i [proxy-port] odpowiednio nazwą i numerem portu serwera proxy.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Jak mogę upewnić się, że agent aprowizacji może komunikować się z dzierżawą Microsoft Entra i że żadne zapory nie blokują portów wymaganych przez tego agenta?

Możesz również sprawdzić, czy wszystkie wymagane porty są otwarte.

Czy można skonfigurować jednego agenta aprowizacji w celu aprowizacji wielu domen usługi AD?

Tak, jeden agent aprowizacji można skonfigurować tak, aby obsługiwał wiele domen usługi AD, o ile agent ma dostęp do odpowiednich kontrolerów domeny. Firma Microsoft zaleca skonfigurowanie grupy 3 agentów aprowizacji obsługujących ten sam zestaw domen usługi AD w celu zapewnienia wysokiej dostępności i zapewnienia obsługi trybu failover.

Jak mogę wyrejestrować domenę skojarzoną z moim agentem wdrażającym?

*, pobierz identyfikator dzierżawy swojej dzierżawy Microsoft Entra.

  • Zaloguj się do serwera z systemem Windows z uruchomionym agentem aprowizacji.

  • Otwórz program PowerShell jako administrator systemu Windows.

  • Przejdź do katalogu zawierającego skrypty rejestracji i uruchom następujące polecenia, zastępując parametr [identyfikator dzierżawy] wartością identyfikatora dzierżawy.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Z wyświetlonej listy agentów skopiuj wartość id pola z tego zasobu, którego resourceName jest równa nazwie domeny usługi AD.

  • Wklej wartość identyfikatora do tego polecenia i wykonaj polecenie w programie PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Uruchom ponownie kreatora konfiguracji agenta.

  • Każdy inny agent, który wcześniej został przypisany do tej domeny, musi zostać ponownie skonfigurowany.

Jak mogę odinstalować agenta aprowizacji?

  • Zaloguj się do serwera z systemem Windows, na którym jest zainstalowany agent aprowizacji.
  • Przejdź do Panel sterowania -> Odinstaluj lub zmień menu Program
  • Odinstaluj następujące programy:
    • Microsoft Entra Connect Provisioning Agent
    • Aktualizator agenta Microsoft Entra Connect
    • Pakiet agenta udostępniania Microsoft Entra Connect

Pytania dotyczące mapowania atrybutów i konfiguracji Workday do Active Directory (AD)

Jak mogę utworzyć kopię zapasową lub wyeksportować działającą kopię mapowania atrybutów i schematu produktu Workday?

Aby wyeksportować konfigurację aprowizacji użytkowników produktu Workday, możesz użyć interfejsu API programu Microsoft Graph. Aby uzyskać szczegółowe informacje, zapoznaj się z krokami w sekcji Eksportowanie i importowanie konfiguracji mapowania atrybutów aprowizacji użytkowników produktu Workday.

Mam atrybuty niestandardowe w Workday i Active Directory. Jak mogę skonfigurować rozwiązanie do pracy z moimi atrybutami niestandardowymi?

Rozwiązanie obsługuje niestandardowe atrybuty produktu Workday i usługi Active Directory. Aby dodać atrybuty niestandardowe do schematu mapowania, otwórz panel Mapowanie atrybutów i przewiń w dół, aby rozwinąć sekcję Pokaż opcje zaawansowane.

Zrzut ekranu przedstawiający edytowanie listy atrybutów.

Aby dodać niestandardowe atrybuty produktu Workday, wybierz opcję Edytuj listę atrybutów dla produktu Workday i dodaj niestandardowe atrybuty usługi AD, wybierz opcję Edytuj listę atrybutów dla lokalnej usługi Active Directory.

Zobacz też:

Jak mogę skonfigurować rozwiązanie tak, aby aktualizowało tylko atrybuty w usłudze AD na podstawie zmian produktu Workday i nie tworzyło żadnych nowych kont usługi AD?

Tę konfigurację można osiągnąć, ustawiając akcje obiektu docelowego w bloku Mapowania atrybutów , jak pokazano poniżej:

Zrzut ekranu przedstawiający akcję Aktualizuj.

Zaznacz pole wyboru "Aktualizuj" tylko dla operacji aktualizacji do przepływu z produktu Workday do usługi AD.

Czy mogę przekazywać zdjęcie użytkownika z Workday do Active Directory?

Obecnie rozwiązanie nie obsługuje ustawiania atrybutów binarnych, takich jak thumbnailPhoto i jpegPhoto w usłudze Active Directory.

  • Przejdź do karty "Provisioning" aplikacji Workday Provisioning.

  • Kliknij mapowania atrybutów

  • W obszarze Mapowania wybierz pozycję Synchronizuj pracowników Workday z lokalną usługą Active Directory (lub Synchronizuj pracowników Workday z identyfikatorem Entra ID firmy Microsoft).

