Настройка Workday для автоматической подготовки пользователей

Цель этой статьи — показать действия, необходимые для подготовки рабочих профилей из Workday в локальную среду Active Directory (AD).

В следующем видео представлен краткий обзор шагов, связанных с планированием интеграции обеспечения с Workday.

Обзор

Служба подготовки пользователей Microsoft Entra интегрируется с API кадров Workday для подготовки учетных записей пользователей. Рабочие процессы подготовки пользователей Workday, поддерживаемые службой подготовки пользователей Microsoft Entra, обеспечивают автоматизацию следующих сценариев управления жизненным циклом кадров и удостоверений:

• Прием новых сотрудников - При добавлении нового сотрудника в Workday, учетная запись пользователя автоматически создается в Active Directory, Microsoft Entra ID и, при необходимости, в Microsoft 365 и других SaaS приложениях, поддерживаемых Microsoft Entra ID, с обратной передачей управляемой ИТ контактной информации в Workday.

• Обновления атрибутов и профилей сотрудников— когда запись сотрудника обновляется в Workday (например, имя, название или менеджер), ее учетная запись пользователя автоматически обновляется в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• Завершение работы сотрудников. При завершении работы сотрудника в Workday их учетная запись пользователя автоматически отключается в Active Directory, идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.

• Повторный прием на работу сотрудников. Когда сотрудник принимается повторно в Workday, его старая учетная запись может быть автоматически активирована или повторно подготовлена (в зависимости от вашего предпочтения) в Active Directory, Microsoft Entra ID и при необходимости в Microsoft 365 и других приложениях SaaS, поддерживаемых Microsoft Entra ID.

Новые возможности

В этот раздел включены недавние улучшения интеграции с системой Workday. Для получения списка комплексных обновлений, запланированных изменений и архивов посетите страницу Что нового в Microsoft Entra ID?

• Октябрь 2020 г. — включена подготовка по требованию для Workday: С помощью подготовки по запросу теперь можно протестировать сквозную подготовку для определенного профиля пользователя в Workday, чтобы проверить сопоставление атрибутов и логику выражений.

• Май 2020 г. — возможность записи телефонных номеров обратно в Workday: В дополнение к электронной почте и имени пользователя теперь можно записать рабочий номер телефона и номер мобильного телефона из Идентификатора Microsoft Entra в Workday. Для получения более подробной информации см. руководство по приложению с функцией обратной записи.

• Апрель 2020 г. — поддержка последней версии API веб-служб Workday (WWS): Два раза в год в марте и сентябре Workday предоставляет расширенные функции обновления, которые помогут вам удовлетворить ваши бизнес-цели и изменить требования к рабочей силе. Чтобы обеспечить соответствие новым функциям, предоставляемым Workday, можно напрямую указать версию API WWS, которую вы хотите использовать в URL-адресе подключения. Дополнительные сведения о том, как указать версию API Workday, см. в разделе о настройке подключения Workday.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение подготовки пользователей в Workday идеально подходит для:

• Организации, которым необходимо готовое облачное решение для управления пользователями в системе Workday.

• Организации, которым требуется прямое предоставление пользователей из Workday в Active Directory или Microsoft Entra ID

• Организации, требующие подготовки пользователей с помощью данных, полученных из модуля Workday HCM (см. Get_Workers).

• Организации, которым необходимо синхронизировать пользователей, присоединяющихся, перемещающихся и удаляющихся, с одним или несколькими лесами, доменами и подразделениями Active Directory, исключительно на основе изменений, обнаруженных в модуле Workday HCM (см. Get_Workers).

• организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:

• Достоверный поток данных отдела кадров — от Workday до локальной службы Active Directory: В этом потоке рабочие события, такие как принятие на работу, переводы, увольнения, сначала происходят в облачном клиенте HR Workday, а затем данные событий передаются в локальную службу Active Directory через Microsoft Entra ID и агент подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.
• Поток обратной записи — из локальной службы Active Directory в Workday: После завершения создания учетной записи в Active Directory, она синхронизируется с Microsoft Entra ID через Microsoft Entra Connect, и информацию, такую как электронная почта, имя пользователя и номер телефона, можно записать обратно в Workday.

Сквозной поток пользовательских данных

1. Команда отдела кадров выполняет транзакции с работниками (присоединение, перемещение и удаление или найм, перевод и увольнение) в Workday HCM.
2. Служба предоставления Microsoft Entra выполняет запланированные синхронизации удостоверений из Workday HR и определяет изменения, которые необходимо обработать для синхронизации с локальным Active Directory.
3. Служба подготовки Microsoft Entra вызывает локальный агент подготовки Microsoft Entra Connect с данными запроса, содержащими операции создания, обновления, включения и отключения учетных записей AD.
4. Агент подготовки Microsoft Entra Connect использует учетную запись службы для добавления и обновления данных учетной записи AD.
5. Подсистема синхронизации Microsoft Entra Connect / AD выполняет разностную синхронизацию для извлечения обновлений в AD.
6. Обновления Active Directory синхронизируются с идентификатором Microsoft Entra.
7. Если приложение Workday Writeback настроено, он записывает обратно атрибуты, такие как электронная почта, имя пользователя и номер телефона в Workday.

Планирование развертывания

Для настройки подготовки пользователей из Workday в Azure AD требуется основательное планирование, охватывающее различные аспекты, в числе которых:

• Настройка агента подготовки Microsoft Entra Connect
• Число приложений для распределения пользователей из Workday в AD, которые необходимо развернуть.
• Выбор подходящего идентификатора, сопоставления атрибутов, преобразований и фильтров области

Ознакомьтесь с планом развертывания облачной HR-системы для получения комплексных инструкций и рекомендуемых практик.

Настройка пользователя системы интеграции в Workday

Общее требование всех коннекторов управления доступом Workday заключается в том, что для подключения к API управления персоналом Workday необходимы учетные данные пользователя системы интеграции Workday. В следующих разделах описывается создание пользователя системы интеграции в Workday:

• Создание пользователя системы интеграции
• Создание группы безопасности интеграции
• Настройка разрешений политики безопасности домена
• Настройка разрешений политики безопасности бизнес-процессов
• Активация изменений политики безопасности

Создание пользователя системы интеграции

Чтобы создать пользователя системы интеграции, выполните приведенные действия.

1. Войдите в клиент Workday с помощью учетной записи администратора. В приложении Workday введите пользователя в поле поиска и нажмите кнопку "Создать пользователя системы интеграции".

