Como o provisionamento do Microsoft Entra se integra ao Workday
O serviço de provisionamento de usuários do Microsoft Entra se integra ao HCM do Workday para gerenciar o ciclo de vida de identidade dos usuários. O Microsoft Entra ID oferece três integrações predefinidas:
- Provisionamento de usuário do Workday para o Active Directory local
- Provisionamento de usuário do Workday para o Microsoft Entra
- Write-back do Workday
Este artigo explica como a integração funciona e como você pode personalizar o comportamento de provisionamento para diferentes cenários de RH.
Estabelecendo conectividade
Restringir o acesso da API do Workday aos pontos de extremidade do Microsoft Entra
O serviço de provisionamento do Microsoft Entra usa a autenticação básica para se conectar aos pontos de extremidade da API de serviços Web do Workday.
Para proteger ainda mais a conectividade entre o serviço de provisionamento do Microsoft Entra e o Workday, é possível restringir o acesso para que o usuário do sistema de integração designado acesse apenas as APIs do Workday de intervalos de IP do Microsoft Entra permitidos. Engage o administrador do Workday para concluir a configuração a seguir em seu locatário do Workday.
- Baixe os Intervalos de IP mais recentes para a nuvem pública do Azure.
- Abra o arquivo e procure pela tag
AzureActiveDirectory
. - Copie todos os intervalos de endereços IP listados no elemento addressPrefixes e use o intervalo para criar sua lista de endereços IP.
- Entre no portal de administração do Workday.
- Acesse a tarefa Manter Intervalos de IP a fim de criar um intervalo de IP para data centers do Azure. Especifique os intervalos de IP (usando a notação CIDR) como uma lista separada por vírgulas.
- Acesse a tarefa Gerenciar Políticas de Autenticação para criar uma política de autenticação. Na política de autenticação, use a lista de permitidos de autenticação para especificar o intervalo de IP do Microsoft Entra e o grupo de segurança que tem permissão de acesso nesse intervalo de IP. Salve as alterações.
- Acesse a tarefa Ativar Todas as Alterações de Política de Autenticação Pendentes para confirmar as alterações.
Limitando o acesso aos dados de trabalhadores no Workday com grupos de segurança restritos
As etapas padrão para Configurar o usuário do sistema de integração do Workday concedem acesso para a recuperação de todos os usuários em seu locatário do Workday. Em determinados cenários de integração, talvez você queira limitar o acesso. Por exemplo, retorne apenas usuários em determinadas organizações de supervisão da chamada à API Get_Workers
.
Você pode cumprir esse requisito trabalhando com o administrador do Workday e configurando grupos restritos de segurança do sistema de integração. Para obter mais informações, examine a seção segurança contextual Get_Workers neste documento do Workday Conceito: Diretrizes do serviço Web SOAP do Get Workers (o acesso à comunidade do Workday é necessário para este artigo).
Essa estratégia de limitar o acesso usando ISSG (grupos de segurança do sistema de integração) restritos é útil nos seguintes cenários:
- Cenário de distribuição em fases: você tem um locatário grande do Workday e planeja fazer uma distribuição em fases dele para o provisionamento automático do Microsoft Entra ID. Neste cenário, em vez de excluir usuários que não estão no escopo da fase atual com filtros de escopo do Microsoft Entra ID, é recomendável configurar ISSG restritos para que somente os trabalhadores no escopo fiquem visíveis para o Microsoft Entra ID.
- Cenário com vários trabalhos de provisionamento: você tem um grande locatário do Workday e vários domínios do AD, cada um dando suporte a uma unidade de negócios/departamento/empresa diferente. Para dar suporte a essa topologia, é aconselhável executar vários trabalhos de provisionamento do Workday para o Microsoft Entra, cada trabalho provisionando um conjunto específico de trabalhadores. Nesse cenário, em vez de usar filtros de escopo do Microsoft Entra ID para excluir dados de trabalhadores, é recomendável configurar ISSG restritos para que somente os dados relevantes do trabalhador fiquem visíveis para o Microsoft Entra ID.
