Så integreras Microsoft Entra-etablering med Workday
Microsoft Entra-tjänsten för användaretablering integreras med Workday HCM för att hantera användarnas identitetslivscykel. Microsoft Entra ID erbjuder tre fördefinierade integreringar:
- Workday till lokal Active Directory användaretablering
- Workday till Microsoft Entra-användaretablering
- Tillbakaskrivning av workday
Den här artikeln förklarar hur integreringen fungerar och hur du kan anpassa etableringsbeteendet för olika HR-scenarier.
Upprätta anslutning
Begränsa Workday API-åtkomst till Microsoft Entra-slutpunkter
Microsoft Entra-etableringstjänsten använder grundläggande autentisering för att ansluta till Workday Web Services API-slutpunkter.
För att ytterligare skydda anslutningen mellan Microsoft Entra-etableringstjänsten och Workday kan du begränsa åtkomsten så att den utsedda integreringssystemets användare endast får åtkomst till Workday-API:erna från tillåtna Microsoft Entra-IP-intervall. Kontakta workday-administratören för att slutföra följande konfiguration i din Workday-klientorganisation.
- Ladda ned de senaste IP-intervallen för det offentliga Azure-molnet.
- Öppna filen och sök efter taggen
AzureActiveDirectory. - Kopiera alla IP-adressintervall som anges i elementadressenPrefixes och använd intervallet för att skapa din IP-adresslista.
- Logga in på administratörsportalen för Workday.
- Få åtkomst till uppgiften Underhåll IP-intervall för att skapa ett nytt IP-intervall för Azure-datacenter. Ange IP-intervall (med CIDR-notation) som en kommaavgränsad lista.
- Få åtkomst till uppgiften Hantera autentiseringsprinciper för att skapa en ny autentiseringsprincip. I autentiseringsprincipen använder du listan över tillåtna autentiseringar för att ange IP-intervallet Microsoft Entra och säkerhetsgruppen som tillåts åtkomst från det här IP-intervallet. Spara ändringarna.
- Gå till aktiviteten Aktivera alla väntande autentiseringsprincipändringar för att bekräfta ändringarna.
Begränsa åtkomsten till arbetsdata i Workday med hjälp av begränsade säkerhetsgrupper
Standardstegen för att konfigurera Workday-integreringssystemet ger åtkomst för att hämta alla användare i din Workday-klientorganisation. I vissa integreringsscenarier kanske du vill begränsa åtkomsten. Du kan till exempel bara returnera användare i vissa tillsynsorganisationer från API-anropet Get_Workers .
Du kan begränsa åtkomsten genom att arbeta med din Workday-administratör och konfigurera begränsade säkerhetsgrupper för integrationssystem. Mer information finns i avsnittet Get_Workers sammanhangsberoende säkerhet i det här Workday-dokumentet Concept: Get Workers SOAP Web Service Guidelines (Workday Community-åtkomst krävs för den här artikeln).
Den här strategin för att begränsa åtkomsten med begränsad ISSG (Integration System Security Groups) är användbar i följande scenarier:
- Scenario med stegvis distribution: Du har en stor Workday-klientorganisation och planerar att utföra en stegvis distribution av Workday till automatisk etablering av Microsoft Entra ID. I det här scenariot rekommenderar vi att du konfigurerar begränsad ISSG i stället för att exkludera användare som inte omfattas av den aktuella fasen med Microsoft Entra-ID-omfångsfilter, så att endast arbetare inom omfånget är synliga för Microsoft Entra-ID.
- Scenario med flera etableringsjobb: Du har en stor Workday-klientorganisation och flera AD-domäner som var och en stöder en annan affärsenhet/division/företag. För att stödja den här topologin vill du köra flera Workday-till Microsoft Entra-etableringsjobb med varje jobb som etablerar en specifik uppsättning arbetare. I det här scenariot rekommenderar vi att du konfigurerar begränsad ISSG i stället för att använda Microsoft Entra ID-omfångsfilter för att undanta arbetsdata så att endast relevanta arbetsdata visas för Microsoft Entra-ID.
