Samouczek: integracja aplikacji Microsoft Entra SSO z aplikacją Kronos Workforce Dimensions

Z tego samouczka dowiesz się, jak zintegrować aplikację Kronos Workforce Dimensions z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Kronos Workforce Dimensions z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Kronos Workforce Dimensions.
• Umożliwianie użytkownikom automatycznego logowania do aplikacji Kronos Workforce Dimensions przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

• Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
• Subskrypcja aplikacji Kronos Workforce Dimensions z obsługą logowania jednokrotnego.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

• Aplikacja Kronos Workforce Dimensions obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Dodawanie aplikacji Kronos Workforce Dimensions z galerii

Aby skonfigurować integrację aplikacji Kronos Workforce Dimensions z identyfikatorem Entra firmy Microsoft, należy dodać aplikację Kronos Workforce Dimensions z galerii do swojej listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
3. W sekcji Dodawanie z galerii wpisz Kronos Workforce Dimensions w polu wyszukiwania.
4. Wybierz pozycję Kronos Workforce Dimensions z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft dla wymiarów kronos workforce

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Kronos Workforce Dimensions przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Kronos Workforce Dimensions.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Kronos Workforce Dimensions, wykonaj następujące kroki:

1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
   2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
2. Konfigurowanie logowania jednokrotnego aplikacji Kronos Workforce Dimensions — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Tworzenie użytkownika testowego aplikacji Kronos Workforce Dimensions — aby mieć w aplikacji Kronos Workforce Dimensions odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do aplikacji>dla przedsiębiorstw Aplikacji dla>>przedsiębiorstw Kronos Workforce Dimensions>— logowanie jednokrotne.

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

   a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://<SUBDOMAIN>.<ENVIRONMENT>.mykronos.com/authn/<TENANT_ID/hsp/<TENANT_NUMBER>

   b. W polu tekstowym Adres URL logowania wpisz adres URL , używając jednego z następujących wzorców:

   Adres URL logowania
   https://<CUSTOMER>-<ENVIRONMENT>-sso.<ENVIRONMENT>.mykronos.com/
   https://<CUSTOMER>-sso.<ENVIRONMENT>.mykronos.com/

   Uwaga

   Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Kronos Workforce Dimensions, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij przycisk kopiowania, aby skopiować adres URL metadanych federacji aplikacji i zapisać go na komputerze.

   

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
   4. Wybierz pozycję Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Kronos Workforce Dimensions.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do sekcji Identity Applications Enterprise applications>>Kronos Workforce Dimensions (Aplikacje dla>przedsiębiorstw Kronos Workforce Dimensions).
3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
   1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
   2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
   3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego w aplikacji Kronos Workforce Dimensions

Aby skonfigurować logowanie jednokrotne po stronie aplikacji Kronos Workforce Dimensions , musisz wysłać adres URL metadanych federacji aplikacji do zespołu pomocy technicznej aplikacji Kronos Workforce Dimensions. Ustawią oni to ustawienie tak, aby połączenie logowania jednokrotnego SAML było ustawione właściwie po obu stronach.

Tworzenie użytkownika testowego aplikacji Kronos Workforce Dimensions

W tej sekcji utworzysz użytkownika Britta Simon w aplikacji Kronos Workforce Dimensions. We współpracy z zespołem pomocy technicznej aplikacji Kronos Workforce Dimensions dodaj użytkowników na platformie Kronos Workforce Dimensions. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Uwaga

Oryginalna dokumentacja firmy Microsoft zaleca skontaktowanie się z pomocą techniczną UKG za pośrednictwem poczty e-mail w celu utworzenia użytkowników firmy Microsoft Entra. Chociaż ta opcja jest dostępna, rozważ następujące opcje samoobsługi.

Proces ręczny

Istnieją dwa sposoby ręcznego tworzenia użytkowników usługi Microsoft Entra w usłudze WFD. Możesz wybrać istniejącego użytkownika, zduplikować go, a następnie zaktualizować wymagane pola, aby ten użytkownik był unikatowy. Ten proces może być czasochłonny i wymaga znajomości interfejsu użytkownika usługi WFD. Alternatywą jest utworzenie użytkownika za pośrednictwem interfejsu API usługi WFD, który jest znacznie szybszy. Ta opcja wymaga znajomości narzędzi interfejsu API, takich jak Postman, aby wysłać żądanie do interfejsu API. Poniższe instrukcje ułatwią importowanie wstępnie utworzonego przykładu do narzędzia interfejsu API Postman.

