Compartilhar via


Como o provisionamento do Microsoft Entra se integra ao Workday

O serviço de provisionamento de usuários do Microsoft Entra se integra ao HCM do Workday para gerenciar o ciclo de vida de identidade dos usuários. O Microsoft Entra ID oferece três integrações predefinidas:

Este artigo explica como a integração funciona e como você pode personalizar o comportamento de provisionamento para diferentes cenários de RH.

Estabelecendo conectividade

Restringir o acesso da API do Workday aos pontos de extremidade do Microsoft Entra

O serviço de provisionamento do Microsoft Entra usa a autenticação básica para se conectar aos pontos de extremidade da API de serviços Web do Workday.

Para proteger ainda mais a conectividade entre o serviço de provisionamento do Microsoft Entra e o Workday, é possível restringir o acesso para que o usuário do sistema de integração designado acesse apenas as APIs do Workday de intervalos de IP do Microsoft Entra permitidos. Engage o administrador do Workday para concluir a configuração a seguir em seu locatário do Workday.

  1. Baixe os Intervalos de IP mais recentes para a nuvem pública do Azure.
  2. Abra o arquivo e procure pela tag AzureActiveDirectory.
  3. Copie todos os intervalos de endereços IP listados no elemento addressPrefixes e use o intervalo para criar sua lista de endereços IP.
  4. Entre no portal de administração do Workday.
  5. Acesse a tarefa Manter Intervalos de IP a fim de criar um intervalo de IP para data centers do Azure. Especifique os intervalos de IP (usando a notação CIDR) como uma lista separada por vírgulas.
  6. Acesse a tarefa Gerenciar Políticas de Autenticação para criar uma política de autenticação. Na política de autenticação, use a lista de permitidos de autenticação para especificar o intervalo de IP do Microsoft Entra e o grupo de segurança que tem permissão de acesso nesse intervalo de IP. Salve as alterações.
  7. Acesse a tarefa Ativar Todas as Alterações de Política de Autenticação Pendentes para confirmar as alterações.

Limitando o acesso aos dados de trabalhadores no Workday com grupos de segurança restritos

As etapas padrão para Configurar o usuário do sistema de integração do Workday concedem acesso para a recuperação de todos os usuários em seu locatário do Workday. Em determinados cenários de integração, talvez você queira limitar o acesso. Por exemplo, retorne apenas usuários em determinadas organizações de supervisão da chamada à API Get_Workers.

Você pode cumprir esse requisito trabalhando com o administrador do Workday e configurando grupos restritos de segurança do sistema de integração. Para obter mais informações, examine a seção segurança contextual Get_Workers neste documento do Workday Conceito: Diretrizes do serviço Web SOAP do Get Workers (o acesso à comunidade do Workday é necessário para este artigo).

Essa estratégia de limitar o acesso usando ISSG (grupos de segurança do sistema de integração) restritos é útil nos seguintes cenários:

  • Cenário de distribuição em fases: você tem um locatário grande do Workday e planeja fazer uma distribuição em fases dele para o provisionamento automático do Microsoft Entra ID. Neste cenário, em vez de excluir usuários que não estão no escopo da fase atual com filtros de escopo do Microsoft Entra ID, é recomendável configurar ISSG restritos para que somente os trabalhadores no escopo fiquem visíveis para o Microsoft Entra ID.
  • Cenário com vários trabalhos de provisionamento: você tem um grande locatário do Workday e vários domínios do AD, cada um dando suporte a uma unidade de negócios/departamento/empresa diferente. Para dar suporte a essa topologia, é aconselhável executar vários trabalhos de provisionamento do Workday para o Microsoft Entra, cada trabalho provisionando um conjunto específico de trabalhadores. Nesse cenário, em vez de usar filtros de escopo do Microsoft Entra ID para excluir dados de trabalhadores, é recomendável configurar ISSG restritos para que somente os dados relevantes do trabalhador fiquem visíveis para o Microsoft Entra ID.

Consulta de conexão de teste do Workday

Para testar a conectividade com o Workday, o Microsoft Entra ID envia a solicitação de serviços Web Get_Workers do Workday.

<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
    <p1:Exclude_Employees>true</p1:Exclude_Employees>
    <p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
    <p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>1</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
  </p1:Response_Group>
</Get_Workers_Request>

Como funciona a sincronização completa

A sincronização completa, no contexto do provisionamento voltado para o Workday, se refere ao processo de buscar todas as identidades do Workday e determinar quais regras de provisionamento se aplicam a cada objeto de trabalhador. A sincronização completa ocorre quando você ativa o provisionamento pela primeira vez e também quando reinicia o provisionamento no Centro de administração Microsoft Entra ou usando as APIs do Graph.