Consulta de conexão de teste do Workday
Para testar a conectividade com o Workday, o Microsoft Entra ID envia a solicitação de serviços Web Get_Workers do Workday.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Como funciona a sincronização completa
A sincronização completa, no contexto do provisionamento voltado para o Workday, se refere ao processo de buscar todas as identidades do Workday e determinar quais regras de provisionamento se aplicam a cada objeto de trabalhador. A sincronização completa ocorre quando você ativa o provisionamento pela primeira vez e também quando reinicia o provisionamento no Centro de administração Microsoft Entra ou usando as APIs do Graph.
O Microsoft Entra ID envia a solicitação de serviços Web Get_Workers do Workday para recuperar dados de trabalhadores. A consulta pesquisa no log de transações do Workday todas as entradas de trabalhadores com data no momento correspondente à execução da sincronização completa.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
O nó Response_Group é usado para especificar quais atributos de trabalhador serão obtidos do Workday. Para obter uma descrição de cada sinalizador no nó Response_Group, confira a documentação da API Get_Workers do Workday.
Determinados valores de sinalizador especificados no nó Response_Group são calculados com base nos atributos configurados no aplicativo de provisionamento Workday do Microsoft Entra ID. Confira a seção sobre as Entidades com suporte para conhecer os critérios usados na definição dos valores de sinalizador.
A resposta Get_Workers do Workday para a consulta acima inclui o número de registros de trabalhadores e a contagem de páginas.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Para recuperar a próxima página do conjunto de resultados, a próxima consulta de Get_Workers especifica o número da página como um parâmetro em Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
O serviço de provisionamento do Microsoft Entra processa cada página e itera todos os trabalhadores reais durante a sincronização completa. Para cada entrada de trabalhador importada do Workday:
- A expressão XPATH é aplicada para recuperar valores de atributo do Workday.
- O mapeamento de atributo e as regras de correspondência são aplicados e
- O serviço determina qual operação executar no destino (Microsoft Entra ID/Active Directory).
Quando o processamento for concluído, ele salvará o carimbo de data/hora associado ao início da sincronização completa como uma marca d' água. Essa marca d' água serve como ponto de partida para o ciclo de sincronização incremental.
Como funciona a sincronização incremental
Após a sincronização completa, o serviço de provisionamento do Microsoft Entra mantém LastExecutionTimestamp
e usa-o para criar consultas delta a fim de recuperar alterações incrementais. Durante a sincronização incremental, o Microsoft Entra ID envia os tipos de consultas a seguir ao Workday:
- Consulta de atualizações manuais
- Consulta de atualizações e terminações com data vigente
- Consulta de contratações em datas futuras
Consulta de atualizações manuais
Os Get_Workers a seguir solicitam consultas de atualizações manuais que ocorreram entre a última execução e o tempo de execução atual.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Consulta de atualizações e terminações com data vigente
Os Get_Workers a seguir solicitam consultas de atualizações com data vigente que ocorreram entre a última execução e o tempo de execução atual.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Consulta de contratações em datas futuras
Se alguma das consultas acima retornar uma contratação no futuro, a solicitação Get_Workers a seguir será usada para buscar informações sobre uma nova contratação no futuro. O atributo WID da nova contratação é usado para executar a pesquisa e a data de efetivação é definida como a data e a hora da contratação.
