Sdílet prostřednictvím


Kurz: Konfigurace automatického zřizování uživatelů ve Workday

Cílem tohoto kurzu je ukázat kroky, které potřebujete ke zřízení profilů pracovních procesů z Workday do místní Active Directory (AD).

Poznámka:

Tento kurz použijte, pokud uživatelé, které chcete zřídit z Workday, potřebují místní účet AD a účet Microsoft Entra.

Následující video obsahuje rychlý přehled kroků, které se týkají plánování integrace zřizování s Workday.

Přehled

Služba zřizování uživatelů Microsoft Entra se integruje s rozhraním API pro lidské zdroje Workday, aby bylo možné zřizovat uživatelské účty. Pracovní postupy zřizování uživatelů Workday podporované službou zřizování uživatelů Microsoft Entra umožňují automatizaci následujících scénářů správy lidských zdrojů a životního cyklu identit:

  • Nábor nových zaměstnanců – když se do workday přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS podporované id Microsoft Entra s zpětným zápisem kontaktních informací spravovaných IT do Workday.

  • Aktualizace atributů a profilů zaměstnanců – Když se záznam zaměstnance aktualizuje v Workday (například jméno, titul nebo manažer), uživatelský účet se automaticky aktualizuje ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikacíCh SaaS podporovaných ID Microsoft Entra.

  • Ukončení zaměstnance – Když je zaměstnanec ukončen v Aplikaci Workday, jeho uživatelský účet se automaticky zakáže ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných ID Microsoft Entra.

  • Zaměstnanec znovu přijme zaměstnance – když je zaměstnanec znovu najal v Workday, může se jeho starý účet automaticky znovu aktivovat nebo znovu zřídit (v závislosti na vašich preferencích) ve službě Active Directory, Microsoft Entra ID a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných id Microsoft Entra.

Co je nového

Tato část zachycuje nedávná vylepšení integrace Workday. Seznam komplexních aktualizací, plánovaných změn a archivů najdete v tématu Co je nového v Microsoft Entra ID?

  • Říjen 2020 – Povolení zřizování na vyžádání pro Workday: Pomocí zřizování na vyžádání teď můžete otestovat komplexní zřizování pro konkrétní profil uživatele v Workday, abyste ověřili mapování atributů a logiku výrazů.

  • Květen 2020 – Možnost zpětného zápisu telefonních čísel do Workday: Kromě e-mailu a uživatelského jména teď můžete na pracovní číslo a číslo mobilního telefonu z Microsoft Entra ID do Workday vrátit zpět. Další podrobnosti najdete v kurzu aplikace pro zpětný zápis.

  • Duben 2020 – podpora nejnovější verze rozhraní API webových služeb Workday (WWS): Dvakrát ročně v březnu a září workday přináší aktualizace s bohatými funkcemi, které vám pomůžou splnit vaše obchodní cíle a měnící se požadavky pracovníků. Pokud chcete držet krok s novými funkcemi doručované aplikací Workday, můžete přímo zadat verzi rozhraní WWS API, kterou chcete použít v adrese URL připojení. Podrobnosti o tom, jak zadat verzi rozhraní API Workday, najdete v části o konfiguraci připojení Workday.

Pro koho je toto řešení zřizování uživatelů nejvhodnější?

Toto řešení zřizování uživatelů Workday je ideální pro:

  • Organizace, které chtějí předdefinované cloudové řešení pro zřizování uživatelů Workday

  • Organizace, které vyžadují přímé zřizování uživatelů z Workday do služby Active Directory nebo ID Microsoft Entra

  • Organizace, které vyžadují zřízení uživatelů pomocí dat získaných z modulu Workday HCM (viz Get_Workers)

  • Organizace, které vyžadují připojení, přesunutí a opuštění uživatelů, aby se synchronizovali s jednou nebo více doménovými strukturami, doménami a organizačními jednotky active directory, pouze na základě změny zjištěné v modulu HcM Workday (viz Get_Workers)

  • Organizace používající Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí. Existují dva související toky:

  • Autoritativní tok dat personálního oddělení – z Workday do místní Active Directory: V tomto toku dochází k událostem pracovního procesu, jako jsou New Hires, Transferss, Terminations first in the cloud Workday HR tenant, a potom data událostí proudí do místní Active Directory prostřednictvím Microsoft Entra ID a zřizovacího agenta. V závislosti na události může dojít k vytvoření, aktualizaci, povolení nebo zakázání operací ve službě AD.
  • Tok zpětného zápisu – od místní Active Directory do Workday: Po dokončení vytváření účtu ve službě Active Directory se synchronizuje s Microsoft Entra ID prostřednictvím microsoft Entra Connect a informací, jako je e-mail, uživatelské jméno a telefonní číslo, se dají zapsat zpátky do Workday.

Koncepční diagram přehledu

Tok dat koncových uživatelů

  1. Tým personálního oddělení provádí pracovní transakce (joiners, Movers, Leavers nebo New Hires/ Transfers/Terminations) v Workday HCM.
  2. Služba zřizování Microsoft Entra spouští naplánované synchronizace identit z pracovního dne HR a identifikuje změny, které je potřeba zpracovat pro synchronizaci s místní Active Directory.
  3. Služba zřizování Microsoft Entra vyvolá místní agenta zřizování Microsoft Entra Connect s datovou částí požadavku, která obsahuje operace vytvoření/aktualizace/povolení/zakázání účtu AD.
  4. Agent zřizování Microsoft Entra Connect používá účet služby k přidání nebo aktualizaci dat účtu AD.
  5. Modul Microsoft Entra Connect / AD Sync spouští rozdílovou synchronizaci pro vyžádání aktualizací v AD.
  6. Aktualizace služby Active Directory se synchronizují s ID Microsoft Entra.
  7. Pokud je aplikace Workday Writeback nakonfigurovaná, zapisuje zpět atributy, jako je e-mail, uživatelské jméno a telefonní číslo do Aplikace Workday.

Plánování nasazení

Konfigurace aplikace Workday pro zřizování uživatelů služby Active Directory vyžaduje značné plánování zahrnující různé aspekty, například:

  • Nastavení agenta zřizování Microsoft Entra Connect
  • Počet aplikací zřizovacích aplikací uživatelů Workday do AD, které se mají nasadit
  • Výběr správného odpovídajícího identifikátoru, mapování atributů, transformace a filtrů oborů

Podrobné pokyny a doporučené osvědčené postupy najdete v plánu nasazení lidských zdrojů v cloudu.

Konfigurace uživatele systému integrace v Aplikaci Workday

Běžným požadavkem všech konektorů zřizování Workday je, že k připojení k rozhraní WORKday Human Resources API vyžadují přihlašovací údaje uživatele systému integrace Workday. Tato část popisuje, jak vytvořit uživatele integračního systému v Aplikaci Workday a má následující části:

Poznámka:

Tento postup je možné obejít a místo toho jako účet integrace systému použít účet správce Workday. To může fungovat dobře pro ukázky, ale nedoporučuje se pro produkční nasazení.

Vytvoření uživatele systému integrace

Vytvoření uživatele systému integrace:

  1. Přihlaste se ke svému tenantovi Workday pomocí účtu správce. V aplikaci Workday zadejte do vyhledávacího pole uživatele vytvořit uživatele a potom klepněte na tlačítko Vytvořit uživatele systému integrace.

    Snímek obrazovky s vytvořením uživatele

  2. Dokončete úlohu Vytvořit uživatele systému integrace zadáním uživatelského jména a hesla pro nového uživatele systému integrace.

    • Možnost Vyžadovat nové heslo ponechte nezaškrtnutou, protože tento uživatel se přihlašuje programově.
    • Nechte minutu časového limitu relace s výchozí hodnotou 0, která brání vypršení časového limitu relací uživatele předčasně.
    • Vyberte možnost Nepovolit relace uživatelského rozhraní, protože poskytuje přidanou vrstvu zabezpečení, která uživateli brání v přihlášení k aplikaci Workday heslem integračního systému.

    Snímek obrazovky s vytvořením uživatele systému integrace

Vytvoření skupiny zabezpečení integrace

V tomto kroku vytvoříte nekonkurzenou nebo omezenou skupinu zabezpečení systému integrace v Workday a přiřadíte uživateli integračního systému vytvořeného v předchozím kroku této skupině.

