將 Workday 設定為 Microsoft Entra 的使用者佈建配置

本文的目標是說明您需要執行的步驟，以便將員工資料從 Workday 配置到 Microsoft Entra ID。

注意

如果您要從 Workday 布建的使用者是不需要內部部署 AD 帳戶的純雲端使用者，請使用這篇文章。 如果使用者只需要內部部署 AD 帳戶或 AD 和 Microsoft Entra 帳戶，請參閱 將 Workday 設定為 Active Directory 使用者布建一文。

下列影片提供規劃與 Workday 佈建整合時相關步驟的快速概觀。

概觀

Microsoft Entra 使用者佈建服務與 Workday Human Resources API 整合以佈建使用者帳戶。 Microsoft Entra 使用者佈建服務支援的 Workday 使用者佈建工作流程，可讓下列人力資源和身分識別生命週期管理案例的自動化：

• 雇用新員工 - 當新員工新增至 Workday 時，會在 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動建立使用者帳戶，並將電子郵件地址回寫至 Workday。

• 員工屬性和設定檔更新 - 在 Workday 中更新員工記錄時（例如姓名、職稱或經理），會在 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 中自動更新員工的使用者帳戶。

• 員工離職 - 在 Workday 中將員工設定為離職時，會在 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式 自動停用員工的使用者帳戶。

• 重新雇用員工 - 在 Workday 中重新雇用員工時，系統會自動重新啟用其舊帳戶或將其重新佈建（取決於您的喜好設定）至 Microsoft Entra ID、Microsoft 365 (選擇性) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式。

誰最適合使用此使用者佈建解決方案？

此 Workday 和 Microsoft Entra 之間的使用者佈建解決方案最適合以下類型的使用者：

• 需要以預先建置的雲端式解決方案進行 Workday 使用者佈建的組織

• 需要將使用者直接從 Workday 佈建到 Microsoft Entra ID 的組織

• 必須透過使用從 Workday 獲取的資料來配置使用者的組織

• 使用 Microsoft 365 來收發電子郵件的組織

解決方案架構

本節將針對雲端限定的使用者，說明端對端使用者佈建方案架構。 有兩個相關的流程：

• 授權 HR 資料流 – 從 Workday 到 Microsoft Entra ID： 在此流程中，人員事件會 (例如新聘員工、轉移、終止) 會先發生在 Workday，然後事件資料會流入 Microsoft Entra ID。 視事件而定，其可能會在 Microsoft Entra ID 中產生建立/更新/啟用/停用作業。

• 回寫流程 – 從 內部部署的 Active Directory 到 Workday：在 Active Directory 中建立帳戶之後，它會透過 Microsoft Entra Connect 與 Microsoft Entra ID 同步處理，以及電子郵件、使用者名稱和電話號碼等資訊可以寫回 Workday。

  

端到端使用者資料流程

1. HR 小組在 Workday 人事中心內執行員工事務 (新進人員/異動人員/離職人員或新雇用/調職/解雇)
2. Microsoft Entra 佈建服務會執行排程好的 Workday EC 身分識別同步處理作業，並找出需要處理以便與內部部署 Active Directory 同步的變更。
3. Microsoft Entra 佈建服務會確定變更，並在 Microsoft Entra ID 中執行用戶的建立、更新、啟用或停用操作。
4. 如果已設定 Workday Writeback 應用程式，其便會從 Microsoft Entra ID 擷取電子郵件、使用者名稱和電話號碼等屬性。
5. Microsoft Entra 佈建服務會在 Workday 中設定電子郵件、使用者名稱和電話號碼。

規劃您的部署

配置雲端 HR 驅動的使用者佈建設定，從 Workday 到 Microsoft Entra ID，需要完整涵蓋各個層面的周密規劃，例如：

• 判定匹配識別碼
• 屬性對應
• 屬性轉換
• 範圍篩選器

如需有關這些主題的完整指導方針，請參閱雲端 HR 部署計劃。

在 Workday 中設定整合系統使用者

請參閱設定整合系統使用者一節，以建立具有取得員工資料權限的 Workday 整合系統使用者帳戶。

設定從 Workday 配置使用者至 Microsoft Entra ID

下列各節說明如何在僅限雲端部署的情況下，設定從 Workday 佈建使用者到 Microsoft Entra ID 的步驟。

• 新增 Microsoft Entra 配置連接器應用程式並建立與 Workday 的連線
• 設定 Workday 與 Microsoft Entra 的屬性映射
• 啟用及啟動使用者佈建

第 1 部分：新增 Microsoft Entra 佈建連接器應用程式和建立 Workday 連線

若要為僅在雲端的使用者設定 Workday 至 Microsoft Entra 的佈建：

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 身分識別>應用程式>企業應用程式>新增應用程式。

3. 搜尋 Workday 至 Microsoft Entra 使用者佈建，並從應用程式庫新增該應用程式。

4. 新增應用程式且出現應用程式詳細資料畫面之後，請選取 [佈建]。

5. 將 [布建模式] 變更為 [自動]。

6. 完成 [系統管理員認證] 區段，如下所示：

   • Workday 使用者名稱 – 輸入 Workday 整合系統帳戶的使用者名稱，並附加租用戶網域名稱。 看起來應該像這樣：username@contoso4

   • Workday 密碼 – 輸入 Workday 整合系統帳戶的密碼

   • Workday Web Services API URL – 輸入租用戶的 Workday Web 服務端點 URL。 URL 會決定連接器所使用的 Workday Web 服務 API 版本。

     URL 格式	使用的 WWS API 版本	需要變更 XPath
     https://####.workday.com/ccx/service/tenantName	v21.1	不
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	不
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Yes