Observação
Contratações em datas futuras no Workday têm o campo ativo definido como "0" e ele muda para "1" na data de contratação. O conector por consultas de design para informações de contratação futura em vigor na data de contratação e, por este motivo, sempre obtém o perfil Trabalho de contratação futura com o campo Ativo definido como "1". Dessa forma, é possível configurar o perfil do Microsoft Entra para contratações futuras previamente com todas as informações corretas já preenchidas. Se desejar atrasar a habilitação da conta do Microsoft Entra ID para contratações futuras, use a função de transformação DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Recuperando atributos de dados de trabalhador
A API Get_Workers pode retornar conjuntos de dados diferentes associados a um trabalhador. Dependendo das expressões de API XPATH configuradas no esquema de provisionamento, o serviço de provisionamento do Microsoft Entra determinará quais conjuntos de dados devem ser recuperados do Workday. Da mesma forma, os sinalizadores de Response_Group são definidos na solicitação Get_Workers.
A tabela fornece diretrizes sobre como mapear a configuração a ser usada para recuperar um conjunto de dados específico.
# | Entidade do Workday | Incluído por padrão | Padrão XPATH a ser especificado no mapeamento para buscar entidades não padrão |
---|---|---|---|
1 | Personal Data |
Sim | wd:Worker_Data/wd:Personal_Data |
2 | Employment Data |
Sim | wd:Worker_Data/wd:Employment_Data |
3 | Additional Job Data |
Sim | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
4 | Organization Data |
Sim | wd:Worker_Data/wd:Organization_Data |
5 | Management Chain Data |
Sim | wd:Worker_Data/wd:Management_Chain_Data |
6 | Supervisory Organization |
Sim | SUPERVISORY |
7 | Company |
Sim | COMPANY |
8 | Business Unit |
Não | BUSINESS_UNIT |
9 | Business Unit Hierarchy |
Não | BUSINESS_UNIT_HIERARCHY |
10 | Company Hierarchy |
Não | COMPANY_HIERARCHY |
11 | Cost Center |
Não | COST_CENTER |
12 | Cost Center Hierarchy |
Não | COST_CENTER_HIERARCHY |
13 | Fund |
Não | FUND |
14 | Fund Hierarchy |
Não | FUND_HIERARCHY |
15 | Gift |
Não | GIFT |
16 | Gift Hierarchy |
Não | GIFT_HIERARCHY |
17 | Grant |
Não | GRANT |
18 | Grant Hierarchy |
Não | GRANT_HIERARCHY |
19 | Business Site Hierarchy |
Não | BUSINESS_SITE_HIERARCHY |
20 | Matrix Organization |
Não | MATRIX |
21 | Pay Group |
Não | PAY_GROUP |
22 | Programs |
Não | PROGRAMS |
23 | Program Hierarchy |
Não | PROGRAM_HIERARCHY |
24 | Region |
Não | REGION_HIERARCHY |
25 | Location Hierarchy |
Não | LOCATION_HIERARCHY |
26 | Account Provisioning Data |
Não | wd:Worker_Data/wd:Account_Provisioning_Data |
27 | Background Check Data |
Não | wd:Worker_Data/wd:Background_Check_Data |
28 | Benefit Eligibility Data |
Não | wd:Worker_Data/wd:Benefit_Eligibility_Data |
29 | Benefit Enrollment Data |
Não | wd:Worker_Data/wd:Benefit_Enrollment_Data |
30 | Career Data |
Não | wd:Worker_Data/wd:Career_Data |
31 | Compensation Data |
Não | wd:Worker_Data/wd:Compensation_Data |
32 | Contingent Worker Tax Authority Data |
Não | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
33 | Development Item Data |
Não | wd:Worker_Data/wd:Development_Item_Data |
34 | Employee Contracts Data |
Não | wd:Worker_Data/wd:Employee_Contracts_Data |
35 | Employee Review Data |
Não | wd:Worker_Data/wd:Employee_Review_Data |
36 | Feedback Received Data |
Não | wd:Worker_Data/wd:Feedback_Received_Data |
37 | Worker Goal Data |
Não | wd:Worker_Data/wd:Worker_Goal_Data |
38 | Photo Data |
Não | wd:Worker_Data/wd:Photo_Data |
39 | Qualification Data |
Não | wd:Worker_Data/wd:Qualification_Data |
40 | Related Persons Data |
Não | wd:Worker_Data/wd:Related_Persons_Data |
41 | Role Data |
Não | wd:Worker_Data/wd:Role_Data |
42 | Skill Data |
Não | wd:Worker_Data/wd:Skill_Data |
43 | Succession Profile Data |
Não | wd:Worker_Data/wd:Succession_Profile_Data |
44 | Talent Assessment Data |
Não | wd:Worker_Data/wd:Talent_Assessment_Data |
45 | User Account Data |
Não | wd:Worker_Data/wd:User_Account_Data |
46 | Worker Document Data |
Não | wd:Worker_Data/wd:Worker_Document_Data |
Observação
Cada entidade do Workday listada na tabela é protegida por uma Política de Segurança de Domínio no Workday. Se não for possível recuperar algum atributo associado à entidade depois da definição do XPATH correto, verifique com o administrador do Workday para garantir que a política de segurança de domínio apropriada esteja configurada para o usuário do sistema de integração associado ao aplicativo de provisionamento. Por exemplo, para recuperar Dados de habilidades, o acesso Obter é exigido no domínio do Workday :Worker Data: Skills and Experience.