Vytvoření skupiny zabezpečení:

  1. Do vyhledávacího pole zadejte vytvořit skupinu zabezpečení a klepněte na tlačítko Vytvořit skupinu zabezpečení.

    Snímek obrazovky, který zobrazuje

  2. Dokončete úlohu Vytvořit skupinu zabezpečení.

    • V Aplikaci Workday existují dva typy skupin zabezpečení:

      • Unconstrained: Všichni členové skupiny zabezpečení mají přístup ke všem instancím dat zabezpečeným skupinou zabezpečení.
      • Omezené: Všichni členové skupiny zabezpečení mají kontextový přístup k podmnožině instancí dat (řádků), ke kterým má skupina zabezpečení přístup.
    • Obraťte se na svého partnera pro integraci Workday a vyberte odpovídající typ skupiny zabezpečení pro tuto integraci.

    • Jakmile znáte typ skupiny, vyberte v rozevíracím seznamu Typ skupiny zabezpečení tenanta skupinu zabezpečení systému integrace (bez omezení) nebo Skupinu zabezpečení systému integrace .

      Snímek obrazovky skupiny CreateSecurity

  3. Po úspěšném vytvoření skupiny zabezpečení se zobrazí stránka, kde můžete přiřadit členy ke skupině zabezpečení. Do této skupiny zabezpečení přidejte nového uživatele integračního systému vytvořeného v předchozím kroku. Pokud používáte omezenou skupinu zabezpečení, budete muset vybrat odpovídající rozsah organizace.

    Snímek obrazovky s možností Upravit skupinu zabezpečení

Konfigurace oprávnění zásad zabezpečení domény

V tomto kroku udělíte skupině zabezpečení oprávnění zásad zabezpečení domény pro pracovní data.

Konfigurace oprávnění zásad zabezpečení domény:

  1. Do vyhledávacího pole zadejte členství ve skupině zabezpečení a přístup a klikněte na odkaz na sestavu.

    Snímek obrazovky s členstvím ve skupině zabezpečení vyhledávání

  2. Vyhledejte a vyberte skupinu zabezpečení vytvořenou v předchozím kroku.

    Snímek obrazovky s výběrem skupiny zabezpečení

  3. Klikněte na tři tečky (...) vedle názvu skupiny a v nabídce vyberte Skupina > zabezpečení Zachovat oprávnění domény pro skupinu zabezpečení.

    Snímek obrazovky s výběrem možnosti Spravovat oprávnění domény

  4. V části Oprávnění pro integraci přidejte do seznamu Zásady zabezpečení domény povolující přístup put následující domény.

    • Zřizování externích účtů
    • Data pracovního procesu: Sestavy veřejných pracovních procesů
    • Údaje osoby: Kontaktní informace o práci (povinné, pokud plánujete zpětný zápis kontaktních údajů z Microsoft Entra ID do Workday)
    • Účty Workday (povinné, pokud plánujete zpětný zápis uživatelského jména nebo hlavního názvu uživatele z Microsoft Entra ID do Workday)
  5. V části Oprávnění integrace přidejte následující domény do seznamu Zásad zabezpečení domény, které umožňují získat přístup.

    • Data pracovního procesu: Pracovní procesy
    • Data pracovního procesu: Všechny pozice
    • Data pracovního procesu: Aktuální informace o personálním oddělení
    • Data pracovního procesu: Obchodní titul v profilu pracovního procesu
    • Data pracovního procesu: Kvalifikovaní pracovníci (volitelné – přidejte je, pokud chcete načíst data kvalifikace pracovníků pro zřizování).
    • Data pracovního procesu: Dovednosti a zkušenosti (volitelné – přidejte je, pokud chcete načíst data dovedností pracovních procesů pro zřizování)
  6. Po dokončení výše uvedených kroků se zobrazí obrazovka oprávnění, jak je znázorněno níže:

    Snímek obrazovky se všemi oprávněními zabezpečení domény

  7. Kliknutím na TLAČÍTKO OK a Hotovo na další obrazovce dokončete konfiguraci.

Konfigurace oprávnění zásad zabezpečení obchodního procesu

V tomto kroku udělíte skupině zabezpečení pracovních procesů oprávnění zásad zabezpečení obchodního procesu.

Poznámka:

Tento krok se vyžaduje jenom pro nastavení konektoru aplikace Zpětné zápisu Workday.

Konfigurace oprávnění zásad zabezpečení obchodního procesu:

  1. Do vyhledávacího pole zadejte zásady obchodního procesu a klikněte na odkaz Upravit úlohu zásad zabezpečení obchodního procesu.

    Snímek obrazovky, který zobrazuje

  2. V textovém poli Typ obchodního procesu vyhledejte kontakt a vyberte Pracovní kontakt Změnit obchodní proces a klikněte na OK.

    Snímek obrazovky znázorňující stránku Upravit zásady zabezpečení obchodního procesu a změnu pracovního kontaktu vybranou v nabídce Typ obchodního procesu

  3. Na stránce Upravit zásady zabezpečení obchodního procesu přejděte do části Změnit pracovní kontaktní informace (webová služba).

  4. Vyberte a přidejte novou skupinu zabezpečení systému integrace do seznamu skupin zabezpečení, které mohou iniciovat žádost o webové služby.

    Snímek obrazovky se zásadami zabezpečení obchodních procesů

  5. Klikněte na Hotovo.

Aktivace změn zásad zabezpečení

Aktivace změn zásad zabezpečení:

  1. Do vyhledávacího pole zadejte aktivaci a klikněte na odkaz Aktivovat čekající změny zásad zabezpečení.

    Snímek obrazovky s možností Aktivovat

  2. Spusťte úlohu Aktivovat čekající změny zásad zabezpečení zadáním komentáře pro účely auditování a klepněte na tlačítko OK.

  3. Dokončete úkol na další obrazovce zaškrtnutím políčka Potvrdit a klepněte na tlačítko OK.

    Snímek obrazovky s možností Aktivovat čekající zabezpečení

Požadavky na instalaci agenta zřizování

Než budete pokračovat k další části, projděte si požadavky na instalaci agenta zřizování.

Konfigurace zřizování uživatelů z Workday do Active Directory

Tato část obsahuje kroky pro zřizování uživatelských účtů z Workday do každé domény služby Active Directory v rámci vaší integrace.

Část 1: Přidání aplikace zřizovacího konektoru a stažení agenta zřizování

Konfigurace aplikace Workday pro zřizování služby Active Directory:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.

  3. Vyhledejte Aplikaci Workday do zřizování uživatelů služby Active Directory a přidejte ji z galerie.

  4. Po přidání aplikace a zobrazení obrazovky s podrobnostmi o aplikaci vyberte Zřizování.

  5. Změňte režim zřizování na automatický.

  6. Kliknutím na informační banner zobrazte stažení agenta zřizování.

    Snímek obrazovky se stažením agenta

Část 2: Instalace a konfigurace místních agentů zřizování

Pokud chcete zřídit místní službu Active Directory, musí být agent zřizování nainstalovaný na serveru připojeném k doméně, který má síťový přístup k požadovaným doménám služby Active Directory.

Přeneste stažený instalační program agenta na hostitele serveru a podle kroků uvedených v části Instalace agenta dokončete konfiguraci agenta.

Část 3: V aplikaci zřizování nakonfigurujte připojení k Workday a Active Directory.

V tomto kroku navážeme připojení k Workday a Active Directory.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým>aplikacím> identit>Workday a aplikaci zřizování uživatelů active Directory vytvořenou v části 1.

  3. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

    • Workday Username – Zadejte uživatelské jméno účtu systému integrace Workday s připojeným názvem domény tenanta. Měl by vypadat přibližně takto: username@tenant_name

    • Heslo workday – zadejte heslo účtu systému integrace Workday.

    • Adresa URL rozhraní API webových služeb Workday – zadejte adresu URL koncového bodu webových služeb Workday pro vašeho tenanta. Adresa URL určuje verzi rozhraní API webových služeb Workday používaného konektorem.