Anslutningsfråga för Workday-test
För att testa anslutningen till Workday skickar Microsoft Entra ID följande Get_Workers Workday Web Services-begäran.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Så här fungerar fullständig synkronisering
Fullständig synkronisering i samband med Workday-driven etablering syftar på processen att hämta alla identiteter från Workday och bestämma vilka etableringsregler som ska tillämpas på varje arbetsobjekt. Fullständig synkronisering sker när du aktiverar etablering för första gången och även när du startar om etableringen från administrationscentret för Microsoft Entra eller med graph-API:er.
Microsoft Entra-ID skickar följande Get_Workers Workday Web Services-begäran för att hämta arbetsdata. Frågan letar upp Workday-transaktionsloggen för alla effektiva daterade arbetsposter per den tid som motsvarar den fullständiga synkroniseringskörningen.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Noden Response_Group används för att ange vilka arbetarattribut som ska hämtas från Workday. En beskrivning av varje flagga i noden Response_Group finns i dokumentationen för Workday Get_Workers API.
Vissa flaggvärden som anges i den Response_Group noden beräknas baserat på de attribut som konfigurerats i Workday Microsoft Entra-etableringsprogrammet. Se avsnittet om entiteter som stöds för de kriterier som används för att ange flaggvärdena.
Det Get_Workers svaret från Workday för ovanstående fråga innehåller antalet arbetsposter och antalet sidor.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Om du vill hämta nästa sida i resultatuppsättningen anger nästa Get_Workers fråga sidnumret som en parameter i Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
Microsoft Entra-etableringstjänsten bearbetar varje sida och itererar genom alla effektiva arbetare under fullständig synkronisering. För varje arbetspost som importeras från Workday:
- XPATH-uttrycket används för att hämta attributvärden från Workday.
- Attributmappningen och matchningsreglerna tillämpas och
- Tjänsten avgör vilken åtgärd som ska utföras i målet (Microsoft Entra-ID/Active Directory).
När bearbetningen är klar sparar den tidsstämpel som är associerad med starten av fullständig synkronisering som en vattenstämpel. Den här vattenstämpeln fungerar som startpunkt för den inkrementella synkroniseringscykeln.
Så här fungerar inkrementell synkronisering
Efter fullständig synkronisering underhåller och använder Microsoft Entra-etableringstjänsten LastExecutionTimestamp den för att skapa deltafrågor för att hämta inkrementella ändringar. Under inkrementell synkronisering skickar Microsoft Entra-ID:t följande typer av frågor till Workday:
- Fråga efter manuella uppdateringar
- Fråga efter uppdaterade uppdateringar och avslutningar
- Fråga efter framtida daterade anställningar
Fråga efter manuella uppdateringar
Följande Get_Workers begära frågor om manuella uppdateringar som inträffade mellan den senaste körningen och den aktuella körningstiden.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Fråga efter uppdaterade uppdateringar och avslutningar
Följande Get_Workers begära frågor om uppdateringar med giltighetsdatum som inträffat mellan den senaste körningen och den aktuella körningstiden.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Fråga efter framtida daterade anställningar
Om någon av ovanstående frågor returnerar en framtida daterad anställning används följande Get_Workers begäran för att hämta information om en framtida daterad ny anställning. WID-attributet för den nya anställningen används för att utföra sökningen och det gällande datumet är inställt på datum och tid för anställning.
Kommentar
Framtida daterade anställningar i Workday har fältet Aktivt inställt på "0" och ändras till "1" på anställningsdatumet. Anslutningsappen efter design frågar efter information om framtida anställning som gäller vid anställningsdatumet och det är därför den alltid får en arbetsprofil för framtida anställning med fältet Aktivt inställt på "1". På så sätt kan du konfigurera Microsoft Entra-profilen för framtida anställningar i förväg med all rätt information i förväg. Om du vill fördröja aktiveringen av Microsoft Entra-kontot för framtida anställningar använder du transformeringsfunktionen DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Hämtar arbetsdataattribut
GET_WORKERS-API:et kan returnera olika datauppsättningar som är associerade med en arbetare. Beroende på de XPATH API-uttryck som konfigurerats i etableringsschemat avgör Microsoft Entra-etableringstjänsten vilka datauppsättningar som ska hämtas från Workday. Därför anges de Response_Group flaggorna i Get_Workers begäran.