Aqui estão alguns exemplos de como você pode estender a integração do Workday para atender a requisitos específicos.
Exemplo 1: recuperando informações do centro de custo e do grupo de pagamento
Digamos que você deseja recuperar os seguintes conjuntos de dados do Workday e usá-los em suas regras de provisionamento:
- Centro de custo
- Hierarquia do centro de custo
- Grupo de pagamento
Os conjuntos de dados acima não estão incluídos por padrão. Para recuperar esses conjuntos de dados:
Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
Navegue até Identidade>Aplicativos>Aplicativos empresariais.
Selecione seu Workday para o Active Directory/aplicativo de provisionamento de usuário do Microsoft Entra.
Selecione Provisionamento.
Edite os mapeamentos e abra a lista de atributos do Workday na seção Avançado.
Adicione as definições de atributos a seguir e marque-as como "Obrigatória". Esses atributos não são mapeados para nenhum atributo no Active Directory ou no Microsoft Entra ID. Eles servem como sinais para o conector recuperar o centro de custo, a hierarquia do centro de custo e as informações do grupo de pagamento.
Nome do atributo Expressão de API XPATH CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Depois que o centro de custo e o conjunto de dados do grupo de pagamento estiverem disponíveis na resposta Get_Workers, você poderá usar os valores de XPATH para recuperar o nome do centro de custo, o código do centro de custo e o grupo de pagamento.
Nome do atributo Expressão de API XPATH CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Exemplo 2: recuperando dados de qualificação e habilidades
Digamos que você deseje recuperar as certificações associadas a um usuário. Essas informações estão disponíveis como parte do conjunto de Dados de Qualificação. Para obter esse conjunto de dados como parte da resposta Get_Workers, use o seguinte XPATH:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Exemplo 3: recuperando atribuições de grupo de provisionamento
Digamos que você deseje recuperar Grupos de Provisionamento atribuídos a um trabalho. Essas informações estão disponíveis como parte do conjunto de Dados de Provisionamento de Conta. Para obter esses dados como parte da resposta Get_Workers, use o seguinte XPATH:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Lidando com cenários de RH diferentes
Esta seção aborda como você pode personalizar o aplicativo de provisionamento nos seguintes cenários de RH:
- Suporte para conversões de trabalho
- Recuperando atribuições de trabalho internacionais e detalhes secundários sobre o trabalho
Suporte para conversões de trabalho
Esta seção descreve o suporte ao serviço de provisionamento do Microsoft Entra para cenários em que um trabalhador passa de FTE (funcionário em tempo integral) para CW (trabalhador autônomo) ou vice-versa. Dependendo de como as conversões de trabalho são processadas no Workday, pode haver diferentes aspectos de implementação a serem considerados.