  • Na stronie Mapowania atrybutów przewiń w dół i zaznacz pole wyboru "Pokaż opcje zaawansowane". Kliknij pozycję Edytuj listę atrybutów dla produktu Workday

  • W otwierającym się oknie znajdź atrybut "Mobile" i kliknij na wiersz, aby można było edytować wyrażenie APIZrzut ekranu RODO na urządzeniach mobilnych.

  • Zastąp wyrażenie API następującym nowym wyrażeniem, które pobiera służbowy numer telefonu komórkowego tylko wtedy, gdy "Flaga użycia publicznego" w Workday jest ustawiona na "True".

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Zapisz listę atrybutów.

  • Zapisz mapowanie atrybutów.

  • Wyczyść bieżący stan i uruchom ponownie pełną synchronizację.

Jak mogę formatować nazwy wyświetlane w usłudze AD na podstawie atrybutów działu, kraju lub miasta użytkownika i zarządzać wariancjami regionalnymi?

Jest to typowe wymaganie, aby skonfigurować atrybut displayName w usłudze AD, tak aby dostarczał również informacje o dziale użytkownika i kraju/regionie. Jeśli na przykład John Smith pracuje w dziale marketingu w USA, możesz chcieć, aby jego displayName był wyświetlany jako Smith, John (Marketing-US).

Poniżej przedstawiono sposób obsługi takich wymagań dotyczących konstruowania nazwy CN lub displayName w celu uwzględnienia atrybutów, takich jak firma, jednostka biznesowa, miasto lub kraj/region.

  • Każdy atrybut produktu Workday jest pobierany przy użyciu bazowego wyrażenia interfejsu API XPATH, które można skonfigurować w temacie Mapowanie atrybutów —> Sekcja zaawansowana —> Edytowanie listy atrybutów dla produktu Workday. Oto domyślne wyrażenie interfejsu API XPATH dla atrybutów PreferredFirstName, PreferredLastName, Company i SupervisoryOrganization.

    Atrybut produktu Workday Wyrażenie XPATH API
    PreferowaneImię wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferowaneNazwisko wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Firma wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    Organizacja Nadzorcza wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Potwierdź z zespołem Workday, że powyższe wyrażenie interfejsu API jest prawidłowe dla konfiguracji dzierżawy Workday. W razie potrzeby można je edytować zgodnie z opisem w sekcji Dostosowywanie listy atrybutów użytkownika produktu Workday.

  • Podobnie informacje o kraju/regionie dostępne w programie Workday są pobierane przy użyciu następującego kodu XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Istnieje 5 atrybutów związanych z krajem/regionem, które są dostępne w sekcji Lista atrybutów produktu Workday.

    Atrybut produktu Workday Wyrażenie XPATH interfejsu API
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    Numer referencyjny kraju wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    Odniesienie do kraju/regionu wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Potwierdź z zespołem Workday, że powyższe wyrażenia API są prawidłowe dla konfiguracji dzierżawy Workday. W razie potrzeby można je edytować zgodnie z opisem w sekcji Dostosowywanie listy atrybutów użytkownika produktu Workday.

  • Aby utworzyć odpowiednie wyrażenie mapowania atrybutów, zidentyfikuj, który atrybut Workday autorytatywnie reprezentuje imię użytkownika, nazwisko, kraj/region i dział. Załóżmy, że atrybuty to PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter i SupervisoryOrganization odpowiednio. Możesz to wykorzystać do zbudowania wyrażenia dla atrybutu displayName usługi AD w następujący sposób, aby uzyskać nazwę wyświetlaną, taką jak Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Po utworzeniu odpowiedniego wyrażenia zmodyfikuj tabelę Mapowania atrybutów i zmodyfikuj mapowanie atrybutów displayName , jak pokazano poniżej: Zrzut ekranu przedstawiający mapowanie displayName.

  • Rozszerzając powyższy przykład, załóżmy, że chcesz przekonwertować nazwy miast pochodzące z produktu Workday na wartości skrócone, a następnie użyć go do utworzenia nazw wyświetlanych, takich jak Smith, John (CHI) lub Doe, Jane (NYC), a następnie ten wynik można osiągnąć przy użyciu wyrażenia Switch z atrybutem Gminy Workday jako zmienną determinającą.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Zobacz też:

Jak użyć polecenia SelectUniqueValue, aby wygenerować unikatowe wartości atrybutu samAccountName?

Załóżmy, że chcesz wygenerować unikatowe wartości atrybutu samAccountName przy użyciu kombinacji atrybutów FirstName i LastName z produktu Workday. Poniżej znajduje się wyrażenie, z którym można zacząć:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Jak działa powyższe wyrażenie: jeśli użytkownik jest John Smith, najpierw próbuje wygenerować JSmith, jeśli JSmith już istnieje, to generuje JoSmith, jeśli tak istnieje, generuje JohSmith. Wyrażenie zapewnia również, że wygenerowana wartość spełnia ograniczenie długości i ograniczenie znaków specjalnych skojarzonych z atrybutem samAccountName.

