Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z aplikacją mobilną Workday

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować usługę Microsoft Entra ID, dostęp warunkowy i usługę Intune z aplikacją mobilną Workday. Po zintegrowaniu aplikacji mobilnej Workday z firmą Microsoft można wykonywać następujące czynności:

  • Przed zalogowaniem się upewnij się, że urządzenia są zgodne z zasadami.
  • Dodaj kontrolki do aplikacji mobilnej Workday, aby zapewnić użytkownikom bezpieczny dostęp do danych firmowych.
  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do produktu Workday.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Workday przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji: w witrynie Azure Portal.

Wymagania wstępne

Aby rozpocząć:

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz zasady dostępu warunkowego firmy Microsoft i usługę Intune przy użyciu aplikacji mobilnej Workday.

Aby włączyć logowanie jednokrotne (SSO), możesz skonfigurować aplikację Federacyjną produktu Workday przy użyciu identyfikatora Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Microsoft Entra single sign-on (SSO) integration with Workday (Integracja logowania jednokrotnego firmy Microsoft z aplikacją Workday).

Uwaga

Usługa Workday nie obsługuje zasad ochrony aplikacji usługi Intune. Aby korzystać z dostępu warunkowego, należy użyć zarządzania urządzeniami przenośnymi.

Upewnij się, że użytkownicy mają dostęp do aplikacji mobilnej Workday

Skonfiguruj aplikację Workday, aby zezwolić na dostęp do aplikacji mobilnych. Należy skonfigurować następujące zasady dla aplikacji Workday Mobile:

  1. Uzyskaj dostęp do zasad zabezpieczeń domeny dla raportu obszaru funkcjonalnego.
  2. Wybierz odpowiednie zasady zabezpieczeń:
    • Użycie urządzeń przenośnych — Android
    • Użycie urządzeń przenośnych — iPad
    • Użycie urządzeń przenośnych — iPhone
  3. Wybierz pozycję Edytuj uprawnienia.
  4. Zaznacz pole wyboru Wyświetl lub Modyfikuj, aby przyznać grupom zabezpieczeń dostęp do zabezpieczanych elementów raportu lub zadania.
  5. Zaznacz pole wyboru Pobierz lub Umieść, aby przyznać grupom zabezpieczeń dostęp do akcji integracji i raportów lub zadań zabezpieczanych.

Aktywuj oczekujące zmiany zasad zabezpieczeń, uruchamiając polecenie Aktywuj oczekujące zmiany zasad zabezpieczeń.

Otwórz stronę logowania produktu Workday w programie Workday Mobile Browser

Aby zastosować dostęp warunkowy do aplikacji mobilnej Workday, musisz otworzyć aplikację w przeglądarce zewnętrznej. W obszarze Edytuj konfigurację dzierżawy — zabezpieczenia wybierz pozycję Włącz logowanie jednokrotne przeglądarki mobilnej dla aplikacji natywnych. Wymaga to zainstalowania przeglądarki zatwierdzonej przez usługę Intune na urządzeniu dla systemu iOS oraz w profilu służbowym dla systemu Android.

Zrzut ekranu przedstawiający logowanie aplikacji Workday Mobile Browser.

Konfigurowanie zasad dostępu warunkowego

Te zasady mają wpływ tylko na logowanie się na urządzeniu z systemem iOS lub Android. Jeśli chcesz rozszerzyć go na wszystkie platformy, wybierz pozycję Dowolne urządzenie. Te zasady wymagają, aby urządzenie było zgodne z zasadami i sprawdza je za pośrednictwem usługi Intune. Ponieważ system Android ma profile służbowe, uniemożliwia to wszystkim użytkownikom logowanie się do aplikacji Workday, chyba że logują się za pośrednictwem profilu służbowego i zainstalują aplikację za pośrednictwem portalu firmy usługi Intune. Istnieje jeden dodatkowy krok dla systemu iOS, aby upewnić się, że ta sama sytuacja ma zastosowanie.

Usługa Workday obsługuje następujące mechanizmy kontroli dostępu:

  • Wymaganie uwierzytelniania wieloskładnikowego
  • Wymagaj, aby urządzenie było oznaczone jako zgodne

Aplikacja Workday nie obsługuje następujących elementów:

  • Wymaganie zatwierdzonej aplikacji klienckiej
  • Wymagaj zasad ochrony aplikacji (wersja zapoznawcza)

Aby skonfigurować program Workday jako urządzenie zarządzane, wykonaj następujące kroki:

Zrzut ekranu przedstawiający tylko urządzenia zarządzane i aplikacje w chmurze lub akcje.

  1. Wybierz pozycję Home>Microsoft Intune Conditional Access-Policies (Zasady dostępu warunkowego usługi Microsoft Intune).> Następnie wybierz pozycję Tylko urządzenia zarządzane.

  2. W obszarze Tylko urządzenia zarządzane w obszarze Nazwa wybierz pozycję Tylko urządzenia zarządzane, a następnie wybierz pozycję Aplikacje lub akcje w chmurze.

  3. W obszarze Aplikacje lub akcje w chmurze:

    1. Przełącz pozycję Wybierz, co te zasady mają zastosowanie do aplikacji w chmurze.

    2. W obszarze Uwzględnij wybierz pozycję Wybierz zasoby.

    3. Z listy Wybierz wybierz pozycję Workday.

    4. Wybierz pozycję Gotowe.

  4. Przełącz pozycję Włącz zasady na Włączone.

  5. Wybierz pozycję Zapisz.

W obszarze Udzielanie dostępu wykonaj następujące kroki:

  1. Wybierz pozycję Home>Microsoft Intune Conditional Access-Policies (Zasady dostępu warunkowego usługi Microsoft Intune).> Następnie wybierz pozycję Tylko urządzenia zarządzane.