   

2. Выполните задачу создания пользователя системы интеграции , указав имя пользователя и пароль для нового пользователя системы интеграции.

   • Оставьте опцию "Требовать новый пароль при следующем входе" без отметки, так как этот пользователь выполняет вход программным способом.
   • Оставьте время ожидания сеанса с значением по умолчанию 0, что предотвращает преждевременное истечение времени ожидания сеансов пользователя.
   • Выберите параметр "Не разрешать сеансы пользовательского интерфейса ", так как он предоставляет добавленный уровень безопасности, который предотвращает вход пользователя с паролем системы интеграции в Workday.

   

Создание группы безопасности интеграции

На этом шаге вы создадите группу безопасности системы интеграции без ограничений или ограниченной интеграции в Workday и назначьте пользователя системы интеграции, созданного на предыдущем шаге этой группе.

Чтобы создать группу безопасности, выполните приведенные действия.

1. Введите группу безопасности в поле поиска и нажмите кнопку "Создать группу безопасности".

   

2. Выполните задачу "Создать группу безопасности ".

   • Есть два типа групп безопасности в Workday:

     • Непринуждённый: Все члены группы безопасности могут получить доступ ко всем экземплярам данных, защищенным группой безопасности.
     • Ограниченный: Все члены группы безопасности имеют контекстный доступ к подмножествам экземпляров данных (строк), к которым может получить доступ группа безопасности.

   • Обратитесь к партнеру по интеграции Workday, чтобы выбрать подходящий тип группы безопасности для интеграции.

   • После того как вы знаете тип группы, выберите группу безопасности системы интеграции (не ограниченную) или группу безопасности системы интеграции (ограниченную) в раскрывающемся списке "Тип группы безопасности клиента".

     

3. После успешного создания группы безопасности вы увидите страницу, на которой можно назначить участников группе безопасности. Добавьте в эту группу безопасности нового пользователя системы интеграции, созданного на предыдущем шаге. Если вы используете ограниченную группу безопасности, необходимо выбрать соответствующую область организации.

   

Настройка разрешений политики безопасности домена

На этом шаге вы предоставите разрешения политики безопасности домена для рабочих данных группе безопасности.

Чтобы настроить разрешения политики безопасности домена, выполните следующие действия.

1. Введите членство в группе безопасности и доступ в поле поиска и щелкните ссылку отчета.

   

2. Найдите и выберите группу безопасности, созданную на предыдущем шаге.

   

3. Щелкните многоточие (...) рядом с именем группы и в меню выберите > "Сохранить разрешения домена для группы безопасности"

   

4. В разделе "Разрешения интеграции" добавьте следующие домены в список политик безопасности домена, разрешающих доступ Put

   • Настройка внешних учетных записей
   • Данные о работниках: общедоступные отчеты
   • Данные пользователя: сведения о рабочем контакте (требуется, если вы планируете обратно записывать контактные данные из идентификатора Microsoft Entra в Workday)
   • Учетные записи Workday (требуется, если вы планируете записывать имя пользователя или UPN из Microsoft Entra ID в Workday)

5. В разделе "Разрешения интеграции" добавьте следующие домены в список политик безопасности домена, позволяющих получить доступ

   • Рабочие данные: рабочие
   • Рабочие данные: все позиции
   • Рабочие данные: текущая информация о персонале
   • Рабочие данные: название должности в профиле работника
   • Рабочие данные: квалифицированные работники (необязательно) — добавьте это для получения данных о квалификации работников для подготовки)
   • Рабочие данные: навыки и опыт (необязательно. Добавьте это для получения данных о рабочих навыках для подготовки)

6. После выполнения описанных выше действий экран разрешений отображается, как показано ниже:

   

7. Нажмите кнопку "ОК " и "Готово " на следующем экране, чтобы завершить настройку.

Настройка разрешений политики безопасности для бизнес-процессов

На этом этапе вы предоставите группе безопасности разрешения на политику безопасности бизнес-процессов для данных работника.

Чтобы настроить разрешения политики безопасности бизнес-процессов, выполните следующие действия.

1. Введите политику бизнес-процессов в поле поиска и щелкните ссылку "Изменить политику безопасности бизнес-процессов ".

   

2. В текстовом поле "Тип бизнес-процессов" найдите контакт и выберите "Изменить рабочий контакт" и нажмите кнопку "ОК".

   

3. На странице "Изменение политики безопасности бизнес-процессов" перейдите к разделу "Изменить рабочую контактную информацию" (веб-служба).

4. Выберите новую группу безопасности системы интеграции и добавьте ее в список групп безопасности, которая может инициировать запрос к веб-службам.

   

5. Нажмите кнопку "Готово".

Активация изменений политики безопасности

Чтобы активировать изменения политики безопасности, выполните следующие действия.

1. Введите "activate" в поле поиска и щелкните ссылку "Активировать ожидающие изменения политики безопасности".

   

2. Запустите задачу "Активация ожидающих изменений политики безопасности", введя комментарий для целей аудита, а затем нажмите кнопку "ОК".

3. Выполните задачу на следующем экране, установив флажок "Подтвердить", а затем нажмите кнопку "ОК".

   

Требования для установки агента управления настройками

Прежде чем переходить к следующему разделу, ознакомьтесь с предварительными требованиями для установки агента развертывания.

Настройка обеспечения пользователей из системы Workday в Active Directory

В этом разделе описаны шаги по созданию учетных записей пользователей из Workday в каждом домене Active Directory в рамках вашей интеграции.

• Добавьте приложение развертывания и загрузите агент развертывания
• Установка и настройка локальных агентов развертывания
• Настройка подключения к Workday и Active Directory
• Настройка сопоставлений атрибутов
• Включение и запуск подготовки пользователей

Часть 1. Добавление приложения соединителя подготовки и скачивание агента подготовки

Чтобы настроить подготовку Workday в Active Directory, выполните приведенные действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий>новое приложение.

3. Найдите Workday в Active Directory User Provisioning и добавьте это приложение из коллекции.

4. После добавления приложения и отображения экрана сведений о приложении выберите "Подготовка".

5. Измените режим подготовки на Автоматический.

6. Щелкните на баннер с информацией, чтобы скачать агент подготовки.

   

Часть 2. Установка и настройка внутренних агентов снабжения

Чтобы подготовить локальную службу Active Directory, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к нужным доменам Active Directory.

Передайте скачанный установщик агента на узел сервера и выполните действия, перечисленные в разделе агента установки, чтобы завершить настройку агента.