      Formát adresy URL Použitá verze rozhraní WWS API Požadované změny XPATH
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Ano

      Poznámka:

      Pokud v adrese URL nejsou zadané žádné informace o verzi, aplikace používá webové služby Workday (WWS) v21.1 a ve výchozích výrazech rozhraní XPATH API dodávaných s aplikací se nevyžadují žádné změny. Pokud chcete použít konkrétní verzi rozhraní WWS API, zadejte číslo verze v adrese URL.
      Příklad: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Pokud před zapnutím úlohy zřizování používáte rozhraní WWS API verze 30.0+, aktualizujte výrazy rozhraní XPATH API v části Mapování atributů –> Rozšířené možnosti –> Upravit seznam atributů pro Workday , který odkazuje na část Správa konfigurace a odkazu na atribut Workday.

    • Doménová struktura služby Active Directory – Název vaší domény služby Active Directory, jak je zaregistrované u agenta. V rozevíracím seznamu vyberte cílovou doménu pro zřizování. Tato hodnota je obvykle řetězec jako: contoso.com

    • Kontejner služby Active Directory – Zadejte název kontejneru, ve kterém by měl agent ve výchozím nastavení vytvářet uživatelské účty. Příklad: OU=Standardní uživatelé,OU=Users,DC=contoso,DC=test

      Poznámka:

      Toto nastavení se pro vytváření uživatelských účtů přehraje jenom v případě, že v mapování atributů není nakonfigurovaný atribut parentDistinguishedName . Toto nastavení se nepoužívá pro operace vyhledávání nebo aktualizace uživatelů. Celý podřízený strom domény spadá do oboru operace hledání.

    • E-mail s oznámením – Zadejte svoji e-mailovou adresu a zaškrtněte políčko Odeslat e-mail, pokud dojde k selhání.

      Poznámka:

      Služba zřizování Microsoft Entra odešle e-mailové oznámení, pokud úloha zřizování přejde do stavu karantény .

    • Klikněte na tlačítko Test připojení . Pokud test připojení proběhne úspěšně, klikněte v horní části na tlačítko Uložit . Pokud selže, zkontrolujte platnost přihlašovacích údajů Workday a přihlašovacích údajů AD nakonfigurovaných v instalačním programu agenta.

    • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizovat pracovní procesy Workday do místní služby Active Directory.

Část 4: Konfigurace mapování atributů

V této části nakonfigurujete toky uživatelských dat z Workday do Active Directory.

  1. Na kartě Zřizování v části Mapování klikněte na synchronizovat pracovní procesy Workday do místní služby Active Directory.

  2. V poli Obor zdrojového objektu můžete vybrat, které sady uživatelů v aplikaci Workday mají být v oboru pro zřizování v AD, definováním sady filtrů založených na atributech. Výchozí obor je "všichni uživatelé v Aplikaci Workday". Ukázkové filtry:

    • Příklad: Rozsah uživatelů s ID pracovních procesů mezi 1000000 a 2000000 (s výjimkou 2000000)

      • Atribut: WorkerID

      • Operátor: Shoda REGEX

      • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Příklad: Pouze zaměstnanci a ne podmínění pracovníci

      • Atribut: EmployeeID

      • Operátor: není NULL

    Tip

    Při první konfiguraci aplikace zřizování je potřeba otestovat a ověřit mapování atributů a výrazy, abyste měli jistotu, že vám poskytne požadovaný výsledek. Microsoft doporučuje použít filtry oborů v rámci oboru zdrojového objektu a zřizování na vyžádání k otestování mapování s několika testovacími uživateli z Workday. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

    Upozornění

    Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří vyjdou mimo rozsah. To nemusí být žádoucí v integraci Workday do AD. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočit odstranění uživatelských účtů, které vyjdou mimo rozsah.

  3. V poli Akce cílového objektu můžete globálně filtrovat akce prováděné ve službě Active Directory. Nejběžnější jsou vytváření a aktualizace .

  4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy Workday mapují na atributy služby Active Directory.

  5. Kliknutím na existující mapování atributů ho aktualizujte nebo kliknutím na přidat nové mapování v dolní části obrazovky přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

    • Typ mapování

      • Direct – zapíše hodnotu atributu Workday do atributu AD beze změn.

      • Konstanta – Zápis statické hodnoty řetězce konstanty do atributu AD

      • Výraz – Umožňuje napsat vlastní hodnotu atributu AD na základě jednoho nebo více atributů Workday. Další informace najdete v tomto článku o výrazech.

    • Atribut zdroje – atribut uživatele z Workday. Pokud atribut, který hledáte, není k dispozici, přečtěte si téma Přizpůsobení seznamu atributů uživatele Workday.

    • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, mapování místo toho zapíše tuto hodnotu. Nejběžnější konfigurací je ponechat tuto prázdnou hodnotu.

    • Cílový atribut – atribut uživatele ve službě Active Directory.

    • Porovná objekty používající tento atribut – zda se toto mapování má použít k jednoznačné identifikaci uživatelů mezi aplikací Workday a Active Directory. Tato hodnota je obvykle nastavena na pole ID pracovního procesu pro Workday, které je obvykle namapováno na jeden z atributů ID zaměstnance ve službě Active Directory.

    • Odpovídající priorita – Lze nastavit více odpovídajících atributů. Pokud je jich více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se najde shoda, nevyhodnotí se žádné další odpovídající atributy.

    • Použít toto mapování

      • Vždy – Použít toto mapování na akce vytváření uživatelů i aktualizace

      • Pouze během vytváření – Použít toto mapování pouze u akcí vytváření uživatelů

  6. Mapování uložíte kliknutím na Uložit v horní části oddílu Mapování atributů.

    Snímek obrazovky znázorňující stránku Mapování atributů s vybranou akcí Uložit

Níže je uvedeno několik ukázkových mapování atributů mezi aplikací Workday a Active Directory s některými běžnými výrazy.

  • Výraz, který se mapuje na atribut parentDistinguishedName , se používá ke zřízení uživatele pro různé organizační jednotky na základě jednoho nebo více zdrojových atributů Workday. Tento příklad tady umístí uživatele do různých organizačních jednotek podle toho, v jakém městě jsou.

  • Atribut userPrincipalName ve službě Active Directory je generován pomocí funkce odstranění duplicit SelectUniqueValue , která kontroluje existenci vygenerované hodnoty v cílové doméně AD a nastaví ji pouze v případě, že je jedinečná.

  • Tady je dokumentace k psaní výrazů. Tato část obsahuje příklady, jak odebrat speciální znaky.

ATRIBUT WORKDAY ATRIBUT ACTIVE DIRECTORY ODPOVÍDAJÍCÍ ID? VYTVOŘENÍ/ AKTUALIZACE
ID pracovního procesu EmployeeID Ano Zapsáno pouze při vytváření
PreferredNameData Kn Zapsáno pouze při vytváření
SelectUniqueValue( Join("@"; Join("."; [FirstName], [LastName]), "contoso.com"), Join("@"; Join(".", Mid([FirstName], 1, 1; 1); [LastName]); "contoso.com"), Join("@"; Join("."; Mid([FirstName], 1; 2); [LastName]); "contoso.com")) userPrincipalName (Hlavní název uživatele) Zapsáno pouze při vytváření
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Zapsáno pouze při vytváření
Switch([Active], , "0", "True", "1", "False") accountDisabled Vytvoření a aktualizace
FirstName givenName Vytvoření a aktualizace
LastName sn Vytvoření a aktualizace
PreferredNameData displayName Vytvoření a aktualizace
Společnost company Vytvoření a aktualizace
Organizace dohledu department Vytvoření a aktualizace
ManagerReference manager Vytvoření a aktualizace
BusinessTitle title Vytvoření a aktualizace
AddressLineData streetAddress Vytvoření a aktualizace
Obec l Vytvoření a aktualizace
CountryReferenceTwoLetter co Vytvoření a aktualizace
CountryReferenceTwoLetter c Vytvoření a aktualizace
CountryRegionReference sv Vytvoření a aktualizace
WorkSpaceReference physicalDeliveryOfficeName Vytvoření a aktualizace
PSČ postalCode Vytvoření a aktualizace
PrimaryWorkTelephone telephoneNumber Vytvoření a aktualizace
Fax facsimileTelephoneNumber Vytvoření a aktualizace
Mobilní mobilní Vytvoření a aktualizace
LocalReference preferredLanguage Vytvoření a aktualizace
Switch([Municipality], "OU=Default Users;DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=contoso,DC=com", "Londýn", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Vytvoření a aktualizace

Po dokončení konfigurace mapování atributů můžete otestovat zřizování pro jednoho uživatele pomocí zřizování na vyžádání a pak povolit a spustit službu zřizování uživatelů.