O Microsoft Entra ID envia a solicitação de serviços Web Get_Workers do Workday para recuperar dados de trabalhadores. A consulta pesquisa no log de transações do Workday todas as entradas de trabalhadores com data no momento correspondente à execução da sincronização completa.

<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Type_References>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
        </p1:Transaction_Type_Reference>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
        </p1:Transaction_Type_Reference>
      </p1:Transaction_Type_References>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

O nó Response_Group é usado para especificar quais atributos de trabalhador serão obtidos do Workday. Para obter uma descrição de cada sinalizador no nó Response_Group, confira a documentação da API Get_Workers do Workday.

Determinados valores de sinalizador especificados no nó Response_Group são calculados com base nos atributos configurados no aplicativo de provisionamento Workday do Microsoft Entra ID. Confira a seção sobre as Entidades com suporte para conhecer os critérios usados na definição dos valores de sinalizador.

A resposta Get_Workers do Workday para a consulta acima inclui o número de registros de trabalhadores e a contagem de páginas.

  <wd:Response_Results>
    <wd:Total_Results>509</wd:Total_Results>
    <wd:Total_Pages>17</wd:Total_Pages>
    <wd:Page_Results>30</wd:Page_Results>
    <wd:Page>1</wd:Page>
  </wd:Response_Results>

Para recuperar a próxima página do conjunto de resultados, a próxima consulta de Get_Workers especifica o número da página como um parâmetro em Response_Filter.

  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Page>2</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>

O serviço de provisionamento do Microsoft Entra processa cada página e itera todos os trabalhadores reais durante a sincronização completa. Para cada entrada de trabalhador importada do Workday:

  • A expressão XPATH é aplicada para recuperar valores de atributo do Workday.
  • O mapeamento de atributo e as regras de correspondência são aplicados e
  • O serviço determina qual operação executar no destino (Microsoft Entra ID/Active Directory).

Quando o processamento for concluído, ele salvará o carimbo de data/hora associado ao início da sincronização completa como uma marca d' água. Essa marca d' água serve como ponto de partida para o ciclo de sincronização incremental.

Como funciona a sincronização incremental

Após a sincronização completa, o serviço de provisionamento do Microsoft Entra mantém LastExecutionTimestamp e usa-o para criar consultas delta a fim de recuperar alterações incrementais. Durante a sincronização incremental, o Microsoft Entra ID envia os tipos de consultas a seguir ao Workday:

Consulta de atualizações manuais

Os Get_Workers a seguir solicitam consultas de atualizações manuais que ocorreram entre a última execução e o tempo de execução atual.

<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Consulta de atualizações e terminações com data vigente

Os Get_Workers a seguir solicitam consultas de atualizações com data vigente que ocorreram entre a última execução e o tempo de execução atual.

<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
        <p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Consulta de contratações em datas futuras

Se alguma das consultas acima retornar uma contratação no futuro, a solicitação Get_Workers a seguir será usada para buscar informações sobre uma nova contratação no futuro. O atributo WID da nova contratação é usado para executar a pesquisa e a data de efetivação é definida como a data e a hora da contratação.

Observação

Contratações em datas futuras no Workday têm o campo ativo definido como "0" e ele muda para "1" na data de contratação. O conector por consultas de design para informações de contratação futura em vigor na data de contratação e, por este motivo, sempre obtém o perfil Trabalho de contratação futura com o campo Ativo definido como "1". Dessa forma, é possível configurar o perfil do Microsoft Entra para contratações futuras previamente com todas as informações corretas já preenchidas. Se desejar atrasar a habilitação da conta do Microsoft Entra ID para contratações futuras, use a função de transformação DateDiff.

<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_References>
    <p1:Worker_Reference>
      <p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
    </p1:Worker_Reference>
  </p1:Request_References>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Recuperando atributos de dados de trabalhador

A API Get_Workers pode retornar conjuntos de dados diferentes associados a um trabalhador. Dependendo das expressões de API XPATH configuradas no esquema de provisionamento, o serviço de provisionamento do Microsoft Entra determinará quais conjuntos de dados devem ser recuperados do Workday. Da mesma forma, os sinalizadores de Response_Group são definidos na solicitação Get_Workers.

A tabela fornece diretrizes sobre como mapear a configuração a ser usada para recuperar um conjunto de dados específico.

