Kurz: Konfigurace automatického zřizování uživatelů ve Workday

  • Článek
  • 46 min ke čtení

Cílem tohoto kurzu je zobrazit kroky potřebné ke zřízení profilů pracovních procesů z Workday do místní Active Directory (AD).

Poznámka

Pokud uživatelé, které chcete zřídit z Workday, potřebují místní účet AD a účet Azure AD, použijte tento kurz.

  • Pokud uživatelé z Workday potřebují jenom účet Azure AD (jenom cloudové uživatele), projděte si kurz konfigurace aplikace Workday pro zřizování uživatelů Azure AD.
  • Pokud chcete nakonfigurovat zpětný zápis atributů, jako jsou e-mailová adresa, uživatelské jméno a telefonní číslo z Azure AD do Workday, projděte si kurz konfigurace zpětného zápisu Workday.

Přehled

Služba zřizování Azure Active Directory uživatelů se integruje s rozhraním API pro lidské zdroje Workday za účelem zřizování uživatelských účtů. Pracovní postupy zřizování uživatelů Workday podporované službou zřizování uživatelů Azure AD umožňují automatizaci následujících scénářů správy životního cyklu identit a lidských zdrojů:

  • Nábor nových zaměstnanců – při přidání nového zaměstnance do Workday se v Active Directory Azure Active Directory a volitelně také v Microsoft 365 a dalších aplikacích SaaSpodporovaných službou Azure AD automaticky vytvoří uživatelský účet se zápisem kontaktních informací spravovaných IT do Workday.

  • Aktualizace atributu a profilu zaměstnance – Při aktualizaci záznamu zaměstnance ve Workday (například jméno, titul nebo manažer) se jeho uživatelský účet automaticky aktualizuje ve službě Active Directory, Azure Active Directory a volitelně také Microsoft 365 a dalších aplikací SaaS podporovaných službou Azure AD.

  • Ukončení zaměstnanců – Když je zaměstnanec ukončený ve Workday, jeho uživatelský účet se automaticky deaktivuje ve službě Active Directory Azure Active Directory a volitelně Microsoft 365 a dalších aplikací SaaS podporovaných službou Azure AD.

  • Opětovná aktivace zaměstnance – Když se zaměstnanec znovu zachycuje ve Workday, může se jeho starý účet automaticky znovu aktivovat nebo znovu zřídit (podle vašich preferencí) na Active Directory, Azure Active Directory a volitelně Microsoft 365 a další aplikace SaaS podporované službou Azure AD.

Novinky

Tato část obsahuje nejnovější vylepšení integrace Workday. Seznam komplexních aktualizací, plánovaných změn a archivů najdete na stránce Co je nového v Azure Active Directory?

  • Říjen 2020 – Povolení zřizování na vyžádání pro Workday: Pomocí zřizování na vyžádání teď můžete otestovat koncové zřizování pro konkrétní profil uživatele ve Workday a ověřit mapování atributů a logiku výrazů.

  • Květen 2020 – Možnost zapisovat telefonní čísla zpět do Workday: Kromě e-mailu a uživatelského jména teď můžete z Azure AD do Workday zapsat také pracovní telefonní číslo a číslo mobilního telefonu. Další podrobnosti najdete v kurzu aplikace pro zpětný zápis.

  • Duben 2020 – podpora nejnovější verze rozhraní API webových služeb Workday (WWS): V březnu a září nabízí Workday dvakrát ročně aktualizace s bohatými funkcemi, které vám pomůžou splnit vaše obchodní cíle a měnit požadavky pracovníků. Pokud chcete držet pod náručí nových funkcí doručované aplikací Workday, můžete teď přímo zadat verzi rozhraní WWS API, kterou chcete použít v adrese URL připojení. Podrobnosti o tom, jak zadat verzi rozhraní Workday API, najdete v části o konfiguraci připojení Workday.

Kdo se toto řešení zřizování uživatelů nejlépe hodí?

Toto řešení zřizování uživatelů Workday je ideální pro:

  • Organizace, které si přeje předem vytvořené cloudové řešení pro zřizování uživatelů Workday

  • Organizace, které vyžadují přímé zřizování uživatelů z Workday do Active Directory nebo Azure Active Directory

  • Organizace, které vyžadují zřízení uživatelů pomocí dat získaných z modulu Workday HCM (viz Get_Workers)

  • Organizace, které vyžadují připojování, přesouvání a ponechání uživatelů v synchronizaci s jednou nebo více doménovými strukturami, doménami a organizačními objekty služby Active Directory pouze na základě informací o změně zjištěných v modulu Workday HCM (viz Get_Workers)

  • Organizace, které používají Microsoft 365 pro e-mail

Architektura řešení

Tato část popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí. Existují dva související toky:

  • Tok dat autoritativního personálního oddělení – od Workday do místní Active Directory: V tomto toku pracovních událostí (například New Hires, Transfers, Terminations) nejprve dochází v cloudovém tenantovi personálního oddělení Workday a pak data událostí proudí do místní Active Directory prostřednictvím Azure AD a agenta zřizování. V závislosti na události může vést k vytvoření, aktualizaci, povolení nebo zakázání operací ve službě AD.
  • Tok zpětného zápisu – místní Active Directory do Workday: Po vytvoření účtu ve službě Active Directory se synchronizuje se službou Azure AD prostřednictvím služby Azure AD Připojení a informace, jako je e-mail, uživatelské jméno a telefonní číslo, je možné zapsat zpět do Workday.

Přehled

Tok dat koncového uživatele

  1. Personální tým provádí ve Workday HCM transakce pracovních procesů (joinery, movers, leavers nebo new hires/transfers/terminations).
  2. Služba zřizování Azure AD spouští plánované synchronizace identit z personálního oddělení Workday a identifikuje změny, které je potřeba zpracovat pro synchronizaci s místní Active Directory.
  3. Služba zřizování Azure AD vyvolá místního agenta azure AD Připojení Provisioning s datovou část požadavku obsahující operace vytvoření, aktualizace, povolení nebo zakázání účtu AD.
  4. Agent zřizování Připojení Azure AD používá k přidání nebo aktualizaci dat účtu AD účet služby.
  5. Modul azure AD Připojení/ AD Sync rozdílové synchronizace, aby si vyžádal aktualizace ve službě AD.
  6. Aktualizace služby Active Directory se synchronizují s Azure Active Directory.
  7. Pokud je aplikace Workday Writeback nakonfigurovaná, zapíše do Workday atributy, jako je e-mail, uživatelské jméno a telefonní číslo.

Plánování nasazení

Konfigurace zřizování uživatelů služby Workday pro Active Directory vyžaduje značné plánování pokrývající různé aspekty, jako jsou:

  • Nastavení agenta zřizování Připojení Azure AD
  • Number of Workday to AD user provisioning apps to deploy
  • Výběr vhodného odpovídajícího identifikátoru, mapování atributů, transformace a filtrů oborů

Komplexní pokyny a doporučené osvědčené postupy najdete v plánu nasazení HR v cloudu.

Konfigurace uživatele systému integrace ve Workday

Běžným požadavkem všech konektorů zřizování Workday je, že pro připojení k rozhraní API pro lidské zdroje Workday vyžadují přihlašovací údaje uživatele integračního systému Workday. Tato část popisuje, jak vytvořit uživatele systému integrace ve Workday, a obsahuje následující části:

Poznámka

Tento postup je možné obejít a místo toho použít účet globálního správce Workday jako účet pro integraci systému. U ukázek to může fungovat správně, ale nedoporučuje se pro produkční nasazení.

Vytvoření uživatele systému integrace

Vytvoření uživatele systému integrace:

  1. Přihlaste se ke svému tenantovi Workday pomocí účtu správce. V aplikaci Workday zadejte do vyhledávacího pole create user (vytvořit uživatele) a pak klikněte na Create Integration System User (Vytvořit uživatele systému integrace).

    Vytvoření uživatele

  2. Dokončete úlohu Vytvořit uživatele systému integrace tak, že pro nového uživatele systému integrace zadáte uživatelské jméno a heslo.

    • Možnost Vyžadovat nové heslo ponechte nezaškrtnutou, protože tento uživatel se bude přihlašovat programově.
    • Ponechte hodnotu Počet minut časového limitu relace s výchozí hodnotou 0, což zabrání předčasnému ukončení časových limitů uživatelských relací.
    • Vyberte možnost Nepovolit relace uživatelského rozhraní, protože poskytuje přidanou vrstvu zabezpečení, která brání uživateli s heslem integračního systému v přihlášení do Workday.

    Vytvoření uživatele systému integrace

Vytvoření skupiny zabezpečení integrace

V tomto kroku vytvoříte v Workday skupinu zabezpečení systému integrace bez omezení nebo s omezením a přiřadíte k této skupině uživatele systému integrace vytvořeného v předchozím kroku.

Vytvoření skupiny zabezpečení:

  1. Do vyhledávacího pole zadejte create security group (vytvořit skupinu zabezpečení) a pak klikněte na Create Security Group (Vytvořit skupinu zabezpečení).