Tabellen innehåller vägledning om mappningskonfiguration som ska användas för att hämta en specifik datauppsättning.
| # | Workday-entitet | Ingår som standard | XPATH-mönster som ska anges i mappningen för att hämta nondefault-entiteter |
|---|---|---|---|
| 1 | Personal Data |
Ja | wd:Worker_Data/wd:Personal_Data |
| 2 | Employment Data |
Ja | wd:Worker_Data/wd:Employment_Data |
| 3 | Additional Job Data |
Ja | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
| 4 | Organization Data |
Ja | wd:Worker_Data/wd:Organization_Data |
| 5 | Management Chain Data |
Ja | wd:Worker_Data/wd:Management_Chain_Data |
| 6 | Supervisory Organization |
Ja | SUPERVISORY |
| 7 | Company |
Ja | COMPANY |
| 8 | Business Unit |
Nej | BUSINESS_UNIT |
| 9 | Business Unit Hierarchy |
Nej | BUSINESS_UNIT_HIERARCHY |
| 10 | Company Hierarchy |
Nej | COMPANY_HIERARCHY |
| 11 | Cost Center |
Nej | COST_CENTER |
| 12 | Cost Center Hierarchy |
Nej | COST_CENTER_HIERARCHY |
| 13 | Fund |
Nej | FUND |
| 14 | Fund Hierarchy |
Nej | FUND_HIERARCHY |
| 15 | Gift |
Nej | GIFT |
| 16 | Gift Hierarchy |
Nej | GIFT_HIERARCHY |
| 17 | Grant |
Nej | GRANT |
| 18 | Grant Hierarchy |
Nej | GRANT_HIERARCHY |
| 19 | Business Site Hierarchy |
Nej | BUSINESS_SITE_HIERARCHY |
| 20 | Matrix Organization |
Nej | MATRIX |
| 21 | Pay Group |
Nej | PAY_GROUP |
| 22 | Programs |
Nej | PROGRAMS |
| 23 | Program Hierarchy |
Nej | PROGRAM_HIERARCHY |
| 24 | Region |
Nej | REGION_HIERARCHY |
| 25 | Location Hierarchy |
Nej | LOCATION_HIERARCHY |
| 26 | Account Provisioning Data |
Nej | wd:Worker_Data/wd:Account_Provisioning_Data |
| 27 | Background Check Data |
Nej | wd:Worker_Data/wd:Background_Check_Data |
| 28 | Benefit Eligibility Data |
Nej | wd:Worker_Data/wd:Benefit_Eligibility_Data |
| 29 | Benefit Enrollment Data |
Nej | wd:Worker_Data/wd:Benefit_Enrollment_Data |
| 30 | Career Data |
Nej | wd:Worker_Data/wd:Career_Data |
| 31 | Compensation Data |
Nej | wd:Worker_Data/wd:Compensation_Data |
| 32 | Contingent Worker Tax Authority Data |
Nej | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
| 33 | Development Item Data |
Nej | wd:Worker_Data/wd:Development_Item_Data |
| 34 | Employee Contracts Data |
Nej | wd:Worker_Data/wd:Employee_Contracts_Data |
| 35 | Employee Review Data |
Nej | wd:Worker_Data/wd:Employee_Review_Data |
| 36 | Feedback Received Data |
Nej | wd:Worker_Data/wd:Feedback_Received_Data |
| 37 | Worker Goal Data |
Nej | wd:Worker_Data/wd:Worker_Goal_Data |
| 38 | Photo Data |
Nej | wd:Worker_Data/wd:Photo_Data |
| 39 | Qualification Data |
Nej | wd:Worker_Data/wd:Qualification_Data |
| 40 | Related Persons Data |
Nej | wd:Worker_Data/wd:Related_Persons_Data |
| 41 | Role Data |
Nej | wd:Worker_Data/wd:Role_Data |
| 42 | Skill Data |
Nej | wd:Worker_Data/wd:Skill_Data |
| 43 | Succession Profile Data |
Nej | wd:Worker_Data/wd:Succession_Profile_Data |
| 44 | Talent Assessment Data |
Nej | wd:Worker_Data/wd:Talent_Assessment_Data |
| 45 | User Account Data |
Nej | wd:Worker_Data/wd:User_Account_Data |
| 46 | Worker Document Data |