Часть 3. В приложении подготовки настройте подключение к Workday и Active Directory

На этом шаге мы устанавливаем подключение к Workday и Active Directory.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>корпоративные приложения> Workday для приложения подготовки пользователей Active Directory, созданного в части 1.

3. Выполните раздел учетных данных администратора следующим образом:

   • Имя пользователя Workday — введите имя пользователя учетной записи системы интеграции Workday с добавленным доменным именем клиента. Он должен выглядеть примерно так: username@tenant_name

   • Пароль Workday — Введите пароль учетной записи системы интеграции Workday

   • URL-адрес API веб-служб Workday — Введите URL-адрес конечной точки веб-служб Workday для клиента. URL-адрес определяет версию API веб-служб Workday, используемую соединителем.

     Формат URL-адреса	Используемая версия API WWS	Требуются изменения XPATH
     https://####.workday.com/ccx/service/tenantName	версия 21.1	Нет
     https://####.workday.com/ccx/service/tenantName/Human_Resources	версия 21.1	Нет
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	версия ##.#	Да

     Примечание.

     Если в URL-адресе не указаны сведения о версии, приложение использует веб-службы Workday (WWS) версии 21.1 и не требуется вносить никаких изменений в выражения API XPATH по умолчанию, поставляемые с приложением. Чтобы использовать определенную версию API WWS, укажите номер версии в URL-адресе.
     Пример: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Если вы используете API WWS версии 30.0+, прежде чем включить задание подготовки, обновите выражения API XPATH в разделе "Сопоставление атрибутов "> Дополнительные параметры -> Изменить список атрибутов для Workday , ссылаясь на раздел "Управление конфигурацией и атрибутом Workday".

   • Лес Active Directory — Имя вашего домена Active Directory, зарегистрированное агентом. В раскрывающемся списке выберите целевой домен для предоставления. Обычно это строковое значение: contoso.com

   • Контейнер Active Directory — Введите DN контейнера, где агент должен создавать учетные записи пользователей по умолчанию. Пример: OU=Standard Users,OU=Users,DC=contoso,DC=test

     Примечание.

     Этот параметр применяется только для создания учетных записей пользователей, если атрибут parentDistinguishedName не настроен в сопоставлениях атрибутов. Этот параметр не используется для операций поиска пользователей или обновления. Областью действия операции поиска является все дочернее дерево домена.

   • Электронная почта уведомления — Введите свой адрес электронной почты и установите флажок "Отправить сообщение электронной почты, если происходит сбой".

     Примечание.

     Служба подготовки Microsoft Entra отправляет уведомление по электронной почте, если задание подготовки переходит в состояние карантина .

   • Нажмите кнопку "Проверить подключение ". Если тест подключения выполнен успешно, нажмите кнопку "Сохранить " в верхней части. В случае неудачи убедитесь, что учетные данные Workday и AD, заданные в настройках агента, действительны.

   • После успешного сохранения учетных данных в разделе "Сопоставления" отображается сопоставление по умолчанию "Синхронизация работников Workday с Локальным Active Directory"

Часть 4. Настройка сопоставлений атрибутов

В этом разделе описана настройка потоков данных пользователей из Workday в Active Directory.

1. На вкладке "Подготовка" в разделе "Сопоставления" нажмите кнопку "Синхронизация рабочих ролей Workday" в локальную службу Active Directory.

2. В поле "Область исходного объекта " можно выбрать, какие группы пользователей в Workday должны находиться в области подготовки для AD, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в Workday". Примеры фильтров

   • Пример. Охват пользователей с идентификаторами рабочих ролей в диапазоне от 1000000 до 2000000 (не включая 2000000)

     • Атрибут: WorkerID

     • Оператор: REGEX Match

     • Значение: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Пример: только сотрудники, а не временные работники

     • Атрибут: EmployeeID

     • Оператор: не является NULL

   Совет

   При первоначальной настройке приложения для подготовки необходимо проверить и подтвердить сопоставления атрибутов и выражения, чтобы убедиться, что они дают нужный результат. Корпорация Майкрософт рекомендует использовать фильтры областей в области исходного объекта и поставку по запросу для тестирования сопоставлений с несколькими тестовыми пользователями из Workday. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

   Внимание

   Поведение по умолчанию движка подготовки предназначено для отключения или удаления пользователей, которые выходят за рамки. Это может быть нежелательно в случае интеграции Workday с AD. Чтобы переопределить это поведение по умолчанию, см. статью "Пропустить удаление учетных записей пользователей, выходящих за пределы области действия"

3. В поле "Действия целевого объекта " можно глобально фильтровать действия, выполняемые в Active Directory. Создание и обновление являются наиболее распространенными.

4. В разделе "Сопоставления атрибутов " можно определить, как отдельные атрибуты Workday сопоставляют с атрибутами Active Directory.

5. Щелкните существующее сопоставление атрибутов, чтобы обновить его, или нажмите кнопку "Добавить новое сопоставление " в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

   • Тип сопоставления

     • Direct — записывает значение атрибута Workday в атрибут AD без изменений.

     • Константа — запись статического, константного строкового значения в атрибут AD

     • Выражение — позволяет записывать пользовательские значения в атрибут AD на основе одного или нескольких атрибутов Workday. Дополнительные сведения см. в этой статье по выражениям.

   • Исходный атрибут — атрибут пользователя из Workday. Если нужный атрибут отсутствует, см. статью "Настройка списка атрибутов пользователя Workday".

   • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление записывает это значение. В наиболее распространенной конфигурации это поле остается пустым.

   • Целевой атрибут — атрибут пользователя в Active Directory.

   • Сопоставление объектов с помощью этого атрибута — следует ли использовать это сопоставление для уникальной идентификации пользователей между Workday и Active Directory. Как правило, значение задается в поле ИД работника для Workday, который обычно сопоставляется с одним из атрибутов ИД сотрудника в Active Directory.

   • Соответствие приоритета — можно задать несколько атрибутов сопоставления. При наличии нескольких элементов они оцениваются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

   • Применение этого сопоставления

     • Всегда — применяйте это сопоставление как при создании пользователя, так и при его обновлении.

     • Только при создании - Применяйте это сопоставление только к действиям создания учетных записей пользователей

6. Чтобы сохранить сопоставления, нажмите кнопку "Сохранить " в верхней части раздела Attribute-Mapping.

   

Ниже приведено несколько примеров сопоставлений атрибутов между Workday и Active Directory с некоторыми общими выражениями.

• Выражение, которое сопоставляется с атрибутом parentDistinguishedName, используется для предоставления пользователя различным организационным единицам на основе одного или нескольких исходных атрибутов Workday. В этом примере пользователи размещаются в разных подразделениях в зависимости от того, в каком городе они находитесь.