Povolení a spuštění zřizování uživatelů

Po dokončení konfigurace aplikace zřizování Workday a ověření zřizování pro jednoho uživatele se zřizováním na vyžádání můžete zapnout službu zřizování.

Tip

Když službu zřizování zapnete, ve výchozím nastavení zahájí operace zřizování pro všechny uživatele v oboru. Pokud v mapování nebo problémech s daty Workday dojde k chybám, může úloha zřizování selhat a přejít do stavu karantény. Abyste tomu předešli, doporučujeme před spuštěním úplné synchronizace pro všechny uživatele nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli, kteří používají zřizování na vyžádání. Jakmile ověříte, že mapování funguje a dává vám požadované výsledky, můžete filtr buď odebrat, nebo ho postupně rozšířit tak, aby zahrnoval více uživatelů.

  1. Přejděte do okna Zřizování a klikněte na Zahájit zřizování.

  2. Tato operace spustí počáteční synchronizaci, která může trvat proměnlivý počet hodin v závislosti na počtu uživatelů v tenantovi Workday. Indikátor průběhu můžete zkontrolovat a sledovat průběh cyklu synchronizace.

  3. Kdykoli zkontrolujte kartu Zřizování v Centru pro správu Microsoft Entra a zjistěte, jaké akce služba zřizování provedla. Protokoly zřizování obsahují seznam všech jednotlivých synchronizačních událostí provedených službou zřizování, jako je například čtení uživatelů z aplikace Workday a následné přidání nebo aktualizace do služby Active Directory. Pokyny, jak zkontrolovat protokoly zřizování a opravit chyby zřizování, najdete v části Řešení potíží.

  4. Po dokončení počáteční synchronizace zapíše souhrnnou sestavu auditu na kartě Zřizování , jak je znázorněno níže.

    Snímek obrazovky s indikátorem průběhu zřizování

Nejčastější dotazy

Otázky týkající se možností řešení

Jak při zpracování nového přijetí z Aplikace Workday nastaví řešení heslo pro nový uživatelský účet ve službě Active Directory?

Když místní agent zřizování získá požadavek na vytvoření nového účtu AD, automaticky vygeneruje složité náhodné heslo navržené tak, aby splňovalo požadavky na složitost hesla definované serverem AD a nastaví ho na objekt uživatele. Toto heslo se nikde nezaprotokoluje.

Podporuje řešení odesílání e-mailových oznámení po dokončení operací zřizování?

Ne, odesílání e-mailových oznámení po dokončení operací zřizování se v aktuální verzi nepodporuje.

Ukládá řešení profily uživatelů Workday do mezipaměti v cloudu Microsoft Entra nebo ve vrstvě agenta zřizování?

Ne, řešení neudržuje mezipaměť profilů uživatelů. Služba zřizování Microsoft Entra jednoduše funguje jako zpracovatel dat, čte data z workday a zapisuje do cílové služby Active Directory nebo Microsoft Entra ID. Podrobnosti související s ochranou osobních údajů a uchováváním osobních údajů najdete v části Správa osobních údajů .

Podporuje řešení přiřazení místních skupin AD uživateli?

Tato funkce se v současné době nepodporuje. Doporučeným alternativním řešením je nasadit skript PowerShellu, který se dotazuje koncového bodu rozhraní Microsoft Graph API pro zřizování dat protokolu a používá ho k aktivaci scénářů, jako je přiřazení skupiny. Tento skript PowerShellu je možné připojit k plánovači úloh a nasadit ho do stejného pole se spuštěným agentem zřizování.

Která rozhraní API workday používá řešení k dotazování a aktualizaci pracovních profilů Workday?

Řešení aktuálně používá následující rozhraní API workday:

  • Formát ADRESY URL rozhraní API webové služby Workday použitý v části Přihlašovací údaje správce určuje verzi rozhraní API použitou pro Get_Workers

    • Pokud je formát adresy URL: https://####.workday.com/ccx/service/tenantName , použije se rozhraní API verze 21.1.
    • Pokud je formát adresy URL: https://####.workday.com/ccx/service/tenantName/Human_Resources , použije se rozhraní API verze 21.1.
    • Pokud je formát adresy URL: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# použije se zadaná verze rozhraní API. (Příklad: Pokud je zadána hodnota v34.0, použije se.)
  • Funkce zpětného zápisu e-mailu Workday používá Change_Work_Contact_Information (v30.0)

  • Funkce zpětného zápisu uživatelského jména Workday používá Update_Workday_Account (v31.2)

Můžu tenanta Workday HCM nakonfigurovat se dvěma tenanty Microsoft Entra?

Ano, tato konfigurace je podporovaná. Tady jsou základní kroky ke konfiguraci tohoto scénáře:

  • Nasaďte zřizovacího agenta #1 a zaregistrujte ho v tenantovi Microsoft Entra #1.
  • Nasaďte zřizovacího agenta č. 2 a zaregistrujte ho v tenantovi Microsoft Entra #2.
  • Na základě podřízených domén, které spravuje každý agent zřizování, nakonfigurujte každého agenta s doménami. Jeden agent může zpracovávat více domén.
  • V Centru pro správu Microsoft Entra nastavte aplikaci Workday pro zřizování uživatelů AD v každém tenantovi a nakonfigurujte ji s příslušnými doménami.

Vaše zpětná vazba je vysoce hodnotná, protože nám pomáhá nastavit směr budoucích verzí a vylepšení. Vítáme všechny názory a doporučujeme vám odeslat svůj nápad nebo návrh na vylepšení ve fóru pro zpětnou vazbu společnosti Microsoft Entra ID. Pokud chcete získat konkrétní zpětnou vazbu související s integrací Workday, vyberte kategorii SaaS Applications (Aplikace SaaS) a vyhledejte pomocí klíčových slov Workday existující zpětnou vazbu související s aplikací Workday .

Snímek obrazovky s funkcí UserVoice Workday

Při navrhování nového nápadu zkontrolujte, jestli už někdo jiný navrhnul podobnou funkci. V takovém případě můžete hlasovat o funkci nebo žádosti o vylepšení. Můžete také zanechat komentář týkající se vašeho konkrétního případu použití, abyste ukázali podporu nápadu a ukázali, jak je tato funkce pro vás cenná.

Otázky týkající se agenta zřizování

Jaká je obecná verze agenta zřizování?

Projděte si agenta zřizování Microsoft Entra Connect: Historie verzí pro nejnovější verzi agenta zřizování ga.

Návody znát verzi agenta zřizování?

  1. Přihlaste se k serveru s Windows, na kterém je nainstalovaný agent zřizování.
  2. Přejděte na Ovládací panely ->Uninstall nebo Change a Program menu.
  3. Vyhledejte verzi odpovídající položce Microsoft Entra Connect Provisioning Agent.

Aktualizuje Microsoft automaticky aktualizace agenta zřizování?

Ano, Microsoft automaticky aktualizuje agenta zřizování, pokud je spuštěna služba Microsoft Entra Connect Agent Updater .

Můžu agenta zřizování nainstalovat na stejný server se systémem Microsoft Entra Connect?

Ano, agenta zřizování můžete nainstalovat na stejný server, na kterém běží Microsoft Entra Connect.

V době konfigurace agent zřizování vyzve k zadání přihlašovacích údajů správce Microsoft Entra. Ukládá agent přihlašovací údaje místně na serveru?

Během konfigurace agent zřizování vyzve k zadání přihlašovacích údajů správce Microsoft Entra pouze pro připojení k vašemu tenantovi Microsoft Entra. Přihlašovací údaje se neukládají místně na serveru. Přihlašovací údaje použité pro připojení k místní Active Directory doméně v místním trezoru hesel Systému Windows si ale zachová.

Návody nakonfigurovat agenta zřizování tak, aby používal proxy server pro odchozí komunikaci HTTP?

Agent zřizování podporuje použití odchozího proxy serveru. Můžete ho nakonfigurovat úpravou konfiguračního souboru agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Na konec souboru těsně před pravou </configuration> značku přidejte následující řádky. Nahraďte proměnné [proxy-server] a [proxy-port] hodnotami názvu a portu vašeho proxy serveru.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Návody zajistit, aby agent zřizování mohl komunikovat s tenantem Microsoft Entra a že agent neblokuje porty vyžadované agentem?