Zobacz też:

Jak mogę usunąć znaki z znakiem diakrytycznym i przekonwertować je na normalne alfabety angielskie?

Użyj funkcji NormalizeDiacritics, aby usunąć znaki specjalne w imieniu i nazwisku użytkownika, podczas tworzenia adresu e-mail lub wartości CN dla użytkownika.

Wskazówki dotyczące rozwiązywania problemów

Ta sekcja zawiera szczegółowe wskazówki dotyczące rozwiązywania problemów z aprowizacją integracji Workday przy użyciu dzienników aprowizacji Microsoft Entra i dzienników Podglądu zdarzeń Windows Server. Opiera się on na ogólnych krokach rozwiązywania problemów i pojęciach przechwyconych w samouczku : raportowanie automatycznej aprowizacji konta użytkownika

W tej sekcji omówiono następujące aspekty rozwiązywania problemów:

Skonfiguruj agenta aprowizacji, aby emitować dzienniki Podglądu zdarzeń.

  1. Zaloguj się na maszynie z systemem Windows Server, na której wdrożono agenta aprowizacji

  2. Zatrzymaj usługę Microsoft Entra Connect Provisioning Agent.

  3. Utwórz kopię oryginalnego pliku konfiguracji: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Zastąp istniejącą <system.diagnostics> sekcję następującym kodem.

    • Konfiguracja odbiornika etw emituje komunikaty do dzienników programu EventViewer
    • Odbiornik config textWriterListener wysyła komunikaty śledzenia do pliku ProvAgentTrace.log. Usuń komentarz wierszy związanych z textWriterListener tylko w przypadku zaawansowanego rozwiązywania problemów.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Uruchom usługę Microsoft Entra Connect Provisioning Agent.

Konfigurowanie Podglądu zdarzeń systemu Windows w celu rozwiązywania problemów z agentem

  1. Zaloguj się na maszynie z systemem Windows Server, na której wdrożono agenta aprowizacji

  2. Otwórz aplikację dla pulpitu Podgląd zdarzeń systemu Windows Server.

  3. Wybierz Dzienniki systemu Windows > Aplikacja.

  4. Użyj opcji Filtruj bieżący dziennik..., aby wyświetlić wszystkie zdarzenia zarejestrowane w źródłowym agencie aprowizacji programu Microsoft Entra Connect i wykluczyć zdarzenia o identyfikatorze zdarzenia "5", określając filtr "-5", jak pokazano poniżej.

    Uwaga

    Zdarzenie ID 5 przechwytuje komunikaty uruchamiania agenta dla usługi Microsoft Entra w chmurze, dlatego jest ono filtrowane podczas analizy plików dziennika.

    Zrzut ekranu przedstawiający Podgląd zdarzeń systemu Windows.

  5. Kliknij przycisk OK i posortuj widok wyników według kolumny Data i godzina .

Konfigurowanie dzienników aprowizacji centrum administracyjnego firmy Microsoft entra na potrzeby rozwiązywania problemów z usługą

  1. Uruchom Centrum Administracji Microsoft Entra i przejdź do sekcji Provisioning swojej aplikacji aprowizacji Workday.

  2. Użyj przycisku Kolumny na stronie Dzienniki udostępniania, aby wyświetlić tylko następujące kolumny w widoku (Data, Aktywność, Stan, Powód statusu). Ta konfiguracja zapewnia skupienie się tylko na danych, które są istotne dla rozwiązywania problemów.

    Zrzut ekranu przedstawiający kolumny dziennika aprowizacji.

  3. Użyj parametrów zapytania Target (Cel) i Date Range (Zakres dat), aby filtrować widok.

    • Ustaw parametr zapytania Target na "Identyfikator pracownika" lub "Identyfikator procesu roboczego" obiektu 'pracownika' systemu Workday.
    • Ustaw okres dat na odpowiedni czas, w którym chcesz badać błędy i problemy z aprowizowaniem.

    Zrzut ekranu przedstawiający filtry dziennika aprowizacji.

Informacje o dziennikach operacji tworzenia konta użytkownika usługi AD

Po wykryciu nowego zatrudnienia w usłudze Workday (powiedzmy z identyfikatorem pracownika 21023), usługa aprowizacji Microsoft Entra próbuje utworzyć nowe konto użytkownika usługi AD dla pracownika i w procesie tworzy 4 rekordy dziennika aprowizacji, jak opisano poniżej.

Zrzut ekranu przedstawiający operacje tworzenia dziennika aprowizacji.