# Entidade do Workday Incluído por padrão Padrão XPATH a ser especificado no mapeamento para buscar entidades não padrão
1 Personal Data Sim wd:Worker_Data/wd:Personal_Data
2 Employment Data Sim wd:Worker_Data/wd:Employment_Data
3 Additional Job Data Sim wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]
4 Organization Data Sim wd:Worker_Data/wd:Organization_Data
5 Management Chain Data Sim wd:Worker_Data/wd:Management_Chain_Data
6 Supervisory Organization Sim SUPERVISORY
7 Company Sim COMPANY
8 Business Unit Não BUSINESS_UNIT
9 Business Unit Hierarchy Não BUSINESS_UNIT_HIERARCHY
10 Company Hierarchy Não COMPANY_HIERARCHY
11 Cost Center Não COST_CENTER
12 Cost Center Hierarchy Não COST_CENTER_HIERARCHY
13 Fund Não FUND
14 Fund Hierarchy Não FUND_HIERARCHY
15 Gift Não GIFT
16 Gift Hierarchy Não GIFT_HIERARCHY
17 Grant Não GRANT
18 Grant Hierarchy Não GRANT_HIERARCHY
19 Business Site Hierarchy Não BUSINESS_SITE_HIERARCHY
20 Matrix Organization Não MATRIX
21 Pay Group Não PAY_GROUP
22 Programs Não PROGRAMS
23 Program Hierarchy Não PROGRAM_HIERARCHY
24 Region Não REGION_HIERARCHY
25 Location Hierarchy Não LOCATION_HIERARCHY
26 Account Provisioning Data Não wd:Worker_Data/wd:Account_Provisioning_Data
27 Background Check Data Não wd:Worker_Data/wd:Background_Check_Data
28 Benefit Eligibility Data Não wd:Worker_Data/wd:Benefit_Eligibility_Data
29 Benefit Enrollment Data Não wd:Worker_Data/wd:Benefit_Enrollment_Data
30 Career Data Não wd:Worker_Data/wd:Career_Data
31 Compensation Data Não wd:Worker_Data/wd:Compensation_Data
32 Contingent Worker Tax Authority Data Não wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data
33 Development Item Data Não wd:Worker_Data/wd:Development_Item_Data
34 Employee Contracts Data Não wd:Worker_Data/wd:Employee_Contracts_Data
35 Employee Review Data Não wd:Worker_Data/wd:Employee_Review_Data
36 Feedback Received Data Não wd:Worker_Data/wd:Feedback_Received_Data
37 Worker Goal Data Não wd:Worker_Data/wd:Worker_Goal_Data
38 Photo Data Não wd:Worker_Data/wd:Photo_Data
39 Qualification Data Não wd:Worker_Data/wd:Qualification_Data
40 Related Persons Data Não wd:Worker_Data/wd:Related_Persons_Data
41 Role Data Não wd:Worker_Data/wd:Role_Data
42 Skill Data Não wd:Worker_Data/wd:Skill_Data
43 Succession Profile Data Não wd:Worker_Data/wd:Succession_Profile_Data
44 Talent Assessment Data Não wd:Worker_Data/wd:Talent_Assessment_Data
45 User Account Data Não wd:Worker_Data/wd:User_Account_Data
46 Worker Document Data Não wd:Worker_Data/wd:Worker_Document_Data

Observação

Cada entidade do Workday listada na tabela é protegida por uma Política de Segurança de Domínio no Workday. Se não for possível recuperar algum atributo associado à entidade depois da definição do XPATH correto, verifique com o administrador do Workday para garantir que a política de segurança de domínio apropriada esteja configurada para o usuário do sistema de integração associado ao aplicativo de provisionamento. Por exemplo, para recuperar Dados de habilidades, o acesso Obter é exigido no domínio do Workday :Worker Data: Skills and Experience.

Aqui estão alguns exemplos de como você pode estender a integração do Workday para atender a requisitos específicos.

Exemplo 1: recuperando informações do centro de custo e do grupo de pagamento

Digamos que você deseja recuperar os seguintes conjuntos de dados do Workday e usá-los em suas regras de provisionamento:

  • Centro de custo
  • Hierarquia do centro de custo
  • Grupo de pagamento

Os conjuntos de dados acima não estão incluídos por padrão. Para recuperar esses conjuntos de dados:

  1. Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

  3. Selecione seu Workday para o Active Directory/aplicativo de provisionamento de usuário do Microsoft Entra.

  4. Selecione Provisionamento.

  5. Edite os mapeamentos e abra a lista de atributos do Workday na seção Avançado.

  6. Adicione as definições de atributos a seguir e marque-as como "Obrigatória". Esses atributos não são mapeados para nenhum atributo no Active Directory ou no Microsoft Entra ID. Eles servem como sinais para o conector recuperar o centro de custo, a hierarquia do centro de custo e as informações do grupo de pagamento.