Můžete také zkontrolovat, jestli jsou otevřené všechny požadované porty .

Může být jeden agent zřizování nakonfigurovaný tak, aby zřídil více domén AD?

Ano, jeden agent zřizování lze nakonfigurovat tak, aby zpracovával více domén AD, pokud má agent přehled o příslušných řadičích domény. Microsoft doporučuje nastavit skupinu 3 agentů zřizování, kteří obsluhují stejnou sadu domén AD, aby se zajistila vysoká dostupnost a podpora převzetí služeb při selhání.

Návody zrušit registraci domény přidružené k agentu zřizování?

*, získejte ID tenanta Microsoft Entra.

  • Přihlaste se k serveru s Windows, na kterém běží agent zřizování.

  • Otevřete PowerShell jako správce Windows.

  • Přejděte do adresáře obsahujícího registrační skripty a spusťte následující příkazy, přičemž parametr [ID tenanta] nahraďte hodnotou ID vašeho tenanta.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • Ze seznamu agentů, kteří se zobrazí – zkopírujte hodnotu id pole z tohoto prostředku, jehož název prostředku se rovná vašemu názvu domény AD.

  • Vložte hodnotu ID do tohoto příkazu a spusťte příkaz v PowerShellu.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • Znovu spusťte průvodce konfigurací agenta.

  • Všechny ostatní agenty, které byly dříve přiřazeny k této doméně, je potřeba překonfigurovat.

Návody odinstalovat agenta zřizování?

  • Přihlaste se k serveru s Windows, na kterém je nainstalovaný agent zřizování.
  • Přejděte na Ovládací panely ->Uninstall or Change a Program menu
  • Odinstalujte následující programy:
    • Agent zřizování Microsoft Entra Connect
    • Microsoft Entra Connect Agent Updater
    • Balíček agenta zřizování Microsoft Entra Connect

Otázky týkající se mapování a konfigurace atributů Workday to AD

Návody zálohovat nebo exportovat pracovní kopii mapování a schématu zřizovacího atributu Workday?

K exportu konfigurace zřizování uživatelů Workday můžete použít rozhraní Microsoft Graph API. Podrobnosti najdete v části Export a import konfigurace mapování atributů zřizování uživatelů workday.

Mám vlastní atributy v Workday a Active Directory. Návody nakonfigurovat řešení tak, aby fungovalo s vlastními atributy?

Řešení podporuje vlastní atributy Workday a Active Directory. Pokud chcete přidat vlastní atributy do schématu mapování, otevřete okno Mapování atributů a posuňte se dolů a rozbalte část Zobrazit upřesňující možnosti.

Snímek obrazovky se seznamem upravit atributy

Pokud chcete přidat vlastní atributy Workday, vyberte možnost Upravit seznam atributů pro Workday a přidejte vlastní atributy AD, vyberte možnost Upravit seznam atributů pro místní službu Active Directory.

Viz také:

Návody nakonfigurovat řešení tak, aby aktualizovalo pouze atributy v AD na základě změn Workday a nevytvořily žádné nové účty AD?

Tuto konfiguraci lze dosáhnout nastavením akcí cílového objektu v okně Mapování atributů, jak je znázorněno níže:

Snímek obrazovky s akcí Aktualizovat

Zaškrtněte políčko Aktualizovat pouze pro operace aktualizace, které se mají tokovat z Workday do AD.

Můžu zřídit fotku uživatele z Workday do Active Directory?

Řešení v současné době nepodporuje nastavení binárních atributů, jako jsou thumbnailPhoto a jpegPhoto ve službě Active Directory.

  • Přejděte do okna Zřizování vaší aplikace Workday Provisioning.

  • Klikněte na mapování atributů.

  • V části Mapování vyberte Synchronizovat pracovní procesy Workday s místní službou Active Directory (nebo synchronizovat pracovní procesy Workday s ID Microsoft Entra).

  • Na stránce Mapování atributů se posuňte dolů a zaškrtněte políčko Zobrazit rozšířené možnosti. Click on Edit attribute list for Workday

  • V okně, které se otevře, vyhledejte atribut Mobile a klikněte na řádek, abyste mohli upravit výraz rozhraní API.Snímek obrazovky s gdpr pro mobilní zařízení

  • Nahraďte výraz rozhraní API následujícím novým výrazem, který načte číslo pracovního mobilního zařízení pouze v případě, že je v Workday nastavená hodnota True (Pravda).

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • Uložte seznam atributů.

  • Uložte mapování atributů.

  • Vymažte aktuální stav a restartujte úplnou synchronizaci.

Návody formát zobrazovaných jmen v AD na základě atributů jednotlivých zemí nebo měst uživatele a zpracovávají regionální odchylky?

Je to běžný požadavek na konfiguraci atributu displayName v AD tak, aby také poskytoval informace o oddělení uživatele a zemi/oblasti. Pokud například John Smith pracuje v marketingovém oddělení v USA, můžete chtít, aby se jeho displayName zobrazoval jako Smith, John (Marketing-US).

Tady je postup, jak tyto požadavky na vytvoření CN nebo displayName zpracovat tak, aby zahrnovaly atributy, jako jsou společnost, obchodní jednotka, město nebo země/oblast.

  • Každý atribut Workday se načte pomocí základního výrazu rozhraní XPATH API, který je konfigurovatelný v mapování atributů –> Rozšířený oddíl –> Upravit seznam atributů pro Workday. Tady je výchozí výraz rozhraní XPATH API pro atributy Workday PreferredFirstName, PreferredLastName, Company a SupervisoryOrganization .

    Atribut Workday Výraz XPATH rozhraní API
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Společnost wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    Organizace dohledu wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Dohled']/wd:Organization_Name/text()

    Ověřte u svého týmu Workday, že výše uvedený výraz rozhraní API je platný pro konfiguraci tenanta Workday. V případě potřeby je můžete upravit podle popisu v části Přizpůsobení seznamu atributů uživatele Workday.

  • Podobně se informace o zemi/oblasti, které jsou přítomné v aplikaci Workday, načítají pomocí následujícího příkazu XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    V části seznamu atributů Workday je k dispozici 5 atributů souvisejících se zemí nebo oblastí.

    Atribut Workday Výraz XPATH rozhraní API
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Ověřte u svého týmu Workday, že výše uvedené výrazy rozhraní API jsou platné pro vaši konfiguraci tenanta Workday. V případě potřeby je můžete upravit podle popisu v části Přizpůsobení seznamu atributů uživatele Workday.

  • Pokud chcete vytvořit správný výraz mapování atributů, určete, který atribut Workday "autoritativně" představuje křestní jméno uživatele, příjmení, země/oblast a oddělení. Řekněme, že atributy jsou PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter a SupervisoryOrganization v uvedeném pořadí. Můžete ho použít k vytvoření výrazu atributu AD displayName následujícím způsobem, abyste získali zobrazovaný název, jako je Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    Jakmile máte správný výraz, upravte tabulku Mapování atributů a upravte mapování atributů displayName , jak je znázorněno níže: Snímek obrazovky s mapováním zobrazovaného názvu

  • Rozšířením výše uvedeného příkladu řekněme, že chcete převést názvy měst pocházející z Workday na zkrácené hodnoty a pak ho použít k sestavení zobrazovaných názvů, jako jsou Smith, John (CHI) nebo Doe, Jane (NYC), pak tento výsledek lze dosáhnout pomocí výrazu Switch s atributem Workday Municipality jako determinantní proměnnou.

    Switch
    (
      [Municipality],
      Join(", ", [PreferredLastName], [PreferredFirstName]),  
           "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
           "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
           "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    Viz také:

Jak můžu použít SelectUniqueValue k vygenerování jedinečných hodnot pro atribut samAccountName?

Řekněme, že chcete vygenerovat jedinečné hodnoty pro atribut samAccountName pomocí kombinace atributů FirstName a LastName z Workday. Níže je uveden výraz, se kterým můžete začít:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Jak výše uvedený výraz funguje: Pokud je uživatel John Smith, nejprve se pokusí vygenerovat JSmith, pokud JSmith již existuje, pak vygeneruje JoSmith, pokud existuje, vygeneruje JohSmith. Výraz také zajišťuje, že vygenerovaná hodnota splňuje omezení délky a speciální znaky omezení přidružené k samAccountName.

Viz také:

Návody odebrat znaky s diakritikou a převést je na normální anglické abecedy?