Po kliknięciu dowolnego rekordu dziennika udostępniania otworzy się strona Szczegóły aktywności. Na stronie Szczegóły działania znajduje się opis wyświetlany dla każdego typu rekordu dziennika.

  • Rekord importu Workday: ten rekord dziennika wyświetla informacje o pracowniku pobrane z Workday. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z pobieraniem danych z produktu Workday. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • Rekord importu usługi AD: ten rekord dziennika wyświetla informacje o koncie pobranym z usługi AD. Ponieważ podczas początkowego tworzenia użytkownika nie ma konta w usłudze AD, przyczyna stanu działania wskazuje, że w usłudze Active Directory nie znaleziono konta z wartością atrybutu "Pasujący Identyfikator". Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z pobieraniem danych z produktu Workday. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Aby znaleźć rekordy dziennika agenta aprowizacji odpowiadające tej operacji importu usług AD, otwórz Podgląd Zdarzeń systemu Windows i użyj opcji menu Znajdź..., aby znaleźć wpisy dziennika zawierające wartość atrybutu Identyfikator dopasowania/właściwość dołączania (w tym przypadku 21023).

    Zrzut ekranu przedstawiający pozycję Znajdź.

    Wyszukaj wpis o identyfikatorze zdarzenia = 9, który udostępnia filtr wyszukiwania LDAP używany przez agenta do pobierania konta usługi AD. Możesz sprawdzić, czy jest to odpowiedni filtr wyszukiwania, aby pobrać unikatowe wpisy użytkownika.

    Rekord, który natychmiast następuje po nim z identyfikatorem zdarzenia = 2, zapisuje wynik operacji wyszukiwania oraz czy zwrócił jakiekolwiek wyniki.

  • Rekord akcji reguły synchronizacji: rekord dziennika wyświetla wyniki reguł mapowania atrybutów i skonfigurowane filtry zakresu wraz z akcją aprowizacji wykonywaną w celu przetworzenia przychodzącego zdarzenia systemu Workday. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z akcją synchronizacji. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object is added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Jeśli występują problemy z wyrażeniami mapowania atrybutów lub przychodzące dane Workday mają problemy (na przykład: wartość pusta lub null dla wymaganych atrybutów), na tym etapie wystąpi błąd, a ErrorCode poda szczegóły tego błędu.

  • Rekord eksportu usługi AD: ten rekord dziennika wyświetla wynik operacji tworzenia konta usługi AD wraz z wartościami atrybutów ustawionymi w procesie. Skorzystaj z informacji w sekcji Dodatkowe szczegóły rekordu dziennika, aby rozwiązać problemy z operacją tworzenia konta. Poniżej przedstawiono przykładowy rekord wraz ze wskaźnikami dotyczącymi interpretowania poszczególnych pól. W sekcji "Dodatkowe szczegóły" parametr "EventName" jest ustawiony na wartość "EntryExportAdd", właściwość "JoiningProperty" jest ustawiona na wartość atrybutu Pasującego ID, właściwość "SourceAnchor" jest ustawiona na wartość WorkdayID (WID) związanego z rekordem, a właściwość "TargetAnchor" jest ustawiona na wartość atrybutu AD "ObjectGuid" nowo utworzonego użytkownika.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object is created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user

    Aby znaleźć rekordy dziennika Agenta aprowizacji odpowiadające tej operacji eksportu usługi AD, otwórz dzienniki w Podglądzie zdarzeń w systemie Windows i użyj opcji menu Znajdź…, aby odnaleźć wpisy dziennika zawierające wartość atrybutu ID pasujące/właściwość łączenia (w tym przypadku 21023).

    Poszukaj rekordu HTTP POST odpowiadającego znacznikowi czasu operacji eksportowania z identyfikatorem zdarzenia = 2. Ten rekord zawiera wartości atrybutów wysyłane przez usługę aprowizacji do agenta aprowizacji.

    Zrzut ekranu przedstawiający rekord

    Bezpośrednio po powyższym zdarzeniu powinno istnieć inne zdarzenie, które przechwytuje odpowiedź operacji tworzenia konta usługi AD. To zdarzenie zwraca nowy objectGuid utworzony w AD i jest ustawiany jako atrybut TargetAnchor w usłudze aprowizacji.

    Zrzut ekranu przedstawiający dziennik „Agent aprowizacji”, gdzie wyróżniono objectGUID utworzony w usłudze Active Directory (AD).

Zrozumienie logów operacji aktualizacji menedżera

Atrybut menedżera jest atrybutem referencyjnym w systemie AD. Usługa aprowizacji nie ustawia atrybutu menedżera w ramach operacji tworzenia użytkownika. Zamiast tego atrybut menedżera jest ustawiany jako część operacji aktualizacji po utworzeniu konta usługi AD dla użytkownika. Rozwijając powyższy przykład, załóżmy, że nowy pracownik o identyfikatorze pracownika "21451" jest aktywowany w systemie Workday, a jego menedżer (21023) ma już konto w usłudze AD. W tym scenariuszu wyszukiwanie dzienników aprowizacji dla użytkownika 21451 powoduje wyświetlenie 5 wpisów.

