Konfigurace Aplikace Workday pro automatické zřizování uživatelů

Cílem tohoto článku je ukázat kroky, které potřebujete ke zřízení profilů pracovních procesů z Workday do místní služby Active Directory (AD).

Poznámka:

Tento článek použijte, pokud uživatelé, které chcete zřídit z Workday, potřebují místní účet AD a účet Microsoft Entra.

• Pokud uživatelé z Workday potřebují jenom účet Microsoft Entra (jenom uživatelé cloudu), přečtěte si prosím článek o konfiguraci Workday na Microsoft Entra ID zřizování uživatelů.
• Pokud chcete nakonfigurovat zpětnou synchronizaci atributů, jako je e-mailová adresa, uživatelské jméno a telefonní číslo z Microsoft Entra ID do Workday, přečtěte si článek o konfiguraci zpětné synchronizace Workday.

Následující video poskytuje rychlý přehled kroků, které se týkají plánování integrace s Workday pro zajištění zdrojů.

Přehled

Služba zřizování uživatelů Microsoft Entra se integruje s rozhraním API pro lidské zdroje Workday, aby bylo možné zřizovat uživatelské účty. Pracovní postupy zřizování uživatelů Workday podporované službou zřizování uživatelů Microsoft Entra umožňují automatizaci následujících scénářů správy lidských zdrojů a životního cyklu identit:

• Nábor nových zaměstnanců – když se do workday přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra s zpětným zápisem kontaktních informací spravovaných IT do Workday.

• Aktualizace atributů a profilů zaměstnanců – Když se záznam zaměstnance aktualizuje v Workday (například jméno, titul nebo manažer), uživatelský účet se automaticky aktualizuje ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikacíCh SaaS podporovaných ID Microsoft Entra.

• Ukončení zaměstnance – Když je zaměstnanec ukončen v Aplikaci Workday, jeho uživatelský účet se automaticky zakáže ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných ID Microsoft Entra.

• Opětovné přijetí zaměstnance – když je zaměstnanec v systému Workday znovu přijat, může se jeho starý účet automaticky reaktivovat nebo znovu zřídit (v závislosti na vašich preferencích) ve službě Active Directory, Microsoft Entra ID, a volitelně Microsoft 365 a další aplikace SaaS podporované Microsoft Entra ID.

Co je nového

Tato část zachycuje nedávná vylepšení integrace Workday. Seznam komplexních aktualizací, plánovaných změn a archivů najdete v tématu Co je nového v Microsoft Entra ID?

• Říjen 2020 – Povolení zřizování na vyžádání pro Workday: Pomocí zřizování na vyžádání teď můžete otestovat komplexní zřizování pro konkrétní profil uživatele v Workday, abyste ověřili mapování atributů a logiku výrazů.

• Květen 2020 – Možnost zpětného zápisu telefonních čísel do Workday: Kromě e-mailu a uživatelského jména nyní můžete zpětně zapsat pracovní telefonní číslo a číslo mobilního telefonu z Microsoft Entra ID do Workday. Další podrobnosti najdete v kurzu aplikace pro zpětný zápis.

• Duben 2020 – podpora nejnovější verze rozhraní API webových služeb Workday (WWS): Dvakrát ročně v březnu a září workday přináší aktualizace s bohatými funkcemi, které vám pomůžou splnit vaše obchodní cíle a měnící se požadavky pracovníků. Pokud chcete držet krok s novými funkcemi doručované aplikací Workday, můžete přímo zadat verzi rozhraní WWS API, kterou chcete použít v adrese URL připojení. Podrobnosti o tom, jak zadat verzi rozhraní API Workday, najdete v části o konfiguraci připojení Workday.

Pro koho je toto řešení zřizování uživatelů nejvhodnější?

Toto řešení zřizování uživatelů Workday je ideální pro:

• Organizace, které chtějí předdefinované cloudové řešení pro zřizování uživatelů Workday

• Organizace, které potřebují přímé propojení uživatelů z Workday do Active Directory nebo Microsoft Entra ID

• Organizace, které vyžadují zřízení uživatelů pomocí dat získaných z modulu Workday HCM (viz Get_Workers)

• Organizace, které potřebují, aby se přidávání, přesouvání a odebírání uživatelů synchronizovalo s jedním nebo více Active Directory lesy, doménami a organizačními jednotkami, pouze na základě změny zjištěné v modulu Workday HCM (viz Get_Workers).

• Organizace používající Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí. Existují dva související toky:

• Autoritativní tok dat HR – z Workday do místní Active Directory: V tomto toku dochází k událostem, jako jsou nástupy nových zaměstnanců, přesuny, ukončení pracovního poměru nejprve v cloudovém Workday HR tenantu, a potom data událostí proudí do místní Active Directory prostřednictvím Microsoft Entra ID a zřizovacího agenta. V závislosti na události může dojít k vytvoření, aktualizaci, povolení nebo zakázání operací ve službě AD.
• Tok zpětného zápisu – od místní Active Directory do Workday: Po dokončení vytváření účtu ve službě Active Directory se synchronizuje s Microsoft Entra ID prostřednictvím Microsoft Entra Connect a informace, jako je e-mail, uživatelské jméno a telefonní číslo, mohou být zapsány zpět do Workday.

Tok dat koncových uživatelů

1. HR tým provádí pracovní transakce (nové nástupy/přestupy/odchody) v Workday HCM.
2. Provisioning Service Microsoft Entra provádí naplánované synchronizace uživatelských identit ze systému Workday HR a identifikuje změny, které je třeba zpracovat pro synchronizaci s lokální Active Directory.
3. Služba zřizování Microsoft Entra vyvolá místní agenta zřizování Microsoft Entra Connect s datovou částí požadavku, která obsahuje operace vytvoření/aktualizace/povolení/zakázání účtu AD.
4. Agent pro zřizování Microsoft Entra Connect používá služební účet k přidání nebo aktualizaci údajů účtu AD.
5. Modul Microsoft Entra Connect / AD Sync provádí rozdílovou synchronizaci pro načtení aktualizací v AD.
6. Aktualizace služby Active Directory se synchronizují s ID Microsoft Entra.
7. Pokud je aplikace Workday Writeback nakonfigurovaná, zapisuje zpět atributy, jako je e-mail, uživatelské jméno a telefonní číslo do Aplikace Workday.

Plánování nasazení

Konfigurace aplikace Workday pro zřizování uživatelů služby Active Directory vyžaduje značné plánování zahrnující různé aspekty, například:

• Nastavení agenta zřizování Microsoft Entra Connect
• Počet aplikací pro zřizování uživatelů Workday do AD, které se mají nasadit
• Výběr správného odpovídajícího identifikátoru, mapování atributů, transformace a filtrů rozsahu

Podrobné pokyny a doporučené osvědčené postupy najdete v plánu nasazení lidských zdrojů v cloudu.

Konfigurace uživatele systému integrace v Aplikaci Workday

Běžným požadavkem všech konektorů zřizování Workday je, že k připojení k rozhraní Workday Human Resources API vyžadují přihlašovací údaje uživatele integračního systému Workday. Tato část popisuje, jak vytvořit uživatele integračního systému v Aplikaci Workday a má následující části:

• Vytvoření uživatele systému integrace
• Vytvoření skupiny zabezpečení integrace
• Konfigurace oprávnění zásad zabezpečení domény
• Konfigurace oprávnění zásad zabezpečení obchodního procesu
• Aktivace změn zásad zabezpečení

Poznámka:

Tento postup je možné obejít a místo toho jako účet integrace systému použít účet správce Workday. To může fungovat dobře pro ukázky, ale nedoporučuje se pro produkční nasazení.

Vytvoření uživatele systému integrace

Vytvoření uživatele systému integrace:

1. Přihlaste se ke svému tenantovi Workday pomocí účtu správce. V aplikaci Workday zadejte do vyhledávacího pole vytvořit uživatele a potom klepněte na tlačítko Vytvořit uživatele integračního systému.

   

2. Dokončete úlohu Vytvořit uživatele systému integrace zadáním uživatelského jména a hesla pro nového uživatele systému integrace.

   • Možnost Vyžadovat nové heslo ponechte nezaškrtnutou, protože tento uživatel se přihlašuje programově.
   • Nechte Časový limit relace s výchozí hodnotou 0, které zabrání předčasnému vypršení relací uživatele.
   • Vyberte možnost Nepovolit relace uživatelského rozhraní, protože poskytuje dodatečnou vrstvu zabezpečení, která zabrání uživateli s heslem integračního systému v přihlášení k Workday.