Nej | wd:Worker_Data/wd:Worker_Document_Data |
Kommentar
Varje Workday-entitet som anges i tabellen skyddas av en domänsäkerhetsprincip i Workday. Om du inte kan hämta något attribut som är associerat med entiteten efter att du har angett rätt XPATH kontrollerar du med workday-administratören att rätt domänsäkerhetsprincip har konfigurerats för den integreringssystemanvändare som är associerad med etableringsappen. För att till exempel hämta kunskapsdata krävs Få åtkomst på Workday-domänen Arbetsdata: Kunskaper och erfarenhet.
Här följer några exempel på hur du kan utöka Workday-integreringen så att den uppfyller specifika krav.
Exempel 1: Hämta information om kostnadsställe och lönegrupp
Anta att du vill hämta följande datamängder från Workday och använda dem i dina etableringsregler:
- Kostnadsställe
- Kostnadsställehierarki
- Lönegrupp
Ovanstående datauppsättningar ingår inte som standard. Så här hämtar du dessa datamängder:
Logga in på administrationscentret för Microsoft Entra som minst programadministratör.
Bläddra till Identity>Applications Enterprise-program.>
Välj ditt Workday till Active Directory/Microsoft Entra-användaretableringsprogram.
Välj Etablering.
Redigera mappningarna och öppna listan med Workday-attribut från det avancerade avsnittet.
Lägg till följande attributdefinitioner och markera dem som "Obligatoriska". Dessa attribut mappas inte till något attribut i Active Directory eller Microsoft Entra-ID. De fungerar som signaler till anslutningsappen för att hämta information om Cost Center, Cost Center Hierarchy och Pay Group.
Attributnamn XPATH API-uttryck CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() När datamängden Cost Center och Pay Group är tillgängliga i Get_Workers svar kan du använda XPATH-värdena för att hämta kostnadsställenamnet, kostnadsställekoden och lönegruppen.
Attributnamn XPATH API-uttryck CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Exempel 2: Hämta data om kvalifikationer och färdigheter
Anta att du vill hämta certifieringar som är associerade med en användare. Den här informationen är tillgänglig som en del av uppsättningen Kvalificeringsdata . Använd följande XPATH för att hämta den här datauppsättningen som en del av Get_Workers svar:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Exempel 3: Hämta etableringsgrupptilldelningar
Anta att du vill hämta etableringsgrupper som tilldelats en arbetare. Den här informationen är tillgänglig som en del av uppsättningen kontoetableringsdata . Om du vill hämta dessa data använder du följande XPATH som en del av Get_Workers svar:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Hantera olika HR-scenarier
Det här avsnittet beskriver hur du kan anpassa etableringsappen för följande HR-scenarier:
Stöd för arbetskonverteringar
I det här avsnittet beskrivs Microsoft Entra-etableringstjänstens stöd för scenarier när en arbetare konverterar från heltidsanställd (FTE) till kontingent arbetare (CW) eller vice versa. Beroende på hur arbetskonverteringar bearbetas i Workday kan det finnas olika implementeringsaspekter att tänka på.