Zrzut ekranu przedstawiający aktualizację menedżera.

Pierwsze 4 rekordy są podobne do tych, które przeanalizowaliśmy w ramach operacji tworzenia użytkownika. 5. rekord jest eksportem skojarzonym z aktualizacją atrybutów menedżera. Rekord dziennika wyświetla wynik operacji aktualizacji menedżera kont usługi AD, która jest wykonywana przy użyciu atrybutu objectGuid menedżera.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Rozwiązywanie często napotykanych błędów

W tej sekcji opisano często występujące błędy związane z aprowizowaniem użytkowników produktu Workday i sposoby ich rozwiązywania. Błędy są pogrupowane w następujący sposób:

Błędy agentów zaopatrzeniowych

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Błąd podczas instalowania agenta aprowizacji z komunikatem o błędzie: Nie można uruchomić usługi "Microsoft Entra Connect Provisioning Agent" (AADConnectProvisioningAgent). Sprawdź, czy masz wystarczające uprawnienia do uruchomienia systemu. Ten błąd jest zwykle wyświetlany, jeśli próbujesz zainstalować agenta aprowizacji na kontrolerze domeny i zasady grupy uniemożliwiają uruchomienie usługi. Jest on również widoczny, jeśli masz uruchomioną wcześniejszą wersję agenta i nie odinstalowaliśmy go przed rozpoczęciem nowej instalacji. Zainstaluj agenta aprowizacji na serwerze spoza kontrolera domeny. Przed zainstalowaniem nowego agenta upewnij się, że poprzednie wersje agenta zostały odinstalowane.
2. Usługa systemu Windows "Microsoft Entra Connect Provisioning Agent" jest w stanie Uruchamiania i nie przełącza się na stan Uruchomiony . W ramach instalacji kreator agenta tworzy konto lokalne (NT Service\AADConnectProvisioningAgent) na serwerze i jest to konto logowania używane do uruchamiania usługi. Jeśli zasady zabezpieczeń na serwerze z systemem Windows uniemożliwiają uruchamianie usług przez konta lokalne, wystąpi ten błąd. Otwórz konsolę Usługi. Kliknij prawym przyciskiem myszy usługę systemu Windows "Microsoft Entra Connect Provisioning Agent" i na karcie logowania określ konto administratora domeny, aby uruchomić usługę. Należy ponownie uruchomić usługę.
3. Podczas konfigurowania agenta aprowizacji z domeną usługi AD w kroku Łączenie usługi Active Directory kreator długo próbuje załadować schemat AD i ostatecznie następuje przekroczenie limitu czasu. Ten błąd zazwyczaj występuje, jeśli kreator nie może skontaktować się z serwerem kontrolera domeny Active Directory ze względu na problemy z zaporą. Na ekranie kreatora łączenia z usługą Active Directory, podczas podawania poświadczeń dla domeny AD, istnieje opcja wyboru priorytetu kontrolera domeny. Użyj tej opcji, aby wybrać kontroler domeny, który znajduje się w tej samej lokacji co serwer agenta i upewnić się, że nie ma reguł zapory blokujących komunikację.

Błędy łączności

Jeśli usługa aprowizacji nie może nawiązać połączenia z usługą Workday lub Active Directory, może to spowodować przejście aprowizacji do stanu kwarantanny. Skorzystaj z poniższej tabeli, aby rozwiązać problemy z łącznością.

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Po kliknięciu pozycji Testuj połączenie zostanie wyświetlony komunikat o błędzie: Wystąpił błąd podczas nawiązywania połączenia z usługą Active Directory. Upewnij się, że lokalny agent aprowizacji jest uruchomiony i został skonfigurowany z poprawną domeną usługi Active Directory. Ten błąd jest zwykle wyświetlany, jeśli agent aprowizacji nie jest uruchomiony lub istnieje zapora blokująca komunikację między identyfikatorem Entra firmy Microsoft i agentem aprowizacji. Ten błąd może również wystąpić, jeśli domena nie jest skonfigurowana w Kreatorze Agenta. Otwórz konsolę Usług na serwerze z systemem Windows, aby potwierdzić, że agent jest uruchomiony. Otwórz kreatora agenta konfiguracyjnego i upewnij się, że właściwa domena jest zarejestrowana u agenta.
2. Zadanie aprowizacji przechodzi w stan kwarantanny w weekendy (pt-sob) i otrzymujemy powiadomienie e-mailem, że pojawił się błąd synchronizacji. Częstą przyczyną występowania tego błędu są planowane przestoje systemu Workday. Jeśli używasz dzierżawy implementacyjnej Workday, pamiętaj, że Workday zaplanował czas przestoju dla dzierżaw implementacyjnych w weekendy (zwykle od piątkowego wieczoru do sobotniego poranka) i w tym okresie aplikacje aprowizacyjne Workday mogą przejść do stanu kwarantanny, ponieważ nie mogą nawiązać połączenia z Workday. Wszystko wraca do normy, gdy tylko instancja wdrożeniowa Workday ponownie działa online. W rzadkich przypadkach ten błąd może być także wyświetlany, jeśli zmieniło się hasło użytkownika systemu integracji z powodu odświeżenia dzierżawcy lub jeśli konto zostało zablokowane bądź wygasło. Zapytaj administratora Workday lub partnera integracji, aby dowiedzieć się, kiedy Workday planuje przestoje, aby zignorować wiadomości alarmowe w okresie przestoju i potwierdzić dostępność, gdy instancja Workday ponownie będzie online.