   

Vytvoření skupiny zabezpečení integrace

V tomto kroku vytvoříte neomezenou nebo omezenou skupinu zabezpečení systému integrace v Workday a přiřadíte uživatele integračního systému vytvořeného v předchozím kroku této skupině.

Vytvoření skupiny zabezpečení:

1. Do vyhledávacího pole zadejte vytvořit skupinu zabezpečení a klepněte na tlačítko Vytvořit skupinu zabezpečení.

   

2. Dokončete úlohu Vytvořit skupinu zabezpečení.

   • V Aplikaci Workday existují dva typy skupin zabezpečení:

     • Unconstrained: Všichni členové skupiny zabezpečení mají přístup ke všem instancím dat zabezpečeným skupinou zabezpečení.
     • Omezené: Všichni členové skupiny zabezpečení mají kontextový přístup k podmnožině instancí dat (řádků), ke kterým má skupina zabezpečení přístup.

   • Obraťte se na svého partnera pro integraci Workday a vyberte odpovídající typ skupiny zabezpečení pro tuto integraci.

   • Jakmile znáte typ skupiny, vyberte z Typu skupiny zabezpečení tenanta buď Skupinu zabezpečení systému integrace (bez omezení) nebo Skupinu zabezpečení systému integrace (s omezením).

     

3. Po úspěšném vytvoření skupiny zabezpečení se zobrazí stránka, kde můžete přiřadit členy ke skupině zabezpečení. Do této skupiny zabezpečení přidejte nového uživatele integračního systému vytvořeného v předchozím kroku. Pokud používáte omezenou skupinu zabezpečení, budete muset vybrat odpovídající rozsah organizace.

   

Konfigurace oprávnění zásad zabezpečení domény

V tomto kroku udělíte oprávnění zásad zabezpečení domény pro data pracovníků skupině zabezpečení.

Konfigurace oprávnění zásad zabezpečení domény:

1. Do vyhledávacího pole zadejte Členství ve skupině zabezpečení a přístup a klikněte na odkaz na sestavu.

   

2. Vyhledejte a vyberte skupinu zabezpečení vytvořenou v předchozím kroku.

   

3. Klikněte na tři tečky (...) vedle názvu skupiny a v nabídce vyberte Skupina > zabezpečení Zachovat oprávnění domény pro skupinu zabezpečení.

   

4. V části Oprávnění pro integraci přidejte do seznamu Zásady zabezpečení domény povolující přístup put následující domény.

   • Zřizování externích účtů
   • Data o pracovnících: Veřejné zprávy o pracovnících
   • Údaje osoby: Kontaktní informace o práci (povinné, pokud plánujete zpětný zápis kontaktních údajů z Microsoft Entra ID do Workday)
   • Pracovní účty Workday (povinné, pokud plánujete zpětné zalogování uživatelského jména nebo UPN z Microsoft Entra ID do Workday)

5. V části Oprávnění integrace přidejte následující domény do seznamu Zásad zabezpečení domény, které umožňují získat přístup.

   • Data pracovníků: Pracovníci
   • Data o zaměstnancích: Všechny pozice
   • Data pracovního procesu: Aktuální informace o personálním oddělení
   • Data pracovníka: Obchodní pozice v profilu pracovníka
   • Data o pracovnících: Kvalifikovaní pracovníci (volitelné – přidejte je, pokud chcete načíst data o kvalifikaci pracovníků pro přidělování).
   • Data pracovníka: Dovednosti a zkušenosti (volitelné - přidejte toto pro načtení dat dovedností pracovníka k účelům zřizování)

6. Po dokončení výše uvedených kroků se zobrazí obrazovka oprávnění, jak je znázorněno níže:

   

7. Kliknutím na TLAČÍTKO OK a Hotovo na další obrazovce dokončete konfiguraci.

Konfigurace oprávnění zásad zabezpečení obchodního procesu

V tomto kroku udělíte skupině zabezpečení oprávnění zásad zabezpečení obchodních procesů pro data pracovníků.

Poznámka:

Tento krok je nutný jen pro nastavení konektoru aplikace Workday Writeback.

Konfigurace oprávnění zásad zabezpečení obchodního procesu:

1. Do vyhledávacího pole zadejte zásady obchodního procesu a klikněte na odkaz Upravit úlohu zásad zabezpečení obchodního procesu.

   

2. V textovém poli Typ obchodního procesu vyhledejte kontakt a vyberte Pracovní kontakt Změnit obchodní proces a klikněte na OK.

   

3. Na stránce Upravit zásady zabezpečení obchodního procesu přejděte do části Změnit pracovní kontaktní informace (webová služba).

4. Vyberte a přidejte novou skupinu zabezpečení systému integrace do seznamu skupin zabezpečení, které mohou iniciovat žádost o webové služby.

   

5. Klikněte na Hotovo.

Aktivace změn zásad zabezpečení

Aktivace změn zásad zabezpečení:

1. Do vyhledávacího pole zadejte aktivaci a klikněte na odkaz Aktivovat čekající změny zásad zabezpečení.

   

2. Spusťte úlohu Aktivovat čekající změny zásad zabezpečení zadáním komentáře pro účely auditování a klepněte na tlačítko OK.

3. Dokončete úkol na další obrazovce zaškrtnutím políčka Potvrdit a klepněte na tlačítko OK.

   

Požadavky na instalaci agenta nasazení

Zkontrolujte požadavky na instalaci agenta zřizování, než budete pokračovat k další části.

Konfigurace zřizování uživatelů z Workday do Active Directory

Tato část obsahuje kroky pro zřizování uživatelských účtů z Workday do každé domény služby Active Directory v rámci vaší integrace.

• Přidejte aplikaci konektoru pro zřizování a stáhněte agenta pro zřizování
• Instalace a konfigurace místního provisioning agenta(ů)
• Konfigurace připojení k Workday a Active Directory
• Konfigurace mapování atributů
• Povolte a spusťte zřizování uživatelů

Část 1: Přidejte aplikaci zřizovacího konektoru a stáhněte zřizovacího agenta

Konfigurace aplikace Workday pro zřizování služby Active Directory:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte na Identita>Aplikace>Podnikové aplikace>Nová aplikace.

3. Vyhledejte Workday to Active Directory User Provisioning a přidejte tuto aplikaci z galerie.

4. Po přidání aplikace a zobrazení obrazovky s podrobnostmi o aplikaci vyberte Zřizování.

5. Změňte režim zřizovánínaautomatický.

6. Klikněte na informační banner, který se zobrazí, abyste stáhli agenta zřizování.

   

Část 2: Instalace a konfigurace místních agentů zřizování

Pokud chcete zřídit místní službu Active Directory, musí být agent zřizování nainstalovaný na serveru připojeném k doméně, který má síťový přístup k požadovaným doménám služby Active Directory.

Přeneste stažený instalační program agenta na hostitele serveru a podle kroků uvedených v části Instalace agenta dokončete konfiguraci agenta.

Část 3: V aplikaci zřizování nakonfigurujte připojení k Workday a Active Directory.

V tomto kroku navážeme připojení k Workday a Active Directory.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k Identitě>Podnikovým aplikacím>Enterprise aplikacím> Workday, aplikaci pro zřizování uživatelů Active Directory vytvořené v části 1.

3. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

   • Workday Username – Zadejte uživatelské jméno účtu systému integrace Workday s připojeným názvem domény tenanta. Měl by vypadat přibližně takto: username@tenant_name

   • Heslo workday – zadejte heslo účtu systému integrace Workday.

   • Adresa URL rozhraní API webových služeb Workday – zadejte adresu URL koncového bodu webových služeb Workday pro vašeho tenanta. Adresa URL určuje verzi rozhraní API webových služeb Workday používaného konektorem.

     Formát adresy URL	Použitá verze rozhraní WWS API	Požadované změny XPATH
     https://####.workday.com/ccx/service/tenantName	v21.1	Ne
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Ne
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Ano

     Poznámka:

     Pokud v adrese URL nejsou zadané žádné informace o verzi, aplikace používá webové služby Workday (WWS) v21.1 a ve výchozích výrazech rozhraní XPATH API dodávaných s aplikací se nevyžadují žádné změny. Pokud chcete použít konkrétní verzi rozhraní WWS API, zadejte číslo verze v adrese URL.
     Příklad: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Pokud před zapnutím úlohy zřizování používáte rozhraní WWS API verze 30.0+, aktualizujte výrazy rozhraní XPATH API v části Mapování atributů –> Rozšířené možnosti –> Upravit seznam atributů pro Workday , který odkazuje na část Správa konfigurace a odkazu na atribut Workday.

