Delen via

Configureren van Workday-gebruikersvoorzieningen voor Microsoft Entra

  • Artikel

Het doel van dit artikel is om de stappen weer te geven die u moet uitvoeren om werkrolgegevens van Workday in te richten in Microsoft Entra-id.

Notitie

Gebruik dit artikel als de gebruikers die u wilt inrichten vanuit Workday alleen cloudgebruikers zijn die geen on-premises AD-account nodig hebben. Als de gebruikers alleen een on-premises AD-account of zowel een AD- als een Microsoft Entra-account nodig hebben, raadpleegt u het artikel over Workday configureren voor Active Directory gebruikersinrichting.

In de volgende video vindt u een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met Workday.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met de Workday Human Resources-API om gebruikersaccounts in te richten. De werkstromen voor gebruikersinrichting van Workday die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers, maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze oplossing voor het inrichten van gebruikers van Workday naar Microsoft Entra is ideaal voor:

  • Organisaties die behoefte hebben aan een vooraf ontwikkelde, cloudoplossing voor het inrichten van gebruikers met Workday

  • Organisaties die directe gebruikersprovisioning van Workday naar Microsoft Entra ID vereisen

  • Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen door Workday

  • Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur voor de oplossing

In deze sectie wordt de end-to-end-architectuur voor gebruikersinrichting voor uitsluitend cloudgebruikers beschreven. Er zijn twee gerelateerde stromen:

  • Gezaghebbende HR-gegevensstroom: van Workday naar Microsoft Entra-id: In deze stroom worden werkrolgebeurtenissen (zoals nieuwe medewerkers, overdrachten, beëindigingen) eerst uitgevoerd in Workday en vervolgens stromen de gebeurtenisgegevens naar Microsoft Entra-id. Afhankelijk van de gebeurtenis kan dit leiden tot het maken/bijwerken/inschakelen/uitschakelen van bewerkingen in Microsoft Entra-id.

  • Writeback-stroom: van on-premises Active Directory naar Workday: zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra ID via Microsoft Entra Connect en kunnen gegevens, zoals e-mail, gebruikersnaam en telefoonnummer, worden teruggeschreven naar Workday.

    Conceptueel diagram voor de inrichten van Workday

End-to-end gegevensstroom van gebruikers

  1. Het HR-team voert werknemerstransacties (instromers/verplaatsers/uitstromers of nieuw aangenomen/overgeplaatst/ontslagen) uit in Workday Employee Central
  2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit Workday EC uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
  3. De Microsoft Entra-inrichtingsservice bepaalt de wijziging en voert de aanmaak-, update-, inschakel- of uitschakelbewerkingen uit voor de gebruiker in Microsoft Entra-identificatie.
  4. Als de Workday Writeback-app is geconfigureerd, worden kenmerken opgehaald, zoals e-mail, gebruikersnaam en telefoonnummer van Microsoft Entra-id.
  5. De Microsoft Entra-inrichtingsservice stelt e-mail, gebruikersnaam en telefoonnummer in Workday in.

Uw implementatie plannen

Voor het configureren van Cloud-HR-gestuurde gebruikersvoorziening van Workday naar Microsoft Entra ID is een aanzienlijke planning vereist, voor diverse aspecten zoals:

  • De overeenkomende id bepalen
  • Kenmerktoewijzing
  • Kenmerktransformatie
  • Bereikfilters

Raadpleeg het Implementatieplan voor Cloud HR voor uitgebreide richtlijnen rond deze onderwerpen.

Integratiesysteemgebruiker configureren in Workday

Raadpleeg de sectie Gebruikers van een integratiesysteem configureren voor het maken van een gebruikersaccount voor een Workday-integratiesysteem met machtigingen voor het ophalen van gegevens van werknemergegevens.

Gebruikersinrichting configureren van Workday naar Microsoft Entra-id

In de volgende secties worden de stappen beschreven voor het configureren van gebruikersinrichting van Workday naar Microsoft Entra ID voor implementaties in de cloud.

Deel 1: De Microsoft Entra provisioning-connector-app toevoegen en de verbinding met Workday maken

Workday configureren voor Microsoft Entra-inrichting voor uitsluitend cloud-gebruikers:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

  2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.

  3. Zoek naar de app 'Workday to Microsoft Entra user provisioning' en voeg deze toe uit de galerij.

  4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

  5. Stel de Voorzieningsmodus in op Automatisch.

  6. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

    • Gebruikersnaam voor Workday: Voer de gebruikersnaam van het account voor het Workday-integratiesysteem in, waarbij de domeinnaam van de tenant is toegevoegd. Moet er ongeveer als volgt uitzien: username@contoso4

    • Wachtwoord voor Workday: voer het wachtwoord van het account voor het Workday-integratiesysteem in

    • API-URL van Workday-webservices: Geef de URL naar het eindpunt van Workday-webservices voor uw tenant op. De URL bepaalt de versie van de Workday-webservices-API die door de connector wordt gebruikt.