Błędy tworzenia konta użytkownika usługi AD

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Niepowodzenia operacji eksportowania w dzienniku konfiguracji z komunikatem Błąd: OperationsError-SvcErr: Wystąpił błąd operacji. Nie skonfigurowano żadnego nadrzędnego odniesienia dla usługi katalogowej. W związku z tym usługa katalogowa nie może wydać odwołań do obiektów spoza tego lasu katalogowego. Ten błąd zwykle pojawia się, jeśli kontener jednostki organizacyjnej Active Directory nie jest poprawnie ustawiony lub występują problemy z mapowaniem wyrażeń używanym dla parentDistinguishedName. Sprawdź parametr jednostki organizacyjnej kontenera usługi Active Directory dla literówek. Jeśli używasz elementu parentDistinguishedName w mapowaniu atrybutów, upewnij się, że zawsze jest przypisany do znanego kontenera w domenie usługi AD. Zbadaj zdarzenie Eksport w dziennikach aprowizacji, aby zobaczyć wygenerowaną wartość.
2. Niepowodzenia operacji eksportu w dzienniku aprowizacji z kodem błędu SystemForCrossDomainIdentityManagementBadResponse i komunikatem Błąd: ConstraintViolation-AtrErr: Wartość w żądaniu jest nieprawidłowa. Wartość atrybutu nie mieściła się w dopuszczalnym zakresie wartości. \nSzczegóły błędu: CONSTRAINT_ATT_TYPE — firma. Chociaż ten błąd jest specyficzny dla atrybutu firmy , może zostać wyświetlony ten błąd dla innych atrybutów, takich jak CN , jak również. Ten błąd występuje z powodu ograniczenia schematu wymuszonego przez usługę AD. Domyślnie atrybuty, takie jak firma i CN w usłudze AD, mają górny limit 64 znaków. Jeśli wartość pochodząca z produktu Workday jest większa niż 64 znaki, zostanie wyświetlony ten komunikat o błędzie. Sprawdź zdarzenie Eksport w dziennikach aprowizacji, aby zobaczyć wartość atrybutu zgłoszoną w komunikacie o błędzie. Rozważ obcięcie wartości pochodzącej z Workday przy użyciu funkcji Mid lub zmianę mapowań na atrybut AD, który nie podlega podobnym ograniczeniom długości.

Błędy aktualizacji konta użytkownika usługi AD

Podczas procesu aktualizacji konta użytkownika usługi AD usługa aprowizacji odczytuje informacje zarówno z produktu Workday, jak i usługi AD, uruchamia reguły mapowania atrybutów i określa, czy zmiana ma obowiązywać. Odpowiednio jest wyzwalane zdarzenie aktualizacji. Jeśli którykolwiek z tych kroków napotka błąd, jest rejestrowany w dziennikach aprowizacji. Skorzystaj z poniższej tabeli, aby rozwiązać typowe błędy aktualizacji.

# Scenariusz błędu Prawdopodobne przyczyny Zalecane rozwiązanie
1. Błędy akcji reguły synchronizacji w dzienniku aprowizacji z komunikatem zawierającym EventName = EntrySynchronizationError i ErrorCode = EndpointUnavailable. Ten błąd jest wyświetlany, jeśli usługa aprowizacji nie może pobrać danych profilu użytkownika z usługi Active Directory z powodu błędu przetwarzania napotkanego przez lokalnego agenta aprowizacji. Sprawdź logi Podglądu zdarzeń agenta aprowizacji pod kątem zdarzeń błędów, które wskazują problemy z operacją odczytu (filtruj według identyfikatora zdarzenia nr 2).
2. Atrybut menedżera w usłudze AD nie jest aktualizowany dla niektórych użytkowników w usłudze AD. Najbardziej prawdopodobną przyczyną tego błędu jest użycie reguł określania zakresu, a menedżer użytkownika nie jest częścią zakresu. Ten problem może również wystąpić, jeśli atrybut identyfikatora zgodnego menedżera (np. EmployeeID) nie zostanie znaleziony w docelowej domenie usługi AD lub nie zostanie ustawiony na poprawną wartość. Przejrzyj filtr określania zakresu i dodaj użytkownika menedżera w zakresie. Sprawdź profil menedżera w usłudze AD, aby upewnić się, że istnieje wartość odpowiedniego atrybutu identyfikatora.