• Атрибут userPrincipalName в Active Directory создается с помощью функции отмены дублирования SelectUniqueValue , которая проверяет наличие созданного значения в целевом домене AD и задает его, только если это уникально.

• Здесь приведена документация по написанию выражений. В этот раздел входят примеры, демонстрирующие удаление специальных символов.

После завершения конфигурации сопоставления атрибутов можно протестировать подготовку для одного пользователя с помощью подготовки по запросу , а затем включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

После завершения конфигураций приложений подготовки Workday и проверки подготовки для одного пользователя с подготовкой по запросу можно включить службу подготовки.

1. Перейдите в колонку "Подготовка" и нажмите кнопку "Начать подготовку".

2. Эта операция запускает начальную синхронизацию, которая может занять переменное количество часов в зависимости от количества пользователей в клиенте Workday. Вы можете следить за ходом цикла синхронизации по индикатору выполнения.

3. В любое время проверьте вкладку "Подготовка" в Центре администрирования Microsoft Entra, чтобы узнать, какие действия выполнила служба подготовки. Журналы подготовки перечисляют список всех отдельных событий синхронизации, выполняемых службой подготовки, например, какие пользователи считываются из Workday, а затем добавляются или обновляются в Active Directory. Инструкции по просмотру журналов подготовки и устранению ошибок подготовки см. в разделе "Устранение неполадок".

4. После завершения начальной синхронизации он записывает сводный отчет аудита на вкладке подготовки , как показано ниже.

   

Часто задаваемые вопросы

• Вопросы о возможностях решения

  • При обработке нового сотрудника из Workday, как решение устанавливает пароль для новой учетной записи пользователя в Active Directory?
  • Поддерживает ли решение отправку уведомлений по электронной почте после завершения операций подготовки?
  • Кэширует ли решение профили пользователей Workday в облаке Microsoft Entra или на уровне агента предоставления?
  • Поддерживает ли решение назначение пользователю групп из локального AD?
  • Какие API Workday используются для запроса и обновления профилей работников Workday?
  • Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?
  • Как предлагать улучшения или запрашивать новые функции, связанные с интеграцией Workday и Microsoft Entra?

• Вопросы об агенте предоставления услуг

  • Что такое общедоступная версия агента подготовки?
  • Как узнать версию агента подготовки?
  • Автоматически ли Microsoft отправляет обновления агента подготовки?
  • Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Connect?
  • Как настроить агент подготовки для использования прокси-сервера для исходящего HTTP-взаимодействия?
  • Как убедиться, что агент подготовки может взаимодействовать с клиентом Microsoft Entra, а брандмауэры не блокируют порты, необходимые агенту?
  • Как отменить регистрацию домена, связанного с агентом предоставления?
  • Как я могу удалить агент подготовки?

• Вопросы о сопоставлении атрибутов и конфигурации Workday с AD

  • Как сделать резервную копию или экспортировать текущую копию сопоставления атрибутов предоставления Workday и схемы?
  • У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?
  • Можно ли подготовить фотографию пользователя из Workday в Active Directory?
  • Как синхронизировать мобильные номера из Workday на основе согласия пользователя на общедоступное использование?
  • Как отформатировать имена в AD на основе атрибутов отдела или страны или города пользователя и обрабатывать региональные дисперсии?
  • Как использовать SelectUniqueValue для создания уникальных значений для атрибута samAccountName?
  • Как удалить символы с диакритиками и преобразовать их в обычные английские алфавиты?

Вопросы о возможностях решения

Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?

Когда локальный агент подготовки получает запрос на создание новой учетной записи AD, он автоматически создает сложный случайный пароль, соответствующий требованиям сложности, определенным сервером AD, и устанавливает его для объекта пользователя. Этот пароль не регистрируется нигде.

Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?

Нет, отправка уведомлений по электронной почте после завершения операций провизирования не поддерживается в этой версии.

Кэширует ли решение профили пользователей Workday в облаке Microsoft Entra или на уровне агента подготовки?

Нет, решение не поддерживает кэш профилей пользователей. Служба подготовки Microsoft Entra просто выступает в качестве обработчика данных, считывает данные из Workday и записывает данные в целевой идентификатор Active Directory или Microsoft Entra ID. Дополнительные сведения, связанные с конфиденциальностью пользователей и хранением данных, см. в разделе "Управление личными данными ".

Поддерживает ли решение назначение локальных групп AD пользователю?

В настоящее время эта функция не поддерживается. Рекомендуемое решение — развернуть скрипт PowerShell, который запрашивает конечную точку API Microsoft Graph, чтобы получить данные журнала подготовки и использовать их для запуска таких сценариев, как назначение групп. Этот сценарий PowerShell можно присоединить к планировщику задач и развернуть в том же окне, где запущен агент подготовки.

Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?

В настоящее время решение использует следующие API Workday:

• Формат URL-адреса API веб-служб Workday, используемый в разделе "Учетные данные администратора", определяет версию API, используемую для Get_Workers

  • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName, то используется API версии 21.1.
  • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources, то используется API версии 21.1.
  • Если URL-адрес имеет формат https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#, то используется указанная версия API. (Например, если задана версия 34.0, она используется.)

• Функция Email Writeback в Workday использует Change_Work_Contact_Information (версия 30.0).

• Функция обратной записи имени пользователя Workday использует Update_Workday_Account (версия 31.2).

Можно ли настроить клиент Workday HCM с двумя клиентами Microsoft Entra?

Да, эта конфигурация поддерживается. Ниже приведены основные действия, необходимые для настройки такого сценария.

• Разверните агент подготовки #1 и зарегистрируйте его в клиенте Microsoft Entra #1.
• Разверните агент подготовки #2 и зарегистрируйте его в клиенте Microsoft Entra #2.
• На основе «дочерних доменов», которыми управляет каждый агент провизии, настройте каждого агента с соответствующими доменами. Один агент может обрабатывать несколько доменов.
• В Центре администрирования Microsoft Entra настройте приложение для обеспечения пользователей AD для Workday для каждого клиента и сконфигурируйте его с соответствующими доменами.

Как я могу предложить улучшения или запросить новые функции, связанные с интеграцией Workday и Microsoft Entra?

Мы очень ценим ваши отзывы, так как они помогают нам задать направление для будущих выпусков и улучшений. Мы приветствуем все отзывы и рекомендуем вам отправить вашу идею или предложение по улучшению на форуме отзывов Идентификатора Microsoft Entra. Для получения конкретных отзывов, связанных с интеграцией Workday, выберите категорию SaaS Applications и выполните поиск с помощью ключевых слов Workday, чтобы найти существующие отзывы, связанные с Workday .