    Snímek obrazovky, který znázorňuje, že jste do vyhledávacího pole zadali "create security group" (vytvořit skupinu zabezpečení) a ve výsledcích hledání se zobrazí "Create Security Group - Task" (Vytvořit skupinu zabezpečení – úloha).

  2. Dokončete úlohu Vytvořit skupinu zabezpečení.

    • Ve Workday existují dva typy skupin zabezpečení:

      • Bez omezení: Všichni členové skupiny zabezpečení mají přístup ke všem instancím dat zabezpečeným skupinou zabezpečení.
      • Omezené: Všichni členové skupiny zabezpečení mají kontextový přístup k podmnožině datových instancí (řádků), ke které má skupina zabezpečení přístup.

    • Obraťte se na svého partnera pro integraci Workday a vyberte odpovídající typ skupiny zabezpečení pro integraci.

    • Jakmile znáte typ skupiny, v rozevíracím seznamu Typ skupiny zabezpečení v tenantovi vyberte Skupina zabezpečení systému integrace (bez omezení) nebo Skupina zabezpečení systému integrace (omezené).

      Vytvoření skupiny zabezpečení

  3. Po úspěšném vytvoření skupiny zabezpečení se zobrazí stránka, na které můžete přiřadit členy ke skupině zabezpečení. Do této skupiny zabezpečení přidejte nového uživatele systému integrace vytvořeného v předchozím kroku. Pokud používáte omezené skupiny zabezpečení, budete také muset vybrat odpovídající obor organizace.

    Úprava skupiny zabezpečení

Konfigurace oprávnění zásad zabezpečení domény

V tomto kroku udělíte skupině zabezpečení oprávnění zásad "zabezpečení domény" pro data pracovního procesu.

Konfigurace oprávnění zásad zabezpečení domény:

  1. Do vyhledávacího pole zadejte Členství ve skupině zabezpečení a přístup a klikněte na odkaz na sestavu.

    Hledání členství ve skupině zabezpečení

  2. Vyhledejte a vyberte skupinu zabezpečení vytvořenou v předchozím kroku.

    Vyberte Skupina zabezpečení.

  3. Klikněte na tři tečky (...) vedle názvu skupiny a v nabídce vyberte Skupina zabezpečení > Spravovat oprávnění domény pro skupinu zabezpečení.

    Vyberte Spravovat oprávnění domény.

  4. V části Oprávnění integrace přidejte následující domény do seznamu Zásady zabezpečení domény, které povolují přístup put.

    • Zřizování externích účtů
    • Pracovní data: Sestavy veřejných pracovních procesů
    • Osobní údaje: Kontaktní údaje do práce (povinné, pokud plánujete zpětný zápis kontaktních údajů z Azure AD do Workday)
    • Účty Workday (povinné, pokud plánujete zpětný zápis uživatelského jména a upn z Azure AD do Workday)

  5. V části Oprávnění integrace přidejte následující domény do seznamu Zásady zabezpečení domény, které povolují získání přístupu.

    • Pracovní data: Pracovní procesy
    • Pracovní data: Všechny pozice
    • Pracovní data: Aktuální informace o personální náčtech
    • Pracovní data: Obchodní titul v profilu pracovního procesu
    • Pracovní data: Kvalifikovaní pracovníci (volitelné – přidejte ho, pokud chcete načíst data kvalifikace pracovního procesu pro zřizování)
    • Pracovní data: Dovednosti a zkušenosti (volitelné – přidáním této položky načtete data dovedností pracovních procesů pro zřizování)

  6. Po dokončení výše uvedených kroků se zobrazí obrazovka oprávnění, jak je znázorněno níže:

    Všechna oprávnění zabezpečení domény

  7. Dokončete konfiguraci kliknutím na OK a Hotovo na další obrazovce.

<a name="configuring-business-process-security-policy-permissions">Konfigurace oprávnění zásad zabezpečení obchodních procesů

V tomto kroku udělíte skupině zabezpečení oprávnění zásad "zabezpečení obchodních procesů" pro data pracovního procesu.

Poznámka

Tento krok je nutný jenom pro nastavení konektoru aplikace Workday Writeback.

Konfigurace oprávnění zásad zabezpečení obchodních procesů:

  1. Do vyhledávacího pole zadejte Zásady obchodního procesu a pak klikněte na odkaz Upravit zásadu zabezpečení obchodního procesu.

    ![Snímek obrazovky zobrazující zásadu obchodního procesu ve vyhledávacím poli a vybranou možnost Upravit zásady zabezpečení obchodního procesu – úloha](./media/workday-inbound-tutorial/wd_isu_12.png "Zásady zabezpečení obchodních procesů")

  2. Do textového pole Typ obchodního procesu vyhledejte Kontakt, vyberte Pracovní kontakt Změnit obchodní proces a klikněte na OK.

    Snímek obrazovky se stránkou Upravit zásady zabezpečení obchodního procesu a vybranou možností Změnit pracovní kontakt v nabídce Typ obchodního procesu

  3. Na stránce Upravit zásady zabezpečení obchodních procesů se posuňte do části Změna pracovních kontaktních údajů (webová služba).

  4. Vyberte novou skupinu zabezpečení integračního systému a přidejte ji do seznamu skupin zabezpečení, které mohou iniciovat požadavek na webové služby.

    Zásady zabezpečení obchodních procesů

  5. Klikněte na Hotovo.

Aktivace změn zásad zabezpečení

Aktivace změn zásad zabezpečení:

  1. Do vyhledávacího pole zadejte activate (aktivovat) a pak klikněte na odkaz Activate Pending Security Policy Changes (Aktivovat čekající změny zásad zabezpečení).

    Aktivovat

  2. Zahajte úlohu Aktivovat čekající změny zásad zabezpečení zadáním komentáře pro účely auditování a potom klikněte na OK.

  3. Dokončete úlohu na další obrazovce zaškrtnutím políčka Potvrdit a potom klikněte na OK.

    Aktivace čekajícího zabezpečení

Požadavky na instalaci agenta zřizování

Než budete pokračovat k další části, zkontrolujte požadavky na instalaci agenta zřizování.

Konfigurace zřizování uživatelů z Workday do Active Directory

Tato část obsahuje kroky pro zřizování uživatelských účtů z Workday pro každou doménu Active Directory v rámci vaší integrace.

Část 1: Přidání aplikace konektoru zřizování a stažení agenta zřizování

Konfigurace zřizování Aplikace Workday pro Active Directory:

  1. Přejděte na https://portal.azure.com.

  2. V Azure Portal vyhledejte a vyberte Azure Active Directory.

  3. Vyberte Enterprise Aplikace a pak Všechny aplikace.

  4. Vyberte Přidat aplikaci a vyberte kategorii Vše.

  5. Vyhledejte Workday to Active Directory User Provisioning a přidejte aplikaci z galerie.

  6. Po přidání aplikace a zobrazení obrazovky s podrobnostmi aplikace vyberte Provisioning (Zřizování).

  7. Změňte Režim zřizování na Automatické.

  8. Kliknutím na informační banner, který se zobrazí, stáhněte agenta zřizování.

    Stažení agenta

Část 2: Instalace a konfigurace místních agentů zřizování

Pokud chcete zřídit místní službu Active Directory, musí být agent zřizování nainstalovaný na serveru připojeném k doméně, který má síťový přístup k požadovaným doménám služby Active Directory.

Přeneste stažený instalační program agenta na hostitele serveru a dokončete konfiguraci agenta podle kroků uvedených v části Instalace agenta.

Část 3: V aplikaci pro zřizování nakonfigurujte připojení k Workday a Active Directory.

V tomto kroku navá we establish connectivity with Workday and Active Directory in the Azure Portal.

  1. V Azure Portal přejděte zpět do aplikace Workday pro zřizování uživatelů Active Directory vytvořenou v části 1.

  2. Vyplňte část Přihlašovací údaje správce následujícím způsobem:

    • Uživatelské jméno Workday – zadejte uživatelské jméno účtu systému integrace Workday s připojeným názvem domény tenanta. Mělo by to vypadat nějak takhle: uživatelské @ tenant_name

    • Workday password – Zadejte heslo účtu systému integrace Workday.

    • Adresa URL rozhraní API webových služeb Workday – Zadejte adresu URL koncového bodu webových služeb Workday pro vašeho tenanta. Adresa URL určuje verzi rozhraní API webových služeb Workday používané konektorem.

      Formát URL Použitá verze rozhraní WWS API Požadované změny XPATH
      https://####.workday.com/ccx/service/tenantName v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 No
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Yes

      Poznámka

      Pokud v adrese URL nejsou zadané žádné informace o verzi, aplikace používá webové služby Workday (WWS) v21.1 a výchozí výrazy rozhraní XPATH API dodávané s aplikací nejsou potřeba žádné změny. Pokud chcete použít konkrétní verzi rozhraní WWS API, zadejte v adrese URL číslo verze.
      Příklad: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Pokud používáte ROZHRANÍ WWS API verze 30.0+, před zapnutím úlohy zřizování aktualizujte výrazy rozhraní API XPATH v části Mapování atributů -> Rozšířené možnosti -> Upravit seznam atributů pro Workday v části Správa konfigurace a reference k atributu Workday.