- Scenario 1: Bakåtdaterad konvertering från FTE till CW eller vice versa
- Scenario 2: Arbetare som används som CW/FTE idag, ändringar i FTE/CW idag
- Scenario 3: Arbetare som används som CW/FTE avslutas, återansluts som FTE/CW efter en betydande lucka
- Scenario 4: Framtida daterad konvertering, när arbetaren är en aktiv CW/FTE
Scenario 1: Bakåtdaterad konvertering från FTE till CW eller vice versa
Hr-teamet kan backdate en arbetskonverteringstransaktion i Workday av giltiga affärsskäl. Exempel är lönebearbetning, budgetefterlevnad, juridiska krav och förmånshantering. Här är ett exempel för att illustrera hur etablering hanteras för scenariot.
- Det är den 15 januari 2023 och Jane Doe är anställd som kontingentarbetare. HR erbjuder Jane en heltidsbefattning.
- Villkoren i Janes kontraktsändring kräver att transaktionen backdating så att den överensstämmer med början av den aktuella månaden. HR initierar en bakåtdaterad arbetskonverteringstransaktion Workday den 15 januari 2023 med giltighetsdatum den 1 januari 2023. Nu finns det två arbetsprofiler i Workday för Jane. CW-profilen är inaktiv medan FTE-profilen är aktiv.
- Microsoft Entra-etableringstjänsten identifierar den här ändringen i workday-transaktionsloggen den 15 januari 2023. Tjänsten etablerar automatiskt attribut för den nya FTE-profilen i nästa synkroniseringscykel.
- Inga ändringar krävs i konfigurationen av etableringsappen för att hantera det här scenariot.
Scenario 2: Arbetare som används som CW/FTE idag, ändringar i FTE/CW idag
Det här scenariot liknar scenariot ovan, förutom att HR i stället för att säkerhetskopiera transaktionen utför en arbetskonvertering som börjar gälla omedelbart. Microsoft Entra-etableringstjänsten identifierar den här ändringen i Workday-transaktionsloggen. I nästa synkroniseringscykel etablerar tjänsten automatiskt alla associerade attribut med en aktiv FTE-profil. Inga ändringar krävs i konfigurationen av etableringsappen för att hantera det här scenariot.
Scenario 3: Arbetare som används som CW/FTE avslutas, återansluts som FTE/CW efter en betydande lucka
Det är vanligt att arbetare börjar arbeta på ett företag som kontingentarbetare, lämnar företaget och sedan återvänder efter flera månader som heltidsanställd. Här är ett exempel som illustrerar hur etablering hanteras för det här scenariot.
- Det är den 1 januari 2023 och John Smith börjar arbeta som kontingentarbetare. Eftersom inget AD-konto är associerat med Johns WorkerID (matchande attribut) skapar etableringstjänsten ett nytt AD-konto och länkar Johns wid för kontingentarbetare (WorkdayID) till Johns AD-konto.
- Johns kontrakt löper ut den 31 januari 2023. I etableringscykeln som körs efter dagens slut den 31 januari inaktiveras Johns AD-konto.
- John ansöker om en annan tjänst och bestämmer sig för att återansluta till företaget som heltidsanställd från och med den 1 maj 2023. HR anger Johns information som föranförmedlare den 15 april 2023. Nu finns det två arbetsprofiler i Workday för John. CW-profilen är inaktiv medan FTE-profilen är aktiv. De två posterna har samma WorkerID men olika WID:er.
- Den 15 april, under inkrementell cykel, överför Microsoft Entra-etableringstjänsten automatiskt ägarskapet för AD-kontot till den aktiva arbetsprofilen. I det här fallet kopplar den bort profilen för kontingentarbetare från AD-kontot och upprättar en ny länk mellan Johns aktiva arbetsprofil för medarbetare och Johns AD-konto.
- Inga ändringar krävs i konfigurationen av etableringsappen för att hantera det här scenariot.
Scenario 4: Framtida daterad konvertering, när arbetaren är en aktiv CW/FTE
Ibland kan en arbetare redan vara en aktiv kontingentarbetare när HR initierar en framtida transaktion för konvertering av arbetare. Här är ett exempel som illustrerar hur etablering hanteras för det här scenariot och vilka konfigurationsändringar som krävs för att stödja det här scenariot.
