Udostępnij za pośrednictwem

Integracja Microsoft Entra SSO z aplikacją Kronos Workforce Dimensions

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować rozwiązania Kronos Workforce Dimensions z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Kronos Workforce Dimensions z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Kronos Workforce Dimensions.
  • Umożliwianie użytkownikom automatycznego logowania do aplikacji Kronos Workforce Dimensions przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji Kronos Workforce Dimensions z obsługą logowania jednokrotnego.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

  • Aplikacja Kronos Workforce Dimensions obsługuje SSO inicjowane przez SP.

Aby skonfigurować integrację aplikacji Kronos Workforce Dimensions z identyfikatorem Entra firmy Microsoft, należy dodać aplikację Kronos Workforce Dimensions z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do tożsamości>aplikacji>aplikacji dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz Kronos Workforce Dimensions w polu wyszukiwania.
  4. Wybierz pozycję Kronos Workforce Dimensions z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, aż aplikacja zostanie dodana do twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego dzierżawcy, dodać użytkowników i grupy do aplikacji, przypisać role, a także przejść przez konfigurację jednokrotnego logowania (SSO). Dowiedz się więcej o asystentach Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego Microsoft Entra dla Kronos Workforce Dimensions

Skonfiguruj i przetestuj Microsoft Entra SSO z aplikacją Kronos Workforce Dimensions przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a odpowiednim użytkownikiem w Kronos Workforce Dimensions.

Aby skonfigurować i przetestować Microsoft Entra SSO z aplikacją Kronos Workforce Dimensions, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego usługi Microsoft Entra — aby przetestować jednokrotne logowanie usługi Microsoft Entra z B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania Microsoft Entra.
  2. Konfiguracja SSO dla Kronos Workforce Dimensions — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego w Kronos Workforce Dimensions – aby mieć odpowiednik użytkownika B.Simon w Kronos Workforce Dimensions, który jest powiązany z reprezentacją użytkownika w Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Skonfiguruj Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Tożsamość>Aplikacje>Aplikacje korporacyjne>Kronos Workforce Dimensions>Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka dla Podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

    Zrzut ekranu przedstawiający sposób edytowania podstawowej konfiguracji protokołu SAML.

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://<SUBDOMAIN>.<ENVIRONMENT>.mykronos.com/authn/<TENANT_ID/hsp/<TENANT_NUMBER>

    b. W polu tekstowym Adres URL logowania wpisz adres URL , używając jednego z następujących wzorców:

    Adres URL logowania
    https://<CUSTOMER>-<ENVIRONMENT>-sso.<ENVIRONMENT>.mykronos.com/
    https://<CUSTOMER>-sso.<ENVIRONMENT>.mykronos.com/

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Kronos Workforce Dimensions, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML, w sekcji Certyfikat podpisywania SAML, kliknij przycisk kopiowania, aby skopiować adres URL metadanych federacji aplikacji i zapisać go na komputerze.

    Zrzut ekranu przedstawia link pobierania certyfikatu.

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wpisz B.Simon.
    2. W polu Nazwa główna użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Password.
    4. Wybierz Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do usługi Salesforce.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw. Wybierz aplikację z listy aplikacji.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie wybierz przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę. Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W dialogu Dodaj zadanie wybierz przycisk Przypisz.

Konfiguracja SSO dla Kronos Workforce Dimensions

Aby skonfigurować jednorazowe logowanie (SSO) w aplikacji Kronos Workforce Dimensions, musisz wysłać URL metadanych federacyjnych do zespołu pomocy technicznej Kronos Workforce Dimensions. Ustawiają to ustawienie tak, aby połączenie SAML SSO było skonfigurowane właściwie z obu stron.

Tworzenie użytkownika testowego aplikacji Kronos Workforce Dimensions

W tej sekcji utworzysz użytkownika Britta Simon w aplikacji Kronos Workforce Dimensions. We współpracy z zespołem pomocy technicznej Kronos Workforce Dimensions dodaj użytkowników na platformie Kronos Workforce Dimensions. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Uwaga

Oryginalna dokumentacja firmy Microsoft zaleca skontaktowanie się z pomocą techniczną UKG za pośrednictwem poczty e-mail w celu utworzenia użytkowników firmy Microsoft Entra. Chociaż ta opcja jest dostępna, rozważ następujące opcje samoobsługi.