    • Doménová struktura služby Active Directory – "Název" domény služby Active Directory, jak je zaregistrovaný u agenta. Pomocí rozevíracího seznamu vyberte cílovou doménu pro zřizování. Tato hodnota je obvykle řetězec jako: contoso.com

    • Kontejner služby Active Directory – Zadejte rozlišující název kontejneru, ve kterém má agent ve výchozím nastavení vytvářet uživatelské účty. Příklad: OU=Standardní uživatelé,OU=Uživatelé,DC=contoso,DC=test

      Poznámka

      Toto nastavení se používá pouze pro vytváření uživatelských účtů, pokud v mapování atributů není nakonfigurovaný atribut parentDistinguishedName. Toto nastavení se pro operace vyhledávání nebo aktualizace uživatelů nepouží. Celý podstrom domény spadá do rozsahu operace vyhledávání.

    • E-mail s oznámením – Zadejte svou e-mailovou adresu a zaškrtněte políčko Odeslat e-mail v případě selhání.

      Poznámka

      Služba zřizování Azure AD odešle e-mailové oznámení, pokud úloha zřizování přejde do stavu karantény.

    • Klikněte na tlačítko Test připojení. Pokud je test připojení úspěšný, klikněte v horní části na tlačítko Uložit. Pokud dojde k selhání, znovu zkontrolujte platnost přihlašovacích údajů Workday a ad nakonfigurovaných v nastavení agenta.

      Snímek obrazovky zobrazující stránku Zřizování se zadanými přihlašovacími údaji

    • Po úspěšném uložení přihlašovacích údajů se v části Mapování zobrazí výchozí mapování Synchronizace pracovních pracovních sil Workday na místní službu Active Directory.

Část 4: Konfigurace mapování atributů

V této části nakonfigurujete tok dat uživatelů z Workday do Active Directory.

  1. Na kartě Zřizování v části Mapování klikněte na Synchronizovat pracovní proces Workday do místní služby Active Directory.

  2. V poli Rozsah zdrojového objektu můžete definovat sadu filtrů založených na atributech a vybrat, které sady uživatelů ve Workday mají být v oboru zřizování pro AD. Výchozí obor je "všichni uživatelé v Workday". Příklady filtrů:

    • Příklad: Rozsah na uživatele s ID pracovních procesů mezi 1000000 a 2000000 (s výjimkou 2000000)

      • Atribut: WorkerID

      • Operátor: Shoda regulárních výrazů

      • Hodnota: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Příklad: Pouze zaměstnanci a nekoncigentní pracovníci

      • Atribut: EmployeeID

      • Operátor: IS NOT NULL

    Tip

    Při první konfiguraci zřizovací aplikace budete muset otestovat a ověřit mapování atributů a výrazy, abyste měli jistotu, že vám dává požadovaný výsledek. Microsoft doporučuje použít filtry oborů v části Rozsah zdrojového objektu a zřizování na vyžádání k otestování mapování s několika testovacími uživateli z Workday. Jakmile ověříte, že mapování funguje, můžete filtr buď odebrat, nebo ho postupně rozbalit, aby zahrnovalo více uživatelů.

    Upozornění

    Výchozím chováním modulu zřizování je zakázat nebo odstranit uživatele, kteří se vymknuli z oboru. To nemusí být žádoucí v integraci Workday do AD. Pokud chcete toto výchozí chování přepsat, přečtěte si článek Přeskočení odstranění uživatelských účtů, které jsou mimo rozsah.

  3. V poli Akce cílového objektu můžete globálně filtrovat akce prováděné ve službě Active Directory. Nejčastěji se vytvářejí a aktualizují.

  4. V části Mapování atributů můžete definovat, jak se jednotlivé atributy Workday mapují na atributy Active Directory.

  5. Kliknutím na existující mapování atributů ho aktualizujte, nebo klikněte na Přidat nové mapování v dolní části obrazovky a přidejte nová mapování. Mapování jednotlivých atributů podporuje tyto vlastnosti:

    • Typ mapování

      • Direct – zapíše hodnotu atributu Workday do atributu AD beze změn.

      • Konstanta – zápis statické hodnoty konstantního řetězce do atributu AD

      • Výraz – umožňuje zapsat vlastní hodnotu do atributu AD na základě jednoho nebo více atributů Workday. Další informace najdete v tomto článku o výrazech.

    • Zdrojový atribut – atribut uživatele z Workday. Pokud atribut, který hledáte, není k dispozici, podívejte se na téma Přizpůsobení seznamu atributů uživatele Workday.

    • Výchozí hodnota – volitelné. Pokud má zdrojový atribut prázdnou hodnotu, zapíše mapování tuto hodnotu. Nejběžnější konfigurací je ponechat toto pole prázdné.

    • Atribut Target – atribut uživatele ve službě Active Directory.

    • Porovná objekty používající tento atribut – určuje, jestli se má toto mapování použít k jednoznačné identifikaci uživatelů mezi Workday a Active Directory. Tato hodnota je obvykle nastavená v poli ID pracovního procesu pro Workday, které je obvykle namapované na jeden z atributů ID zaměstnance ve službě Active Directory.

    • Priorita párování – je možné nastavit více vyhovujících atributů. Pokud existuje více, vyhodnotí se v pořadí definovaném tímto polem. Jakmile se shoda zjistí, nevyhodnocují se žádné další odpovídající atributy.

    • Použití tohoto mapování

      • Always – toto mapování použijte pro akce vytvoření i aktualizace uživatele.

      • Pouze během vytváření – toto mapování použijte pouze u akcí vytváření uživatelů.

  6. Mapování uložíte kliknutím na Uložit v horní části Attribute-Mapping.

    Snímek obrazovky znázorňuje stránku Mapování atributů s vybranou akcí Uložit

Níže je uvedeno několik příkladů mapování atributů mezi Workday a Active Directory s některými běžnými výrazy.

  • Výraz, který se mapuje na atribut parentDistinguishedName, se používá ke zřízení uživatele pro různé OU na základě jednoho nebo více zdrojových atributů Workday. Tento příklad umístí uživatele do různých OU podle toho, ve které městě se nachází.

  • Atribut userPrincipalName v Active Directory se generuje pomocí funkce odstranění duplicit SelectUniqueValue, která kontroluje existenci vygenerované hodnoty v cílové doméně AD a nastavuje ji pouze v případě, že je jedinečná.

  • Dokumentaci k psaní výrazů najdete tady. Tato část obsahuje příklady odebrání speciálních znaků.

ATRIBUT WORKDAY ATRIBUT SLUŽBY ACTIVE DIRECTORY ID PÁROVÁNÍ? CREATE / UPDATE
ID pracovního procesu EmployeeID Ano Zapsáno pouze při vytváření
PreferredNameData Kn Zapsáno pouze při vytváření
SelectUniqueValue( Join(" @ ", Join(".", [ ] FirstName , [ LastName ] ); "contoso.com"), Join(" @ ", [ Join(".", ] Mid( FirstName , 1, 1), [ ] LastName ); "contoso.com"), Join(" @ ", Join(".", Mid( [ FirstName , ] 1, 2), [ LastName ); ] "contoso.com")) userPrincipalName (Hlavní název uživatele) Zapsáno pouze při vytváření
Replace(Mid(Replace(\[UserID\], , "(\[\\\\/\\\\\\\\\\\\\[\\\\\]\\\\:\\\\;\\\\\|\\\\=\\\\,\\\\+\\\\\*\\\\?\\\\&lt;\\\\&gt;\])", , "", , ), 1, 20), , "([\\\\.)\*\$](file:///\\.)*$)", , "", , ) sAMAccountName Zapsáno pouze při vytváření
Switch( [ Active ; ; ] "0"; "True"; "1"; "False") accountDisabled Vytvoření a aktualizace
FirstName givenName Vytvoření a aktualizace
LastName sn Vytvoření a aktualizace
PreferredNameData displayName Vytvoření a aktualizace
Společnost company Vytvoření a aktualizace
Organizace organizace Oddělení Vytvoření a aktualizace
ManagerReference manager Vytvoření a aktualizace
BusinessTitle title Vytvoření a aktualizace
AddressLineData streetAddress Vytvoření a aktualizace
Obec l Vytvoření a aktualizace
CountryReferenceTwoLetter co Vytvoření a aktualizace
CountryReferenceTwoLetter c Vytvoření a aktualizace
CountryRegionReference st Vytvoření a aktualizace
WorkSpaceReference physicalDeliveryOfficeName Vytvoření a aktualizace
Postalcode postalCode Vytvořit a aktualizovat
PrimaryWorkTelephone telephoneNumber Vytvořit a aktualizovat
Fax facsimileTelephoneNumber Vytvořit a aktualizovat
Mobilní mobil Vytvořit a aktualizovat
LocalReference preferredLanguage Vytvořit a aktualizovat
Switch ( [ obec ] , "ou = default Users, DC = contoso, DC = com"; "Praha"; "ou = DALLASU, OU = Users, DC = contoso, DC = com", "Austin", "ou = Austin, OU = Users, DC = contoso, DC = com", "Seattle", "ou = Seattle, OU = Users, DC = contoso, DC = com", "Londýn", "ou = Londýn, OU = Users, DC = contoso, DC = com") parentDistinguishedName Vytvořit a aktualizovat

Po dokončení konfigurace mapování atributů můžete otestovat zřizování pro jednoho uživatele pomocí zřizování na vyžádání a pak Povolit a spustit službu zřizování uživatelů.