  2. W obszarze Tylko urządzenia zarządzane w obszarze Nazwa wybierz pozycję Tylko urządzenia zarządzane. W obszarze Kontrole dostępu wybierz pozycję Udziel.

  3. W udziel:

    1. Wybierz kontrolki, które mają być wymuszane jako Udziel dostępu.

    2. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.

    3. Wybierz pozycję Wymagaj jednej z wybranych kontrolek.

    4. Naciśnij przycisk Wybierz.

  4. Przełącz pozycję Włącz zasady na Włączone.

  5. Wybierz pozycję Zapisz.

Konfigurowanie zasad zgodności urządzeń

Aby upewnić się, że urządzenia z systemem iOS mogą logować się tylko za pośrednictwem aplikacji Workday zarządzanej przez zarządzanie urządzeniami przenośnymi, należy zablokować aplikację sklepu App Store, dodając aplikację com.workday.workdayapp do listy aplikacji z ograniczeniami. Dzięki temu tylko urządzenia z zainstalowanym rozwiązaniem Workday za pośrednictwem portalu firmy mogą uzyskiwać dostęp do produktu Workday. W przeglądarce urządzenia mogą uzyskiwać dostęp tylko do produktu Workday, jeśli urządzenie jest zarządzane przez usługę Intune i korzysta z programu Managed Browser.

Zrzut ekranu przedstawiający zasady zgodności urządzeń z systemem iOS.

Konfigurowanie zasad konfiguracji aplikacji usługi Intune

Scenariusz Pary klucz-wartość
Automatycznie wypełnij pola Dzierżawa i Adres internetowy dla:
● Workday w systemie Android po włączeniu systemu Android dla profilów służbowych.
● Workday na iPad i iPhone.		 Użyj tych wartości, aby skonfigurować dzierżawę:
● Klucz konfiguracji = UserGroupCode
● Typ wartości = ciąg
● Wartość konfiguracji = Nazwa dzierżawy. Przykład: gms
Użyj tych wartości, aby skonfigurować adres internetowy:
● Klucz konfiguracji = AppServiceHost
● Typ wartości = ciąg
● Wartość konfiguracji = podstawowy adres URL dzierżawy. Przykład: https://www.myworkday.com
Wyłącz następujące akcje dla produktu Workday na tablecie iPad i telefonie iPhone:
● Wycinanie, kopiowanie i wklejanie
● Drukuj		 Ustaw wartość (wartość logiczna) na False wartość w tych kluczach, aby wyłączyć funkcjonalność:
AllowCutCopyPaste
AllowPrint
Wyłącz zrzuty ekranu programu Workday w systemie Android. Ustaw wartość (wartość logiczna) na False wartość w kluczu AllowScreenshots , aby wyłączyć funkcję.
Wyłącz sugerowane aktualizacje dla użytkowników. Ustaw wartość (wartość logiczna) na False wartość w kluczu AllowSuggestedUpdates , aby wyłączyć funkcję.
Dostosuj adres URL sklepu z aplikacjami, aby przekierować użytkowników mobilnych do wybranego sklepu z aplikacjami. Użyj tych wartości, aby zmienić adres URL sklepu z aplikacjami:
● Klucz konfiguracji = AppUpdateURL
● Typ wartości = ciąg
● Wartość konfiguracji = adres URL sklepu App Store

Zasady konfiguracji systemu iOS

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj usługę Intune lub wybierz widżet z listy.

  3. Przejdź do pozycji Aplikacje klienckie Zasady>> konfiguracji aplikacji. Następnie wybierz pozycję + Dodaj>urządzenia zarządzane.

  4. Wprowadź nazwę.

  5. W obszarze Platforma wybierz pozycję iOS/iPadOS.

  6. W obszarze Skojarzona aplikacja wybierz aplikację Workday dla systemu iOS, którą dodano.

  7. Wybierz pozycję Ustawienia konfiguracji. W obszarze Format ustawień konfiguracji wybierz pozycję Wprowadź dane XML.

  8. Oto przykładowy plik XML. Dodaj konfiguracje, które chcesz zastosować. Zastąp STRING_VALUE ciąg ciągiem, którego chcesz użyć. Zastąp ciąg <true /> or <false /> ciągiem <true /> lub <false />. Jeśli nie dodasz konfiguracji, te przykładowe funkcje, takie jak jest ono ustawione na Truewartość .

    <dict>
<key>UserGroupCode</key>
<string>STRING_VALUE</string>
<key>AppServiceHost</key>
<string>STRING_VALUE</string>
<key>AllowCutCopyPaste</key>
<true /> or <false />
<key>AllowPrint</key>
<true /> or <false />
<key>AllowSuggestedUpdates</key>
<true /> or <false />
<key>AppUpdateURL</key>
<string>STRING_VALUE</string>
</dict>

  9. Wybierz Dodaj.

  10. Odśwież stronę i wybierz nowo utworzone zasady.

  11. Wybierz pozycję Przypisania i wybierz, do kogo ma zostać zastosowana aplikacja.

  12. Wybierz pozycję Zapisz.

Zasady konfiguracji systemu Android

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj usługę Intune lub wybierz widżet z listy.
  3. Przejdź do pozycji Aplikacje klienckie Zasady>> konfiguracji aplikacji. Następnie wybierz pozycję + Dodaj>urządzenia zarządzane.
  4. Wprowadź nazwę.
  5. W obszarze Platforma wybierz pozycję Android.
  6. W obszarze Skojarzona aplikacja wybierz aplikację Workday dla systemu Android, którą dodano.
  7. Wybierz pozycję Ustawienia konfiguracji. W obszarze Format ustawień konfiguracji wybierz pozycję Wprowadź dane JSON.