Proces ręczny

Istnieją dwa sposoby ręcznego tworzenia użytkowników usługi Microsoft Entra w usłudze WFD. Możesz wybrać istniejącego użytkownika, zduplikować go, a następnie zaktualizować wymagane pola, aby ten użytkownik był unikatowy. Ten proces może być czasochłonny i wymaga znajomości interfejsu użytkownika usługi WFD. Alternatywą jest utworzenie użytkownika za pośrednictwem interfejsu API usługi WFD, który jest znacznie szybszy. Ta opcja wymaga umiejętności korzystania z narzędzi API, takich jak Postman, aby zamiast tego wysłać żądanie do interfejsu API. Poniższe instrukcje ułatwią importowanie wstępnie utworzonego przykładu do narzędzia interfejsu API Postman.

Ustawienia

  1. Otwórz narzędzie Postman i zaimportuj następujące pliki:

    a. Workforce Dimensions — Utwórz użytkownika.postman_collection.json

    b. Microsoft Entra ID to WFD Env Variables.json

  2. W okienku po lewej stronie wybierz przycisk Środowiska .

  3. Kliknij AAD_to_WFD_Env_Variables i dodaj wartości podane przez pomoc techniczną UKG związane z Twoją instancją usługi WFD.

    Uwaga

    access_token i refresh_token powinny być puste, ponieważ zostaną one automatycznie wypełnione w wyniku żądania HTTP uzyskiwania tokenu dostępu.

  4. Otwórz Create Microsoft Entra user in WFD HTTP Request i zaktualizuj wyróżnione właściwości w ładunku JSON.

    { 

"personInformation": { 

   "accessAssignment": { 

      "accessProfileName": "accessProfileName", 

      "notificationProfileName": "All" 

    }, 

    "emailAddresses": [ 

      { 

        "address": "address” 

        "contactTypeName": "Work" 

      } 

    ], 

    "employmentStatusList": [ 

      { 

        "effectiveDate": "2019-08-15", 

        "employmentStatusName": "Active", 

        "expirationDate": "3000-01-01" 

      } 

    ], 

    "person": { 

      "personNumber": "personNumber", 

      "firstName": "firstName", 

      "lastName": "lastName", 

      "fullName": "fullName", 

      "hireDate": "2019-08-15", 

      "shortName": "shortName" 

    }, 

    "personAuthenticationTypes": [ 

      { 

        "activeFlag": true, 

        "authenticationTypeName": "Federated" 

      } 

    ], 

    "personLicenseTypes": [ 

      { 

        "activeFlag": true, 

        "licenseTypeName": "Employee" 

      }, 

      { 

        "activeFlag": true, 

        "licenseTypeName": "Absence" 

      }, 

      { 

        "activeFlag": true, 

        "licenseTypeName": "Hourly Timekeeping" 

      }, 

      { 

        "activeFlag": true, 

        "licenseTypeName": "Scheduling" 

      } 

    ], 

    "userAccountStatusList": [ 

      { 

        "effectiveDate": "2019-08-15", 

        "expirationDate": "3000-01-01", 

        "userAccountStatusName": "Active" 

      } 

    ] 

  }, 

  "jobAssignment": { 

    "baseWageRates": [ 

      { 

        "effectiveDate": "2019-01-01", 

        "expirationDate": "3000-01-01", 

        "hourlyRate": 20.15 

      } 

    ], 

    "jobAssignmentDetails": { 

      "payRuleName": "payRuleName", 

      "timeZoneName": "timeZoneName" 

    }, 

    "primaryLaborAccounts": [ 

      { 

        "effectiveDate": "2019-08-15", 

        "expirationDate": "3000-01-01", 

        "organizationPath": "organizationPath" 

      } 

    ] 

  }, 

  "user": { 

    "userAccount": { 

      "logonProfileName": "Default", 

      "userName": "userName" 

    } 

  } 

}

    Uwaga

    PersonInformation.emailAddress.address i user.userAccount.userName muszą być zgodne z docelowym użytkownikiem usługi Microsoft Entra, który próbujesz utworzyć w usłudze WFD.

  5. W prawym górnym rogu wybierz listę rozwijaną 'Środowiska' i wybierz pozycję AAD_to_WFD_Env_Variables.

  6. Po zaktualizowaniu ładunku JSON i wybraniu poprawnych zmiennych środowiskowych wybierz żądanie HTTP uzyskiwania tokenudostępu i kliknij przycisk Wyślij . Spowoduje to wykorzystanie zaktualizowanych zmiennych środowiskowych do uwierzytelniania w wystąpieniu usługi WFD, a następnie przechowywanie tokenu dostępu w zmiennych środowiskowych do użycia przy wywoływaniu metody tworzenia użytkownika.

