Поделиться через

Синхронизация атрибутов для рабочих процессов жизненного цикла

  • Статья

Рабочие процессы содержат определенные задачи, которые могут выполняться автоматически для пользователей на основе указанных условий выполнения. Автоматическое планирование рабочих процессов поддерживается на основе атрибутов пользователя employeeHireDate и employeeLeaveDateTime в идентификаторе Microsoft Entra.

Чтобы воспользоваться всеми преимуществами рабочих процессов жизненного цикла, подготовка пользователей должна быть автоматизирована, а планирование соответствующих атрибутов должно быть синхронизировано.

Планирование соответствующих атрибутов

В следующей таблице показаны соответствующие атрибуты планирования (триггера) и поддерживаемые методы синхронизации.

Атрибут Тип Поддерживается при подготовке входящего трафика отдела кадров Поддерживается в облачной синхронизации Microsoft Entra Connect Поддерживается в синхронизации Microsoft Entra Connect
employeeHireDate DateTimeOffset Да Да Да
employeeLeaveDateTime DateTimeOffset Да Да Да

Примечание.

Для пользователей, доступных только для облака, вручную для параметра employeeLeaveDateTime требуются специальные разрешения. Дополнительные сведения см. в разделе "Настройка свойства employeeLeaveDateTime для пользователя"

В этом документе объясняется, как настроить синхронизацию из локальной облачной синхронизации Microsoft Entra Connect или Microsoft Entra Connect для необходимых атрибутов.

Примечание.

В Active Directory отсутствует соответствующий атрибут EmployeeHireDate или EmployeeLeaveDateTime. При синхронизации из локальной службы AD необходимо определить атрибут в AD, который можно использовать. Этот атрибут должен быть строкой.

Основные сведения о форматировании атрибутов EmployeeHireDate и EmployeeLeaveDateTime

Атрибуты EmployeeHireDate и EmployeeLeaveDateTime содержат даты и время, которые должны быть отформатированы определенным образом. Это означает, что может потребоваться использовать выражение для преобразования значения исходного атрибута в формат EmployeeHireDate или EmployeeLeaveDateTime. В следующей таблице описывается ожидаемый формат и приведен пример выражения по преобразованию значений.

Сценарий Выражение/формат Назначение Дополнительные сведения
Подготовка пользователей из Workday в Azure Active Directory FormatDateTime([StatusHireDate], "гггг-ММ-ddzzz", "yMMdDHHmmss.fZ") Локальный строковый атрибут AD Сопоставление атрибутов для Workday
Подготовка пользователей из SuccessFactors в Active Directory FormatDateTime([endDate], "M/d/yy hh:mm:ss tt","yMDdHHmmss.fZ") Локальный строковый атрибут AD Сопоставления атрибутов для SAP Success Factors
Настраиваемый импорт в Active Directory Должен иметь формат "yyyyMMddHHmmss.fZ" Локальный строковый атрибут AD Сопоставления атрибутов для любой другой системы записи
API пользователя Microsoft Graph Должен иметь формат "YYYY-MM-DDThh:mm:ssZ" EmployeeHireDate и EmployeeLeaveDateTime
Workday to Microsoft Entra user provisioning Может использовать прямое сопоставление. Выражение не требуется, но можно использовать для настройки части времени EmployeeHireDate и EmployeeLeaveDateTime EmployeeHireDate и EmployeeLeaveDateTime
SuccessFactors для подготовки пользователей Microsoft Entra Может использовать прямое сопоставление. Выражение не требуется, но можно использовать для настройки части времени EmployeeHireDate и EmployeeLeaveDateTime EmployeeHireDate и EmployeeLeaveDateTime

Дополнительные сведения о выражениях см. в справочнике по написанию выражений для сопоставления атрибутов в идентификаторе Microsoft Entra.

Примеры выражений в таблице используют endDate для SAP и StatusHireDate для Workday. Однако вы можете использовать различные атрибуты.

Например, можно использовать StatusContinuousFirstDayOfWork вместо StatusHireDate для Workday. В этом экземпляре выражение будет следующим:

FormatDateTime([StatusContinuousFirstDayOfWork], , "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ")

В следующей таблице приведен список предлагаемых атрибутов и рекомендации по сценариям для них.