Povolení a spuštění zřizování uživatelů

Po dokončení konfigurace aplikace pro zřizování pracovního dne a ověření pro jednoho uživatele pomocí zřizování na vyžádánímůžete zapnout službu zřizování v Azure Portalu.

Tip

Ve výchozím nastavení se při zapnutí služby zřizování spustí operace zřizování pro všechny uživatele v oboru. Pokud dojde k chybám při mapování nebo při potížích s daty Workday, úloha zřizování může selhat a přejít do stavu karantény. Aby k tomu nedocházelo, doporučujeme nakonfigurovat filtr oboru zdrojového objektu a otestovat mapování atributů s několika testovacími uživateli pomocí zřizování na vyžádání před spuštěním úplné synchronizace pro všechny uživatele. Jakmile ověříte, že mapování funguje a poskytuje požadované výsledky, můžete buď odebrat filtr, nebo ho postupně rozšířit, aby zahrnoval více uživatelů.

  1. Přejděte na okno zřizování a klikněte na Spustit zřizování.

  2. Tato operace spustí počáteční synchronizaci, což může trvat proměnlivý počet hodin v závislosti na tom, kolik uživatelů je v tenantovi pracovního dne. V indikátoru průběhu můžete sledovat průběh cyklu synchronizace.

  3. Na kartě protokoly auditu v Azure Portal můžete kdykoli zjistit, jaké akce služba zřizování provedla. Protokoly auditu vypíše všechny jednotlivé události synchronizace prováděné službou zřizování, například které uživatele se čtou z pracovního dne a následně se přidají nebo aktualizují ve službě Active Directory. Pokyny, jak zkontrolovat protokoly auditu a opravit chyby zřizování, najdete v části věnované řešení potíží.

  4. Po dokončení počáteční synchronizace bude na kartě zřizování napsána Sestava souhrnu auditu, jak je znázorněno níže.

    Indikátor průběhu zřizování

Časté otázky

Otázky k schopnostem řešení

Jak řešení při zpracování nového pronájmu z Workday nastavilo heslo pro nový uživatelský účet ve službě Active Directory?

Když místní zřizovací agent Získá požadavek na vytvoření nového účtu AD, automaticky vytvoří složité náhodné heslo navržené tak, aby splňovalo požadavky na složitost hesla definované serverem AD, a nastaví tento objekt uživatele. Toto heslo není protokolováno kdekoli.

Podporuje řešení odesílání e-mailových oznámení po dokončení operací zřízení?

Ne, odesílání e-mailových oznámení po dokončení operací zřizování není v aktuální verzi podporováno.

Ukládá se do mezipaměti řešení profily uživatelů Workday v cloudu Azure AD nebo ve vrstvě agenta zřizování?

Ne, řešení neudržuje mezipaměť uživatelských profilů. Služba zřizování Azure AD jednoduše funguje jako datový procesor, čte data z Workday a zapisuje do cílové služby Active Directory nebo Azure AD. Podrobnosti týkající se ochrany osobních údajů uživatelů a uchovávání dat najdete v části Správa osobních údajů .

Je řešení přiřazování místních skupin AD k uživateli?

Tato funkce se momentálně nepodporuje. doporučený postup je nasadit skript powershellu, který se dotáže na koncový bod rozhraní API Microsoft Graph pro data protokolu auditu a použít ho ke spuštění scénářů, jako je přiřazení skupiny. Tento skript PowerShellu se dá připojit ke Plánovači úloh a nasadit do stejného pole, ve kterém je spuštěný agent zřizování.

Která rozhraní API Workday používá řešení k dotazování a aktualizaci profilů pracovních procesů Workday?

Řešení aktuálně používá následující rozhraní API Workday:

  • Formát adresy URL rozhraní API webových služeb Workday , který se používá v části přihlašovací údaje správce , určuje verzi rozhraní api použitou pro Get_Workers

    • Pokud je formát adresy URL: https:// # # # # . Workday . com/CCX/Service/tenant, použije se rozhraní API v 21.1.
    • Pokud je formát adresy URL: https:// # # # # . Workday . com/CCX/Service/tenant/lidské _ zdroje, použije se rozhraní API v 21.1.
    • Pokud je formát adresy URL: https:// # # # # . Workday . com/CCX/Service/tenant/lidské _ zdroje/v # # . # , použije se zadaná verze rozhraní API. (Příklad: Pokud je zadáno v 34.0, pak se používá.)

  • Funkce zpětného zápisu e-mailu Workday používá Change_Work_Contact_Information (v 30.0)

  • Funkce zpětného zápisu uživatelského jména v Workday používá Update_Workday_Account (v 31.2)

Můžu nakonfigurovat svého tenanta Workday HCM se dvěma klienty Azure AD?

Ano, tato konfigurace je podporována. Tady je postup vysoké úrovně pro konfiguraci tohoto scénáře:

  • Nasaďte zřizovacího agenta #1 a zaregistrujte ho pomocí #1 tenanta Azure AD.
  • Nasaďte zřizovacího agenta #2 a zaregistrujte ho pomocí #2 tenanta Azure AD.
  • V závislosti na podřízených doménách, které má každý Agent zřizování spravovat, nakonfigurujte každého agenta s těmito doménami. Jeden agent může zpracovávat více domén.
  • V Azure Portal nastavte pracovní den do aplikace AD zřizování aplikací v každém tenantovi a nakonfigurujte ji s příslušnými doménami.

Vaše zpětná vazba je vysoce ohodnocená, protože nám pomáhá nastavit směr budoucích verzí a vylepšení. Vítejte na všech zpětných vazbách a pomůžeme vám poslat návrh nápadu nebo vylepšení na fóru o zpětné vazbě služby Azure AD. Pokud chcete najít konkrétní zpětnou vazbu související s integrací k Workday, vyberte kategorii aplikace SaaS a vyhledejte existující zpětnou vazbu související s Workday pomocí klíčových slov .

Aplikace UserVoice SaaS

UserVoice – Workday

Při návrhu nové myšlenky prosím zkontrolujte, jestli už někdo jiný navrhl podobnou funkci. V takovém případě můžete hlasovat o funkci nebo žádosti o vylepšení. Komentář ke konkrétnímu případu použití si můžete také nechat zobrazit tak, aby se zobrazila vaše podpora pro svůj nápad, a Představte si, jak vám bude tato funkce pro vás užitečná.

Otázky k zřizování agentů

Jaká je verze modulu zřizování agenta pro GA?

přečtěte si téma Azure AD Connect zřizovací agent: historie vydání verze pro nejnovější verzi agenta zřizování.

Návody znát verzi mého zřizovacího agenta?

  • přihlaste se k serveru Windows, na kterém je nainstalován Agent zřizování.

  • Přejít na ovládací panel -> Odinstalovat nebo změnit nabídku programu

  • vyhledejte verzi odpovídající položce Microsoft Azure AD Připojení zřizování agenta .

    Azure Portal

Nabízí Microsoft automatické nabízení agentů zřizování?

ano, společnost Microsoft automaticky aktualizuje zřizovacího agenta, pokud je služba Windows service Microsoft Azure AD Připojení aktualizace agenta spuštěná.

můžu agenta zřizování nainstalovat na stejný server, na kterém běží Azure AD Connect?

ano, Agent zřizování můžete nainstalovat na stejný server, na kterém běží Azure AD Connect.

V okamžiku konfigurace se agent zřizování vyzve k zadání přihlašovacích údajů správce Azure AD. Ukládá agent místně přihlašovací údaje na serveru?

Během konfigurace se agent zřizování vyzve k zadání přihlašovacích údajů správce Azure AD jenom pro připojení k vašemu tenantovi Azure AD. Přihlašovací údaje nejsou místně uloženy na serveru. ale uchová přihlašovací údaje, které se používají pro připojení k místní doméně služby Active Directory v místním Windows trezoru hesel.

Návody nakonfigurovat agenta zřizování pro použití proxy server pro odchozí komunikaci HTTP?