   • Doménová struktura služby Active Directory – Název vaší domény služby Active Directory, jak je zaregistrované u agenta. V rozevíracím seznamu vyberte cílovou doménu pro zřizování. Tato hodnota je obvykle řetězec jako: contoso.com

   • Kontejner služby Active Directory – Zadejte název kontejneru, ve kterém by měl agent ve výchozím nastavení vytvářet uživatelské účty. Příklad: OU=Standardní uživatelé,OU=Users,DC=contoso,DC=test

     Poznámka:

     Toto nastavení se uplatní při vytváření uživatelských účtů pouze tehdy, když v mapování atributů není nakonfigurován atribut parentDistinguishedName. Toto nastavení se nepoužívá pro operace vyhledávání nebo aktualizace uživatelů. Strom podřízené domény spadá do rozsahu vyhledávací operace.

   • E-mail s oznámením – Zadejte svoji e-mailovou adresu a zaškrtněte políčko Odeslat e-mail, pokud dojde k selhání.

     Poznámka:

     Služba zřizování Microsoft Entra odešle oznámení e-mailem, pokud úloha zřizování přejde do stavu karantény.

   • Klikněte na tlačítko Test připojení . Pokud test připojení proběhne úspěšně, klikněte v horní části na tlačítko Uložit . Pokud selže, zkontrolujte platnost přihlašovacích údajů Workday a přihlašovacích údajů AD nakonfigurovaných v instalačním programu agenta.

   • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizovat pracovní procesy Workday do místní služby Active Directory.

Část 4: Konfigurace mapování atributů

V této části nakonfigurujete toky uživatelských dat z Workday do Active Directory.

1. Na kartě Zřizování v části Mapování klikněte na Synchronizovat zaměstnance Workday do místní služby Active Directory.

2. V poli Obor zdrojového objektu můžete vybrat, které sady uživatelů v aplikaci Workday mají být v oboru pro zřizování v AD, definováním sady filtrů založených na atributech. Výchozí obor je "všichni uživatelé v Aplikaci Workday". Ukázkové filtry:

   • Příklad: Rozsah uživatelů s ID pracovníků mezi 1000000 a 2000000 (s výjimkou 2000000)

     • Atribut: WorkerID

     • Operátor: Shoda REGEX

     • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Příklad: Pouze zaměstnanci a ne podmínění pracovníci

     • Atribut: EmployeeID

     • Operátor: není NULL

   Tip

   Při první konfiguraci aplikace zřizování je potřeba otestovat a ověřit mapování atributů a výrazy, abyste měli jistotu, že vám poskytne požadovaný výsledek. Microsoft doporučuje použít rozsahové filtry v rámci rozsahu zdrojového objektu a zřizování na požádání k otestování mapování s několika testovacími uživateli z Workday. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

   Upozornění

   Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří vyjdou mimo rozsah. To nemusí být žádoucí v integraci Workday do AD. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

3. V poli Akce cílového objektu můžete globálně filtrovat akce prováděné ve službě Active Directory. Nejběžnější jsou vytváření a aktualizace .

4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy Workday mapují na atributy služby Active Directory.

5. Kliknutím na existující mapování atributů ho aktualizujte nebo kliknutím na přidat nové mapování v dolní části obrazovky přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

   • Typ mapování

     • Direct – zapíše hodnotu atributu Workday do atributu AD beze změn.

     • Konstanta – Zápis statické hodnoty řetězce konstanty do atributu AD

     • Výraz – Umožňuje napsat vlastní hodnotu atributu AD na základě jednoho nebo více atributů Workday. Další informace najdete v tomto článku o výrazech.

   • Atribut zdroje – atribut uživatele z Workday. Pokud atribut, který hledáte, není k dispozici, přečtěte si téma Přizpůsobení seznamu atributů uživatele Workday.

   • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, mapování místo toho zapíše tuto hodnotu. Nejběžnější konfigurací je ponechat tuto prázdnou hodnotu.

   • Cílový atribut – atribut uživatele ve službě Active Directory.

   • Porovná objekty používající tento atribut – zda se toto mapování má použít k jednoznačné identifikaci uživatelů mezi aplikací Workday a Active Directory. Tato hodnota je obvykle nastavena na pole ID pracovníka pro Workday, které je obvykle namapováno na jeden z atributů ID zaměstnance v systému Active Directory.

   • Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy.

   • Použít toto mapování

     • Vždy – Použít toto mapování na akce vytváření uživatelů i aktualizace

     • Pouze během vytváření – Použít toto mapování pouze u akcí vytváření uživatelů

6. Mapování uložíte kliknutím na Uložit v horní části oddílu Mapování atributů.

   

Níže je uvedeno několik ukázkových mapování atributů mezi aplikací Workday a Active Directory s některými běžnými výrazy.

• Výraz, který se mapuje na atribut parentDistinguishedName, se používá k přiřazení uživatele do různých organizačních jednotek na základě jednoho nebo více atributů zdroje Workday. Tento příklad tady umístí uživatele do různých organizačních jednotek podle toho, v jakém městě jsou.

• Atribut userPrincipalName ve službě Active Directory je generován pomocí funkce odstranění duplicit SelectUniqueValue , která kontroluje existenci vygenerované hodnoty v cílové doméně AD a nastaví ji pouze v případě, že je jedinečná.

• Tady je dokumentace k psaní výrazů. Tato část obsahuje příklady, jak odebrat speciální znaky.

atribut pracovního dne	ATRIBUT ACTIVE DIRECTORY	ODPOVÍDAJÍCÍ ID?	VYTVOŘENÍ/ AKTUALIZACE
ID pracovníka	ID zaměstnance	Ano	Zapsáno pouze při vytváření
PreferredNameData	cn		Zapisuje se pouze při vytváření
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com"))	userPrincipalName (Hlavní název uživatele)		Zapsáno pouze při vytváření
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )	sAMAccountName		Zaznamenáno pouze při vytváření
Switch([Active], , "0", "True", "1", "False")	Účet je deaktivován		Vytvoření a aktualizace
FirstName	givenName		Vytvoření a aktualizace
LastName	sn		Vytvoření a aktualizace
PreferredNameData	Zobrazovaný název		Vytvoření a aktualizace
Společnost	společnost		Vytvoření a aktualizace
Organizace dohledu	oddělení		Vytvoření a aktualizace
ManagerReference	manažer		Vytvoření a aktualizace
BusinessTitle	titul		Vytvoření a aktualizace
AddressLineData	adresa ulice		Vytvoření a aktualizace
Obec	l		Vytvoření a aktualizace
CountryReferenceTwoLetter	co		Vytvoření a aktualizace
CountryReferenceTwoLetter	c		Vytvoření a aktualizace
CountryRegionReference	sv		Vytvoření a aktualizace
WorkSpaceReference	Název fyzické doručovací kanceláře		Vytvoření a aktualizace
PSČ	PSČ		Vytvoření a aktualizace
Hlavní pracovní telefonní číslo	telefonní číslo		Vytvoření a aktualizace
Fax	číslo faxu		Vytvoření a aktualizace
Mobilní	mobil		Vytvoření a aktualizace
LocalReference	preferovaný jazyk		Vytvoření a aktualizace
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")	parentDistinguishedName		Vytvoření a aktualizace

Po dokončení konfigurace mapování atributů můžete otestovat zřizování pro jednoho uživatele pomocí zřizování na vyžádání a pak povolit a spustit službu zřizování uživatelů.

Povolení a spuštění zřizování uživatelů

Po dokončení konfigurace zřizovací aplikace Workday a ověření zřizování pro jednoho uživatele se zřizováním na vyžádání, můžete zapnout službu zřizování.

Tip

Když službu zřizování zapnete, ve výchozím nastavení zahájí operace zřizování pro všechny uživatele v oboru. Pokud při mapování nebo v datech Workday dojde k chybám, může úloha zřizování selhat a přejít do stavu karantény. Abyste tomu předešli, doporučujeme před spuštěním úplné synchronizace pro všechny uživatele nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli, kteří používají zřizování na vyžádání. Jakmile ověříte, že mapování funguje a dává vám požadované výsledky, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

1. Přejděte do okna Zřizování a klikněte na Zahájit zřizování.

2. Tato operace spustí počáteční synchronizaci, která může trvat proměnlivý počet hodin v závislosti na počtu uživatelů v tenantovi Workday. Indikátor průběhu můžete zkontrolovat a sledovat průběh cyklu synchronizace.