    Nome do atributo Expressão de API XPATH
    CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor
    CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text()
    PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text()
  7. Depois que o centro de custo e o conjunto de dados do grupo de pagamento estiverem disponíveis na resposta Get_Workers, você poderá usar os valores de XPATH para recuperar o nome do centro de custo, o código do centro de custo e o grupo de pagamento.

    Nome do atributo Expressão de API XPATH
    CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text()
    CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text()
    PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()

Exemplo 2: recuperando dados de qualificação e habilidades

Digamos que você deseje recuperar as certificações associadas a um usuário. Essas informações estão disponíveis como parte do conjunto de Dados de Qualificação. Para obter esse conjunto de dados como parte da resposta Get_Workers, use o seguinte XPATH:

wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()

Exemplo 3: recuperando atribuições de grupo de provisionamento

Digamos que você deseje recuperar Grupos de Provisionamento atribuídos a um trabalho. Essas informações estão disponíveis como parte do conjunto de Dados de Provisionamento de Conta. Para obter esses dados como parte da resposta Get_Workers, use o seguinte XPATH:

wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()

Lidando com cenários de RH diferentes

Esta seção aborda como você pode personalizar o aplicativo de provisionamento nos seguintes cenários de RH:

Suporte para conversões de trabalho

Esta seção descreve o suporte ao serviço de provisionamento do Microsoft Entra para cenários em que um trabalhador passa de FTE (funcionário em tempo integral) para CW (trabalhador autônomo) ou vice-versa. Dependendo de como as conversões de trabalho são processadas no Workday, pode haver diferentes aspectos de implementação a serem considerados.

Cenário 1: conversão com data retroativa de FTE para CW ou vice-versa

Sua equipe de RH pode retratar uma transação de conversão do trabalhador no dia de trabalho por razões comerciais válidas. Exemplos incluem processamento de folha de pagamento, conformidade orçamentária, requisitos legais e gerenciamento de benefícios. Veja um exemplo para ilustrar como o provisionamento é tratado para o cenário.

  • É 15 de janeiro de 2023 e Janete Silva está empregada como trabalhadora autônoma. O RH oferece a Jane um cargo em tempo integral.
  • Os termos da alteração do contrato de Jane exigem uma data retroativa da transação para que ela se alinhe com o início do mês atual. O RH inicia uma transação de conversão de trabalho com data retroativa no Workday em 15 de janeiro de 2023 com data de início de vigência em 1º de janeiro de 2023. Agora há dois perfis de trabalho no Workday para Jane. O perfil CW está inativo, enquanto o perfil FTE está ativo.
  • O serviço de provisionamento do Microsoft Entra detectou essa alteração no log de transações do Workday em 15 de janeiro de 2023. O serviço fornece automaticamente os atributos do novo perfil FTE no próximo ciclo de sincronização.
  • Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.

Cenário 2: trabalhador empregado como CW/FTE hoje, muda para FTE/CW hoje

Esse cenário é semelhante ao cenário acima, exceto que, em vez de inserir uma data retroativa para a transação, o RH executa uma conversão de trabalhador que entra em vigor imediatamente. O serviço de provisionamento do Microsoft Entra detectou essa alteração no log de transações do Workday. No próximo ciclo de sincronização, o serviço provisiona automaticamente quaisquer atributos associados com um perfil FTE ativo. Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.

Cenário 3: trabalhador empregado como CW/FTE é demitido, retorna como FTE/CW após um período significativo

É comum que os trabalhadores comecem a trabalhar em uma empresa como um trabalhador autônomo, deixem a empresa e depois retomem após vários meses como funcionário em tempo integral. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário.

  • É 1º de janeiro de 2023 e João Santos começa a trabalhar como trabalhador autônomo. Como não há nenhuma conta do AD associada ao WorkerID de John (atributo correspondente), o serviço de provisionamento cria uma nova conta do AD e vincula o WID (WorkdayID) de trabalhador autônomo do John à sua conta do AD.
  • O contrato de João termina em 31 de janeiro de 2023. No ciclo de provisionamento executado após o fim do dia 31 de janeiro, a conta do AD do John é desabilitada.
  • João se candidata a outro cargo e decide voltar à empresa como funcionário em tempo integral a partir de 1º de maio de 2023. O RH insere as informações de João como pré-contratação em 15 de abril de 2023. Agora há dois perfis de trabalho no Workday para John. O perfil CW está inativo, enquanto o perfil FTE está ativo. Os dois registros têm o mesmo WorkerID, mas WIDsdiferentes.
  • Em 15 de abril, durante o ciclo incremental, o serviço de provisionamento do Microsoft Entra transferiu automaticamente a propriedade da conta do AD para o perfil do trabalhador ativo. Nesse caso, ele desvincula o perfil de trabalho contingente da conta do AD e estabelece um novo link entre o perfil de trabalho ativo de João e a conta do AD de João.
  • Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.