Agent zřizování podporuje použití odchozího proxy serveru. můžete ji nakonfigurovat úpravou konfiguračního souboru agenta C:\Program Files \ Microsoft Azure AD Připojení zřizování Agent\AADConnectProvisioningAgent.exe.config. Do sebe přidejte následující řádky, a to na konec souboru těsně před uzavírací </configuration> značku. Nahraďte proměnné [proxy-server] a [proxy-port] hodnotami názvu a portu vašeho proxy serveru.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Návody zajistěte, aby agent zřizování mohl komunikovat s tenant Azure AD, a žádné brány firewall neblokují porty vyžadované agentem?

Můžete také ověřit, zda jsou všechny požadované porty otevřeny.

Je možné nakonfigurovat jednoho agenta zřizování pro zřizování více domén služby AD?

Ano, jeden zřizovací Agent se dá nakonfigurovat tak, aby zpracovával víc domén služby AD, pokud má agent na příslušných řadičích domény dohled. Microsoft doporučuje zřídit skupinu 3 zřizovacích agentů, které zajišťují stejnou sadu domén AD, aby zajistili vysokou dostupnost a poskytovaly podporu při převzetí služeb při selhání.

Návody zrušit registraci domény přidružené k mému agentovi zřizování?

  • Z Azure Portal Získejte ID tenanta vašeho TENANTA Azure AD.

  • přihlaste se k serveru Windows, na kterém je spuštěný Agent zřizování.

  • otevřete PowerShell jako správce Windows.

  • Přejděte do adresáře obsahujícího registrační skripty a spusťte následující příkazy, které nahradí [ parametr ID tenanta ] hodnotou ID vašeho tenanta.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\AppProxyPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Ze seznamu zobrazených agentů – Zkopírujte hodnotu id pole z tohoto prostředku, jehož název domény se rovná názvu domény služby AD.

  • Vložte hodnotu ID do tohoto příkazu a spusťte příkaz v PowerShellu.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Spusťte Průvodce konfigurací agenta znovu.

  • Všechny ostatní agenty, které byly dříve přiřazeny k této doméně, bude nutné překonfigurovat.

Návody odinstalovat zřizovacího agenta?

  • přihlaste se k serveru Windows, na kterém je nainstalován Agent zřizování.
  • Přejít na ovládací panel -> Odinstalovat nebo změnit nabídku programu
  • Odinstalujte následující programy:
    • Agent zřizování Microsoft Azure AD Připojení
    • aktualizace agenta Microsoft Azure AD Připojení
    • balíček agentů zřizování Microsoft Azure AD Připojení

Mapování atributů z Workday na AD a na konfigurační otázky

Návody zálohovat nebo exportovat pracovní kopii mapování a schématu zřizování Workday?

k exportu konfigurace zřizování uživatelů v Workday můžete použít rozhraní Microsoft Graph API. Podrobnosti najdete v části věnované exportu a importování konfigurace mapování atributů zřizování uživatelů v Workday .

Mám vlastní atributy v Workday i ve službě Active Directory. Návody nakonfigurovat řešení tak, aby fungovalo s vlastními atributy?

Řešení podporuje vlastní atributy pracovního dne a služby Active Directory. Chcete-li přidat vlastní atributy do schématu mapování, otevřete okno mapování atributů a posuňte se dolů a rozbalte oddíl Zobrazit upřesňující možnosti.

Upravit seznam atributů

Chcete-li přidat vlastní atributy pracovního dne, vyberte možnost Upravit seznam atributů pro pracovní den a přidejte vlastní atributy služby AD. Vyberte možnost Upravit seznam atributů pro místní službu Active Directory.

Viz také:

Návody nakonfigurovat řešení tak, aby se aktualizovaly jenom atributy ve službě AD na základě změn Workday a nevytvořily žádné nové účty AD?

Tuto konfiguraci je možné dosáhnout nastavením akcí cílového objektu v okně mapování atributů , jak je znázorněno níže:

Aktualizovat akci

Zaškrtnutím políčka Update (aktualizovat) proveďte pouze operace aktualizace pro tok z Workday do AD.

Můžu z pracovního dne zřídit fotografii uživatele do služby Active Directory?

Řešení v současné době nepodporuje nastavení binárních atributů, jako je thumbnailPhoto a JpegPhoto ve službě Active Directory.

  • Projděte si okno zřizování vaší aplikace pro zřizování Workday.

  • Klikněte na mapování atributů.

  • V části mapování vyberte možnost synchronizovat pracovní procesy Workday do místní služby Active Directory (nebo synchronizovat pracovní procesy v rámci služby Azure AD).

  • Na stránce mapování atributů přejděte dolů a zaškrtněte políčko Zobrazit rozšířené možnosti. Klikněte na Upravit seznam atributů pro Workday .

  • V okně, které se otevře, vyhledejte atribut Mobile a klikněte na řádek, abyste mohli upravit výraz rozhraní API Mobile GDPR

  • Nahraďte výraz rozhraní API následujícím novým výrazem, který načte mobilní číslo pracovníka pouze v případě, že je v Workday nastaven příznak "veřejné použití" na hodnotu "true".

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Uložte seznam atributů.

  • Uložte mapování atributů.

  • Vymaže aktuální stav a restartuje úplnou synchronizaci.

Návody formátování zobrazovaných názvů ve službě AD na základě atributů oddělení/země/města uživatele a zpracování místních odchylek?

Je to běžný požadavek na konfiguraci atributu DisplayName ve službě AD, aby poskytoval také informace o oddělení uživatele a zemi nebo oblasti. Například pokud Jan Novák funguje v marketingovém oddělení v USA, můžete chtít, aby se jeho Zobrazovaný název zobrazoval jako Novák, Jan (marketing-US).

Tady je postup, jak můžete zvládnout tyto požadavky pro vytváření CN nebo DisplayName k zahrnutí atributů, jako je například společnost, obchodní jednotka, město nebo země/oblast.

  • Každý atribut Workday se načte pomocí podkladového výrazu XPATH API, který se dá nakonfigurovat v mapování atributů – > Upřesnit oddíl > upravit seznam atributů pro Workday. Tady je výchozí výraz rozhraní API XPATH pro atributy Workday PreferredFirstName, PreferredLastName, Company a SupervisoryOrganization .

    Atribut Workday Výraz XPATH rozhraní API
    PreferredFirstName nepracovní: Work/FORMED: Worker_Data/WD: Personal_Data/WD: Name_Data/WD: Preferred_Name_Data/WD: Name_Detail_Data/WD: First_Name/text ()
    PreferredLastName nepracovní: Work/FORMED: Worker_Data/WD: Personal_Data/WD: Name_Data/WD: Preferred_Name_Data/WD: Name_Detail_Data/WD: Last_Name/text ()
    Společnost /WD: Work/FORMED: Worker_Data: Organization_Data/WD: Worker_Organization_Data Organization_Data [/WD: Organization_Type_Reference/WD: ID [ @wd:type = ' Organization_Type_ID '] = ' Company ']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization /WD: Work/FORMED: Worker_Data: Organization_Data/WD: Worker_Organization_Data/WD: Organization_Data [: Organization_Type_Reference/WD: ID [ @wd:type = ' Organization_Type_ID '] = ' dohledu ']/WD: Organization_Name/text ()

    Potvrďte u svého pracovního týmu, že výše uvedený výraz rozhraní API je platný pro vaši konfiguraci tenanta Workday. V případě potřeby je můžete upravit, jak je popsáno v části přizpůsobení seznamu atributů uživatele Workday.

  • Podobně informace o zemi nebo oblasti přítomné v Workday jsou načteny pomocí následujícího výrazu XPATH:/WD: Work//WD: Worker_Data: Employment_Data: Position_Data/WD: Business_Site_Summary_Data/WD: Address_Data/WD: Country_Reference

    V oddílu seznam atributů Workday jsou k dispozici 5 atributů v zemích nebo oblastech.

    Atribut Workday Výraz XPATH rozhraní API
    CountryReference /WD: Work/průchozí: Worker_Data: Employment_Data/WD: Position_Data/WD: Business_Site_Summary_Data/WD: Address_Data/WD: Country_Reference/WD: ID [ @wd:type = ' ISO_3166-1_Alpha-3_Code ']/text ()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric /WD: Work/průchozí: Worker_Data: Employment_Data/WD: Position_Data/WD: Business_Site_Summary_Data/WD: Address_Data/WD: Country_Reference/WD: ID [ @wd:type = ' ISO_3166-1_Numeric-3_Code ']/text ()
    CountryReferenceTwoLetter /WD: Work/průchozí: Worker_Data: Employment_Data/WD: Position_Data/WD: Business_Site_Summary_Data/WD: Address_Data/WD: Country_Reference/WD: ID [ @wd:type = ' ISO_3166-1_Alpha-2_Code ']/text ()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Potvrďte u svého pracovního týmu, že výše uvedené výrazy rozhraní API jsou platné pro vaši konfiguraci tenanta Workday. V případě potřeby je můžete upravit podle popisu v části Přizpůsobení seznamu atributů uživatele Workday.