Det är den 1 januari 2023 och John Smith börjar arbeta som kontingentarbetare. Eftersom inget AD-konto är associerat med Johns WorkerID (matchande attribut) skapar etableringstjänsten ett nytt AD-konto och länkar Johns wid för kontingentarbetare (WorkdayID) till Johns AD-konto.
Den 15 januari initierar HR en transaktion för att konvertera John från kontingentarbetare till heltidsanställd från och med den 1 februari 2023.
Eftersom Microsoft Entra-etableringstjänsten automatiskt bearbetar framtida daterade anställningar bearbetar den Johns nya arbetsprofil för heltidsanställda den 15 januari och uppdaterar Johns profil i AD med anställningsinformation på heltid trots att han fortfarande är kontingentarbetare.
För att undvika det här beteendet och se till att Johns FTE-information etableras den 1 februari 2023 utför du följande konfigurationsändringar.
Konfigurationsändringar
- Kontakta workday-administratören för att skapa en etableringsgrupp med namnet "Framtida daterade konverteringar".
- Implementera logik i Workday för att lägga till poster för medarbetare/kontingenterade arbetare med framtida daterade konverteringar till den här etableringsgruppen.
- Uppdatera Microsoft Entra-etableringsappen för att läsa den här etableringsgruppen. Se anvisningarna här om hur du hämtar etableringsgruppen
- Skapa ett omfångsfilter i Microsoft Entra-ID för att exkludera arbetsprofiler som ingår i den här etableringsgruppen.
- I Workday implementerar du logik så att när konverteringsdatumet är effektivt tar Workday bort relevant arbetspost för medarbetare/kontingentarbetare från etableringsgruppen i Workday.
- Med den här konfigurationen fortsätter den befintliga arbetsposten för medarbetare/kontingentarbetare att vara effektiv och etableringsändringarna sker endast på konverteringsdagen.
Kommentar
Under den inledande fullständiga synkroniseringen kan du märka ett beteende där attributvärdena som är associerade med det tidigare inaktiva arbetsprofilflödet till AD-kontot för konverterade arbetare. Detta är tillfälligt och allt eftersom fullständig synkronisering fortskrider skrivs det slutligen över av attributvärden från den aktiva arbetsprofilen. När den fullständiga synkroniseringen är klar och etableringsjobbet når stabilt tillstånd väljer det alltid den aktiva arbetsprofilen under inkrementell synkronisering.
Hämtar internationella jobbtilldelningar och sekundär jobbinformation
Som standard hämtar Workday-anslutningsappen attribut som är associerade med arbetarens primära jobb. Anslutningsappen stöder också hämtning som Additional Job Data är associerad med internationella jobbtilldelningar eller sekundära jobb.
Använd stegen för att hämta attribut som är associerade med internationella jobbtilldelningar:
- Ange url:en för Workday-anslutningen använder Workday Web Service API version 30.0 eller senare. Ange därför rätt XPATH-värden i din Workday-etableringsapp.
- Använd väljaren
@wd:Primary_Job=0Worker_Job_Datapå noden för att hämta rätt attribut.- Exempel 1: För att hämta
SecondaryBusinessTitleanvänder du XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text() - Exempel 2: Om du vill hämta
SecondaryBusinessLocationanvänder du XPATHwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Exempel 1: För att hämta
Kända begränsningar
I det här avsnittet visas aktuella kända begränsningar som kunder kan uppleva i sin Workday-integrering.
- Anslutningsappen stöder inte hämtning av workday-beräknade fält.
- Anslutningsappen stöder inte synkronisering av foton från Workday.
- Anslutningsappen stöder inte avancerad hämtning av arbetare vars sista arbetsdag ska utföras.
- Under inkrementell synkronisering kan det uppstå en fördröjning i bearbetningen av avslutningshändelsen för arbetare i regionerna Asien och Stillahavsområdet och Australien/Nya Zeeland.