- Cenário 1: conversão com data retroativa de FTE para CW ou vice-versa
- Cenário 2: trabalhador empregado como CW/FTE hoje, muda para FTE/CW hoje
- Cenário 3: trabalhador empregado como CW/FTE é demitido, retorna como FTE/CW após um período significativo
- Cenário 4: conversão futura, quando o trabalhador é um CW/FTE ativo
Cenário 1: conversão com data retroativa de FTE para CW ou vice-versa
Sua equipe de RH pode retratar uma transação de conversão do trabalhador no dia de trabalho por razões comerciais válidas. Exemplos incluem processamento de folha de pagamento, conformidade orçamentária, requisitos legais e gerenciamento de benefícios. Veja um exemplo para ilustrar como o provisionamento é tratado para o cenário.
- É 15 de janeiro de 2023 e Janete Silva está empregada como trabalhadora autônoma. O RH oferece a Jane um cargo em tempo integral.
- Os termos da alteração do contrato de Jane exigem uma data retroativa da transação para que ela se alinhe com o início do mês atual. O RH inicia uma transação de conversão de trabalho com data retroativa no Workday em 15 de janeiro de 2023 com data de início de vigência em 1º de janeiro de 2023. Agora há dois perfis de trabalho no Workday para Jane. O perfil CW está inativo, enquanto o perfil FTE está ativo.
- O serviço de provisionamento do Microsoft Entra detectou essa alteração no log de transações do Workday em 15 de janeiro de 2023. O serviço fornece automaticamente os atributos do novo perfil FTE no próximo ciclo de sincronização.
- Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.
Cenário 2: trabalhador empregado como CW/FTE hoje, muda para FTE/CW hoje
Esse cenário é semelhante ao cenário acima, exceto que, em vez de inserir uma data retroativa para a transação, o RH executa uma conversão de trabalhador que entra em vigor imediatamente. O serviço de provisionamento do Microsoft Entra detectou essa alteração no log de transações do Workday. No próximo ciclo de sincronização, o serviço provisiona automaticamente quaisquer atributos associados com um perfil FTE ativo. Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.
Cenário 3: trabalhador empregado como CW/FTE é demitido, retorna como FTE/CW após um período significativo
É comum que os trabalhadores comecem a trabalhar em uma empresa como um trabalhador autônomo, deixem a empresa e depois retomem após vários meses como funcionário em tempo integral. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário.
- É 1º de janeiro de 2023 e João Santos começa a trabalhar como trabalhador autônomo. Como não há nenhuma conta do AD associada ao WorkerID de John (atributo correspondente), o serviço de provisionamento cria uma nova conta do AD e vincula o WID (WorkdayID) de trabalhador autônomo do John à sua conta do AD.
- O contrato de João termina em 31 de janeiro de 2023. No ciclo de provisionamento executado após o fim do dia 31 de janeiro, a conta do AD do John é desabilitada.
- João se candidata a outro cargo e decide voltar à empresa como funcionário em tempo integral a partir de 1º de maio de 2023. O RH insere as informações de João como pré-contratação em 15 de abril de 2023. Agora há dois perfis de trabalho no Workday para John. O perfil CW está inativo, enquanto o perfil FTE está ativo. Os dois registros têm o mesmo WorkerID, mas WIDsdiferentes.
- Em 15 de abril, durante o ciclo incremental, o serviço de provisionamento do Microsoft Entra transferiu automaticamente a propriedade da conta do AD para o perfil do trabalhador ativo. Nesse caso, ele desvincula o perfil de trabalho contingente da conta do AD e estabelece um novo link entre o perfil de trabalho ativo de João e a conta do AD de João.
- Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.
Cenário 4: conversão futura, quando o trabalhador é um CW/FTE ativo
Às vezes, um trabalhador já pode ser um trabalhador autônomo ativo, quando o RH inicia uma transação de conversão de trabalho pré-datada. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário e quais alterações de configuração são necessárias para dar suporte a esse cenário.