      URL-indeling Gebruikte versie van WWS-API XPATH-wijzigingen vereist
      https://####.workday.com/ccx/service/tenantName v21.1 Nee
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Nee
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Ja

      Notitie

      Als er geen versiegegevens zijn opgegeven in de URL, gebruikt de app Workday-webservices (WWS) v21.1. Er zijn dan geen wijzigingen vereist voor de standaard API-expressies van XPATH die worden geleverd bij de app. Als u een specifieke WWS API-versie wilt gebruiken, geeft u versienummer op in de URL
      Voorbeeld: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Als u een WWS-API v30.0+ gebruikt voordat u de inrichtingstaak inschakelt, werkt u de XPATH API-expressies bij onder die verwijst naar de sectie >- en >.

    • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

    • Klik op de knop Verbinding testen.

    • Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de verbindingstest mislukt, controleert u of de Workday-URL en -referenties geldig zijn in Workday.

Deel 2: Kenmerktoewijzingen voor Workday en Microsoft Entra configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van Workday naar Microsoft Entra ID voor gebruikers in de cloud.

  1. Klik op het tabblad Inrichten onder Toewijzingen op Werknemers synchroniseren met Microsoft Entra-id.

  2. In het veld Bereik van bronobject kunt u selecteren welke sets gebruikers in Workday binnen het bereik van inrichting voor Microsoft Entra-id moeten vallen door een set op kenmerken gebaseerde filters te definiëren. Het standaardbereik is 'alle gebruikers in Workday'. Voorbeelden van filters:

    • Voorbeeld: Beperk tot gebruikers met werknemer-ID's tussen 1000000 en 2000000

      • Kenmerk: WorkerID

      • Operator: REGEX-overeenkomst

      • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Voorbeeld: Alleen tijdelijke werknemers en niet gewone werknemers

      • Kenmerk: ContingentID

      • Operator: IS NIET NULL

  3. In het veld Doelobjectacties kunt u globaal filteren welke acties worden uitgevoerd op Microsoft Entra-id. Maken en Bijwerken worden het meest gebruikt.

  4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van Workday worden toegewezen aan kenmerken van Active Directory.

  5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

    • Lederingstype

      • Direct: de waarde van het Workday-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

      • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

      • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer Workday-kenmerken. Zie voor meer informatie dit artikel over expressies.

    • Bronkenmerk: het gebruikerskenmerk uit Workday. Als het kenmerk dat u zoekt niet aanwezig is, zie De lijst met gebruikerskenmerken van Workday aanpassen.

    • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, zal de toewijzing deze lege waarde in plaats daarvan opslaan. De meest voorkomende configuratie is om dit leeg te laten.

    • Doelkenmerk: het gebruikerskenmerk in Microsoft Entra-id.

    • Objecten vergelijken met dit kenmerk : of dit kenmerk al dan niet moet worden gebruikt om gebruikers uniek te identificeren tussen Workday en Microsoft Entra ID. Deze waarde wordt doorgaans ingesteld op het veld Medewerker-id voor Workday, dat meestal is toegewezen aan het kenmerk Werknemer-ID (nieuw) of een extensiekenmerk in Microsoft Entra ID.

    • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden ze geëvalueerd in de volgorde die door dit veld is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

    • Deze mapping toepassen

      • Altijd – Pas deze toewijzing toe bij zowel gebruikerscreatie als -bijwerking.

      • Alleen tijdens het aanmaken: u kunt deze toewijzing alleen toepassen bij het aanmaken van gebruikers

  6. Als u uw toewijzingen wilt opslaan, klikt u op Opslaan aan de bovenzijde van de sectie 'Kenmerktoewijzing'.

Gebruikersvoorziening inschakelen en uitvoeren

Zodra de configuraties van de Workday-inrichtingsapp zijn voltooid, kunt u de inrichtingsservice inschakelen.

Tip

Wanneer u standaard de inrichtingsservice inschakelt, worden inrichtingsbewerkingen gestart voor alle gebruikers binnen het toepassingsgebied. Als er fouten zijn in de toewijzing of problemen met de Workday-gegevens, kan de voorzieningstaak mislukken en in quarantaine terechtkomen. Om dit te voorkomen, raden we u als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten voor u opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

  1. Stel op het tabblad Inrichten de optie Inrichtingsstatus in op Aan.

  2. Klik op Opslaan.

  3. Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de Workday-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

  4. Controleer op elk gewenst moment het tabblad Inrichten in het Microsoft Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers worden gelezen uit Workday en vervolgens worden toegevoegd of bijgewerkt naar Microsoft Entra-id.

  5. Zodra de eerste synchronisatie is voltooid, wordt er een rapport met een overzicht van de controle weergegeven op het tabblad Inrichten, zoals u hieronder kunt zien.

    Schermopname van de voortgangsbalk van de voorziening

Verwante inhoud