Tutorial: configurar o provisionamento de usuários do Workday para o Microsoft Entra
O objetivo deste tutorial é mostrar as etapas que você deve executar para provisionar os dados da função de trabalho do Workday para o Microsoft Entra ID.
Observação
Use este tutorial se os usuários que você deseja provisionar do Workday forem usuários somente de nuvem que não precisam de uma conta do AD local. Se os usuários precisarem apenas de uma conta do AD local ou de uma conta do AD e do Microsoft Entra, consulte o tutorial sobre configurar o Workday para o provisionamento de usuários do Active Directory.
O vídeo a seguir fornece uma rápida visão geral das etapas envolvidas ao planejar sua integração de provisionamento com o Workday.
Visão geral
O serviço de provisionamento de usuários do Microsoft Entra integra-se à API de Recursos Humanos do Workday para provisionar contas de usuários. Os fluxos de trabalho de provisionamento de usuários do Workday com suporte pelo serviço de provisionamento de usuários Microsoft Entra habilitam a automação dos seguintes cenários de recursos humanos e gerenciamento do ciclo de vida da identidade:
Contratação de novos funcionários: quando um novo funcionário é adicionado ao Workday, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID, com gravação do endereço de email no Workday.
Atualizações de atributos e perfis de funcionários: quando um registro de funcionário é atualizado no Workday (como nome, cargo ou gerente), sua conta de usuário é atualizada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
Rescisões de funcionários: quando um funcionário é demitido no Workday, sua conta de usuário é automaticamente desabilitada no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS com suporte do Microsoft Entra ID.
Recontratação de funcionários: quando um funcionário é recontratado no Workday, sua conta antiga pode ser automaticamente reativada ou reprovisionada (dependendo da sua preferência) para o Microsoft Entra ID e, opcionalmente, para o Microsoft 365 e outros aplicativos SaaS dados suporte pelo Microsoft Entra ID.
Para quem é mais recomendada essa solução de provisionamento de usuário?
Essa solução de provisionamento de usuários do Workday para o Microsoft Entra é o pacote ideal para:
Organizações que desejam uma solução predefinida, baseados em nuvem para o provisionamento de usuário do Workday
Organizações que exigem o provisionamento direto de usuários do Workday para o Microsoft Entra ID
Organizações que precisam que os usuários sejam provisionados usando dados obtidos do Workday
Organizações que usam o Microsoft 365 para email
Arquitetura da solução
Esta seção descreve a arquitetura da solução de provisionamento do usuário de ponta a ponta para usuários somente de nuvem. Há dois fluxos relacionados:
Fluxo de dados de RH autorizado - do Workday para o Microsoft Entra ID: nesse fluxo, os eventos do trabalho (como novas contratações, transferências, rescisões) ocorrem primeiro no Workday e, em seguida, os dados do evento fluem para o Microsoft Entra ID. Dependendo do evento, ele pode levar a operações de criação/atualização/habilitação/desabilitação no Microsoft Entra ID.
Fluxo de Write-back – do Active Directory local para o Workday: uma vez que a criação da conta é concluída no Active Directory, ela é sincronizada com o Microsoft Entra ID por meio do Microsoft Entra Connect e informações como email, nome de usuário e número de telefone podem ser escritas de volta para o Workday.
Fluxo de dados do usuário de ponta a ponta
- A equipe de RH realiza transações de trabalho (acréscimos/movimentações/saídas ou novas contratações/transferências/desligamentos) na Central de Funcionários do Workday
- O serviço de provisionamento do Microsoft Entra executa sincronizações agendadas de identidades do Workday EC e identifica as alterações que precisam ser processadas para sincronização com o Active Directory local.
- O serviço de provisionamento do Microsoft Entra determina a alteração e invoca a operação de criar/atualizar/habilitar/desabilitar para o usuário no Microsoft Entra ID.
- Se o aplicativo Write-back do Workday estiver configurado, ele recuperará atributos como email, nome de usuário e número de telefone do Microsoft Entra ID.
- O serviço de provisionamento do Microsoft Entra define o email, nome de usuário e número de telefone no Workday.