Атрибут отдела кадров Система управления персоналом Сценарий Атрибут Microsoft Entra
StatusHireDate Workday Принятие сотрудника на работу EmployeeHireDate
StatusContinuousFirstDayOfWork Workday Принятие сотрудника на работу EmployeeHireDate
StatusDateEnteredWorkforce Workday Принятие сотрудника на работу EmployeeHireDate
StatusOriginalHireDate Workday Принятие сотрудника на работу EmployeeHireDate
StatusEndEmploymentDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
StatusResignationDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
StatusRetirementDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
StatusTerminationDate Workday Увольняющийся сотрудник EmployeeLeaveDateTime
startDate SAP SF Принятие сотрудника на работу EmployeeHireDate
firstDateWorked SAP SF Принятие сотрудника на работу EmployeeHireDate
lastDateWorked SAP SF Увольняющийся сотрудник EmployeeLeaveDateTime
endDate SAP SF Увольняющийся сотрудник EmployeeLeaveDateTime

Дополнительные атрибуты см. в справочнике по атрибуту Workday и справочнике по атрибуту SAP SuccessFactors.

Важность времени

Чтобы обеспечить точность времени запланированных рабочих процессов, важно учитывать следующее:

  • Часть времени атрибута должна быть задана соответствующим образом, например в employeeHireDate должно быть время в начале дня, например 1:00 или 5:00, а в employeeLeaveDateTime должно быть время в конце дня, например 21:00 или 23:00
  • Рабочие процессы не будут выполняться раньше указанного в атрибуте времени, однако расписание клиента (по умолчанию 3h) может отложить выполнение рабочего процесса. Например, если задать для employeeHireDate время 8:00, но расписание клиента не будет выполняться до 9:00, рабочий процесс не будет обработан до этого момента. Если новый наем начинается с 8 утра, вы хотите задать время на что-то подобное (время начала - расписание клиента), чтобы убедиться, что он выполняется до прибытия сотрудника.
  • Если вы используете временный секретный код (TAP), рекомендуется задать максимальное время существования 24 часа. Это поможет убедиться, что срок действия TAP не истек после отправки сотруднику, который может находиться в другом часовом поясе. Дополнительные сведения см. в разделе "Настройка временного прохода доступа" в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля.
  • При импорте данных следует понимать, предоставляет ли источник сведения о часовом поясе для пользователей, чтобы они могли внести коррективы и обеспечить точность времени.

Создание настраиваемого правила синхронизации в облачной синхронизации Microsoft Entra Connect для EmployeeHireDate

Ниже описано, как создать правило синхронизации с помощью облачной синхронизации.

  1. В Центре администрирования Microsoft Entra перейдите к гибридному управлению >>Microsoft Entra Connect.
  2. Выберите "Управление облачной синхронизацией Microsoft Entra Connect".
  3. В разделе Конфигурация выберите свою конфигурацию.
  4. Щелкните ссылку Нажмите, чтобы изменить сопоставления. Она открывает экран Сопоставления атрибутов.
  5. Нажмите кнопку Добавить атрибут.
  6. Введите следующие сведения:
    • Тип сопоставления: прямое
    • Атрибут источника: msDS-cloudExtensionAttribute1
    • Значение по умолчанию: оставьте пустым
    • Целевой атрибут: employeeHireDate
    • Применение этого сопоставления: Всегда Снимок экрана: сопоставление облачных атрибутов.
  7. Выберите Применить.
  8. Вернитесь на экран Сопоставления атрибутов, где вы увидите новое сопоставление атрибутов.
  9. Выберите Сохранить схему.

Дополнительные сведения об атрибутах см. в разделе "Сопоставление атрибутов" в облачной синхронизации Microsoft Entra Connect.

Создание настраиваемого правила синхронизации в Microsoft Entra Connect для EmployeeHireDate

В следующем примере показано, как настроить настраиваемое правило синхронизации, которое синхронизирует атрибут Active Directory с атрибутом employeeHireDate в идентификаторе Microsoft Entra.