Когда предлагаете новую идею, проверьте, не предложил ли кто-то еще аналогичную функцию. В этом случае вы можете проголосовать за функцию или запрос на усовершенствование. Вы также можете оставить комментарий относительно вашего конкретного варианта использования, чтобы показать поддержку идеи и продемонстрировать, как функция ценна для вас тоже.

Вопросы по работе агента настройки

Какая общедоступная версия агента развертывания?

Обратитесь к истории выпусков версии агента подготовки Microsoft Entra Connect, чтобы узнать о последней общедоступной версии агента подготовки.

Как узнать версию моего агента по подготовке?

1. Войдите на сервер Windows, где установлен агент предоставления.
2. Перейдите к меню"Удаление или изменение программы"на панели> управления.
3. Найдите версию, соответствующую элементу Агент подготовки Microsoft Entra Connect.

Корпорация Майкрософт автоматически отправляет обновления агента развертывания?

Да, корпорация Майкрософт автоматически обновляет агент подготовки, если служба Microsoft Entra Connect Agent Updater работает.

Можно ли установить агент подготовки на том же сервере, на котором работает Microsoft Entra Connect?

Да, агент подготовки можно установить на том же сервере, на котором выполняется Microsoft Entra Connect.

Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra. Агент хранит учетные данные локально на сервере?

Во время настройки агент подготовки запрашивает учетные данные администратора Microsoft Entra только для подключения к клиенту Microsoft Entra. Он не сохраняет учетные данные локально на сервере. Однако он сохраняет учетные данные, используемые для подключения к локальному домену Active Directory в локальном хранилище паролей Windows.

Как настроить агент подготовки для использования прокси-сервера для исходящей HTTP-коммуникации?

Агент конфигурирования поддерживает использование исходящего прокси-сервера. Его можно настроить, изменив файл конфигурации агента C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Добавьте в него следующие строки к концу файла непосредственно перед закрывающим </configuration> тегом. Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Как мне убедиться, что агент подготовки может взаимодействовать с клиентом Microsoft Entra и что брандмауэры не блокируют порты, необходимые агенту?

Вы также можете проверить, открыты ли все необходимые порты .

Можно ли настроить один «агент развертывания» для управления несколькими доменами AD?

Да, одного агента Provisioning можно настроить для работы с несколькими доменами AD, если у него есть линия видимости к соответствующим контроллерам домена. Корпорация Майкрософт рекомендует настроить группу из 3 агентов подготовки, обслуживающих тот же набор доменов AD, чтобы обеспечить высокую доступность и поддержку отработки отказа.

Как отменить регистрацию домена, связанного с моим агентом провижининга?

*, получите идентификатор клиента клиента Microsoft Entra.

• Войдите на сервер Windows, где запущен агент подготовки.

• Откройте PowerShell от имени администратора Windows.

• Перейдите в каталог, содержащий скрипты регистрации, и выполните следующие команды, заменив параметр [tenant ID] значением вашего идентификатора клиента.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• В появившемся списке агентов скопируйте значение id поля из этого ресурса, имя ресурса которого равно доменному имени AD.

• Вставьте значение идентификатора в эту команду и выполните ее в PowerShell.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Повторно запустите мастер настройки агента.

• Любые другие агенты, которые ранее были назначены этому домену, необходимо перенастроить.

Как мне удалить агент конфигурирования?

• Войдите на сервер Windows, где установлен агент предоставления.
• Перейти к меню"Удаление или изменение программы" на панели> управления
• Удалите следующие программы:
  • Агент предоставления Microsoft Entra Connect
  • Обновление агента Microsoft Entra Connect
  • Пакет агента настройки Microsoft Entra Connect

Вопросы по конфигурации и сопоставлению атрибутов Workday и AD

Как создать резервную копию или экспортировать текущую версию сопоставления атрибутов управления доступом Workday и схемы?

С помощью API Microsoft Graph можно экспортировать конфигурацию подготовки пользователей Workday. Дополнительные сведения см. в разделе "Экспорт и импорт конфигурации сопоставления атрибутов подготовки пользователей Workday ".

У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?

Решение поддерживает настраиваемые атрибуты Workday и Active Directory. Чтобы добавить настраиваемые атрибуты в схему сопоставления, откройте колонку сопоставления атрибутов и прокрутите вниз, чтобы развернуть раздел "Показать дополнительные параметры".

Чтобы добавить ваши настраиваемые атрибуты Workday, выберите параметр "Изменить список атрибутов" для Workday, и чтобы добавить ваши настраиваемые атрибуты AD, выберите параметр "Изменить список атрибутов" для Локальной службы Active Directory.

См. также:

• Настройка списка атрибутов пользователя Workday

Как настроить решение так, чтобы обновлять только атрибуты в AD с учетом изменений Workday и не создавать новые учетные записи AD?

Эту конфигурацию можно достичь, задав действия целевого объекта в колонке "Сопоставления атрибутов ", как показано ниже:

Установите флажок "Обновить", чтобы разрешить только операции обновления перемещаться из Workday в AD.

Можно ли перенести фотографию пользователя из Workday в Active Directory?

В настоящее время решение не поддерживает настройку двоичных атрибутов, таких как thumbnailPhoto и jpegPhoto в Active Directory.

Как на основе согласия пользователя синхронизировать мобильные номера из Workday для публичного использования?

• Перейдите на вкладку "Provisioning" в приложении Workday Provisioning.

• Щелкните «Сопоставления атрибутов».

• В разделе «Сопоставления» выберите «Синхронизация сотрудников Workday с локальной службой Active Directory» (или «Синхронизация сотрудников Workday с Microsoft Entra ID»).

• На странице сопоставления атрибутов прокрутите экран вниз и установите флажок "Показать дополнительные параметры". Щелкните "Изменить список атрибутов" для Workday

• В открывающейся панели найдите атрибут "Mobile" и щелкните на строке, чтобы изменить выражение API Screenshot of Mobile GDPR.

• Замените выражение API следующим новым выражением, которое извлекает рабочий мобильный номер, только если для параметра "Общедоступный флаг использования" задано значение True в Workday.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Сохраните список атрибутов.

• Сохраните сопоставление атрибутов.

• Очистите текущее состояние и перезапустите полную синхронизацию.

Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?