Planejamento da implantação
A configuração do provisionamento de usuários orientado pelo Cloud HR do Workday para o Microsoft Entra ID exige um planejamento considerável que abrange diferentes aspectos, como:
- Determinar a ID de correspondência
- Mapeamento de atributos
- Transformação de atributos
- Filtros de escopo
Veja o plano de implantação do RH na Nuvem para obter diretrizes abrangentes sobre esses tópicos.
Configurar o usuário do sistema de integração no Workday
Veja a seção Configurar usuário do sistema de integração para criar uma conta de usuário do sistema de integração do Workday com permissões para recuperar os dados dos trabalhadores.
Configurar o provisionamento de usuários do Workday para o Microsoft Entra ID
As seções a seguir descrevem as etapas para configurar o provisionamento de usuários do Workday para o Microsoft Entra ID para implantações somente na nuvem.
- Adicionando o aplicativo conector de provisionamento do Microsoft Entra e criando a conexão com o Workday
- Configure os mapeamentos de atributos do Workday e do Microsoft Entra
- Habilitar e iniciar o provisionamento de usuário
Parte 1: adicionando o aplicativo conector de provisionamento Microsoft Entra e criando a conexão com o Workday
Para configurar o Workday para o provisionamento do Microsoft Entra para usuários somente na nuvem:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
Procure Workday no provisionamento de usuários do Microsoft Entra e adicione esse aplicativo da galeria.
Depois de adicionar o aplicativo e a tela de detalhes do aplicativo for exibida, selecione Provisionamento.
Altere o Modo de Provisionamento para Automático.
Conclua a seção Credenciais de Administrador, conforme a seguir:
Nome de Usuário do Workday – Digite o nome de usuário da conta do sistema de integração do Workday com o nome de domínio do locatário acrescentado. Ele deve ser semelhante a: username@contoso4
Senha do Workday – Digite a senha da conta do sistema de integração do Workday
URL da API do Workday Web Services: insira a URL para o ponto de extremidade de serviços Web do Workday para o seu locatário. A URL determina a versão da API do Workday Web Services usada pelo conector.
Formato de URL Versão usada da API do WWS Alterações necessárias em XPATH https://####.workday.com/ccx/service/tenantName v21.1 Não https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Não https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Sim Observação
Se nenhuma informação de versão for especificada na URL, o aplicativo usará o WWS (Workday Web Services) v21.1 e nenhuma alteração será necessária para as expressões padrão da API XPATH enviadas com o aplicativo. Para usar uma versão específica da API do WWS, especifique o número de versão na URL
Exemplo:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Se você estiver usando uma API WWS v30.0+, antes de ativar o trabalho de provisionamento, atualize as expressões de API XPATH em Mapeamento de Atributos -> Opções Avançadas -> Editar lista de atributos para Workday, consultando a seção Gerenciando sua configuração e Referência de atributos do Workday.Email de Notificação – Digite seu endereço de email e marque a caixa de seleção “enviar email se ocorrer falha”.
Clique no botão Conexão de Teste.
Se o teste de conexão for bem-sucedido, clique no botão Salvar na parte superior. Se falhar, verifique novamente se o URL do Workday e as credenciais são válidas no Workday.
Parte 2: configurar os mapeamentos de atributos do Workday e do Microsoft Entra
Nesta seção, você configurará como os dados do usuário fluem do Workday para o Microsoft Entra ID para usuários somente na nuvem.
Na guia Provisionamento, em Mapeamentos, clique em Sincronizar Funções de Trabalho com o Microsoft Entra ID.
No campo Escopo do Objeto de Origem, você pode selecionar quais conjuntos de usuários no Workday devem estar no escopo do provisionamento para o Microsoft Entra ID, definindo um conjunto de filtros baseados em atributos. O escopo padrão é “todos os usuários no Workday”. Filtros de exemplo:
Exemplo: escopo para usuários com IDs de Trabalho entre 1000000 e 2000000
Atributo: WorkerID
Operador: Coincidir EXREG
Valor: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Exemplo: Apenas trabalhadores contingentes e funcionários não regulares
Atributo: ContingentID
Operador: IS NOT NULL
No campo Ações do objeto de destino, você pode filtrar globalmente quais ações são executadas no Microsoft Entra ID. Criar e Atualizar são as mais comuns.