Ustawienia

1. Otwórz narzędzie Postman i zaimportuj następujące pliki:

   a. Wymiary pracowników — tworzenie User.postman_collection.json

   b. Microsoft Entra ID to WFD Env Variables.json

2. W okienku po lewej stronie wybierz przycisk Środowiska .

3. Kliknij AAD_to_WFD_Env_Variables i dodaj wartości podane przez pomoc techniczną UKG dotyczącą wystąpienia usługi WFD.

   Uwaga

   access_token i refresh_token powinny być puste, ponieważ zostaną one automatycznie wypełnione w wyniku żądania HTTP uzyskiwania tokenu dostępu.

4. Otwórz pozycję Create Microsoft Entra user in WFD HTTP Request and update (Utwórz użytkownika Microsoft Entra w żądaniu HTTP usługi WFD) i zaktualizuj wyróżnione właściwości w ładunku JSON:

   { 
   
   "personInformation": { 
   
      "accessAssignment": { 
   
         "accessProfileName": "accessProfileName", 
   
         "notificationProfileName": "All" 
   
       }, 
   
       "emailAddresses": [ 
   
         { 
   
           "address": "address” 
   
           "contactTypeName": "Work" 
   
         } 
   
       ], 
   
       "employmentStatusList": [ 
   
         { 
   
           "effectiveDate": "2019-08-15", 
   
           "employmentStatusName": "Active", 
   
           "expirationDate": "3000-01-01" 
   
         } 
   
       ], 
   
       "person": { 
   
         "personNumber": "personNumber", 
   
         "firstName": "firstName", 
   
         "lastName": "lastName", 
   
         "fullName": "fullName", 
   
         "hireDate": "2019-08-15", 
   
         "shortName": "shortName" 
   
       }, 
   
       "personAuthenticationTypes": [ 
   
         { 
   
           "activeFlag": true, 
   
           "authenticationTypeName": "Federated" 
   
         } 
   
       ], 
   
       "personLicenseTypes": [ 
   
         { 
   
           "activeFlag": true, 
   
           "licenseTypeName": "Employee" 
   
         }, 
   
         { 
   
           "activeFlag": true, 
   
           "licenseTypeName": "Absence" 
   
         }, 
   
         { 
   
           "activeFlag": true, 
   
           "licenseTypeName": "Hourly Timekeeping" 
   
         }, 
   
         { 
   
           "activeFlag": true, 
   
           "licenseTypeName": "Scheduling" 
   
         } 
   
       ], 
   
       "userAccountStatusList": [ 
   
         { 
   
           "effectiveDate": "2019-08-15", 
   
           "expirationDate": "3000-01-01", 
   
           "userAccountStatusName": "Active" 
   
         } 
   
       ] 
   
     }, 
   
     "jobAssignment": { 
   
       "baseWageRates": [ 
   
         { 
   
           "effectiveDate": "2019-01-01", 
   
           "expirationDate": "3000-01-01", 
   
           "hourlyRate": 20.15 
   
         } 
   
       ], 
   
       "jobAssignmentDetails": { 
   
         "payRuleName": "payRuleName", 
   
         "timeZoneName": "timeZoneName" 
   
       }, 
   
       "primaryLaborAccounts": [ 
   
         { 
   
           "effectiveDate": "2019-08-15", 
   
           "expirationDate": "3000-01-01", 
   
           "organizationPath": "organizationPath" 
   
         } 
   
       ] 
   
     }, 
   
     "user": { 
   
       "userAccount": { 
   
         "logonProfileName": "Default", 
   
         "userName": "userName" 
   
       } 
   
     } 
   
   }
   

   Uwaga

   PersonInformation.emailAddress.address i user.userAccount.userName muszą być zgodne z docelowym użytkownikiem usługi Microsoft Entra, który próbujesz utworzyć w usłudze WFD.

5. W prawym górnym rogu wybierz listę rozwijaną Środowiska i wybierz pozycję AAD_to_WFD_Env_Variables.

6. Po zaktualizowaniu ładunku JSON i wybraniu poprawnych zmiennych środowiskowych wybierz żądanie HTTP uzyskiwania tokenu dostępu i kliknij przycisk Wyślij . Spowoduje to wykorzystanie zaktualizowanych zmiennych środowiskowych do uwierzytelniania w wystąpieniu usługi WFD, a następnie buforowania tokenu dostępu w zmiennych środowiskowych do użycia podczas wywoływania metody tworzenia użytkownika.