É 1º de janeiro de 2023 e João Santos começa a trabalhar como trabalhador autônomo. Como não há nenhuma conta do AD associada ao WorkerID de John (atributo correspondente), o serviço de provisionamento cria uma nova conta do AD e vincula o WID (WorkdayID) de trabalhador autônomo do John à sua conta do AD.
Em 15 de janeiro, o RH inicia uma transação para migrar João de trabalhador autônomo para funcionário em tempo integral a partir de 1º de fevereiro de 2023.
Como o serviço de provisionamento do Microsoft Entra processa contratações futuras automaticamente, ele processou o novo perfil de funcionário em tempo integral de João em 15 de janeiro e atualizou o perfil de João no AD com detalhes do emprego em tempo integral, mesmo que ele ainda seja um trabalhador autônomo.
Para evitar esse comportamento e garantir que os detalhes do FTE de João sejam provisionados em 1º de fevereiro de 2023, execute as alterações de configuração a seguir.
Alterações de configuração
- Envolva seu administrador do Workday para criar um grupo de provisionamento chamado "Conversões futuras".
- Implemente a lógica no Workday para adicionar registros de funcionários/trabalhador autônomo com conversões pré-datadas para esse grupo de provisionamento.
- Atualizar o aplicativo de provisiona Microsoft Entra para fazer a leitura do grupo de provisionamento. Confira aqui as instruções sobre como recuperar o grupo de provisionamento
- Criar um filtro de definição de escopo no Microsoft Entra ID para excluir perfis de trabalho que fazem parte desse grupo de provisionamento.
- No Workday, implemente a lógica para que, quando a data da conversão estiver em vigor, o Workday remova o registro de funcionário/trabalhador autônomo relevante do grupo de provisionamento no Workday.
- Com essa configuração, o registro de trabalho de funcionário/trabalhador autônomo existente continua em vigor e a alteração de provisionamento ocorre somente no dia da conversão.
Observação
Durante a sincronização completa inicial, você pode notar um comportamento em que os valores de atributo associados ao perfil de trabalho inativo anterior fluem para a conta do AD dos trabalhos convertidos. Isso é temporário e, à medida que a sincronização completa progride, ela é substituída por valores de atributo do perfil de trabalho ativo. Quando a sincronização completa é concluída e o trabalho de provisionamento atinge um estado estável, ele sempre escolhe o perfil de trabalho ativo durante a sincronização incremental.
Recuperando atribuições de trabalho internacionais e detalhes secundários sobre o trabalho
Por padrão, o conector do Workday recupera atributos associados ao trabalho principal do trabalhador. O conector também dá suporte à recuperação de Additional Job Data
associados a atribuições de trabalho internacionais ou a trabalhos secundários.
Use as etapas para recuperar atributos associados a atribuições de trabalho internacionais:
- Defina a URL de conexão do Workday para usar a API de serviço Web do Workday versão 30.0 ou superior. Portanto, defina os valores XPATH corretos em seu aplicativo de provisionamento do Workday.
- Use o seletor
@wd:Primary_Job=0
no nóWorker_Job_Data
para recuperar o atributo correto.- Exemplo 1: para obter
SecondaryBusinessTitle
, use o XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text()
- Exemplo 2: para obter
SecondaryBusinessLocation
, use o XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Exemplo 1: para obter
Limitações conhecidas
Esta seção lista as limitações atuais e conhecidas que os clientes podem enfrentar na integração do Workday.
- O conector não dá suporte à recuperação de campos calculados do Workday.
- O conector não dá suporte à sincronização de fotos do Workday.
- O conector não dá suporte à recuperação avançada de trabalhadores cujo último dia de trabalho é devido.
- Durante a sincronização incremental, pode haver um atraso no processamento do evento de encerramento para trabalhadores localizados nas regiões Pacífico Asiático e Austrália/Nova Zelândia.