Zarządzanie konfiguracją

W tej sekcji opisano sposób dalszego rozszerzania, dostosowywania i zarządzania konfiguracją aprowizacji użytkowników opartych na usłudze Workday. Omówiono w nim następujące tematy:

Dostosowywanie listy atrybutów użytkownika produktu Workday

Aplikacje aprowizacyjne Workday dla usług Active Directory i Microsoft Entra ID zawierają domyślną listę atrybutów użytkownika Workday, z których można wybrać. Jednak te listy nie są kompleksowe. Usługa Workday obsługuje setki możliwych atrybutów użytkownika, które mogą być standardowe lub unikatowe dla klienta w Workday.

Usługa wdrażania firmy Microsoft Entra umożliwia dostosowywanie listy lub atrybutu Workday w celu włączenia dowolnych atrybutów udostępnionych w operacji Get_Workers interfejsu API zasobów ludzkich.

Aby to zmienić, należy użyć programu Workday Studio , aby wyodrębnić wyrażenia XPath reprezentujące atrybuty, których chcesz użyć, a następnie dodać je do konfiguracji aprowizacji przy użyciu zaawansowanego edytora atrybutów.

Aby pobrać wyrażenie XPath dla atrybutu użytkownika produktu Workday:

  1. Pobierz i zainstaluj program Workday Studio. Aby uzyskać dostęp do instalatora, musisz mieć konto społeczności produktu Workday.

  2. Pobierz plik WSDL dla Workday Human_Resources, specyficzny dla wersji API WWS, którą planujesz używać, z katalogu usług sieciowych Workday.

  3. Uruchom program Workday Studio.

  4. Na pasku poleceń wybierz opcję Testowa usługa internetowa produktu Workday > w testerze .

  5. Wybierz pozycję Zewnętrzne i wybierz plik WSDL Human_Resources pobrany w kroku 2.

    Zrzut ekranu przedstawiający plik

  6. W polu Lokalizacja ustaw wartość https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, ale zastąp "IMPL-CC" swoim rzeczywistym typem wystąpienia, a "TENANT" Twoją rzeczywistą nazwą dzierżawy.

  7. Ustaw Operację na Get_Workers

  8. Kliknij mały link konfiguracji poniżej okienka Żądanie/odpowiedź, aby ustawić poświadczenia produktu Workday. Zaznacz pozycję Uwierzytelnianie, a następnie wprowadź nazwę użytkownika i hasło dla konta systemu integracji produktu Workday. Pamiętaj, aby sformatować nazwę użytkownika jako name@tenant, i pozostaw zaznaczoną opcję WS-Security UsernameToken. Zrzut ekranu przedstawiający kartę

  9. Wybierz przycisk OK.

  10. W okienku Żądanie wklej poniższy kod XML. Ustaw Employee_ID na identyfikator pracownika rzeczywistego użytkownika w dzierżawie Workday. Ustaw wd:version na wersję WWS, którą zamierzasz używać. Wybierz użytkownika z wypełnionym atrybutem, który chcesz wyodrębnić.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Kliknij pozycję Wyślij żądanie (zielona strzałka), aby wykonać polecenie. W przypadku powodzenia odpowiedź powinna pojawić się w okienku Odpowiedź . Sprawdź odpowiedź, aby upewnić się, że zawiera on dane wprowadzonego identyfikatora użytkownika, a nie błąd.

  12. Jeśli operacja powiedzie się, skopiuj kod XML z okienka Odpowiedź i zapisz go jako plik XML.

  13. Na pasku poleceń programu Workday Studio wybierz pozycję Plik > otwórz plik... i otwórz zapisany plik XML. Ta akcja spowoduje otwarcie pliku w edytorze XML programu Workday Studio.

    Zrzut ekranu przedstawiający plik X M L otwarty w edytorze

  14. W drzewie plików przejdź przez /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker, aby znaleźć dane użytkownika.

  15. W obszarze wd: Worker znajdź atrybut, który chcesz dodać, i wybierz go.

  16. Skopiuj wyrażenie XPath dla wybranego atrybutu z pola Ścieżka dokumentu.

  17. Usuń prefiks /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ z skopiowanego wyrażenia.

  18. Jeśli ostatni element w skopiowanym wyrażeniu jest węzłem (na przykład: "/wd: Birth_Date"), dołącz /text() na końcu wyrażenia. Nie jest to konieczne, jeśli ostatni element jest atrybutem (na przykład: "/@wd: type").