7. Jeśli wywołanie uwierzytelniania zakończyło się pomyślnie, powinna zostać zwrócona odpowiedź 200 z zwróconym tokenem dostępu. Ten token dostępu będzie teraz również wyświetlany w kolumnie CURRENT VALUE w zmiennych środowiskowych dla wpisu access_token.

   Uwaga

   Jeśli nie odebrano access_token, upewnij się, że wszystkie zmienne w zmiennych środowiskowych są poprawne. Poświadczenia użytkownika powinny być kontem administratora.

8. Po uzyskaniu access_token wybierz AAD_to_WFD_Env_Variables żądanie HTTP i kliknij przycisk Wyślij. Jeśli żądanie zakończy się pomyślnie, zostanie zwrócony stan HTTP 200.

9. Zaloguj się do usługi WFD przy użyciu konta administratora i upewnij się, że nowy użytkownik firmy Microsoft Entra został utworzony w wystąpieniu usługi WFD.

Zautomatyzowany proces

Zautomatyzowany proces składa się z pliku prostego w formacie CSV, który umożliwia użytkownikowi wstępne określenie wyróżnionych wartości w ładunku z powyższego ręcznego procesu interfejsu API. Plik prosty jest używany przez towarzyszący skrypt programu PowerShell, który zbiorczo tworzy nowych użytkowników usługi WFD. Skrypt przetwarza nowe tworzenie użytkowników w partiach 70 (wartość domyślna), które można skonfigurować pod kątem optymalnej wydajności. Poniższe instrukcje przeprowadzą proces konfigurowania i wykonywania skryptu.

1. Zapisz pliki AAD_To_WFD.csv i AAD_To_WFD.ps1 lokalnie na komputerze.

2. Otwórz plik AAD_To_WFD.csv i wypełnij kolumny.

   • personInformation.accessAssignment.accessProfileName: Określona nazwa profilu dostępu z wystąpienia usługi WFD.

   • personInformation.emailAddresses.address: musi być zgodna z główną nazwą użytkownika w identyfikatorze Entra firmy Microsoft.

   • personInformation.personNumber: musi być unikatowy w wystąpieniu usługi WFD.

   • personInformation.firstName: imię użytkownika.

   • personInformation.lastName: nazwisko użytkownika.

   • jobAssignment.jobAssignmentDetails.payRuleName: określona nazwa reguły płatności z usługi WFD.

   • jobAssignment.jobAssignmentDetails.timeZoneName: Format strefy czasowej musi być zgodny z wystąpieniem usługi WFD (tj (GMT -08:00) Pacific Time. ).

   • jobAssignment.primaryLaborAccounts.organizationPath: Ścieżka organizacji określonej struktury biznesowej w wystąpieniu usługi WFD.

3. Zapisz plik .csv.

4. Kliknij prawym przyciskiem myszy skrypt AAD_To_WFD.ps1 i kliknij polecenie Edytuj , aby go zmodyfikować.

5. Upewnij się, że ścieżka określona w wierszu 15 jest poprawną nazwą/ścieżką do pliku AAD_To_WFD.csv .

6. Zaktualizuj następujące wiersze przy użyciu wartości dostarczonych przez pomoc techniczną UKG odnoszących się do wystąpienia usługi WFD.

   • Wiersz 33: vanityUrl

   • Wiersz 43: appKey

   • Wiersz 48: client_id

   • Wiersz 49: client_secret

7. Zapisz i wykonaj skrypt.

8. Po wyświetleniu monitu podaj poświadczenia administratora usługi WFD.

9. Po zakończeniu skrypt zwróci listę wszystkich użytkowników, którzy nie mogą utworzyć.

Uwaga

Pamiętaj, aby sprawdzić wartości podane w pliku AAD_To_WFD.csv, jeśli jest zwracany w wyniku literówki lub niedopasowanych pól w wystąpieniu usługi WFD. Błąd może również zostać zwrócony przez wystąpienie interfejsu API usługi WFD, jeśli wszyscy użytkownicy w partii już istnieją w wystąpieniu.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

• Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania aplikacji Kronos Workforce Dimensions, pod którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania aplikacji Kronos Workforce Dimensions i zainicjuj przepływ logowania z tego miejsca.

• Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Kronos Workforce Dimensions w Moje aplikacje nastąpi przekierowanie do adresu URL logowania kronos Workforce Dimensions. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi Kronos Workforce Dimensions można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.