  • Pokud chcete vytvořit správný výraz mapování atributů, zjistěte, který atribut Workday "autoritativní" představuje jméno, příjmení, zemi/oblast a oddělení uživatele. Řekněme, že atributy jsou PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter a ZařazeníOrganization. Můžete ho použít k sestavení výrazu pro atribut AD displayName následujícím způsobem, abyste získali zobrazované jméno, jako je Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Jakmile budete mít správný výraz, upravte tabulku Mapování atributů a upravte mapování atributů displayName, jak je znázorněno níže: Mapování DisplayName

  • Když výše uvedený příklad rozšíříme, řekněme, že chcete převést názvy měst přicházející z Workday na zkrácené hodnoty a pak ho použít k sestavení zobrazovaných jmen, jako jsou Smith, John (CHI) nebo Doe, Jane (NYC), a tento výsledek pak můžete dosáhnout použitím výrazu Switch s atributem Workday Expression jako determinantní proměnnou.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Viz také:

Jak můžu použít SelectUniqueValue k vygenerování jedinečných hodnot pro atribut samAccountName?

Řekněme, že chcete vygenerovat jedinečné hodnoty pro atribut samAccountName pomocí kombinace atributů FirstName a LastName z Workday. Níže je uveden výraz, který můžete začít s:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Jak výše uvedený výraz funguje: Pokud je uživatel John Smith, nejprve se pokusí vygenerovat JSmith. Pokud JSmith už existuje, vygeneruje JoSmith, pokud existuje, vygeneruje JohSmith. Výraz také zajistí, že vygenerovaná hodnota splňuje omezení délky a omezení speciálních znaků přidružené k samAccountName.

Viz také:

Návody znaky s diakritikou a převádět je na normální anglické abecedy?

Pomocí funkce NormalizeDiacritics můžete při vytváření e-mailové adresy nebo hodnoty CN pro uživatele odebrat speciální znaky v jméno a příjmení uživatele.

Rady pro řešení potíží

Tato část obsahuje konkrétní pokyny k řešení potíží se zřizováním integrace Workday s využitím protokolů auditu Azure AD a protokolů Windows Serveru Prohlížeč událostí. Navazuje na obecný postup řešení potíží a koncepty zachycené v kurzu Vytváření sestav automatického zřizování uživatelských účtů.

Tato část se zabývá následujícími aspekty řešení potíží:

Konfigurace agenta zřizování pro vysílání Prohlížeč událostí protokolů

  1. Přihlaste se k počítači Windows Server, na kterém je agent zřizování nasazený.

  2. Zastavte službu Microsoft Azure AD Připojení agenta zřizování.

  3. Vytvořte kopii původního konfiguračního souboru: C:\Program Files\Microsoft Azure AD Připojení Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Existující část <system.diagnostics> nahraďte následujícím kódem.

    • Konfigurace naslouchacího procesu etw vysílá zprávy do protokolů EventVieweru.
    • Konfigurační textWriterListener naslouchacího procesu odesílá zprávy trasování do souboru ProvAgentTrace.log. Odkomentování řádků souvisejících s textWriterListener pouze pro pokročilé řešení potíží
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Spusťte agenta Microsoft Azure AD Připojení zřizování.

Nastavení Windows Prohlížeč událostí řešení potíží s agentem

  1. Přihlaste se k počítači Windows Server, na kterém je agent zřizování nasazený.

  2. Otevřete Windows Desktop Prohlížeč událostí Server.

  3. Vyberte Windows protokoly > aplikaci.

  4. Použijte filtr aktuální protokol... Možnost zobrazit všechny události zaznamenané ve zdrojovém agentovi zřizování azure AD Připojení a vyloučit události s ID události 5 zadáním filtru -5, jak je znázorněno níže.

    Poznámka

    ID události 5 zachycuje zprávy agenta při spuštění do cloudové služby Azure AD, a proto je při analýze souborů protokolu filtrujeme.

    Windows Prohlížeč událostí

  5. Klikněte na OK a seřa zobrazte výsledky podle sloupce Datum a čas.

Řešení potíží Azure Portal nastavení protokolů auditu služby

  1. Spusťte Azure Portala přejděte do části Protokoly auditu vaší aplikace zřizování Workday.

  2. Pomocí tlačítka Sloupce na stránce Protokoly auditu můžete v zobrazení zobrazit pouze následující sloupce (Datum, Aktivita, Stav, Důvod stavu). Tato konfigurace zajišťuje, že se zaměříte pouze na data, která jsou relevantní pro řešení potíží.

    Sloupce protokolu auditu

  3. K filtrování zobrazení použijte parametry dotazu Target (Cíl) a Date Range (Rozsah dat).

    • Nastavte parametr dotazu Target na ID pracovního procesu nebo ID zaměstnance pracovního objektu Workday.
    • Nastavte rozsah dat na odpovídající časové období, během kterého chcete prozkoumat chyby nebo problémy se zřizováním.

    Filtry protokolu auditu

Vysvětlení protokolů pro operace vytvoření uživatelského účtu AD

Při zjištění nového zaměstnance ve Workday (řekněme s ID zaměstnance 21023) se služba zřizování Azure AD pokusí vytvořit nový uživatelský účet AD pro pracovního procesu a v procesu vytvoří 4 záznamy protokolu auditu, jak je popsáno níže:

Operace vytvoření protokolu auditu

Když kliknete na kterýkoli ze záznamů protokolu auditu, otevře se stránka Podrobnosti o aktivitě. Tady je stránka Podrobnosti o aktivitě zobrazená pro každý typ záznamu protokolu.

  • Záznam importu Workday: Tento záznam protokolu zobrazuje informace o pracovních procesech načtené z Workday. Informace v části Další podrobnosti záznamu protokolu použijte k řešení potíží s načítáním dat z Workday. Níže je uvedený příklad záznamu spolu s ukazateli na způsob interpretace jednotlivých polí.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • Záznam importu služby AD: Tento záznam protokolu zobrazuje informace o účtu načtené ze služby AD. Stejně jako při počátečním vytváření uživatele neexistuje žádný účet AD, důvod stavu aktivity bude indikovat, že ve službě Active Directory nebyl nalezen žádný účet s hodnotou odpovídajícího ID. Informace v části Další podrobnosti záznamu protokolu použijte k řešení potíží s načítáním dat z Workday. Níže je uvedený příklad záznamu spolu s ukazateli na způsob interpretace jednotlivých polí.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object was not found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Pokud chcete najít záznamy protokolů agenta zřizování odpovídající této operaci importu AD, otevřete protokoly Windows Prohlížeč událostí a použijte... možnost nabídky k vyhledání položek protokolu obsahujících hodnotu atributu Matching ID/Joining Property (v tomto případě 21023).

    Vyhledávání

    Vyhledejte položku s ID události = 9, která vám poskytne vyhledávací filtr LDAP používaný agentem k načtení účtu AD. Můžete ověřit, jestli se jedná o správný vyhledávací filtr pro načtení jedinečných uživatelských položek.

    Hledání protokolu LDAP

    Záznam, který hned za ním následuje s ID události = 2, zachytí výsledek operace vyhledávání, a pokud vrátí nějaké výsledky.

    Výsledky protokolu LDAP

  • Záznam akce pravidla synchronizace: Tento záznam protokolu zobrazuje výsledky pravidel mapování atributů a nakonfigurované filtry oborů spolu s akcí zřizování, která se bude provést ke zpracování příchozí události Workday. Informace v části Další podrobnosti záznamu protokolu použijte k řešení potíží s synchronizační akcí. Níže je uvedený příklad záznamu spolu s ukazateli na způsob interpretace jednotlivých polí.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object will be added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Pokud dochází k problémům s výrazy mapování atributů nebo příchozí data Workday mají problémy (například prázdná hodnota nebo hodnota null pro požadované atributy), budete v této fázi sledovat selhání s kódem chyby, který obsahuje podrobnosti o selhání.

  • Záznam exportu služby AD: Tento záznam protokolu zobrazuje výsledek operace vytvoření účtu AD spolu s hodnotami atributů, které byly nastaveny v procesu. Informace v části Další podrobnosti záznamu protokolu použijte k řešení potíží s operací vytvoření účtu. Níže je uvedený příklad záznamu spolu s ukazateli na způsob interpretace jednotlivých polí. V části Další podrobnosti je parametr EventName nastavený na EntryExportAdd, vlastnost JoiningProperty je nastavená na hodnotu atributu Matching ID, vlastnost SourceAnchor je nastavená na WorkdayID (WID) přidruženou k záznamu a targetAnchor je nastaven na hodnotu atributu AD ObjectGuid nově vytvořeného uživatele.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object will be created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user

    Pokud chcete najít záznamy protokolů agenta zřizování odpovídající této operaci exportu AD, otevřete protokoly Windows Prohlížeč událostí a použijte příkaz Najít... možnost nabídky k vyhledání položek protokolu obsahujících hodnotu atributu Matching ID/Joining Property (v tomto případě 21023).