Pomocí funkce NormalizeDiacritics odeberte speciální znaky v křestním jménu a příjmení uživatele při vytváření e-mailové adresy nebo hodnoty CN pro uživatele.

Rady pro řešení potíží

Tato část obsahuje konkrétní pokyny k řešení potíží se zřizováním integrace workday s využitím protokolů zřizování Microsoft Entra a protokolů windows serveru Prohlížeč událostí. Vychází z obecných kroků a konceptů řešení potíží zachycených v kurzu: Vytváření sestav o automatickém zřizování uživatelských účtů.

Tato část se věnuje následujícím aspektům řešení potíží:

Konfigurace agenta zřizování pro generování protokolů Prohlížeč událostí

  1. Přihlaste se k počítači s Windows Serverem, na kterém je nasazen agent zřizování.

  2. Zastavte službu Microsoft Entra Connect Provisioning Agent.

  3. Vytvořte kopii původního konfiguračního souboru: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Nahraďte existující <system.diagnostics> oddíl následujícím kódem.

    • Konfigurace naslouchacího procesu vygeneruje zprávy do protokolů EventVieweru.
    • Konfigurace naslouchacího procesu textWriterListener odesílá trasovací zprávy do souboru ProvAgentTrace.log. Odkomentujte řádky související s textWriterListener pouze pro pokročilé řešení potíží.
      <system.diagnostics>
          <sources>
          <source name="AAD Connect Provisioning Agent">
              <listeners>
              <add name="console"/>
              <add name="etw"/>
              <!-- <add name="textWriterListener"/> -->
              </listeners>
          </source>
          </sources>
          <sharedListeners>
          <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
          <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
              <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
          </add>
          <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
          </sharedListeners>
      </system.diagnostics>
    
    
  5. Spusťte službu Microsoft Entra Connect Provisioning Agent.

Nastavení windows Prohlížeč událostí pro řešení potíží s agenty

  1. Přihlaste se k počítači s Windows Serverem, na kterém je nasazen agent zřizování

  2. Otevřete desktopovou aplikaci pro Windows Server Prohlížeč událostí.

  3. Vyberte aplikaci protokolů > systému Windows.

  4. Pomocí možnosti Filtrovat aktuální protokol... zobrazíte všechny události protokolované ve zdrojovém agentu zřizování Microsoft Entra Connect a vyloučíte události s ID události 5 zadáním filtru -5, jak je znázorněno níže.

    Poznámka:

    ID události 5 zaznamenává zprávy agenta bootstrap do cloudové služby Microsoft Entra, a proto ho filtrujeme při analýze souborů protokolu.

    Snímek obrazovky s Windows Prohlížeč událostí

  5. Klikněte na TLAČÍTKO OK a seřaďte zobrazení výsledků podle sloupce Datum a čas .

Nastavení protokolů zřizování centra pro správu Microsoft Entra pro řešení potíží se službami

  1. Spusťte Centrum pro správu Microsoft Entra a přejděte do části Zřizování vaší aplikace zřizování Workday.

  2. Pomocí tlačítka Sloupce na stránce Protokoly zřizování zobrazte v zobrazení pouze následující sloupce (Datum, Aktivita, Stav, Důvod stavu). Tato konfigurace zajišťuje, že se zaměříte pouze na data, která jsou relevantní pro řešení potíží.

    Snímek obrazovky se sloupci protokolu zřizování

  3. K filtrování zobrazení použijte parametry dotazu Cíl a Rozsah kalendářních dat.

    • Nastavte parametr cílového dotazu na ID pracovního procesu nebo ID zaměstnance pracovního objektu Workday.
    • Nastavte rozsah dat na odpovídající časové období, během kterého chcete zjistit chyby nebo problémy se zřizováním.

    Snímek obrazovky s filtry protokolu zřizování

Principy protokolů pro operace vytváření uživatelských účtů AD

Když se zjistí nový pronájem v aplikaci Workday (řekněme s ID zaměstnance 21023), pokusí se služba zřizování Microsoft Entra vytvořit pro pracovníka nový uživatelský účet AD a v procesu vytvoří 4 záznamy protokolu zřizování, jak je popsáno níže:

Snímek obrazovky s vytvářením operací vytváření protokolů zřizování

Když kliknete na některý ze záznamů protokolu zřizování, otevře se stránka Podrobnosti o aktivitě. Tady je stránka Podrobnosti o aktivitě zobrazená pro každý typ záznamu protokolu.

  • Záznam Import aplikace Workday: Tento záznam protokolu zobrazuje informace o pracovním procesu načtené z aplikace Workday. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s načítáním dat z Workday. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • Záznam importu služby AD: Tento záznam protokolu zobrazuje informace o účtu načteného z AD. Vzhledem k tomu, že během počátečního vytváření uživatele neexistuje žádný účet AD, důvod stavu aktivity indikuje, že se ve službě Active Directory nenašel žádný účet s odpovídající hodnotou atributu ID. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s načítáním dat z Workday. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    Pokud chcete najít záznamy protokolu agenta zřizování odpovídající této operaci importu služby AD, otevřete protokoly windows Prohlížeč událostí a pomocí možnosti nabídky Najít... vyhledejte položky protokolu obsahující hodnotu atributu Odpovídající ID/Spojování (v tomto případě 21023).

    Snímek obrazovky s možností Najít

    Vyhledejte položku s ID události = 9, která poskytuje vyhledávací filtr LDAP používaný agentem k načtení účtu AD. Můžete ověřit, jestli se jedná o správný vyhledávací filtr pro načtení jedinečných uživatelských položek.

    Záznam, který se za ním okamžitě řídí s ID události = 2 , zaznamená výsledek operace hledání a pokud vrátí nějaké výsledky.

  • Záznam akce synchronizačního pravidla: Tento záznam protokolu zobrazuje výsledky pravidel mapování atributů a nakonfigurované filtry oborů spolu s akcí zřizování, která se provede ke zpracování příchozí události Workday. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s akcí synchronizace. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object is added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    Pokud dojde k problémům s výrazy mapování atributů nebo příchozími daty Workday (například prázdná nebo null hodnota pro požadované atributy), pak v této fázi dojde k selhání s kódem ErrorCode, který poskytuje podrobnosti o selhání.

  • Záznam exportu služby AD: Tento záznam protokolu zobrazuje výsledek operace vytvoření účtu AD spolu s hodnotami atributů, které byly v procesu nastaveny. Informace v oddílu Další podrobnosti záznamu protokolu použijte k řešení problémů s operací vytvoření účtu. Níže je uveden příklad záznamu spolu s ukazateli, jak interpretovat jednotlivá pole. V části Další podrobnosti je vlastnost EventName nastavena na EntryExportAdd, "JoiningProperty" je nastavena na hodnotu atributu Odpovídající ID, SourceAnchor je nastavena na WorkdayID (WID) přidružené k záznamu a TargetAnchor je nastaven na hodnotu atributu AD "ObjectGuid" nově vytvořeného uživatele.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object is created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
    

    Pokud chcete najít záznamy protokolu agenta zřizování odpovídající této operaci exportu AD, otevřete protokoly windows Prohlížeč událostí a pomocí možnosti nabídky Najít... vyhledejte položky protokolu obsahující hodnotu atributu Odpovídající ID/Připojení (v tomto případě 21023).

    Vyhledejte záznam HTTP POST odpovídající časovému razítku operace exportu s ID události = 2. Tento záznam obsahuje hodnoty atributů odeslané službou zřizování agentovi zřizování.

    Snímek obrazovky znázorňující záznam HTTP POST v protokolu Provisioning Agent

    Bezprostředně po výše uvedené události by měla existovat další událost, která zachycuje odpověď operace vytvoření účtu AD. Tato událost vrátí novou objectGuid vytvořenou v AD a je nastavena jako atribut TargetAnchor ve službě zřizování.

    Snímek obrazovky zobrazující protokol Provisioning Agent se zvýrazněným objektem ObjectGuid vytvořeným v AD

Principy protokolů pro operace aktualizace správce

Atribut správce je referenční atribut ve službě AD. Služba zřizování nenastaví atribut správce jako součást operace vytvoření uživatele. Atribut správce je nastaven jako součást operace aktualizace po vytvoření účtu AD pro uživatele. Rozšířením výše uvedeného příkladu řekněme, že se v Workday aktivuje nový pronájem s ID zaměstnance 21451 a manažer nového zaměstnance (21023) už má účet AD. V tomto scénáři se v protokolech zřizování pro uživatele 21451 zobrazí 5 položek.