3. Kdykoli zkontrolujte kartu Zřizování v Centru pro správu Microsoft Entra a zjistěte, jaké akce služba zřizování provedla. Protokoly zřizování obsahují seznam všech jednotlivých synchronizačních událostí provedených službou zřizování, jako je například čtení uživatelů z aplikace Workday a následné přidání nebo aktualizace do služby Active Directory. Pokyny, jak zkontrolovat protokoly zřizování a opravit chyby zřizování, najdete v části Řešení potíží.

4. Po dokončení počáteční synchronizace zapíše souhrnnou sestavu auditu na kartě Zřizování, jak je znázorněno níže.

   

Nejčastější dotazy

• Otázky týkající se možností řešení

  • Jak při zpracování nového zaměstnance přijatého v aplikaci Workday nastaví řešení heslo pro nový uživatelský účet ve službě Active Directory?
  • Podporuje řešení odesílání e-mailových oznámení po dokončení operací zřizování?
  • Ukládá řešení profily uživatelů Workday do mezipaměti v cloudu Microsoft Entra nebo ve vrstvě agenta zřizování?
  • Podporuje řešení přiřazení místních skupin AD uživateli?
  • Která rozhraní API workday používá řešení k dotazování a aktualizaci pracovních profilů Workday?
  • Můžu tenanta Workday HCM nakonfigurovat se dvěma tenanty Microsoft Entra?
  • Jak mohu navrhnout vylepšení nebo požádat o nové funkce související s integrací Workday a Microsoft Entra?

• Otázky týkající se agenta pro zajišťování

  • Jaká je verze pro obecnou dostupnost u agenta pro provisioning?
  • Jak zjistím verzi svého agenta zřizování?
  • Posílá Microsoft automatické aktualizace pro Provisioning Agent?
  • Můžu agenta zřizování nainstalovat na stejný server se systémem Microsoft Entra Connect?
  • Jak mohu nakonfigurovat agenta zřizování, aby používal proxy server pro odchozí HTTP komunikaci?
  • Jak zajistím, aby agent zřizování mohl komunikovat s tenantem Microsoft Entra a žádný firewall neblokoval porty potřebné pro agenta?
  • Jak zrušit registraci domény přidružené k mému agentu zřizování?
  • Jak odinstaluji agenta zřizování?

• Otázky týkající se mapování a konfigurace atributů Workday to AD

  • Jak zálohovat nebo exportovat pracovní kopii mapování a schématu atributů zřizování ve Workday?
  • Mám vlastní atributy v Workday a Active Directory. Jak nakonfiguruji řešení, aby fungovalo s vlastními atributy?
  • Můžu zřídit fotku uživatele z Workday do Active Directory?
  • Jak synchronizovat mobilní čísla z Workday na základě souhlasu uživatele pro veřejné použití?
  • Jak formátovat zobrazovaná jména v AD na základě atributů oddělení, země nebo města uživatele a jak zpracovat regionální odlišnosti?
  • Jak můžu použít SelectUniqueValue k vygenerování jedinečných hodnot pro atribut samAccountName?
  • Jak odebrat znaky s diakritikou a převést je na normální anglickou abecedu?

Otázky týkající se možností řešení

Jak se při přijetí nového zaměstnance z Workday nastaví heslo pro nový uživatelský účet v Active Directory?

Když místní agent zřizování získá požadavek na vytvoření nového účtu AD, automaticky vygeneruje složité náhodné heslo navržené tak, aby splňovalo požadavky na složitost hesla definované serverem AD a nastaví ho na objekt uživatele. Toto heslo se nikde nezaznamenává.

Podporuje řešení odesílání e-mailových oznámení po dokončení operací zřizování?

Ne, odesílání e-mailových oznámení po dokončení operací zřizování se v aktuální verzi nepodporuje.

Ukládá řešení profily uživatelů Workday do mezipaměti v cloudu Microsoft Entra nebo ve vrstvě agenta zřizování?

Ne, řešení neudržuje mezipaměť profilů uživatelů. Služba zřizování Microsoft Entra jednoduše funguje jako zpracovatel dat – čte data z Workday a zapisuje je do cílového systému Active Directory nebo Microsoft Entra ID. Podrobnosti související s ochranou osobních údajů a uchováváním osobních údajů najdete v části Správa osobních údajů .

Podporuje řešení přiřazení místních skupin AD uživateli?

Tato funkce se v současné době nepodporuje. Doporučeným alternativním řešením je nasadit skript PowerShellu, který se dotazuje koncového bodu rozhraní Microsoft Graph API pro data protokolu zřizování a používá je k aktivaci scénářů, jako je přiřazení skupiny. Tento skript PowerShellu je možné připojit k plánovači úloh a nasadit ho do stejného pole se spuštěným agentem zřizování.

Která rozhraní API workday používá řešení k dotazování a aktualizaci pracovních profilů Workday?

Řešení aktuálně používá následující rozhraní API workday:

• Formát URL rozhraní API webových služeb Workday, použitý v části Přihlašovací údaje správce, určuje verzi rozhraní API, která se používá pro Get_Workers.

  • Pokud je formát adresy URL: https://####.workday.com/ccx/service/tenantName , použije se rozhraní API verze 21.1.
  • Pokud je formát adresy URL: https://####.workday.com/ccx/service/tenantName/Human_Resources , použije se rozhraní API verze 21.1.
  • Pokud je formát adresy URL: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# použije se zadaná verze rozhraní API. (Příklad: Pokud je zadána hodnota v34.0, použije se.)

• Funkce zpětného zápisu e-mailu Workday používá Change_Work_Contact_Information (v30.0)

• Funkce zpětného zápisu uživatelského jména Workday používá Update_Workday_Account (v31.2)

Mohu nakonfigurovat svého klienta Workday HCM se dvěma klienty Microsoft Entra?

Ano, tato konfigurace je podporovaná. Tady jsou základní kroky ke konfiguraci tohoto scénáře:

• Nasazení provisioningového agenta #1 a jeho registrace v tenantu Microsoft Entra #1.
• Nasaďte zřizovacího agenta č. 2 a zaregistrujte ho v tenantovi Microsoft Entra #2.
• Na základě „podřízených domén“, které spravuje každý Provisioning Agent, nakonfigurujte každého agenta pro příslušné domény. Jeden agent může zpracovávat více domén.
• V Centru pro správu Microsoft Entra nastavte aplikaci Workday pro zřizování uživatelů AD v každém tenantovi a nakonfigurujte ji s příslušnými doménami.

Jak mohu navrhnout vylepšení nebo žádat o nové funkce související s integrací Workday a Microsoft Entra?

Vaše zpětná vazba je vysoce hodnotná, protože nám pomáhá nastavit směr budoucích verzí a vylepšení. Vítáme všechny názory a doporučujeme vám odeslat svůj nápad nebo návrh na vylepšení ve fóru pro zpětnou vazbu společnosti Microsoft Entra ID. Pokud chcete získat konkrétní zpětnou vazbu související s integrací Workday, vyberte kategorii SaaS Applications (Aplikace SaaS) a vyhledejte pomocí klíčových slov Workday existující zpětnou vazbu související s aplikací Workday .

Při navrhování nového nápadu zkontrolujte, jestli už někdo jiný navrhnul podobnou funkci. V takovém případě můžete hlasovat o funkci nebo žádosti o vylepšení. Můžete také zanechat komentář týkající se vašeho konkrétního případu použití, abyste ukázali podporu nápadu a ukázali, jak je tato funkce pro vás cenná.

Otázky ohledně provisioning agenta

Jaká je obecná verze agenta zřizování?

Podívejte se na historii vydání verzí agenta zřizování Microsoft Entra Connect pro nejnovější obecně dostupnou verzi zřizovacího agenta.

Jak zjistím verzi svého agenta zřizování?

1. Přihlaste se k serveru s Windows, na kterém je nainstalovaný agent zřizování.
2. Přejděte na Ovládací panely ->Odinstalovat nebo změnit program menu.
3. Vyhledejte verzi odpovídající položce Microsoft Entra Connect Provisioning Agent.

Aktualizuje Microsoft automaticky provizionovacího agenta?

Ano, Microsoft automaticky aktualizuje agenta zřizování, pokud je spuštěna služba Microsoft Entra Connect Agent Updater.

Můžu agenta provisioning nainstalovat na stejný server, na kterém běží Microsoft Entra Connect?

Ano, agenta zřizování můžete nainstalovat na stejný server, na kterém běží Microsoft Entra Connect.

Během konfigurace agent zřizování vyzve k zadání přihlašovacích údajů správce Microsoft Entra. Ukládá agent přihlašovací údaje místně na serveru?