    Vyhledejte záznam HTTP POST odpovídající časovému razítku operace exportu s ID události = 2. Tento záznam bude obsahovat hodnoty atributů odeslané službou zřizování agentovi zřizování.

    Snímek obrazovky znázorňuje záznam HTTP POST v protokolu agenta zřizování

    Bezprostředně po výše uvedené události by měla být k dispozici další událost, která zachycuje odpověď operace vytvoření účtu AD. Tato událost vrátí novou objekt objectGuid vytvořenou ve službě AD a je nastavená jako atribut TargetAnchor ve službě zřizování.

    Snímek obrazovky znázorňuje protokol agenta zřizování se zvýrazněnou vlastností objectGuid vytvořenou ve službě AD

Vysvětlení protokolů pro operace aktualizace manageru

Atribut manager je referenční atribut ve službě AD. Zřizovací služba nenastaví atribut manager jako součást operace vytvoření uživatele. Místo toho se atribut manager nastaví jako součást operace aktualizace po vytvoření účtu AD pro uživatele. Když výše uvedený příklad rozbalíme, řekněme, že se ve Workday aktivuje nový zaměstnanec s ID zaměstnance 21451 a manažer nového zaměstnance (21023) už má účet AD. V tomto scénáři hledání uživatele v protokolech auditu 21451 obsahuje 5 položek.

Aktualizace manažera

Prvních 4 záznamy jsou jako ty, které jsme zkoumali v rámci operace vytvoření uživatele. 5. záznam je export přidružený k aktualizaci atributů manažera. Záznam protokolu zobrazuje výsledek operace aktualizace správce účtu služby AD, která se provádí pomocí atributu objectGuid správce.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Řešení běžných chyb

Tato část se věnuje běžným chybám při zřizování uživatelů Workday a způsobu jejich řešení. Chyby jsou seskupené takto:

Chyby agenta zřizování

# Chybový scénář Možné příčiny Doporučené řešení
1. Při instalaci agenta zřizování došlo k chybě s chybovou zprávou: Microsoft Azure AD Připojení agenta zřizování zřizování (AADConnectProvisioningAgent) se nepodařilo spustit. Ověřte, že máte dostatečná oprávnění ke spuštění systému. K této chybě obvykle dochází v případě, že se pokoušíte nainstalovat agenta zřizování na řadič domény a zásady skupiny brání spuštění služby. Může se zobrazit také v případě, že máte spuštěnou předchozí verzi agenta a před zahájením nové instalace jste ho ještě neinstaloval. Nainstalujte agenta zřizování na server mimo řadič domény. Před instalací nového agenta se ujistěte, že byly odinstalovány předchozí verze agenta.
2. Služba Windows agent zřizování Microsoft Azure AD Připojení je ve stavu Spouštění a nepřepněte do stavu Spuštěno. Průvodce agentem v rámci instalace vytvoří na serveru místní účet (NT Service \ AADConnectProvisioningAgent) a jedná se o přihlašovací účet, který se používá ke spuštění služby. Pokud zásady zabezpečení na vašem Windows serveru brání místním účtům ve spouštění služeb, dojde k této chybě. Otevřete konzolu Služby. Klikněte pravým tlačítkem na Windows Service Microsoft Azure AD Připojení Provisioning Agent a na kartě přihlášení zadejte účet správce domény, který službu spustí. Restartujte službu.
3. Při konfiguraci domény AD v agentovi zřizování v kroku Připojení Active Directory trvá průvodce příliš dlouho, než se pokouší načíst schéma ad a nakonec jeho časový limit. K této chybě obvykle dojde v případě, že se průvodce kvůli problémům s bránou firewall nemůže spojit se serverem řadiče domény AD. Na obrazovce Připojení Active Directory při poskytování přihlašovacích údajů pro vaši doménu AD je k dispozici možnost Vybrat prioritu řadiče domény. Tuto možnost použijte k výběru řadiče domény, který je ve stejné lokalitě jako server agenta, a ujistěte se, že komunikaci neblokují žádná pravidla brány firewall.

Chyby připojení

Pokud se zřizovací služba nemůže připojit k Workday nebo Active Directory, může to způsobit, že se zřizování převedou do stavu v karanténě. Při řešení potíží s připojením použijte následující tabulku.

# Chybový scénář Možné příčiny Doporučené řešení
1. Když kliknete na Test připojení, zobrazí se chybová zpráva: Při připojování ke službě Active Directory došlo k chybě. Ujistěte se, že je spuštěný místní agent zřizování a že je nakonfigurovaný se správnou doménou Active Directory. K této chybě obvykle dochází v případě, že agent zřizování není spuštěný nebo pokud existuje brána firewall blokující komunikaci mezi Službou Azure AD a agentem zřizování. Tato chyba se může zobrazit také v případě, že doména není nakonfigurovaná v Průvodci agentem. Otevřete konzolu Služby na Windows serveru a ověřte, že je agent spuštěný. Otevřete průvodce agentem zřizování a ověřte, že je k agentovi zaregistrovaná pravou doména.
2. Úloha zřizování během víkendů (pátek–sobota) přejde do stavu karantény a obdržíme e-mailové oznámení o chybě synchronizace. Jednou z běžných příčin této chyby je plánovaná údržba aplikace Workday. Pokud používáte tenanta implementace Workday, mějte na paměti, že Workday má naplánované výpadky tenantů implementace na víkendy (obvykle od pátečního večera do sobotního rána) a během této doby můžou aplikace zřizování Workday přejít do stavu karantény, protože se k Workday nemůžou připojit. Jakmile bude tenant implementace Workday opět online, vrátí se zpět do normálního stavu. Ve výjimečných případech k této chybě může dojít také v případě, že se kvůli aktualizaci tenanta změní heslo uživatele systému integrace nebo pokud dojde k uzamčení nebo vypršení platnosti účtu. Zjistěte od svého správce Workday nebo partnera pro integraci období plánovaných výpadků Workday, abyste během výpadků mohli ignorovat upozornění a zkontrolovat dostupnost, jakmile bude instance Workday opět online.

Chyby vytváření uživatelského účtu AD

# Chybový scénář Možné příčiny Doporučené řešení
1. Selhání operace exportu v protokolu auditu se zprávou Chyba: OperationsError-SvcErr: Došlo k chybě operace. Pro adresářovou službu není nakonfigurovaný žádný nadřízený odkaz. Adresářová služba proto nemůže vydávat referenční odkazy na objekty mimo tuto doménovou strukturu. K této chybě obvykle dochází v případě, že není správně nastavená OU kontejneru služby Active Directory nebo pokud dochází k problémům s mapováním výrazů použitým pro parentDistinguishedName. Zkontrolujte překlepy v parametru OU kontejneru Active Directory. Pokud v mapování atributů používáte parentDistinguishedName, ujistěte se, že se vždy vyhodnotí jako známý kontejner v rámci domény AD. Zkontrolujte vygenerovanou hodnotu v událostech exportu v protokolech auditu.
2. Selhání operace exportu v protokolu auditu s kódem chyby: SystemForCrossDomainIdentityManagementBadResponse a zprávou Chyba: ConstraintViolation-AtrErr: Hodnota v požadavku je neplatná. Hodnota atributu nebyla v přijatelném rozsahu hodnot. \npodrobnosti o chybě: CONSTRAINT_ATT_TYPE – společnost. I když je tato chyba specifická pro atribut společnosti, může se tato chyba zobrazit i u jiných atributů, jako je cn. Tato chyba se zobrazí kvůli omezení schématu vynucovaných službou AD. Ve výchozím nastavení mají atributy, jako je společnost a CN ve službě AD, horní limit 64 znaků. Pokud je hodnota pocházející z Workday delší než 64 znaků, zobrazí se tato chybová zpráva. Zkontrolujte událost Export v protokolech auditu a podívejte se na hodnotu atributu hlášené v chybové zprávě. Zvažte zkrácení hodnoty přicházející z Workday pomocí funkce Mid nebo změnu mapování na atribut AD, který nemá podobná omezení délky.

Chyby aktualizace uživatelského účtu AD

Během procesu aktualizace uživatelského účtu AD služba zřizování načte informace z Workday i AD, spustí pravidla mapování atributů a určí, jestli se nějaká změna musí projeví. Proto se aktivuje událost aktualizace. Pokud u jakéhokoli z těchto kroků dojde k selhání, zaprotokoluje se do protokolů auditu. Při řešení běžných chyb aktualizací použijte následující tabulku.

# Chybový scénář Možné příčiny Doporučené řešení
1. Selhání akcí synchronizačních pravidel v protokolu auditu se zprávou EventName = EntrySynchronizationError a ErrorCode = EndpointUnavailable. Tato chyba se zobrazí v případě, že služba zřizování nemůže načíst data profilu uživatele ze služby Active Directory kvůli chybě zpracování, ke které došlo u místního agenta zřizování. V protokolech agentů zřizování Prohlížeč událostí chybové události, které indikují problémy s operací čtení (filtrování podle ID události č. 2).
2. Atribut manager ve službě AD se pro určité uživatele ve službě AD ne aktualizován. Nejpravděpodobnější příčinou této chyby je, že používáte pravidla oborů a správce uživatele není součástí oboru. K tomuto problému může dojít také v případě, že odpovídající atribut ID manažera (např. EmployeeID) není v cílové doméně AD nalezen nebo není nastavený na správnou hodnotu. Zkontrolujte filtr oborů a přidejte uživatele manažera do oboru. Zkontrolujte profil manažera ve službě AD a ujistěte se, že existuje hodnota odpovídajícího atributu ID.