Snímek obrazovky s aktualizací Správce

Prvních 4 záznamů se podobá těm, které jsme prozkoumali jako součást operace vytvoření uživatele. 5. záznam je export přidružený k aktualizaci atributů správce. Záznam protokolu zobrazí výsledek operace aktualizace správce účtů AD, která se provádí pomocí atributu objectGuid správce.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Řešení běžně zjištěných chyb

Tato část se věnuje běžným chybám při zřizování uživatelů Workday a jeho řešení. Chyby jsou seskupeny následujícím způsobem:

Chyby agenta zřizování

# Chybový scénář Pravděpodobné příčiny Doporučené řešení
1. Při instalaci agenta zřizování s chybovou zprávou: Služba Microsoft Entra Connect Provisioning Agent (AADConnectProvisioningAgent) se nepodařilo spustit. Ověřte, že máte dostatečná oprávnění ke spuštění systému. Tato chyba se obvykle zobrazí, pokud se pokoušíte nainstalovat agenta zřizování na řadič domény a zásady skupiny brání spuštění služby. Je také vidět, jestli máte spuštěnou předchozí verzi agenta a ještě jste ji neodinstalovali před zahájením nové instalace. Nainstalujte agenta zřizování na server bez řadiče domény. Před instalací nového agenta se ujistěte, že se odinstalují předchozí verze agenta.
2. Služba Systému Windows Microsoft Entra Connect Provisioning Agent je ve stavu Spuštění a nepřepne do stavu Spuštěno . V rámci instalace průvodce agentem na serveru vytvoří místní účet (NT Service\AADConnectProvisioningAgent) a jedná se o přihlašovací účet používaný ke spuštění služby. Pokud zásady zabezpečení na vašem windows serveru brání místním účtům ve spouštění služeb, dojde k této chybě. Otevřete konzolu Služby. Klikněte pravým tlačítkem na službu Systému Windows Microsoft Entra Connect Provisioning Agent a na přihlašovací kartě zadejte účet správce domény, který má službu spustit. Restartujte službu.
3. Při konfiguraci agenta zřizování s vaší doménou AD v kroku Connect Active Directory trvá průvodce dlouhou dobu, než se pokusí načíst schéma AD a nakonec vyprší časový limit. K této chybě obvykle dojde v případě, že se průvodce kvůli problémům s bránou firewall nemůže spojit se serverem řadiče domény AD. Na obrazovce Průvodce připojením služby Active Directory při zadávání přihlašovacích údajů pro vaši doménu AD existuje možnost s názvem Vybrat prioritu řadiče domény. Pomocí této možnosti vyberte řadič domény, který je ve stejné lokalitě jako server agenta, a ujistěte se, že komunikace neblokují žádná pravidla brány firewall.

Chyby připojení

Pokud se služba zřizování nemůže připojit k aplikaci Workday nebo Active Directory, může dojít k tomu, že zřizování přejde do stavu karantény. Při řešení potíží s připojením použijte následující tabulku.

# Chybový scénář Pravděpodobné příčiny Doporučené řešení
1. Když kliknete na test připojení, zobrazí se chybová zpráva: Při připojování ke službě Active Directory došlo k chybě. Ujistěte se, že je spuštěný místní agent zřizování a že je nakonfigurovaný se správnou doménou služby Active Directory. Tato chyba se obvykle zobrazuje v případě, že agent zřizování není spuštěný nebo blokuje komunikaci brány firewall mezi MICROSOFT Entra ID a agentem zřizování. Tato chyba se může zobrazit také v případě, že doména není nakonfigurována v Průvodci agentem. Otevřete konzolu Služby na serveru s Windows a ověřte, že je agent spuštěný. Otevřete průvodce agentem zřizování a ověřte, že je u agenta zaregistrovaná správná doména.
2. Úloha zřizování během víkendů přejde do stavu karantény (Pá–Sat) a obdržíme e-mailové oznámení o chybě se synchronizací. Jednou z běžných příčin této chyby je plánovaná údržba aplikace Workday. Pokud používáte tenanta implementace Workday, mějte na paměti, že workday má naplánovaný čas pro své implementace tenanty o víkendech (obvykle od pátečního večera do sobotního rána) a během tohoto období můžou aplikace zřizování Workday přejít do stavu karantény, protože se nemůže připojit k Workday. Jakmile bude tenant implementace Workday opět online, vrátí se zpět do normálního stavu. Ve výjimečných případech k této chybě může dojít také v případě, že se kvůli aktualizaci tenanta změní heslo uživatele systému integrace nebo pokud dojde k uzamčení nebo vypršení platnosti účtu. Zjistěte od svého správce Workday nebo partnera pro integraci období plánovaných výpadků Workday, abyste během výpadků mohli ignorovat upozornění a zkontrolovat dostupnost, jakmile bude instance Workday opět online.

Chyby při vytváření uživatelských účtů AD

# Chybový scénář Pravděpodobné příčiny Doporučené řešení
1. Selhání operace exportu v protokolu zřizování se zprávou Chyba: OperationsError-SvcErr: Došlo k chybě operace. Pro adresářovou službu nebyl nakonfigurován žádný nadřazený odkaz. Adresářová služba proto nemůže vydávat odkazy na objekty mimo tuto doménovou strukturu. Tato chyba se obvykle zobrazuje, pokud organizační jednotce kontejneru služby Active Directory není správně nastavená nebo pokud dochází k problémům s mapováním výrazů používaným pro parentDistinguishedName. Zkontrolujte, jestli parametr OU kontejneru služby Active Directory neobsahuje překlepy. Pokud v mapování atributů používáte parentDistinguishedName , ujistěte se, že se vždy vyhodnotí jako známý kontejner v rámci domény AD. Zkontrolujte událost exportu v protokolech zřizování a podívejte se na vygenerovanou hodnotu.
2. Selhání operace exportu v protokolu zřizování s kódem chyby: SystemForCrossDomainIdentityManagementBadResponse a zpráva Chyba: ConstraintViolation-AtrErr: Hodnota v požadavku je neplatná. Hodnota atributu nebyla v přijatelném rozsahu hodnot. \n Podrobnosti chyby: CONSTRAINT_ATT_TYPE - společnost. I když je tato chyba specifická pro atribut společnosti , může se tato chyba zobrazit i u jiných atributů, jako je CN . Tato chyba se zobrazí kvůli omezení schématu vynucené službou AD. Ve výchozím nastavení mají atributy jako společnost a CN v AD horní limit 64 znaků. Pokud je hodnota z Workday větší než 64 znaků, zobrazí se tato chybová zpráva. Zkontrolujte událost exportu v protokolech zřizování a podívejte se na hodnotu atributu hlášeného v chybové zprávě. Zvažte zkrácení hodnoty pocházející z Workday pomocí funkce Mid nebo změnu mapování na atribut AD, který nemá podobná omezení délky.

Chyby aktualizace uživatelského účtu AD

Během procesu aktualizace uživatelského účtu AD načte služba zřizování informace z Workday i AD, spustí pravidla mapování atributů a určí, jestli se nějaká změna projeví. Odpovídajícím způsobem se aktivuje událost aktualizace. Pokud některý z těchto kroků dojde k selhání, zaprotokoluje se do protokolů zřizování. Při řešení běžných chyb aktualizací použijte následující tabulku.

# Chybový scénář Pravděpodobné příčiny Doporučené řešení
1. Selhání akce synchronizačního pravidla v protokolu zřizování se zprávou EventName = EntrySynchronizationError a ErrorCode = EndpointUnavailable Tato chyba se zobrazí, pokud služba zřizování nemůže načíst data profilů uživatelů ze služby Active Directory kvůli chybě zpracování, ke které došlo u místního agenta zřizování. Zkontrolujte, jestli agent zřizování Prohlížeč událostí protokoly chybových událostí, které indikují problémy s operací čtení (filtrovat podle ID události č. 2).
2. Atribut správce ve službě AD se neaktualizuje pro určité uživatele v AD. Nejpravděpodobnější příčinou této chyby je, že používáte pravidla oborů a správce uživatele není součástí oboru. K tomuto problému může dojít také v případě, že v cílové doméně AD není nalezen odpovídající atribut ID manažera (například EmployeeID) nebo není nastaven na správnou hodnotu. Zkontrolujte filtr oborů a přidejte uživatele manažera v oboru. Zkontrolujte profil správce ve službě AD a ujistěte se, že existuje hodnota pro odpovídající atribut ID.