Během konfigurace aplikace Provisioning Agent vás vyzve k zadání přihlašovacích údajů správce Microsoft Entra pouze pro připojení k vašemu tenantovi Microsoft Entra. Přihlašovací údaje se neukládají místně na serveru. Přihlašovací údaje použité pro připojení k místní Active Directory doméně v místním trezoru hesel Systému Windows si ale zachová.

Jak mohu nakonfigurovat Provisioning Agent, aby používal proxy server pro odchozí HTTP komunikaci?

Prováděcí agent podporuje použití odchozího proxy. Můžete ho nakonfigurovat úpravou konfiguračního souboru agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Na konec souboru těsně před pravou </configuration> značku přidejte následující řádky. Nahraďte proměnné [proxy-server] a [proxy-port] hodnotami názvu a portu vašeho proxy serveru.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Jak zajistit, aby agent zřizování mohl komunikovat s tenantem Microsoft Entra a aby žádné firewally neblokovaly porty potřebné pro agenta?

Můžete také zkontrolovat, jestli jsou otevřené všechny požadované porty .

Může být jeden agent zřizování nakonfigurovaný tak, aby zřídil více domén AD?

Ano, jeden agent zřizování lze nakonfigurovat tak, aby zpracovával více domén AD, pokud má agent přehled o příslušných řadičích domény. Microsoft doporučuje nastavit skupinu tří provisioning agentů, kteří obsluhují stejnou sadu domén AD, aby se zajistila vysoká dostupnost a podpora v případě selhání.

Jak zrušit registraci domény spojené s mým zřizovacím agentem?

*, získejte ID tenanta Microsoft Entra.

• Přihlaste se k serveru s Windows, na kterém běží agent zřizování.

• Otevřete PowerShell jako správce Windows.

• Přejděte do adresáře obsahujícího registrační skripty a spusťte následující příkazy, přičemž parametr [ID tenanta] nahraďte hodnotou ID vašeho tenanta.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• Ze seznamu agentů, kteří se zobrazí – zkopírujte hodnotu id pole z tohoto prostředku, jehož název prostředku se rovná vašemu názvu domény AD.

• Vložte hodnotu ID do tohoto příkazu a spusťte příkaz v PowerShellu.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Znovu spusťte průvodce konfigurací agenta.

• Všechny ostatní agenty, které byly dříve přiřazeny k této doméně, je potřeba překonfigurovat.

Jak odinstalovat agenta zřizování?

• Přihlaste se k serveru s Windows, na kterém je nainstalovaný provisioning agent.
• Přejděte na Ovládací panely ->Uninstall or Change a Program menu
• Odinstalujte následující programy:
  • Zřizovací agent Entra Connect Microsoft
  • Microsoft Entra Connect Agent Updater (Aktualizátor agenta Microsoft Entra Connect)
  • Balíček pro zřizování agenta Microsoft Entra Connect

Otázky týkající se mapování a konfigurace atributů Workday to AD

Jak mohu zálohovat nebo exportovat pracovní kopii svého mapování atributů a schématu pro zřizování ve Workday?

K exportu konfigurace zřizování uživatelů Workday můžete použít rozhraní Microsoft Graph API. Podrobnosti najdete v části Export a import konfigurace mapování atributů zřizování uživatelů Workday.

Mám vlastní atributy v Workday a Active Directory. Jak nakonfiguruji řešení, aby fungovalo s vlastními atributy?

Řešení podporuje vlastní atributy Workday a Active Directory. Pokud chcete přidat vlastní atributy do schématu mapování, otevřete okno Mapování atributů a posuňte se dolů a rozbalte část Zobrazit upřesňující možnosti.

Pokud chcete přidat vlastní atributy Workday, vyberte možnost Upravit seznam atributů pro Workday a přidejte vlastní atributy AD, vyberte možnost Upravit seznam atributů pro místní službu Active Directory.

Viz také:

• Přizpůsobení seznamu atributů uživatele Workday

Jak nakonfigurovat řešení tak, aby aktualizovalo pouze atributy v AD na základě změn ve Workday a nevytvářelo žádné nové účty AD?

Tuto konfiguraci lze dosáhnout nastavením akcí cílového objektu v okně Mapování atributů, jak je znázorněno níže:

Zaškrtněte políčko Aktualizovat pouze pro operace aktualizace, které se mají tokovat z Workday do AD.

Můžu zřídit fotku uživatele z Workday do Active Directory?

Řešení v současné době nepodporuje nastavení binárních atributů, jako je thumbnailPhoto a jpegPhoto ve službě Active Directory.

Jak synchronizovat mobilní čísla z Workday na základě souhlasu uživatele k veřejnému použití?

• Přejděte do panelu Zřizování vaší aplikace Workday Provisioning.

• Klikněte na mapování atributů.

• V části Mapování vyberte Synchronizovat pracovní procesy Workday s místní službou Active Directory (nebo synchronizovat pracovní procesy Workday s ID Microsoft Entra).

• Na stránce Mapování atributů se posuňte dolů a zaškrtněte políčko Zobrazit rozšířené možnosti. Klikněte na Upravit seznam atributů pro Workday

• V panelu, který se otevře, vyhledejte atribut "Mobile" a klikněte na řádek, abyste mohli upravit výraz API.

• Nahraďte API Expression následujícím novým výrazem, který načte pracovní mobilní číslo pouze v případě, že je v systému Workday nastavená „Public Usage Flag“ na „True“.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Uložte seznam atributů.

• Uložte mapování atributů.

• Vymažte aktuální stav a restartujte úplnou synchronizaci.

Jak formátovat zobrazovací jména v AD na základě atributů oddělení, země nebo města uživatele a řešit regionální rozdíly?

Je to běžný požadavek na konfiguraci atributu displayName v AD tak, aby také poskytoval informace o oddělení uživatele a zemi/oblasti. Pokud například John Smith pracuje v marketingovém oddělení v USA, můžete chtít, aby se jeho displayName zobrazoval jako Smith, John (Marketing-US).

Tady je postup, jak tyto požadavky na vytvoření CN nebo displayName zpracovat tak, aby zahrnovaly atributy, jako jsou společnost, obchodní jednotka, město nebo země/oblast.

• Každý atribut Workday se načte pomocí základního výrazu rozhraní XPATH API, který je konfigurovatelný v mapování atributů –> Rozšířený oddíl –> Upravit seznam atributů pro Workday. Tady je výchozí výraz rozhraní XPATH API pro atributy Workday PreferredFirstName, PreferredLastName, Company a SupervisoryOrganization .

  Atribut Workday	Výraz XPATH API
  Preferované křestní jméno	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  PreferovanéPříjmení	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Společnost	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  Organizace dohledu	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Dohledová']/wd:Organization_Name/text()

  Ověřte u svého týmu Workday, že výše uvedený výraz rozhraní API je platný pro konfiguraci tenanta Workday. V případě potřeby je můžete upravit podle popisu v části Přizpůsobení seznamu atributů uživatele Workday.

• Podobně se informace o zemi/oblasti, které jsou přítomné v aplikaci Workday, načítají pomocí následujícího příkazu XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  V části seznamu atributů Workday je k dispozici 5 atributů souvisejících se zemí nebo oblastí.

  Atribut Workday	Výraz XPATH rozhraní API
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Ověřte u svého týmu Workday, že výše uvedené výrazy rozhraní API jsou platné pro vaši konfiguraci tenanta Workday. V případě potřeby je můžete upravit podle popisu v části Přizpůsobení seznamu atributů uživatele Workday.

• Pokud chcete vytvořit správný výraz mapování atributů, určete, který atribut Workday "autoritativně" představuje křestní jméno uživatele, příjmení, země/oblast a oddělení. Řekněme, že atributy jsou PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter a SupervisoryOrganization v uvedeném pořadí. Můžete ho použít k vytvoření výrazu atributu AD displayName následujícím způsobem, abyste získali zobrazovaný název, jako je Smith, John (Marketing-US).

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  Jakmile máte správný výraz, upravte tabulku Mapování atributů a upravte mapování atributů displayName , jak je znázorněno níže:

• Rozšířením výše uvedeného příkladu řekněme, že chcete převést názvy měst pocházející z Workday na zkrácené hodnoty a pak ho použít k sestavení zobrazovaných názvů, jako jsou Smith, John (CHI) nebo Doe, Jane (NYC), pak tento výsledek lze dosáhnout pomocí výrazu Switch s atributem Workday Municipality jako determinantní proměnnou.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  Viz také:

  • Syntaxe funkce Switch
  • Syntaxe funkce Join
  • Syntaxe funkce Append

Jak můžu použít SelectUniqueValue k vygenerování jedinečných hodnot pro atribut samAccountName?