Na seção Mapeamentos de atributos é possível definir como os atributos individuais do Workday mapeiam atributos do Active Directory.
Clique em um mapeamento de atributo existente para atualizá-lo ou clique em Adicionar novo mapeamento na parte inferior da tela para adicionar novos mapeamentos. Um mapeamento de atributo individual dá suporte para essas propriedades:
Tipo de Mapeamento
Direto – grava o valor do atributo do Workday no atributo AD, sem alterações
Constante - grava um valor de cadeia de caracteres constante estático para o atributo do AD
Expressão – Permite gravar um valor personalizado para o atributo do AD baseado em um ou mais atributos do Workday. Para obter mais informações, consulte este artigo sobre expressões.
Atributo de origem - O atributo de usuário do Workday. Se o atributo desejado não estiver disponível, confira Personalizar a lista de atributos de usuários do Workday.
Valor padrão – Opcional. Se o atributo de origem tiver um valor vazio, o mapeamento irá gravar esse valor. A configuração mais comum é deixar em branco.
Atributo de destino: o atributo do usuário no Microsoft Entra ID.
Corresponder objetos utilizando este atributo: se este atributo deve ou não ser utilizado para identificar exclusivamente os usuários entre o Workday e o Microsoft Entra ID. Esse valor é normalmente definido no campo ID do Trabalho para o Workday, que normalmente é mapeado para o atributo ID do Funcionário (novo) ou um atributo de extensão no Microsoft Entra ID.
Precedência de correspondência – vários atributos de correspondência podem ser definidos. Quando houver vários, os atributos serão avaliados na ordem definida por esse campo. Assim que uma correspondência for encontrada, mais nenhum atributo correspondente será avaliado.
Aplicar esse mapeamento
Sempre – aplicar esse mapeamento nas ações de criação e atualização do usuário
Somente durante a criação – aplicar esse mapeamento somente nas ações de criação de usuário
Para salvar seus mapeamentos, clique em Salvar na parte superior da seção Mapeamento de Atributos.
Habilitar e iniciar o provisionamento de usuário
Depois que as configurações do aplicativo de provisionamento do Workday tiverem sido concluídas, você pode ativar o serviço de provisionamento.
Dica
Por padrão, quando você ativa o serviço de provisionamento, ele iniciará as operações de provisionamento para todos os usuários no escopo. Se houver erros em problemas de dados de mapeamento ou Workday, o trabalho de provisionamento pode falhar e prosseguir para o estado de quarentena. Para evitar isso, como uma melhor prática, recomendamos configurar o filtro Escopo do objeto de origem e testar seus mapeamentos de atributos com alguns usuários de teste antes de iniciar a sincronização completa para todos os usuários. Após ter verificado que os mapeamentos funcionam e estão fornecendo os resultados desejados, você pode remover o filtro ou expandi-lo gradualmente para incluir mais usuários.
Na guia Provisionamento, defina o Status de Provisionamento para Em.
Clique em Save (Salvar).
Essa operação inicia a sincronização inicial, o que poderá demorar algumas horas dependendo de quantos usuários estiverem no locatário do Workday. Verifique a barra de progresso para acompanhar o progresso do ciclo de sincronização.
A qualquer momento, verifique o guia Provisionamento no Centro de administração do Microsoft Entra para visualizar as ações executadas pelo serviço de provisionamento. Os logs de auditoria listam todos os eventos de sincronização individuais executados pelo serviço de provisionamento, como, por exemplo, quais usuários estão sendo lidos do Workday e, em seguida, adicionados ou atualizados ao Microsoft Entra ID.
Após a sincronização inicial ser concluída, um relatório de resumo de auditoria será gravado na guia Provisionamento conforme mostrado abaixo.
Próximas etapas
- Saiba mais sobre os cenários de integração do ID do Microsoft Entra ID e do Workday e as chamadas de serviço da Web
- Saiba mais sobre os Atributos do Workday com suporte para o provisionamento de entrada
- Saiba como configurar o Write-back do Workday
- Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento
- Saiba como configurar o logon único entre o Workday e o Microsoft Entra ID
- Saiba como exportar e importar as configurações de provisionamento