Это общее требование для настройки атрибута displayName в AD, чтобы он также предоставлял сведения о отделе пользователя и стране или регионе. Например, если Джон Смит работает в отделе маркетинга в США, может потребоваться, чтобы его отображаемое имя отображалось как Смит, Джон (Marketing-US).

Вот как можно обрабатывать такие требования для создания CN или displayName , чтобы включить такие атрибуты, как компания, бизнес-подразделение, город или страна или регион.

• Каждый атрибут Workday извлекается с помощью внутреннего выражения API XPATH, которое настраивается в сопоставлении атрибутов —> расширенный раздел —> редактировать список атрибутов для Workday. Ниже приведено выражение API XPATH по умолчанию для атрибутов Workday PreferredFirstName, PreferredLastName, Company и SupervisoryOrganization .

  Атрибут Workday	Выражение XPath API
  ПредпочитаемоеИмя	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  Предпочитаемая фамилия	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Компания	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  Надзорная организация	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Согласуйте с командой Workday, допустимо ли приведенное выше выражение API для конфигурации клиента Workday. При необходимости их можно изменить, как описано в разделе "Настройка списка атрибутов пользователя Workday".

• Аналогичным образом данные о стране или регионе, присутствующие в Workday, извлекаются с помощью следующего XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  В разделе списка атрибутов Workday доступны 5 атрибутов, связанных со страной или регионом.

  Атрибут Workday	Выражение XPath API
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  Дружественный справочник по странам	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  ЧисловойСправочникСтраны	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  Справочник по стране/региону	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Согласуйте с командой Workday, допустимы ли приведенные выше выражения API для конфигурации клиента Workday. При необходимости их можно изменить, как описано в разделе "Настройка списка атрибутов пользователя Workday".

• Чтобы создать правильное выражение сопоставления атрибутов, определите, какой атрибут Workday "авторитетно" представляет имя, фамилию, страну или регион и отдел пользователя. Предположим, что атрибуты — PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter и SupervisoryOrganization соответственно. Это можно использовать для создания выражения атрибута displayName AD следующим образом, чтобы получить отображаемое имя , например Смит, Джон (Marketing-US).

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  После получения правильного выражения измените таблицу "Сопоставления атрибутов" и измените сопоставление атрибутов displayName , как показано ниже:

• Расширяя приведенный выше пример, предположим, что вы хотите преобразовать имена городов, поступающие из Workday, в сокращенные значения, а затем использовать его для создания отображаемых имен, таких как Смит, Джон (CHI) или Doe, Джейн (NYC), то этот результат можно достичь с помощью выражения Switch с атрибутом "Муниципалитет Workday" в качестве детерминированной переменной.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  См. также:

  • Синтаксис функции Switch
  • Синтаксис функции join
  • Синтаксис функции Append

Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?

Предположим, вы хотите создать уникальные значения для атрибута samAccountName с помощью сочетания атрибутов FirstName и LastName из Workday. Ниже приведено выражение, с которого можно начать:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Как работает приведенное выше выражение: если пользователь Джон Смит, он сначала пытается создать JSmith, если JSmith уже существует, то он создает JoSmith, если это существует, он создает JohSmith. Выражение также гарантирует, что созданное значение соответствует ограничению длины и специальным ограничениям символов, связанным с samAccountName.

См. также:

• Синтаксис средней функции
• Синтаксис функции Replace
• Синтаксис функции SelectUniqueValue

Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?

Используйте функцию NormalizeDiacritics , чтобы удалить специальные символы в имени и фамилии пользователя, создавая адрес электронной почты или значение CN для пользователя.

Советы по устранению неполадок

В этом разделе приводятся конкретные рекомендации по устранению неполадок предоставления в вашей интеграции Workday с помощью журналов предоставления Microsoft Entra и журналов Windows Server Просмотр Событий. Он основан на общих шагах и концепциях устранения неполадок, описанных в руководстве. Отчеты об автоматической подготовке учетных записей пользователей

В этом разделе описываются следующие аспекты устранения неполадок:

• Настройте агент подготовки для генерации журналов Просмотра событий
• Настройка средства просмотра событий Windows для устранения неполадок агента
• Настройка журналов управления конфигурациями в Центре администрирования Microsoft Entra для устранения неполадок
• Общие сведения о журналах для операций создания учетной записи пользователя AD
• Понимание журналов для операций обновления менеджера
• Устранение распространенных ошибок

Настройка агента подготовки для создания журналов компонента "Просмотр событий"

1. Войдите на машину Windows Server, на которой установлен агент подготовки.

2. Остановите службу Microsoft Entra Connect Provisioning Agent.

3. Создайте копию исходного файла конфигурации: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

4. Замените имеющийся раздел <system.diagnostics> указанным ниже.

   • Конфигурация прослушивателя etw выдает сообщения в журналы EventViewer
   • Прослушиватель config textWriterListener отправляет сообщения трассировки в файл ProvAgentTrace.log. Раскомментируйте строки, относящиеся только к textWriterListener, для расширенного устранения неполадок.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Запустите службу агент подготовки Microsoft Entra Connect.

Настройка средства просмотра событий Windows для устранения неполадок агента

1. Войдите на компьютер с Windows Server, на котором установлен агент Provisioning.

2. Откройте настольное приложение Просмотр событий Windows Server.

3. Выберите Журналы Windows -> Приложение.

4. Используйте параметр Filter Current Log... , чтобы просмотреть все события, зарегистрированные в исходном агенте подготовки Microsoft Entra Connect , и исключить события с идентификатором события "5", указав фильтр "-5", как показано ниже.

   Примечание.

   Идентификатор события 5 записывает сообщения начальной загрузки агента в облачную службу Microsoft Entra, и мы фильтруем их при анализе файлов журнала.

   

5. Нажмите кнопку "ОК " и сортируйте представление результатов по столбцу даты и времени .

Настройка журналов предоставления Центра администрирования Microsoft Entra для устранения проблем служб

1. Запустите Центр администрирования Microsoft Entra и перейдите в раздел Подготовка вашего приложения для подготовки Workday.

2. Нажмите кнопку "Столбцы " на странице "Журналы подготовки", чтобы отобразить в представлении только следующие столбцы: (дата, активность, состояние, причина статуса). Эта конфигурация гарантирует, что вы сосредоточитесь только на данных, которые имеют отношение к устранению неполадок.

   

3. Используйте параметры запроса целевого и диапазона дат для фильтрации представления.

   • Задайте для параметра Цель запроса значение "Рабочий идентификатор" или "Идентификатор сотрудника" объекта работника Workday.
   • Задайте диапазон дат на соответствующий период времени, в течение которого требуется изучить ошибки или проблемы с обеспечением.