Řekněme, že chcete vygenerovat jedinečné hodnoty pro atribut samAccountName pomocí kombinace atributů FirstName a LastName z Workday. Níže je uveden výraz, se kterým můžete začít:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Jak výše uvedený výraz funguje: Pokud je uživatel John Smith, nejprve se pokusí vygenerovat JSmith, pokud JSmith již existuje, pak vygeneruje JoSmith, pokud existuje, vygeneruje JohSmith. Výraz také zajišťuje, že vygenerovaná hodnota splňuje omezení délky a speciální znaky omezení přidružené k samAccountName.

Viz také:

• Střední syntaxe funkce
• Syntaxe funkce Replace
• Syntaxe funkce SelectUniqueValue

Jak odstranit znaky s diakritikou a převést je na obvyklou anglickou abecedu?

Pomocí funkce NormalizeDiacritics odeberte speciální znaky v křestním jménu a příjmení uživatele při vytváření e-mailové adresy nebo hodnoty CN pro uživatele.

Rady pro řešení potíží

Tato část poskytuje konkrétní pokyny, jak řešit problémy se zřizováním integrace Workday pomocí protokolů zřizování Microsoft Entra a protokolů Prohlížeče událostí Windows Serveru. Vychází z obecných kroků a konceptů řešení potíží zachycených v Tutoriálu: Vytváření sestav o automatickém zřizování uživatelských účtů.

Tato část se věnuje následujícím aspektům řešení potíží:

• Konfigurujte agenta zřizování k vytváření protokolů v Prohlížeči událostí
• Nastavení Windows Prohlížeče událostí pro odstraňování problémů s agenty
• Nastavení protokolů zřizování centra pro správu Microsoft Entra pro řešení potíží se službami
• Pochopení logů pro operace vytváření uživatelského účtu v Active Directory
• Pochopení protokolů pro operace aktualizace Manageru
• Řešení běžně zjištěných chyb

Konfigurujte agenta zřizování pro vytváření protokolů v Prohlížeči událostí

1. Přihlaste se k počítači s Windows Server, kde je nasazen zřizovací agent.

2. Zastavte službu Microsoft Entra Connect Provisioning Agent.

3. Vytvořte kopii původního konfiguračního souboru: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

4. Nahraďte existující <system.diagnostics> oddíl následujícím kódem.

   • Konfigurace nasluchače generuje zprávy do protokolů Prohlížeče událostí.
   • Konfigurace naslouchacího procesu textWriterListener odesílá trasovací zprávy do souboru ProvAgentTrace.log. Odkomentujte řádky související s textWriterListener pouze pro pokročilé řešení potíží.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Spusťte službu Microsoft Entra Connect Provisioning Agent.

Nastavení Prohlížeče událostí Windows k řešení problémů s agenty

1. Přihlaste se k počítači se systémem Windows Server, na kterém je nasazen agent poskytování.

2. Otevřete desktopovou aplikaci pro Windows Server Prohlížeč událostí.

3. Vyberte Protokoly systému Windows > Aplikace.

4. Pomocí možnosti Filtrovat aktuální protokol... zobrazíte všechny události protokolované ve zdrojovém agentu zřizování Microsoft Entra Connect a vyloučíte události s ID události 5 zadáním filtru -5, jak je znázorněno níže.

   Poznámka:

   ID události 5 zaznamenává zprávy bootstrap agenta do cloudové služby Microsoft Entra, a proto je filtrujeme při analýze protokolových souborů.

   

5. Klikněte na TLAČÍTKO OK a seřaďte zobrazení výsledků podle sloupce Datum a čas .

Nastavení protokolů zřizování centra pro správu Microsoft Entra pro řešení potíží se službami

1. Spusťte centrum pro správu Microsoft Entra a přejděte do sekce Zřizování v aplikaci pro zřizování Workday.

2. Pomocí tlačítka Sloupce na stránce Protokoly zřizování zobrazte v zobrazení pouze následující sloupce (Datum, Aktivita, Stav, Důvod stavu). Tato konfigurace zajišťuje, že se zaměříte pouze na data, která jsou relevantní pro řešení potíží.

   

3. K filtrování zobrazení použijte parametry dotazu Cíl a Rozsah kalendářních dat.

   • Nastavte parametr dotazu Target na "ID pracovníka" nebo "ID zaměstnance" pracovního objektu Workday.
   • Nastavte rozsah dat na odpovídající časové období, během kterého chcete zjistit chyby nebo problémy se zřizováním.

   

Pochopení protokolů pro operace vytváření uživatelského účtu v AD

Když se v aplikaci Workday zjistí nový zaměstnanec (řekněme s ID 21023), služba Microsoft Entra pro zřizování se pokusí vytvořit pro pracovníka nový uživatelský účet AD a při tomto procesu vytvoří 4 záznamy protokolu zřizování, jak je uvedeno níže:

Když kliknete na některý ze záznamů protokolu zřizování, otevře se stránka Podrobnosti o aktivitě. Zde je to, co stránka Podrobnosti aktivity zobrazuje pro každý typ záznamu protokolu.

• Importní záznam aplikace Workday: Tento záznam protokolu zobrazuje informace o pracovníkovi načtené z aplikace Workday. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s načítáním dat z Workday. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• Záznam importu služby AD: Tento záznam protokolu zobrazuje informace o účtu načteného z AD. Vzhledem k tomu, že během počátečního vytváření uživatele neexistuje žádný účet AD, důvod stavu aktivity indikuje, že se ve službě Active Directory nenašel žádný účet s odpovídající hodnotou atributu ID. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s načítáním dat z Workday. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Pokud chcete najít záznamy protokolu agenta zřizování odpovídající této operaci importu služby AD, otevřete protokoly Windows Prohlížeče událostí a pomocí možnosti nabídky Najít... vyhledejte položky protokolu obsahující hodnotu atributu Odpovídající ID/Spojování (v tomto případě 21023).

  

  Vyhledejte položku s ID události = 9, která poskytuje vyhledávací filtr LDAP používaný agentem k načtení účtu AD. Můžete ověřit, jestli se jedná o správný vyhledávací filtr pro načtení jedinečných uživatelských položek.

  Záznam, který ho okamžitě následuje s ID události = 2, zaznamená výsledek operace hledání a zda vrátí nějaké výsledky.

• Záznam akce synchronizačního pravidla: Tento protokolový záznam zobrazuje výsledky pravidel mapování atributů a nakonfigurovaných filtrů oborů spolu s akcí zřizování, která se použije ke zpracování příchozí události z Workday. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s akcí synchronizace. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object is added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Pokud dojde k problémům s výrazy mapování atributů nebo příchozími daty Workday (například prázdná nebo null hodnota pro požadované atributy), pak v této fázi dojde k selhání s kódem ErrorCode, který poskytuje podrobnosti o selhání.

• Záznam exportu služby AD: Tento záznam protokolu zobrazuje výsledek operace vytvoření účtu AD spolu s hodnotami atributů, které byly v procesu nastaveny. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s operací vytvoření účtu. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole. V části Další podrobnosti je vlastnost EventName nastavena na EntryExportAdd, "JoiningProperty" je nastavena na hodnotu atributu Odpovídající ID, SourceAnchor je nastavena na WorkdayID (WID) přidružené k záznamu a TargetAnchor je nastaven na hodnotu atributu AD "ObjectGuid" nově vytvořeného uživatele.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object is created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
  

  Pokud chcete najít záznamy protokolu agenta nasazení odpovídající této operaci exportu AD, otevřete protokoly Windows Prohlížeče událostí a zvolte možnost Najít... pro vyhledání položek protokolu obsahujících hodnotu atributu Odpovídající ID/Propojení (v tomto případě 21023).

  Vyhledejte záznam HTTP POST odpovídající časovému razítku operace exportu s ID události = 2. Tento záznam obsahuje hodnoty atributů odeslané službou zřizování agentovi zřizování.

  

  Bezprostředně po výše uvedené události by měla existovat další událost, která zachycuje odpověď operace vytvoření účtu AD. Tato událost vrátí novou objectGuid vytvořenou v AD a je nastavena jako atribut TargetAnchor ve službě zřizování.

  

Pochopení protokolů pro operace aktualizace správce

Atribut správce je referenční atribut ve službě AD. Služba zřizování nenastaví atribut správce jako součást operace vytvoření uživatele. Atribut správce je nastaven jako součást operace aktualizace po vytvoření účtu AD pro uživatele. Představme si rozšíření výše uvedeného příkladu: nový zaměstnanec s ID 21451 je aktivován v systému Workday a manažer nového zaměstnance (21023) už má účet AD. V tomto scénáři nalezneme v zřizovacích protokolech pro uživatele 21451 pět položek.