Cenário 4: conversão futura, quando o trabalhador é um CW/FTE ativo

Às vezes, um trabalhador já pode ser um trabalhador autônomo ativo, quando o RH inicia uma transação de conversão de trabalho pré-datada. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário e quais alterações de configuração são necessárias para dar suporte a esse cenário.

  • É 1º de janeiro de 2023 e João Santos começa a trabalhar como trabalhador autônomo. Como não há nenhuma conta do AD associada ao WorkerID de John (atributo correspondente), o serviço de provisionamento cria uma nova conta do AD e vincula o WID (WorkdayID) de trabalhador autônomo do John à sua conta do AD.

  • Em 15 de janeiro, o RH inicia uma transação para migrar João de trabalhador autônomo para funcionário em tempo integral a partir de 1º de fevereiro de 2023.

  • Como o serviço de provisionamento do Microsoft Entra processa contratações futuras automaticamente, ele processou o novo perfil de funcionário em tempo integral de João em 15 de janeiro e atualizou o perfil de João no AD com detalhes do emprego em tempo integral, mesmo que ele ainda seja um trabalhador autônomo.

  • Para evitar esse comportamento e garantir que os detalhes do FTE de João sejam provisionados em 1º de fevereiro de 2023, execute as alterações de configuração a seguir.

    Alterações de configuração

    1. Envolva seu administrador do Workday para criar um grupo de provisionamento chamado "Conversões futuras".
    2. Implemente a lógica no Workday para adicionar registros de funcionários/trabalhador autônomo com conversões pré-datadas para esse grupo de provisionamento.
    3. Atualizar o aplicativo de provisiona Microsoft Entra para fazer a leitura do grupo de provisionamento. Confira aqui as instruções sobre como recuperar o grupo de provisionamento
    4. Criar um filtro de definição de escopo no Microsoft Entra ID para excluir perfis de trabalho que fazem parte desse grupo de provisionamento.
    5. No Workday, implemente a lógica para que, quando a data da conversão estiver em vigor, o Workday remova o registro de funcionário/trabalhador autônomo relevante do grupo de provisionamento no Workday.
    6. Com essa configuração, o registro de trabalho de funcionário/trabalhador autônomo existente continua em vigor e a alteração de provisionamento ocorre somente no dia da conversão.

Observação

Durante a sincronização completa inicial, você pode notar um comportamento em que os valores de atributo associados ao perfil de trabalho inativo anterior fluem para a conta do AD dos trabalhos convertidos. Isso é temporário e, à medida que a sincronização completa progride, ela é substituída por valores de atributo do perfil de trabalho ativo. Quando a sincronização completa é concluída e o trabalho de provisionamento atinge um estado estável, ele sempre escolhe o perfil de trabalho ativo durante a sincronização incremental.

Recuperando atribuições de trabalho internacionais e detalhes secundários sobre o trabalho

Por padrão, o conector do Workday recupera atributos associados ao trabalho principal do trabalhador. O conector também dá suporte à recuperação de Additional Job Data associados a atribuições de trabalho internacionais ou a trabalhos secundários.

Use as etapas para recuperar atributos associados a atribuições de trabalho internacionais:

  1. Defina a URL de conexão do Workday para usar a API de serviço Web do Workday versão 30.0 ou superior. Portanto, defina os valores XPATH corretos em seu aplicativo de provisionamento do Workday.
  2. Use o seletor @wd:Primary_Job=0 no nó Worker_Job_Data para recuperar o atributo correto.
    • Exemplo 1: para obter SecondaryBusinessTitle, use o XPATH wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text()
    • Exemplo 2: para obter SecondaryBusinessLocation, use o XPATH wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor

Limitações conhecidas

Esta seção lista as limitações atuais e conhecidas que os clientes podem enfrentar na integração do Workday.

  1. O conector não dá suporte à recuperação de campos calculados do Workday.
  2. O conector não dá suporte à sincronização de fotos do Workday.
  3. O conector não dá suporte à recuperação avançada de trabalhadores cujo último dia de trabalho é devido.
  4. Durante a sincronização incremental, pode haver um atraso no processamento do evento de encerramento para trabalhadores localizados nas regiões Pacífico Asiático e Austrália/Nova Zelândia.

Próximas etapas