   

Общие сведения о журналах операций создания учетных записей пользователей AD

При обнаружении нового сотрудника в системе Workday (предположим, с идентификатором сотрудника 21023) служба подготовки Microsoft Entra пытается создать новую учетную запись пользователя в Active Directory для этого сотрудника и в процессе создает 4 записи в журнале подготовки, как описано ниже:

При щелчке на любой из записей журнала распределения откроется страница с подробностями о действиях. Вот что отображается на странице сведений о действиях для каждого типа записи журнала.

• Запись импорта Workday: эта запись журнала отображает сведения о работнике, полученные из Workday. Используйте сведения в разделе "Дополнительные сведения" записи журнала для устранения неполадок с получением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• Запись импорта AD: эта запись журнала отображает сведения о учетной записи, полученной из AD. Так как во время первоначального создания пользователя нет учетной записи AD, причина состояния действия указывает, что в Active Directory не найдена учетная запись со значением атрибута совпадающего идентификатора. Используйте сведения в разделе "Дополнительные сведения" записи журнала для устранения неполадок с получением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Чтобы найти записи журнала агента управления подготовкой, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и выберите пункт меню «Найти...», чтобы найти записи журнала, содержащие значение атрибута "идентификатор сопоставления/атрибут соединения" (в данном случае 21023).

  

  Найдите запись с идентификатором события = 9, которая предоставляет фильтр поиска LDAP, используемый агентом для получения учетной записи AD. Вы можете проверить, является ли он подходящим фильтром поиска для получения уникальных записей пользователей.

  Запись, которая немедленно следует за ним с идентификатором события = 2, фиксирует результат операции поиска и указывает, были ли получены какие-либо результаты.

• Запись действия правила синхронизации. Эта запись журнала отображает результаты правил сопоставления атрибутов и настроенные фильтры области вместе с действием подготовки, которое выполняется для обработки входящего события Workday. Используйте сведения в разделе "Дополнительные сведения" записи журнала для устранения неполадок с действием синхронизации. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object is added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Если есть проблемы с выражениями для сопоставления атрибутов или входящие данные Workday имеют проблемы (например, пустое или нулевое значение для обязательных атрибутов), то на этом этапе вы увидите сбой, код ошибки которого предоставит сведения о сбое.

• Запись экспорта AD. Эта запись журнала отображает результат операции создания учетной записи AD вместе со значениями атрибутов, заданными в процессе. Используйте сведения в разделе "Дополнительные сведения" записи журнала для устранения неполадок с операцией создания учетной записи. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле. В разделе "Дополнительные сведения" для параметра EventName задано значение EntryExportAdd, для параметра JoiningProperty устанавливается значение атрибута идентификатора сопоставления, для параметра SourceAnchor — значение WorkdayID (WID), связанное с записью, а для параметра TargetAnchor — значение атрибута ObjectGuid AD созданного пользователя.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object is created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
  

  Чтобы найти записи журнала агента подготовки, соответствующие этой операции экспорта AD, откройте журналы средства просмотра событий Windows и выберите пункт меню Найти..., чтобы найти записи журнала, содержащие значение атрибута "Идентификатор сопоставления/Присоединение свойства" (в данном случае 21023).

  Найдите запись HTTP POST, соответствующую метке времени операции экспорта с идентификатором события = 2. Эта запись содержит значения атрибутов, отправленные службой подготовки агенту подготовки.

  

  Сразу после указанного выше события должно быть другое событие, которое фиксирует ответ операции создания учетной записи AD. Это событие возвращает новый объект ObjectGuid, созданный в AD, и он задается в качестве атрибута TargetAnchor в службе подготовки.

  

Понимание журналов операций обновления менеджера

Атрибут руководителя является ссылочным атрибутом в AD. Служба подготовки не задает атрибут диспетчера как часть операции создания пользователя. Вместо этого атрибут диспетчера устанавливается как часть операции обновления после создания учетной записи AD для пользователя. В продолжение приведенного выше примера, предположим, что новый сотрудник с идентификатором "21451" активируется в Workday, а менеджер нового сотрудника (21023) уже имеет учетную запись AD. В этом сценарии поиск в журналах настройки для пользователя 21451 показывает 5 записей.

Первые 4 записи похожи на те, которые мы рассматривали в рамках операции создания учетной записи пользователя. 5-я запись — это экспорт, связанный с обновлением атрибута менеджера. Запись журнала отображает результат операции обновления диспетчера учетных записей AD, которая выполняется с помощью атрибута objectGuid руководителя.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Устранение распространенных ошибок

В этом разделе рассматриваются распространенные ошибки при подготовке пользователей Workday и способы их устранения. Ошибки разделены на следующие группы:

• Ошибки агента параметризации
• Ошибки подключения
• Ошибки при создании учетной записи пользователя AD
• Ошибки обновления учетной записи пользователя AD

Ошибки подготовки агента

Ошибки подключения.

Если службе предварительной настройки не удается подключиться к Workday или Active Directory, предварительная настройка может войти в карантинное состояние. В следующей таблице приведены сведения по устранению неполадок с подключением.

Ошибки создания учетной записи пользователя AD

Ошибки обновления учетной записи пользователя AD

В процессе обновления учетной записи пользователя AD служба подготовки считывает информацию из Workday и AD, запускает правила сопоставления атрибутов и определяет, нужно ли применить какое-либо изменение. Соответственно инициируется событие обновления. Если при выполнении какого-либо из этих шагов произошел сбой, это записывается в журналы подготовки. В следующей таблице приведены сведения по устранению распространенных ошибок обновления.

Управление конфигурацией

В этом разделе описывается, как вы можете дополнительно расширять и настраивать вашу конфигурацию подготовки пользователей на основе Workday, а также управлять ею. В нем рассматриваются следующие темы:

• Настройка списка атрибутов пользователя Workday
• Экспорт и импорт конфигурации

Настройка списка атрибутов пользователя Workday

Приложения подготовки Workday для Active Directory и Идентификатора Microsoft Entra содержат список атрибутов пользователей Workday по умолчанию, которые можно выбрать. Однако эти списки не являются исчерпывающими. Приложение Workday поддерживает сотни пользовательских атрибутов, которые могут быть стандартными или уникальными для клиента Workday.

Служба подготовки Microsoft Entra поддерживает возможность настройки списка или атрибута Workday для включения всех атрибутов, предоставляемых в операции Get_Workers API кадровых ресурсов.