První 4 záznamy jsou podobné těm, které jsme prozkoumali jako součást operace vytvoření uživatele. 5. záznam je export přidružený k aktualizaci atributů správce. Záznam protokolu zobrazí výsledek operace aktualizace správce účtů AD, která se provádí pomocí atributu objectGuid správce.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Řešení běžně zjištěných chyb

Tato část se věnuje běžným chybám při zřizování uživatelů Workday a jak je řešit. Chyby jsou seskupeny následujícím způsobem:

• Chyby agenta pro zřizování
• Chyby připojení
• Chyby při vytváření uživatelských účtů AD
• Chyby aktualizace uživatelského účtu AD

Chyby agenta zřizování

#	Chybový scénář	Pravděpodobné příčiny	Doporučené řešení
1.	Při instalaci agenta zřizování s chybovou zprávou: Službu Microsoft Entra Connect Provisioning Agent (AADConnectProvisioningAgent) se nepodařilo ji spustit. Ověřte, že máte dostatečná oprávnění ke spuštění systému.	Tato chyba se obvykle zobrazí, pokud se pokoušíte nainstalovat agenta pro zřizování na řadič domény a zásady skupiny službu neumožňují spustit. Je také vidět, jestli máte spuštěnou předchozí verzi agenta a ještě jste ji neodinstalovali před zahájením nové instalace.	Nainstalujte agenta zřizování na server bez řadiče domény. Před instalací nového agenta se ujistěte, že se odinstalují předchozí verze agenta.
2.	Služba Systému Windows Microsoft Entra Connect Provisioning Agent je ve stavu Spuštění a nepřepne do stavu Spuštěno .	V rámci instalace průvodce agentem na serveru vytvoří místní účet (NT Service\AADConnectProvisioningAgent) a jedná se o přihlašovací účet používaný ke spuštění služby. Pokud zásady zabezpečení na vašem windows serveru brání místním účtům ve spouštění služeb, dojde k této chybě.	Otevřete konzolu Služby. Klikněte pravým tlačítkem na službu Systému Windows Microsoft Entra Connect Provisioning Agent a na přihlašovací kartě zadejte účet správce domény, který má službu spustit. Restartujte službu.
3.	Při konfiguraci agenta zřizování s vaší doménou AD v kroku Connect Active Directory trvá průvodci dlouho pokusit se načíst schéma AD a nakonec dojde k jeho vypršení.	K této chybě obvykle dojde v případě, že se průvodce kvůli problémům s bránou firewall nemůže spojit se serverem řadiče domény AD.	Na obrazovce Průvodce připojením služby Active Directory při zadávání přihlašovacích údajů pro vaši doménu AD existuje možnost s názvem Vybrat prioritu řadiče domény. Pomocí této možnosti vyberte řadič domény, který je ve stejné lokalitě jako server agenta, a ujistěte se, že komunikace neblokují žádná pravidla brány firewall.

Chyby připojení

Pokud se služba zřizování nemůže připojit k aplikaci Workday nebo Active Directory, může dojít k tomu, že zřizování přejde do karanténního režimu. Při řešení potíží s připojením použijte následující tabulku.

#	Chybový scénář	Pravděpodobné příčiny	Doporučené řešení
1.	Když kliknete na test připojení, zobrazí se chybová zpráva: Při připojování ke službě Active Directory došlo k chybě. Ujistěte se, že je spuštěný místní agent zřizování a že je nakonfigurovaný se správnou doménou služby Active Directory.	Tato chyba se obvykle zobrazuje, pokud není spuštěn agent zřizování nebo pokud brána firewall blokuje komunikaci mezi Microsoft Entra ID a agentem zřizování. Tato chyba se může zobrazit také v případě, že doména není nakonfigurována v Průvodci agentem.	Otevřete konzolu Služby na serveru s Windows a ověřte, že je agent spuštěný. Otevřete průvodce zřizovacím agentem a ověřte, že je u agenta zaregistrovaná správná doména.
2.	Úloha zřizování o víkendu přejde do stavu karantény (Pá–So) a dostaneme e-mailové oznámení o chybě synchronizace.	Jednou z běžných příčin této chyby je plánovaná údržba aplikace Workday. Pokud používáte tenant implementace Workday, mějte na paměti, že Workday má naplánované odstávky svých implementačních tenantů o víkendech (obvykle od pátečního večera do sobotního rána) a během tohoto období mohou aplikace pro zřizování Workday přejít do stavu karantény, protože se nemohou připojit k Workday. Jakmile bude tenant implementace Workday opět online, vrátí se zpět do normálního stavu. Ve výjimečných případech k této chybě může dojít také v případě, že se kvůli aktualizaci tenanta změní heslo uživatele systému integrace nebo pokud dojde k uzamčení nebo vypršení platnosti účtu.	Zjistěte od svého správce Workday nebo integrátora, kdy Workday plánuje výpadky, abyste během tohoto období mohli ignorovat upozornění a zkontrolovat dostupnost, jakmile bude instance Workday opět online.

Chyby při vytváření uživatelských účtů AD

#	Chybový scénář	Pravděpodobné příčiny	Doporučené řešení
1.	Selhání operace exportu v protokolu zřizování se zprávou Chyba: OperationsError-SvcErr: Došlo k chybě operace. Pro adresářovou službu nebyl nakonfigurován žádný nadřazený odkaz. Adresářová služba proto nemůže vydávat odkazy na objekty mimo tento les.	Tato chyba se obvykle zobrazuje, pokud není správně nastavena organizační jednotka kontejneru služby Active Directory nebo pokud dochází k problémům s mapováním výrazů používanými pro parentDistinguishedName.	Zkontrolujte, jestli parametr OU kontejneru služby Active Directory neobsahuje překlepy. Pokud v mapování atributů používáte parentDistinguishedName , ujistěte se, že se vždy vyhodnotí jako známý kontejner v rámci domény AD. Zkontrolujte událost exportu v protokolech zřizování a podívejte se na vygenerovanou hodnotu.
2.	Selhání operace exportu v protokolu zřizování s kódem chyby: SystemForCrossDomainIdentityManagementBadResponse a zpráva Chyba: ConstraintViolation-AtrErr: Hodnota v požadavku je neplatná. Hodnota atributu nebyla v přijatelném rozsahu hodnot. \n Podrobnosti chyby: CONSTRAINT_ATT_TYPE - společnost.	I když je tato chyba specifická pro atribut společnosti , může se tato chyba zobrazit i u jiných atributů, jako je CN . Tato chyba se zobrazí kvůli omezení schématu vynucené službou AD. Ve výchozím nastavení mají atributy jako společnost a CN v AD horní limit 64 znaků. Pokud je hodnota z Workday větší než 64 znaků, zobrazí se tato chybová zpráva.	Zkontrolujte událost exportu v protokolech zřizování a podívejte se na hodnotu atributu hlášeného v chybové zprávě. Zvažte zkrácení hodnoty pocházející z Workday pomocí funkce Mid nebo změnu mapování na atribut AD, který nemá podobná omezení délky.

Chyby aktualizace uživatelského účtu AD

Během procesu aktualizace uživatelského účtu AD načte poskytovací služba informace z Workday i AD, spustí pravidla mapování atributů a určí, zda je třeba provést nějakou změnu. Odpovídajícím způsobem se aktivuje událost aktualizace. Pokud při některém z těchto kroků dojde k selhání, zaznamená se to do záznamů o zřizování. Při řešení běžných chyb aktualizací použijte následující tabulku.

#	Chybový scénář	Pravděpodobné příčiny	Doporučené řešení
1.	Selhání akce synchronizačního pravidla v protokolu zřizování se zprávou EventName = EntrySynchronizationError a ErrorCode = EndpointUnavailable	Tato chyba se zobrazí, pokud služba zřizování nemůže načíst data profilů uživatelů ze služby Active Directory kvůli chybě zpracování, ke které došlo u místního agenta zřizování.	Zkontrolujte protokoly Prohlížeče událostí agenta zřizování pro chyby událostí, které indikují problémy s operací čtení (filtrovat podle ID události č. 2).
2.	Atribut správce ve službě AD se neaktualizuje pro určité uživatele v AD.	Nejpravděpodobnější příčinou této chyby je, že používáte pravidla rozsahu a správce uživatele není součástí rozsahu. K tomuto problému může dojít také v případě, že v cílové doméně AD není nalezen odpovídající atribut ID manažera (například EmployeeID) nebo není nastaven na správnou hodnotu.	Zkontrolujte filtr rozsahu a přidejte uživatele typu manažer do rozsahu. Zkontrolujte profil správce ve službě AD a ujistěte se, že existuje hodnota pro odpovídající atribut ID.