  1. Откройте окно PowerShell от имени администратора и запустите Set-ADSyncScheduler -SyncCycleEnabled $false , чтобы отключить планировщик.
  2. Перейдите в раздел Start\Microsoft Entra Connect\ и откройте редактор правил синхронизации
  3. Убедитесь, что для направления в верхней части задано значение Входящие.
  4. Выберите Добавить правило.
  5. На экране Создание правила синхронизации для входящего трафика введите следующие сведения и нажмите кнопку Далее.
    • Имя: Вход из AD — EmployeeHireDate
    • Подключенная система: contoso.com
    • Тип объекта подключенной системы: пользователь
    • Тип объекта метавселенной: человек
    • Приоритет: 20 Снимок экрана: создание основных принципов правила синхронизации для входящего трафика.
  6. На экране Фильтр области действия нажмите кнопку Далее.
  7. На экране Правила присоединения нажмите кнопку Далее.
  8. На экране Преобразования в разделе Добавление преобразований введите следующие сведения.
    • Тип потока: прямой
    • Целевой атрибут: employeeHireDate
    • Источник: msDS-cloudExtensionAttribute1 Снимок экрана: создание преобразований правил входящего синхронизации.
  9. Выберите Добавить.
  10. Убедитесь, что в редакторе правил синхронизации для направления в верхней части задано значение Исходящие.
  11. Выберите Добавить правило.
  12. На экране Создание правила синхронизации для исходящего трафика введите следующие сведения и нажмите кнопку Далее.
    • Имя: выход в идентификатор Microsoft Entra — EmployeeHireDate
    • Подключенная система: <ваш клиент>
    • Тип объекта подключенной системы: пользователь
    • Тип объекта метавселенной: человек
    • Приоритет: 21
  13. На экране Фильтр области действия нажмите кнопку Далее.
  14. На экране Правила присоединения нажмите кнопку Далее.
  15. На экране Преобразования в разделе Добавление преобразований введите следующие сведения.
    • Тип потока: прямой
    • Целевой атрибут: employeeHireDate
    • Источник: employeeHireDate Снимок экрана: создание преобразований правил исходящей синхронизации.
  16. Выберите Добавить.
  17. Закройте Редактор правил синхронизации
  18. Снова включите планировщик, выполнив команду Set-ADSyncScheduler -SyncCycleEnabled $true.

Примечание.

  • msDS-cloudExtensionAttribute1 — пример источника.
  • Начиная с Microsoft Entra Connect 2.0.3.0, employeeHireDate добавляется в правило по умолчанию "Out to Microsoft Entra ID", поэтому шаги 10-16 не требуются.
  • Начиная с Microsoft Entra Connect 2.1.19.0, employeeLeaveDateTime добавляется в правило по умолчанию "Out to Microsoft Entra ID", поэтому шаги 10-16 не требуются.

Дополнительные сведения см. в разделе Настройка правила синхронизации и Изменение конфигурации по умолчанию.

Изменение сопоставления атрибутов в приложении подготовки

После настройки приложения подготовки вы сможете изменить его сопоставление атрибутов. При создании приложения вы получите список сопоставлений по умолчанию между HRM и Active Directory. Оттуда можно изменить существующее сопоставление или добавить новое сопоставление.

Чтобы обновить это сопоставление, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Перейдите к приложениям Identity>Applications>Enterprise.

  3. Откройте подготовленное приложение.

  4. Выберите "Подготовка" и выберите " Изменить сопоставление атрибутов".

  5. Выберите "Показать дополнительные параметры", а затем выберите "Изменить список атрибутов" для локальной службы Active Directory. Снимок экрана: редактирование локального атрибута.

  6. Добавьте исходный атрибут или атрибуты, созданные в качестве строки типа, и установите флажок для обязательного. Снимок экрана: список исходных API.

    Примечание.

    Число и имя добавленных исходных атрибутов зависит от того, какие атрибуты синхронизируются из Active Directory.

  7. Выберите Сохранить.

  8. Оттуда необходимо сопоставить атрибуты HRM с добавленными атрибутами Active Directory. Для этого добавьте новое сопоставление с помощью выражения.

  9. Выражение должно соответствовать форматированию, найденном в разделе форматирования EmployeeHireDate и EmployeeLeaveDateTime. Снимок экрана: настройка формата атрибута.

  10. Нажмите кнопку "ОК".

Как проверить эти значения атрибутов в идентификаторе Microsoft Entra

Чтобы просмотреть значения, заданные в этих свойствах для пользовательских объектов в идентификаторе Microsoft Entra ID, можно использовать пакет SDK Microsoft Graph PowerShell. Например:

# Import Module
Import-Module Microsoft.Graph.Users

# Define the necessary scopes
$Scopes =@("User.Read.All", "User-LifeCycleInfo.Read.All")

# Connect using the scopes defined and select the Beta API Version
Connect-MgGraph -Scopes $Scopes


# Query a user, using its user ID, and return the desired properties
$user = Get-MgUser -UserID "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" -Property EmployeeLeaveDateTime
$User.EmployeeLeaveDateTime

Снимок экрана: результат.

Следующие шаги