Správa konfigurace

Tato část popisuje, jak můžete dále rozšířit, přizpůsobit a spravovat konfiguraci zřizování uživatelů řízenou aplikací Workday. Zabývá se následujícími tématy:

Přizpůsobení seznamu atributů uživatele Workday

Aplikace pro zřizování Workday pro Active Directory i Id Microsoft Entra obsahují výchozí seznam atributů uživatele Workday, ze které si můžete vybrat. Tyto seznamy ale nejsou komplexní. Workday podporuje mnoho stovek možných atributů uživatelů, které můžou být standardní nebo jedinečné pro vašeho tenanta Workday.

Služba zřizování Microsoft Entra podporuje možnost přizpůsobit seznam nebo atribut Workday tak, aby zahrnoval všechny atributy zveřejněné v Get_Workers operace rozhraní API pro lidské zdroje.

Chcete-li provést tuto změnu, musíte pomocí aplikace Workday Studio extrahovat výrazy XPath, které představují atributy, které chcete použít, a pak je přidat do konfigurace zřizování pomocí rozšířeného editoru atributů.

Načtení výrazu XPath pro atribut uživatele Workday:

  1. Stáhněte a nainstalujte Workday Studio. Pro přístup k instalačnímu programu potřebujete účet komunity Workday.

  2. Stáhněte si soubor Workday Human_Resources WSDL specifický pro verzi rozhraní WWS API, kterou plánujete použít z adresáře webových služeb Workday.

  3. Spusťte Workday Studio.

  4. Na panelu příkazů vyberte webovou službu Workday > Test v nástroji Tester .

  5. Vyberte Externí a vyberte Human_Resources soubor WSDL, který jste stáhli v kroku 2.

    Snímek obrazovky znázorňující soubor

  6. Nastavte pole Umístění na https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resourceshodnotu , ale nahraďte "IMPL-CC" skutečným typem instance a "TENANT" názvem skutečného tenanta.

  7. Nastavit operaci na Get_Workers

  8. Klikněte na malý odkaz konfigurace pod podokny Žádosti a odpovědi a nastavte své přihlašovací údaje workday. Zkontrolujte ověřování a zadejte uživatelské jméno a heslo pro účet systému integrace Workday. Nezapomeňte uživatelské jméno naformátovat jako name@tenant a nechte vybranou možnost WS-Security UsernameToken . Snímek obrazovky znázorňující kartu Zabezpečení se zadaným uživatelským jménem a heslem a vybraným tokenem uživatelského jména WS-Security

  9. Vyberte OK.

  10. V podokně Požadavek vložte níže uvedený kód XML. Nastavte Employee_ID na ID zaměstnance skutečného uživatele v tenantovi Workday. Nastavte wd:version na verzi WWS, kterou plánujete použít. Vyberte uživatele s vyplněným atributem, který chcete extrahovat.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. Kliknutím na odeslat požadavek (zelená šipka) spusťte příkaz. V případě úspěchu by se odpověď měla zobrazit v podokně Odpovědi . Zkontrolujte odpověď a ujistěte se, že obsahuje data id uživatele, které jste zadali, a ne chybu.

  12. V případě úspěchu zkopírujte XML z podokna Odpovědi a uložte ho jako soubor XML.

  13. Na panelu příkazů aplikace Workday Studio vyberte Soubor > otevřít soubor... a otevřete soubor XML, který jste uložili. Tato akce otevře soubor v editoru XML aplikace Workday Studio.

    Snímek obrazovky s otevřeným souborem X M L v editoru Workday Studio X M L

  14. Ve stromu souborů procházejte příkazem /env: Obálka > env: Základní text > wd:Get_Workers_Response > wd:Response_Data > wd: Worker a vyhledejte data uživatele.

  15. V části wd: Worker vyhledejte atribut, který chcete přidat, a vyberte ho.

  16. Zkopírujte výraz XPath pro vybraný atribut z pole Cesta k dokumentu.

  17. Odeberte předponu /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ zkopírovaného výrazu.

  18. Pokud poslední položkou ve zkopírovaném výrazu je uzel (příklad: "/wd: Birth_Date"), připojte na konec výrazu /text(). To není nutné, pokud poslední položka je atribut (příklad: "/@wd: type").

  19. Výsledek by měl být něco jako wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Tato hodnota je to, co zkopírujete a zadáte do Centra pro správu Microsoft Entra.

Přidání vlastního atributu uživatele Workday do konfigurace zřizování:

  1. Spusťte Centrum pro správu Microsoft Entra a přejděte do části Zřizování vaší aplikace zřizování Workday, jak je popsáno výše v tomto kurzu.

  2. Nastavte stav zřizování na vypnuto a vyberte Uložit. Tento krok pomáhá zajistit, aby se změny projevily jenom v případě, že jste připraveni.

  3. V části Mapování vyberte Synchronizovat pracovní procesy Workday s místní službou Active Directory (nebo synchronizovat pracovní procesy Workday s ID Microsoft Entra).

  4. Posuňte se do dolní části další obrazovky a vyberte Zobrazit upřesňující možnosti.

  5. Vyberte Upravit seznam atributů pro Workday.

  6. Posuňte se do dolní části seznamu atributů na místo, kde jsou vstupní pole.

  7. Do pole Název zadejte zobrazovaný název atributu.

  8. Jako typ vyberte typ, který odpovídajícím způsobem odpovídá vašemu atributu (řetězec je nejběžnější).

  9. Jako výraz rozhraní API zadejte výraz XPath, který jste zkopírovali z aplikace Workday Studio. Příklad: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Vyberte Přidat atribut.

    Snímek obrazovky aplikace Workday Studio

  11. Vyberte Uložit výše a potom na dialogové okno Ano. Zavřete obrazovku Mapování atributů, pokud je stále otevřená.

  12. Zpátky na hlavní kartě Zřizování znovu vyberte Synchronizovat pracovní procesy Workday s místní službou Active Directory (nebo synchronizovat pracovní procesy s ID Microsoft Entra).

  13. Vyberte Přidat nové mapování.

  14. Nový atribut by se teď měl zobrazit v seznamu zdrojových atributů .

  15. Podle potřeby přidejte mapování nového atributu.

  16. Po dokončení nezapomeňte nastavit stav zřizování zpět na Zapnuto a uložit.

Export a import vaší konfigurace

Projděte si článek Export a import konfigurace zřizování.

Správa osobních údajů

Řešení zřizování Workday pro Active Directory vyžaduje instalaci agenta zřizování na místním serveru s Windows a tento agent vytvoří protokoly v protokolu událostí systému Windows, který může obsahovat osobní údaje v závislosti na mapování atributů ad v Workday. Pokud chcete dodržovat povinnosti týkající se ochrany osobních údajů uživatelů, můžete zajistit, aby se v protokolech událostí po dobu delší než 48 hodin nezůsahovala žádná data, a to tak, že nastavíte naplánovanou úlohu Windows, která vymaže protokol událostí.

Služba zřizování Microsoft Entra spadá do kategorie zpracovatele údajů klasifikace GDPR. Jako kanál zpracovatele dat poskytuje služba zpracování dat klíčovým partnerům a koncovým uživatelům služby pro zpracování dat. Služba zřizování Microsoft Entra negeneruje uživatelská data a nemá žádnou nezávislou kontrolu nad tím, jaké osobní údaje se shromažďují a jak se používají. Načítání dat, agregace, analýza a generování sestav ve službě Zřizování Microsoft Entra jsou založená na existujících podnikových datech.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v pokynech společnosti Microsoft k žádostem subjektů údajů windows na web GDPR . Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Pokud jde o uchovávání dat, služba zřizování Microsoft Entra negeneruje sestavy, provádí analýzy ani neposkytuje přehledy za 30 dnů. Služba zřizování Microsoft Entra proto neukládá, zpracovává ani neuchovává žádná data za 30 dnů. Tento návrh vyhovuje předpisům GDPR, předpisům microsoftu pro dodržování předpisů o ochraně osobních údajů a zásadám uchovávání dat Microsoft Entra.

Další kroky