教程:配置从 Workday 到 Microsoft Entra 的用户预配

本教程的目的是介绍将工作人员数据从 Workday 预配到 Microsoft Entra ID 需要执行的步骤。

注意

如果你想要从 Workday 预配的用户仅限云且不需要本地 AD 帐户,则请使用此教程。 如果用户仅需要本地 AD 帐户,或者同时需要 AD 和 Microsoft Entra 帐户,请参阅有关配置 Workday 到 Active Directory 的用户预配的教程。

以下视频简要概述了规划预配与 Workday 的集成时所涉及的步骤。

概述

Microsoft Entra 用户预配服务Workday Human Resources API 集成,以便能够预配用户帐户。 Microsoft Entra 用户预配服务支持的 Workday 用户预配工作流可将以下人力资源和标识生命周期管理方案自动化:

  • 招聘新员工 - 将新员工添加到 Workday 后,Microsoft Entra ID 中会自动创建一个用户帐户,并将电子邮件地址写回到 Workday,而 Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序中会选择性地执行这些操作。

  • 员工特性和个人资料更新 - 在 Workday 中更新员工记录(例如其姓名、职称或上司)后,Microsoft Entra ID 中会自动更新相应员工的用户帐户,Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序中会选择性地自动更新。

  • 员工离职 - 当某个员工从 Workday 离职时,Microsoft Entra ID 会自动禁用其用户帐户,Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序中会选择性地自动禁用。

  • 员工返聘 - 当 Workday 返聘某位员工时,该员工的旧帐户可自动重新激活或重新预配到 Microsoft Entra ID、Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序(其中,具体操作由你的偏好而定,且后两类应用可选配)。

此用户预配解决方案最适合哪些对象?

此 Workday 到 Microsoft Entra 的用户预配解决方案非常适合以下对象:

  • 需要使用预建的、基于云的解决方案进行 Workday 用户预配的组织

  • 需要将用户预配从 Workday 定向到 Microsoft Entra ID 的组织

  • 要求使用从 Workday 获取的数据预配用户的组织

  • 使用 Microsoft 365 收发电子邮件的组织

解决方案体系结构

本部分介绍端到端用户预配解决方案体系结构,它适用于仅限云的用户。 有两个相关的流:

  • 权威 HR 数据流 - 从 Workday 到 Microsoft Entra ID:在此流中,工作人员事件(如新雇员、换岗、离职等)首先发生在 Workday 中,然后事件数据流入 Microsoft Entra ID。 根据事件的不同,可能会导致在 Microsoft Entra ID 中执行创建/更新/启用/禁用操作。

  • 写回流 - 从本地 Active Directory 到 Workday:在 Active Directory 中完成帐户创建后,将通过 Microsoft Entra Connect 实现与 Microsoft Entra ID 的同步,并且电子邮件、用户名和电话号码等信息可写回到 Workday。

    Workday 预配的概念图

端到端用户数据流

  1. HR 团队在 Workday Employee Central 中执行工作人员事务(入职者/换岗者/离职者或新雇员/换岗/离职)
  2. Microsoft Entra 预配服务运行来自 Workday EC 的标识的计划同步,并确定需要进行处理以供与本地 Active Directory 域服务同步的更改。
  3. Microsoft Entra 预配服务确定更改并在 Microsoft Entra ID 中为用户调用创建/更新/启用/禁用操作。
  4. 如果已配置 Workday 写回应用,则该应用会从 Microsoft Entra ID 中检索电子邮件、用户名和电话号码等特性。
  5. Microsoft Entra 预配服务会在 Workday 中设置电子邮件、用户名和电话号码。

计划部署

若要将 Cloud HR 驱动的用户预配从 Workday 配置到 Microsoft Entra ID,需要涵盖不同方面的重要规划,例如:

  • 确定匹配 ID
  • 属性映射
  • 特性转换
  • 范围筛选器

有关这些主题的全面指导,请参阅云 HR 部署计划

在 Workday 中配置集成系统用户

若要创建 Workday 集成系统用户并使其具有检索工作人员数据的权限,请参阅配置集成系统用户部分。

将用户预配从 Workday 配置到 Microsoft Entra ID

下面各部分按步骤介绍如何针对仅限云的部署将用户预配从 Workday 配置到 Microsoft Entra ID。

第 1 部分:添加 Microsoft Entra 预配连接器应用并与 Workday 建立连接

为仅限云的用户配置 Workday 到 Microsoft Entra 的预配:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。

  3. 搜索“Workday 到 Microsoft Entra 的用户预配”,然后从库中添加该应用。

  4. 添加应用并显示应用详细信息屏幕后,请选择“预配”。

  5. 将“预配模式”更改为“自动”

  6. 按如下所述完成“管理员凭据”部分:

    • Workday 用户名 - 输入 Workday 集成系统帐户的用户名并附加租户域名。 内容应该如下所示:username@contoso4

    • Workday 密码 - 输入 Workday 集成系统帐户的密码

    • Workday Web Services API URL - 输入租户的 Workday Web 服务终结点的 URL。 该 URL 用于确定连接器使用的 Workday Web Services API 的版本。

      URL 格式 使用的 WWS API 版本 需要更改 XPATH
      https://####.workday.com/ccx/service/tenantName v21.1
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.#

      注意

      如果 URL 中未指定版本信息,则该应用使用 Workday Web Services (WWS) v21.1,且无需对应用附带的默认 XPATH API 表达式进行更改。 若要使用特定的 WWS API 版本,请在 URL 中指定版本号
      示例: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      如果你使用的是 WWS API v30.0+,请在打开预配作业之前,更新“属性映射”->“高级选项”->“编辑 Workday 的属性列表”下的“XPATH API 表达式”,具体参阅管理配置Workday 属性引用部分

    • 通知电子邮件 - 输入电子邮件地址,然后选中“如果失败,则发送电子邮件”复选框。

    • 单击“测试连接”按钮。

    • 如果连接测试成功,请单击顶部的“保存”按钮。 如果测试失败,请仔细检查 Workday 中的 Workday URL 和凭据是否有效。

第 2 部分:配置 Workday 和 Microsoft Entra 属性映射

在本部分,我们将为仅云用户配置用户数据如何从 Workday 流向 Microsoft Entra ID。

  1. 在“预配”选项卡中的“映射”下面,单击“将工作人员同步到 Microsoft Entra ID”。

  2. 在“源对象范围”字段中,可通过定义一组基于属性的筛选器,选择 Workday 中要预配到 Microsoft Entra ID 的用户集范围。 默认范围是“Workday 中的所有用户”。 示例筛选器:

    • 示例:将范围限定为工作人员 ID 为 1000000 到 2000000 的用户

      • 属性:WorkerID

      • 运算符:REGEX Match

      • 值:(1[0-9][0-9][0-9][0-9][0-9][0-9])

    • 示例:仅限临时工和非正式员工

      • 属性:ContingentID

      • 运算符:IS NOT NULL

  3. 在“目标对象操作”字段中,可全局筛选对 Microsoft Entra ID 执行的操作。 “创建”和“更新”是最常见的操作。

  4. 在“属性映射”部分中,可以定义 Workday 属性到 Active Directory 属性的各个映射。

  5. 单击现有的属性映射可将其更新,单击屏幕底部的“添加新映射”可添加新的映射。 单个属性映射支持以下属性:

    • 映射类型

    • 源属性 – Workday 中的用户属性。 如果你查找的属性不存在,请参阅自定义 Workday 用户属性列表

    • 默认值 – 可选。 如果源属性的值为空,映射将改为写入此值。 最常见的配置是将此项留空。

    • 目标属性 – Microsoft Entra ID 中的用户属性。

    • 使用此属性匹配对象 - 是否应使用此属性唯一标识 Workday 与 Microsoft Entra ID 之间的用户。 此值通常是在 Workday 的“工作人员 ID”字段中设置的,它通常映射到 Microsoft Entra ID 中的“员工 ID”属性(新属性)或扩展属性。

    • 匹配优先级 – 可设置多个匹配属性。 当存在多个匹配属性时,会按照此字段定义的顺序进行评估。 一旦找到匹配,就不会进一步评估其他匹配属性。

    • 应用此映射

      • 始终 – 对用户创建和更新操作均应用此映射

      • 仅创建期间 - 仅对用户创建操作应用此映射

  6. 若要保存映射,请单击“属性映射”部分顶部的“保存”。

启用并启动用户预配

Workday 预配应用配置完成后,可启用预配服务。

提示

默认情况下,启用预配服务时,它会为范围中的所有用户启动预配操作。 如果映射出错或存在 Workday 数据问题,则预配作业可能会失败并转入隔离状态。 要避免这种情况,最佳做法是先配置“源对象范围”筛选器并使用少量测试用户来测试属性映射,然后再为所有用户启动完全同步。 验证确保映射正常工作且获得所需结果后,可删除筛选器或逐渐扩大范围以包含更多用户。

  1. 在“预配”选项卡中,将“预配状态”设置为“打开”。

  2. 单击“ 保存”。

  3. 此操作将启动初始同步;该过程会耗时数小时,具体时间取决于 Workday 租户中的用户数。 可检查进度条来跟踪同步周期的进度。

  4. 无论何时,都可以检查 Microsoft Entra 管理中心中的“预配”选项卡,查看预配服务执行的操作。 预配日志列出预配服务执行的所有同步事件,例如,正在从 Workday 中读出哪些用户,随后将其添加或更新到 Microsoft Entra ID。

  5. 完成初始同步后,系统会在“预配”选项卡中写入一份审核摘要报告,如下所示。

    预配进度条的屏幕截图

后续步骤