Správa konfigurace

Tato část popisuje, jak můžete dále rozšířit, přizpůsobit a spravovat konfiguraci zřizování uživatelů řízenou aplikací Workday. Zabývá se následujícími tématy:

• Přizpůsobení seznamu atributů uživatele Workday
• Export a import vaší konfigurace

Přizpůsobení seznamu atributů uživatele Workday

Aplikace pro zřizování Workday pro Active Directory i Id Microsoft Entra obsahují výchozí seznam atributů uživatele Workday, ze které si můžete vybrat. Tyto seznamy ale nejsou komplexní. Workday podporuje mnoho stovek možných atributů uživatelů, které můžou být standardní nebo jedinečné pro vašeho tenanta Workday.

Služba zřizování Microsoft Entra umožňuje přizpůsobit váš seznam nebo atribut Workday tak, aby zahrnoval všechny atributy zpřístupněné prostřednictvím operace Get_Workers v rozhraní API pro lidské zdroje.

Chcete-li provést tuto změnu, musíte pomocí aplikace Workday Studio extrahovat výrazy XPath, které představují atributy, které chcete použít, a pak je přidat do konfigurace zřizování pomocí rozšířeného editoru atributů.

Chcete-li načíst výraz XPath pro atribut uživatele Workday:

1. Stáhněte a nainstalujte Workday Studio. Pro přístup k instalačnímu programu potřebujete účet komunity Workday.

2. Stáhněte si soubor Workday Human_Resources WSDL specifický pro verzi rozhraní WWS API, kterou plánujete použít z adresáře webových služeb Workday.

3. Spusťte Workday Studio.

4. Na panelu příkazů vyberte webovou službu Workday > Test v nástroji Tester .

5. Vyberte Externí a vyberte Human_Resources soubor WSDL, který jste stáhli v kroku 2.

   

6. Nastavte pole Umístění na https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources hodnotu, ale nahraďte "IMPL-CC" skutečným typem instance a "TENANT" skutečným názvem tenanta.

7. Nastavit operaci na Get_Workers

8. Klikněte na malý odkaz konfigurovat pod podokny Žádosti/Odpovědi a nastavte své přihlašovací údaje Workday. Zkontrolujte ověřování a zadejte uživatelské jméno a heslo pro účet systému integrace Workday. Nezapomeňte uživatelské jméno naformátovat jako name@tenant a nechte vybranou možnost WS-Security UsernameToken .

9. Vyberte OK.

10. V podokně Požadavek vložte níže uvedený kód XML. Nastavte Employee_ID na ID zaměstnance skutečného uživatele v tenantovi Workday. Nastavte wd:version na verzi WWS, kterou plánujete použít. Vyberte uživatele s vyplněným atributem, který chcete extrahovat.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Kliknutím na odeslat požadavek (zelená šipka) spusťte příkaz. V případě úspěchu by se odpověď měla zobrazit v podokně Odpovědi . Zkontrolujte odpověď a ujistěte se, že obsahuje data id uživatele, které jste zadali, a ne chybu.

12. V případě úspěchu zkopírujte XML z podokna Odpovědi a uložte ho jako soubor XML.

13. Na panelu příkazů aplikace Workday Studio vyberte Soubor > otevřít soubor... a otevřete soubor XML, který jste uložili. Tato akce otevře soubor v editoru XML aplikace Workday Studio.

    

14. Ve stromu souborů procházejte příkazem /env: Obálka > env: Tělo > wd:Get_Workers_Response > wd:Response_Data > wd:Worker a vyhledejte data vašeho uživatele.

15. V části wd: Worker vyhledejte atribut, který chcete přidat, a vyberte ho.

16. Zkopírujte výraz XPath pro vybraný atribut z pole Cesta k dokumentu.

17. Odeberte předponu /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ ze zkopírovaného výrazu.

18. Pokud poslední položkou ve zkopírovaném výrazu je uzel (příklad: "/wd: Birth_Date"), připojte na konec výrazu /text(). To není nutné, pokud poslední položka je atribut (příklad: "/@wd: type").

19. Výsledek by měl být něco jako wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Tato hodnota je to, co zkopírujete a zadáte do Centra pro správu Microsoft Entra.

Chcete-li přidat vlastní atribut uživatele Workday do konfigurace zřizování:

1. Spusťte Centrum pro správu Microsoft Entra a přejděte do části Zřizování vaší aplikace zřizování Workday, jak je popsáno výše v tomto kurzu.

2. Nastavte Stav zřizování na Vypnuto a zvolte Uložit. Tento krok pomáhá zajistit, aby se změny projevily jenom v případě, že jste připraveni.

3. V části Mapování vyberte Synchronizovat pracovní procesy Workday s místní službou Active Directory (nebo synchronizovat pracovní procesy Workday s ID Microsoft Entra).

4. Posuňte se do dolní části další obrazovky a vyberte Zobrazit upřesňující možnosti.

5. Vyberte Upravit seznam atributů pro Workday.

6. Posuňte se do dolní části seznamu atributů na místo, kde jsou vstupní pole.

7. Do pole Název zadejte zobrazovaný název atributu.

8. Jako typ vyberte typ, který odpovídajícím způsobem odpovídá vašemu atributu (řetězec je nejběžnější).

9. Pro API výraz, zadejte výraz XPath, který jste zkopírovali z aplikace Workday Studio. Příklad: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Vyberte Přidat atribut.

    

11. Vyberte možnost Uložit nahoře a poté zvolte Ano v dialogovém okně. Zavřete obrazovku Mapování atributů, pokud je stále otevřená.

12. Zpátky na hlavní kartě Zřizování znovu vyberte Synchronizovat pracovníky Workday s místní službou Active Directory (nebo Synchronizovat pracovníky s ID Microsoft Entra).

13. Vyberte Přidat nové mapování.

14. Nový atribut by se teď měl zobrazit v seznamu zdrojových atributů .

15. Podle potřeby přidejte mapování nového atributu.

16. Po dokončení nezapomeňte nastavit Stav zřizování zpět na Zapnuto a uložit.

Export a import vaší konfigurace

Projděte si článek Export a import konfigurace zřizování.

Správa osobních údajů

Řešení zřizování Workday pro Active Directory vyžaduje instalaci provisioning agenta na místním serveru s Windows. Tento agent vytváří záznamy v protokolu událostí systému Windows, které mohou obsahovat osobní údaje v závislosti na mapování atributů AD ve Workday. Pokud chcete dodržovat povinnosti týkající se ochrany osobních údajů uživatelů, můžete zajistit, aby se v protokolech událostí po dobu delší než 48 hodin nezůsahovala žádná data, a to tak, že nastavíte naplánovanou úlohu Windows, která vymaže protokol událostí.

Služba zřizování Microsoft Entra spadá do kategorie zpracovatele údajů klasifikace GDPR. Jako kanál zpracovatele dat poskytuje služba zpracování dat klíčovým partnerům a koncovým uživatelům služby pro zpracování dat. Služba zřizování Microsoft Entra negeneruje uživatelská data a nemá žádnou nezávislou kontrolu nad tím, jaké osobní údaje se shromažďují a jak se používají. Načítání dat, agregace, analýza a reportování ve službě Zřizování Microsoft Entra jsou založené na existujících podnikových datech.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v pokynech společnosti Microsoft k žádostem subjektů údajů windows na web GDPR . Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Pokud jde o uchovávání dat, služba zřizování Microsoft Entra negeneruje sestavy, neprovádí analýzy ani neposkytuje přehledy po dobu delší než 30 dnů. Služba zřizování Microsoft Entra proto neukládá, nezpracovává ani neuchovává žádná data po dobu delší než 30 dní. Tento návrh vyhovuje předpisům GDPR, předpisům microsoftu pro dodržování předpisů o ochraně osobních údajů a zásadám uchovávání dat Microsoft Entra.

Související obsah

• Další informace o scénářích integrace Microsoft Entra ID a Workday a volání webových služeb
• .
• Informace o konfiguraci jednotného přihlašování mezi Workday a ID Microsoft Entra
• Naučte se, jak konfigurovat zpětný zápis Workday
• Naučte se používat rozhraní Microsoft Graph API ke správě konfigurací zřizování.