     注意

     如果 URL 中未指定任何版本資訊，則應用程式會使用 Workday Web 服務 (WWS) v21.1，而且不需要對應用程式隨附的預設 XPATH API 運算式進行任何變更。 若要使用特定的 WWS API 版本，請在 URL 中指定版本號碼
     範例: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     如果您使用 WWS API v30.0+，在開啟布建作業之前，請先更新XPATH API 表達式於屬性對應 -> 進階選項 -> 編輯 Workday 的屬性列表，參考管理您的設定和Workday 屬性參考章節。

   • 通知電子郵件 – 輸入您的電子郵件地址，然後勾選 [發生失敗時傳送電子郵件] 核取方塊。

   • 按一下 [測試連線] 按鈕。

   • 如果連線測試成功，請按一下頂端的 [儲存] 按鈕。 如果失敗，請仔細檢查 Workday URL 和認證在 Workday 中是否有效。

第 2 部分：配置 Workday 和 Microsoft Entra 的屬性對應設定

在本節中，您將設定用戶數據從 Workday 流向僅限雲端使用者的Microsoft Entra ID 的方式。

1. 在 [佈建] 索引標籤的 [對應] 下，按一下 [將員工同步到 Microsoft Entra ID]。

2. 在 [來源物件範圍] 欄位中，您可以透過定義一組屬性型篩選，選取應該佈建至 Microsoft Entra ID 的 Workday 使用者集合範圍。 預設範圍是「Workday 中的所有使用者」。 範例篩選：

   • 範例：將使用者限制在人員識別碼介於 1000000 到 2000000 之間的範圍

     • 屬性：WorkerID

     • 運算子：REGEX Match

     • 值：(1[0-9][0-9][0-9][0-9][0-9][0-9])

   • 範例：僅約聘人員而非正式員工

     • 屬性：ContingentID

     • 運算子：IS NOT NULL

3. 在 [目標物件動作] 欄位中，您可以全域篩選在 Microsoft Entra ID 上執行的動作。 最常見的動作是 [建立] 和 [更新]。

4. 在 [屬性對應] 區段中，您可以定義個別 Workday 屬性如何對應至 Active Directory 屬性。

5. 按一下現有的屬性對應以進行更新，或按一下畫面底端的 [新增新對應] 以新增新對應。 單一屬性對應支援下列屬性：

   • 對應類型

     • 直接 – 將 Workday 屬性的值原封不動地寫入至 AD 屬性

     • 常數 – 將靜態的常數字串值寫入至 AD 屬性

     • 運算式 – 可讓您根據一或多個 Workday 屬性，將自訂值寫入 AD 屬性。 如需詳細資訊，請參閱這篇有關運算式的文章。

   • 來源屬性 - 來自 Workday 的使用者屬性。 如果您要尋找的屬性不存在，請參閱 自定義 Workday 使用者屬性清單。

   • 預設值 – 選用。 如果來源屬性具有空值，則對應將會改為寫入此值。 最常見的設定是將其保留空白。

   • 目標屬性 - Microsoft Entra ID 中的使用者屬性。

   • 使用此屬性比對物件 – 是否應該使用此屬性來唯一識別 Workday 與 Microsoft Entra ID 之間的使用者。 此值通常是在 Workday 的 [Worker ID] \(人員識別碼\) 欄位上設定的，這通常與 Microsoft Entra ID 中的 [員工識別碼] 屬性 (新的) 或延伸屬性對應。

   • 比對優先順序 – 您可以設定多個比對屬性。 具有多個屬性時，系統會以此欄位定義的順序進行評估。 只要找到相符項目，便不會評估進一步比對屬性。

   • 套用此映射

     • 一律 – 將此對應套用於使用者建立和更新動作

     • 僅在建立過程中 - 僅將此對應套用於使用者建立動作

6. 若要儲存您的對應，請按一下屬性對應區段頂端的儲存。

啟用並啟動使用者配置

在 Workday 佈建應用程式設定完成之後，您可以開啟佈建服務。

提示

根據預設，當您開啟佈建服務時，它會為範圍中的所有使用者起始佈建作業。 如果有映射錯誤或 Workday 資料問題，則配置作業可能失敗並進入隔離狀態。 為了避免這種情況，建議您最好先設定 [來源物件範圍] 篩選，並使用幾個測試使用者來測試屬性對應，然後再為所有使用者啟動完整的同步處理。 確認對應能夠運作且提供您所需的結果之後，您便可以移除篩選，或逐漸擴大篩選來包含更多使用者。

1. 在 [佈建] 索引標籤中，將 [佈建狀態] 設定為 [開啟]。

2. 按一下 [儲存]。

3. 此作業會啟動初始同步，所需花費的時數會視 Workday 租用戶中的使用者人數而定。 您可以檢查進度列來追蹤同步週期的進度。

4. 您可隨時檢查 Microsoft Entra 系統管理中心的 [佈建] 索引標籤，查看佈建服務執行了哪些動作。 佈建記錄會列出佈建服務執行的所有個別同步處理事件，例如從 Workday 外部讀取了哪些使用者，接著又新增或更新至 Microsoft Entra ID 中。

5. 在初始同步完成之後，它會在 [佈建] 索引標籤中寫入稽核摘要報告，如下所示。

   

相關內容

• 深入了解 Microsoft Entra ID 和 Workday 整合場景與網路服務呼叫
• 進一步了解支援匯入配置的 Workday 屬性
• 了解如何設定 Workday Writeback
• 瞭解如何針對佈建活動檢閱記錄和取得報告
• 了解如何設定 Workday 與 Microsoft Entra ID 之間的單一登入
• 了解如何匯出和匯入您的佈建設定