  7. Jeśli wywołanie uwierzytelniania zakończyło się pomyślnie, powinna zostać zwrócona odpowiedź 200 z tokenem dostępu. Ten token dostępu będzie teraz również wyświetlany w kolumnie CURRENT VALUE w zmiennych środowiskowych dla wpisu access_token.

    Uwaga

    Jeśli nie odebrano access_token, upewnij się, że wszystkie zmienne środowiskowe są poprawne. Poświadczenia użytkownika powinny być kontem superużytkownika.

  8. Po uzyskaniu access_token wybierz polecenie HTTP AAD_to_WFD_Env_Variables i kliknij przycisk Wyślij. Jeśli żądanie zakończy się pomyślnie, zostanie zwrócony stan HTTP 200.

  9. Zaloguj się do usługi WFD przy użyciu konta administratora i upewnij się, że nowy użytkownik firmy Microsoft Entra został utworzony w wystąpieniu usługi WFD.

Zautomatyzowany proces

Zautomatyzowany proces składa się z pliku płaskiego w formacie CSV, który umożliwia użytkownikowi wstępne określenie wyróżnionych wartości w ładunku danych z powyższego ręcznego procesu interfejsu API. Plik prosty jest używany przez towarzyszący skrypt programu PowerShell, który zbiorczo tworzy nowych użytkowników usługi WFD. Skrypt przetwarza tworzenie nowych użytkowników w grupach po 70 (wartość domyślna), co można skonfigurować, aby uzyskać optymalną wydajność. Poniższe instrukcje przeprowadzą proces konfigurowania i wykonywania skryptu.

  1. Zapisz pliki AAD_To_WFD.csv i AAD_To_WFD.ps1 lokalnie na komputerze.

  2. Otwórz plik AAD_To_WFD.csv i wypełnij kolumny.

    • personInformation.accessAssignment.accessProfileName: Specyficzna nazwa profilu dostępu z wystąpienia WFD.

    • personInformation.emailAddresses.address: musi być zgodna z główną nazwą użytkownika w identyfikatorze Entra firmy Microsoft.

    • personInformation.personNumber: musi być unikatowy w instancji WFD.

    • personInformation.firstName: imię użytkownika.

    • personInformation.lastName: nazwisko użytkownika.

    • jobAssignment.jobAssignmentDetails.payRuleName: konkretna nazwa reguły płatności w systemie WFD.

    • jobAssignment.jobAssignmentDetails.timeZoneName: Format strefy czasowej musi być zgodny z wystąpieniem usługi WFD (tj (GMT -08:00) Pacific Time).

    • jobAssignment.primaryLaborAccounts.organizationPath: Ścieżka organizacji konkretnej struktury biznesowej w instancji WFD.

  3. Zapisz plik .csv.

  4. Kliknij prawym przyciskiem myszy skrypt AAD_To_WFD.ps1 i kliknij polecenie Edytuj , aby go zmodyfikować.

  5. Upewnij się, że ścieżka określona w wierszu 15 jest poprawną nazwą/ścieżką do pliku AAD_To_WFD.csv .

  6. Zaktualizuj następujące wiersze, używając wartości dostarczonych przez wsparcie UKG dotyczących Twojego wystąpienia WFD.

    • Wiersz 33: vanityUrl (adres URL niestandardowy)

    • Linia 43: appKey

    • Wiersz 48: client_id (identyfikator klienta)

    • Linia 49: client_secret

  7. Zapisz i wykonaj skrypt.

  8. Po wyświetleniu monitu podaj poświadczenia Super User dla usługi WFD.

  9. Po zakończeniu skrypt zwróci listę wszystkich użytkowników, których nie udało się utworzyć.

Uwaga

Pamiętaj, aby sprawdzić wartości podane w pliku AAD_To_WFD.csv, jeśli plik ten jest zwracany w wyniku literówek lub niedopasowanych pól w instancji usługi WFD. Błąd może również zostać zwrócony przez WFD API, jeśli wszyscy użytkownicy partii już istnieją w instancji.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania aplikacji Kronos Workforce Dimensions, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania aplikacji Kronos Workforce Dimensions i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Kronos Workforce Dimensions w Moje Aplikacje nastąpi przekierowanie do adresu URL do logowania Kronos Workforce Dimensions. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Po skonfigurowaniu usługi Kronos Workforce Dimensions można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender for Cloud Apps.