Для этого необходимо использовать Workday Studio для извлечения выражений XPath, представляющих атрибуты, которые вы хотите использовать, а затем добавить их в конфигурацию подготовки с помощью расширенного редактора атрибутов.

Чтобы получить выражение XPath для атрибута пользователя Workday:

1. Скачайте и установите Workday Studio. Для доступа к установщику требуется учетная запись сообщества Workday.

2. Скачайте файл Workday Human_Resources WSDL, относящегося к версии API WWS, который вы планируете использовать из каталога веб-служб Workday

3. Запустите Workday Studio.

4. На панели команд выберите веб-службу Workday > Test в параметре Tester .

5. Выберите внешний и выберите Human_Resources WSDL-файл, скачанный на шаге 2.

   

6. Задайте для поля Location значение https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, но замените "IMPL-CC" фактическим типом экземпляра и "TENANT" именем вашего реального клиента.

7. Установить Operation на Get_Workers

8. Щелкните небольшую ссылку на настройку под панелями запросов и ответов, чтобы задать учетные данные Workday. Проверьте проверку подлинности, а затем введите имя пользователя и пароль для учетной записи системы интеграции Workday. Не забудьте отформатировать имя пользователя как name@tenant и оставить выбранный параметр WS-Security UsernameToken .

9. Нажмите кнопку "ОК".

10. В области "Запрос" вставьте XML-файл ниже. Задайте Employee_ID идентификатор сотрудника реального пользователя в клиенте Workday. Установите wd:version на версию WWS, которую вы планируете использовать. Выберите пользователя, у которого заполнен атрибут, который вы хотите извлечь.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Нажмите кнопку "Отправить запрос " (зеленая стрелка), чтобы выполнить команду. Если выполнение пройдет успешно, ответ должен появиться в области Response. Убедитесь, что ответ содержит данные идентификатора пользователя, которые вы ввели, и не содержит ошибок.

12. При успешном выполнении скопируйте XML-файл из области ответа и сохраните его в виде XML-файла.

13. В командной строке Workday Studio выберите "Открыть файл > " и откройте сохраненный XML-файл. Это действие открывает файл в редакторе XML Workday Studio.

    

14. В дереве файлов пройдите по структуре /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd:Worker, чтобы найти данные вашего пользователя.

15. В разделе wd: Worker найдите атрибут, который требуется добавить, и выберите его.

16. Скопируйте выражение XPath для выбранного атрибута из поля "Путь к документу ".

17. Удалите префикс /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ из выражения, которое было скопировано.

18. Если последний элемент в скопированном выражении является узлом (например, "/wd: Birth_Date"), добавьте /text() в конце выражения. Это не обязательно, если последний элемент является атрибутом (например, "/@wd: тип").

19. Результат должен выглядеть приблизительно так: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Это значение вы копируете и вводите в Центр администрирования Microsoft Entra.

Чтобы добавить настроенный атрибут пользователя Workday в конфигурацию предоставления прав доступа:

1. Запустите Центр администрирования Microsoft Entra и перейдите к разделу подготовки приложения подготовки Workday, как описано ранее в этом руководстве.

2. Установите для параметра "Состояние подготовки " значение "Отключить" и нажмите кнопку "Сохранить". Этот шаг помогает убедиться, что изменения вступили в силу только в том случае, если вы будете готовы.

3. В разделе «Сопоставления» выберите «Синхронизация сотрудников Workday с локальной службой Active Directory» (или «Синхронизация сотрудников Workday с Microsoft Entra ID»).

4. Прокрутите внизу следующего экрана и выберите "Показать дополнительные параметры".

5. Выберите "Изменить список атрибутов" для Workday.

6. Прокрутите страницу вниз до списка атрибутов, где находятся поля для заполнения.

7. В поле "Имя" введите отображаемое имя атрибута.

8. Для типа выберите тип, соответствующий атрибуту (строка наиболее распространена).

9. Для выражения API введите выражение XPath, скопированное из Workday Studio. Пример: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Выберите "Добавить атрибут".

    

11. Нажмите кнопку "Сохранить выше", а затем "Да " в диалоговом окне. Закройте экран сопоставления атрибутов, если он по-прежнему открыт.

12. Вернитесь на главную вкладку "Подготовка" и снова выберите "Синхронизировать работников Workday с локальной службой Active Directory" (или "Синхронизировать работников с Microsoft Entra ID").

13. Выберите "Добавить новое сопоставление".

14. Теперь новый атрибут должен появиться в списке атрибутов Source .

15. В случае необходимости добавьте сопоставление для нового атрибута.

16. По завершении не забудьте вернуть состояние подготовки в положение "Вкл . и сохранить".

Экспорт и импорт конфигурации

См. статью Экспорт и импорт конфигурации развертывания

Управление персональными данными

Для решения подготовки Workday для Active Directory требуется, чтобы агент подготовки был установлен на локальном сервере Windows. Этот агент создает журналы в журнале событий Windows, который может содержать персональные данные в зависимости от сопоставления атрибутов Workday и AD. Чтобы обеспечить соблюдение обязательств по обеспечению конфиденциальности пользователей, можно настроить так, чтобы никакие данные не хранились в журналах событий более 48 часов, создав запланированную задачу Windows для очистки журнала событий.

Служба предоставления Microsoft Entra входит в категорию «обработчик данных» по классификации GDPR. В качестве конвейера обработки данных, сервис предоставляет услуги по обработке данных ключевым партнерам и конечным потребителям. Служба подготовки Microsoft Entra не создает пользовательские данные и не имеет независимого контроля над тем, какие персональные данные собираются и как они используются. Получение данных, агрегирование, анализ и отчеты в службе подготовки Microsoft Entra основаны на существующих корпоративных данных.

В отношении хранения данных служба подготовки Microsoft Entra не создает отчеты, не выполняет аналитику и не предоставляет аналитические сведения, старше 30 дней. Поэтому служба подготовки Microsoft Entra не хранит, не обрабатывает и не сохраняет данные более 30 дней. Эта конструкция соответствует нормативным требованиям GDPR, нормативным требованиям майкрософт по обеспечению конфиденциальности и политикам хранения данных Microsoft Entra.

Связанное содержимое

• Дополнительные сведения о сценариях интеграции и вызовах веб-служб Microsoft Entra ID и Workday
• Узнайте, как просматривать журналы и составлять отчеты о процессе предоставления
• Узнайте, как настроить единый вход между Workday и идентификатором Microsoft Entra
• Узнать, как настроить Workday Writeback
• Узнайте, как использовать API Microsoft Graph для управления конфигурациями развёртывания