Správa konfigurace

Tato část popisuje, jak můžete dále rozšířit, přizpůsobit a spravovat konfiguraci zřizování uživatelů řízenou aplikací Workday. Zabývá se následujícími tématy:

Přizpůsobení seznamu atributů uživatele Workday

Zřizovací aplikace Workday pro Active Directory i Azure AD obsahují výchozí seznam atributů uživatele Workday, ze které si můžete vybrat. Tyto seznamy ale nejsou vyčerpávající. Workday podporuje mnoho stovek možných atributů uživatele, které mohou být buď standardní, nebo jedinečné pro vašeho tenanta Workday.

Zřizovací služba Azure AD podporuje možnost přizpůsobit atribut list nebo Workday tak, aby zahrnoval všechny atributy vystavené Get_Workers provozu rozhraní API pro lidské zdroje.

Pokud chcete tuto změnu provést, musíte pomocí aplikace Workday Studio extrahovat výrazy XPath, které představují atributy, které chcete použít, a pak je přidat do konfigurace zřizování pomocí rozšířeného editoru atributů v Azure Portal.

Načtení výrazu XPath pro atribut uživatele Workday:

  1. Stáhněte a nainstalujte si Workday Studio. Pro přístup k instalačnímu programu budete potřebovat účet komunity Workday.

  2. Stáhněte si soubor Human_Resources WSDL pro Workday, který je určený pro verzi rozhraní API WWS, kterou plánujete použít, z adresáře webové služby Workday .

  3. Spusťte Workday.

  4. Na panelu příkazů vyberte v možnosti Tester možnost testování webové služby Workday > .

  5. Vyberte externí a vyberte soubor WSDL Human_Resources, který jste stáhli v kroku 2.

    Snímek obrazovky, který zobrazuje soubor "Human_Resources" otevřený v Workday studiu.

  6. Nastavte pole umístění na https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources , ale nahraďte "impl-CC" skutečným typem instance a "TENANT" s vaším skutečným názvem tenanta.

  7. Nastavit operaci na Get_Workers

  8. Kliknutím na odkaz malé Konfigurace pod podokny žádosti a odpověď nastavte přihlašovací údaje pracovního dne. Zkontrolujte ověřování a potom zadejte uživatelské jméno a heslo pro účet systému pro integraci Workday. Ujistěte se, že jste naformátujete uživatelské jméno jako název @ tenanta, a ponecháte vybranou možnost WS-Security UsernameToken . Snímek obrazovky s uvedeným uživatelským jménem a heslem a vybraným uživatelským tokenem WS-Security.

  9. Vyberte OK.

  10. Do podokna žádosti vložte následující kód XML. Nastavte Employee_ID na ID zaměstnance reálného uživatele v tenantovi Workday. Nastavte WWS verze na verzi, kterou plánujete použít. Vyberte uživatele, který má atribut naplněný, který chcete extrahovat.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Kliknutím na Odeslat žádost (zelenou šipku) spusťte příkaz. V případě úspěchu by se měla odpověď zobrazit v podokně odpovědi . Zkontrolujte odpověď, abyste se ujistili, že obsahuje data ID uživatele, která jste zadali, a ne chybu.

  12. V případě úspěchu zkopírujte kód XML z podokna odpovědi a uložte ho jako soubor XML.

  13. Na příkazovém řádku v nabídce Workday Studio vyberte soubor > otevřít soubor... a otevřete soubor XML, který jste uložili. Tato akce otevře soubor v editoru XML Workday Studio.

    Snímek obrazovky souboru X M L otevřeného v programu Workday Studio X M L Editor.

  14. Ve stromu souborů přejděte přes /ENV: obálka > ENV: tělo > průchozí: Get_Workers_Response > průchozí: Response_Data > průchozí: Worker to Find data vašeho uživatele.

  15. V části nepracovní proces, najděte atribut, který chcete přidat, a vyberte ho.

  16. Zkopírujte výraz XPath pro vybraný atribut z pole cesta dokumentu .

  17. Z kopírovaného výrazu odeberte /ENV: obálky/ENV: body/přeformátování: Get_Workers_Response/WD: Response_Data/ .

  18. Pokud je poslední položka v kopírovaném výrazu uzel (příklad: "/WD: Birth_Date"), pak na konci výrazu přidejte /text () . To není nutné, pokud je poslední položkou atribut (příklad: " /@wd: Type").

  19. Výsledek by měl být podobný wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text() . Tato hodnota se zkopíruje do Azure Portal.

Přidání vlastního atributu pracovního uživatele Workday do vaší konfigurace zřizování:

  1. Spusťte Azure Portala přejděte do části zřizování vaší aplikace pro zřizování Workday, jak je popsáno výše v tomto kurzu.

  2. Nastavte stav zřizování hodnotu vypnuto a vyberte Uložit. Tento krok vám pomůže zajistit, aby se změny projevily až po tom, co jste připraveni.

  3. V části mapování vyberte možnost synchronizovat pracovní procesy Workday do místní služby Active Directory (nebo synchronizovat pracovní procesy v rámci služby Azure AD).

  4. Posuňte se k dolnímu okraji další obrazovky a vyberte Zobrazit upřesňující možnosti.

  5. Vyberte Upravit seznam atributů pro Workday.

    Snímek obrazovky, který zobrazuje stránku "pracovní den pro Azure A D" zřizování pro uživatele "se zvýrazněnou akcí upravit seznam atributů pro Workday".

  6. Posuňte se do dolní části seznamu atributů na místo, kde jsou vstupní pole.

  7. Jako název zadejte zobrazovaný název atributu.

  8. Jako typ vyberte typ, který odpovídající vašemu atributu (řetězec je nejčastěji).

  9. Pro výraz rozhraní API zadejte výraz XPath, který jste zkopírovali z Workday Studio. Příklad: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Vyberte Přidat atribut.

    Pracovní den v studiu

  11. Vyberte Uložit výše a pak Ano pro dialog. Pokud je tato obrazovka stále otevřená, zavřete ji Attribute-Mapping.

  12. Zpátky na hlavní kartě zřizování vyberte možnost synchronizovat pracovní procesy Workday do místní služby Active Directory (nebo synchronizovat pracovní procesy s Azure AD).

  13. Vyberte Přidat nové mapování.

  14. Nový atribut by se teď měl zobrazit v seznamu zdrojového atributu .

  15. Přidejte mapování pro nový atribut podle potřeby.

  16. Až budete hotovi, nezapomeňte nastavit stav zřizování zpět na zapnuto a uložit.

Export a import vaší konfigurace

Přečtěte si článek o exportu a importu konfigurace zřizování .

Správa osobních údajů

řešení zřizování pracovních pracovních postupů pro službu Active Directory vyžaduje, aby byl agent zřizování nainstalovaný na místním Windows serveru a tento agent vytváří protokoly v protokolu událostí Windows, který může obsahovat osobní údaje v závislosti na mapování atributů z pracovního dne na AD. abyste dosáhli dodržování závazků uživatelů na ochranu osobních údajů, můžete zajistit, aby se v protokolech událostí přesahujících 48 hodin nezachovala žádná data, a to tak, že se naplánuje Windows naplánovaný úkol pro vymazání protokolu událostí

Služba zřizování Azure AD spadá do kategorie procesor dat klasifikace GDPR. Služba jako kanál datového procesoru poskytuje služby pro zpracování dat pro klíčové partnery a koncové zákazníky. Služba zřizování Azure AD negeneruje uživatelská data a nemá žádnou nezávislou kontrolu nad tím, jaké osobní údaje se shromažďují a jak se používají. Načítání, agregace, analýza a vytváření sestav ve službě Azure AD Provisioning jsou založená na stávajících podnikových datech.

Poznámka

Informace o zobrazení nebo odstranění osobních údajů najdete v doprovodnéch materiálech od Microsoftu na žádostech o datovém subjektu pro web GDPR pro Windows . Obecné informace o GDPR najdete v části GDPR na webu Microsoft Trust Center a v části GDPR portálu pro důvěryhodnost služby.

S ohledem na uchovávání dat služba zřizování Azure AD negeneruje sestavy, provádějí analýzy ani neposkytuje přehledy po dobu 30 dnů. Proto služba zřizování Azure AD neukládá, zpracovává ani neuchovává žádná data déle než 30 dnů. Tento návrh dodržuje předpisy GDPR, nařízení o dodržování předpisů Microsoftu a zásady uchovávání dat v Azure AD.

Další kroky