  19. Wynik powinien wyglądać mniej więcej tak: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Ta wartość jest tym, co skopiujesz i wprowadzisz w centrum administracyjnym firmy Microsoft Entra.

Aby dodać niestandardowy atrybut użytkownika produktu Workday do konfiguracji aprowizacji:

  1. Uruchom centrum administracyjne Microsoft Entra i przejdź do sekcji Aprowizacja aplikacji aprowizacji Workday, zgodnie z opisem we wcześniejszej części tego samouczka.

  2. Ustaw Stan aprowizacji na Wył i wybierz Zapisz. Ten krok pomaga zapewnić, że zmiany zostaną zastosowane tylko wtedy, gdy wszystko będzie gotowe.

  3. W obszarze Mapowania wybierz Synchronizuj pracowników Workday z lokalnym Active Directory (lub Synchronizuj pracowników Workday z Microsoft Entra ID).

  4. Przewiń w dół następnego ekranu i wybierz pozycję Pokaż opcje zaawansowane.

  5. Wybierz pozycję Edytuj listę atrybutów dla produktu Workday.

  6. Przewiń do dołu listy atrybutów, aby wyświetlić pola wejściowe.

  7. W polu Nazwa wprowadź nazwę wyświetlaną atrybutu.

  8. W polu Typ wybierz typ, który odpowiednio odpowiada atrybutowi (ciąg jest najczęściej używany).

  9. Dla Wyrażenie API wprowadź wyrażenie XPath skopiowane z programu Workday Studio. Przykład: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Wybierz pozycję Dodaj atrybut.

    Zrzut ekranu przedstawiający program Workday Studio.

  11. Wybierz pozycję Zapisz powyżej, a następnie pozycję Tak w oknie dialogowym. Zamknij ekran Mapowanie atrybutów, jeśli nadal jest otwarty.

  12. Po powrocie do głównej karty Aprowizacja wybierz ponownie pozycję Synchronizuj pracowników Workday z lokalnym Active Directory (lub Synchronizuj pracowników do Microsoft Entra ID).

  13. Wybierz pozycję Dodaj nowe mapowanie.

  14. Nowy atrybut powinien być teraz wyświetlany na liście atrybutów źródłowych.

  15. Dodaj mapowanie nowego atrybutu zgodnie z potrzebami.

  16. Po zakończeniu pamiętaj, aby ustawić stan oprogramowania z powrotem na Włączone i zapisać.

Eksportowanie i importowanie konfiguracji

Zapoznaj się z artykułem Eksportowanie i importowanie konfiguracji aprowizacji

Zarządzanie danymi osobowymi

Rozwiązanie aprowizacji produktu Workday dla usługi Active Directory wymaga zainstalowania agenta aprowizacji na lokalnym serwerze z systemem Windows, a ten agent tworzy dzienniki w dzienniku zdarzeń systemu Windows, które mogą zawierać dane osobowe w zależności od mapowań atrybutów produktu Workday do usługi AD. Aby zapewnić zgodność z zobowiązaniami dotyczącymi prywatności użytkowników, możesz upewnić się, że żadne dane nie są przechowywane w dziennikach zdarzeń po upływie 48 godzin, konfigurując zaplanowane zadanie systemu Windows w celu wyczyszczenia dziennika zdarzeń.

Usługa microsoft Entra provisioning należy do kategorii podmiotu przetwarzającego dane klasyfikacji RODO. Jako potok przetwarzania danych usługa udostępnia usługi przetwarzania danych kluczowym partnerom i konsumentom końcowym. Usługa aprowizacji firmy Microsoft nie generuje danych użytkownika i nie ma niezależnej kontroli nad tym, jakie dane osobowe są zbierane i jak są używane. Pobieranie, agregacja, analiza i raportowanie danych w usłudze aprowizacji firmy Microsoft są oparte na istniejących danych przedsiębiorstwa.

Uwaga

Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zapoznaj się ze wskazówkami firmy Microsoft dotyczącymi żądań podmiotów danych systemu Windows dotyczących witryny RODO . Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.

W odniesieniu do przechowywania danych, usługa aprowizacji Microsoft Entra nie generuje raportów, nie wykonuje analiz ani nie dostarcza informacji dłużej niż przez 30 dni. W związku z tym usługa aprowizacji Microsoft Entra nie przechowuje, nie przetwarza ani nie zatrzymuje żadnych danych dłużej niż 30 dni. Ten projekt jest zgodny z przepisami RODO, przepisami dotyczącymi zgodności z prywatnością firmy Microsoft i zasadami przechowywania danych firmy Microsoft Entra.

Powiązana zawartość