Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra s mobilní aplikací Workday
V tomto kurzu se dozvíte, jak integrovat ID Microsoft Entra, podmíněný přístup a Intune s mobilní aplikací Workday. Když integrujete mobilní aplikaci Workday s Microsoftem, můžete:
- Před přihlášením se ujistěte, že zařízení vyhovují vašim zásadám.
- Přidejte ovládací prvky do mobilní aplikace Workday, abyste zajistili, že uživatelé bezpečně přistupují k podnikovým datům.
- Řízení v Microsoft Entra ID, který má přístup k Workday.
- Povolte uživatelům automatické přihlášení k Workday pomocí svých účtů Microsoft Entra.
- Správa účtů v jednom centrálním umístění: na webu Azure Portal.
Předpoklady
Jak začít:
- Integrujte Workday s Microsoft Entra ID.
- Přečtěte si integraci jednotného přihlašování (SSO) Microsoft Entra s Workday.
Popis scénáře
V tomto kurzu nakonfigurujete a otestujete zásady podmíněného přístupu Microsoft Entra a Intune pomocí mobilní aplikace Workday.
Pro povolení jednotného přihlašování (SSO) můžete nakonfigurovat federovanou aplikaci Workday s ID Microsoft Entra. Další informace najdete v tématu Integrace jednotného přihlašování (SSO) Microsoft Entra s Workday.
Poznámka:
Workday nepodporuje zásady ochrany aplikací Intune. Abyste mohli používat podmíněný přístup, musíte použít správu mobilních zařízení.
Zajištění přístupu uživatelů k mobilní aplikaci Workday
Nakonfigurujte Workday tak, aby povolovaly přístup k mobilním aplikacím. Musíte nakonfigurovat následující zásady pro Workday Mobile:
- Přístup k zásadám zabezpečení domény pro sestavu funkční oblasti
- Vyberte příslušné zásady zabezpečení:
- Mobilní využití – Android
- Mobilní využití – iPad
- Mobilní využití – i Telefon
- Vyberte Upravit oprávnění.
- Zaškrtněte políčko Zobrazit nebo Upravit a udělte skupinám zabezpečení přístup k zabezpečitelným položkám sestavy nebo úkolu.
- Zaškrtnutím políčka Získat nebo Vložit udělte skupinám zabezpečení přístup k integraci a sestavě nebo zabezpečitelným akcím úlohy.
Aktivujte čekající změny zásad zabezpečení spuštěním aktivace čekajících změn zásad zabezpečení.
Otevření přihlašovací stránky Workday v mobilním prohlížeči Workday
Pokud chcete použít podmíněný přístup pro mobilní aplikaci Workday, musíte aplikaci otevřít v externím prohlížeči. V okně Upravit nastavení tenanta – Zabezpečení vyberte Povolit jednotné přihlašování mobilního prohlížeče pro nativní aplikace. To vyžaduje, aby byl na zařízení pro iOS nainstalovaný prohlížeč schválený intune a v pracovním profilu pro Android.
Nastavení zásad podmíněného přístupu
Tato zásada má vliv jenom na přihlášení na zařízení s iOSem nebo Androidem. Pokud ho chcete rozšířit na všechny platformy, vyberte Libovolné zařízení. Tato zásada vyžaduje, aby zařízení vyhovovalo zásadám a ověřuje ho prostřednictvím Intune. Vzhledem k tomu, že Android má pracovní profily, blokuje to všem uživatelům přihlášení k Aplikaci Workday, pokud se nepřihlašují přes svůj pracovní profil a nenainstalovali aplikaci prostřednictvím portálu společnosti Intune. Existuje ještě jeden krok pro iOS, abyste měli jistotu, že platí stejná situace.
Workday podporuje následující řízení přístupu:
- Vyžadovat vícefaktorové ověřování
- Vyžadovat, aby zařízení bylo označeno jako vyhovující
Aplikace Workday nepodporuje následující funkce:
- Vyžadovat schválenou klientskou aplikaci
- Vyžadování zásad ochrany aplikací (Preview)
Pokud chcete nastavit Workday jako spravované zařízení, proveďte následující kroky:
Vyberte domovské stránky>zásad podmíněného přístupu k Microsoft Intune.> Pak vyberte Jenom spravovaná zařízení.
V části Pouze spravovaná zařízení v části Název vyberte Pouze spravovaná zařízení a pak vyberte Cloudové aplikace nebo akce.
V cloudových aplikacích nebo akcích:
Přepnout vyberte, na co se tato zásada vztahuje nacloudové aplikace.
V možnosti Zahrnout zvolte Vybrat aplikace.
V seznamu Vybrat zvolte Workday.
Vyberte Hotovo.
Přepněte povolit zásadu na Zapnuto.
Zvolte Uložit.
V případě udělení přístupu proveďte následující kroky:
Vyberte domovské stránky>zásad podmíněného přístupu k Microsoft Intune.> Pak vyberte Jenom spravovaná zařízení.
V části Pouze spravovaná zařízení v části Název vyberte Pouze spravovaná zařízení. V části Řízení přístupu vyberte Udělit.
V grantu:
Vyberte ovládací prvky, které se mají vynutit jako udělení přístupu.
Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.
Vyberte Vyžadovat jeden z vybraných ovládacích prvků.
Zvolte Vybrat.
Přepněte povolit zásadu na Zapnuto.
Zvolte Uložit.
Nastavení zásad dodržování předpisů pro zařízení
Pokud chcete zajistit, aby se zařízení s iOSem mohla přihlásit jenom přes Aplikaci Workday spravovanou správou mobilních zařízení, musíte aplikaci z App Storu zablokovat přidáním aplikace com.workday.workdayapp do seznamu aplikací s omezeným přístupem. Tím se zajistí, že k Workday budou mít přístup jenom zařízení, která mají aplikaci Workday nainstalovanou prostřednictvím portálu společnosti. V prohlížeči mají zařízení přístup jenom v případě, že zařízení spravuje Intune a používá spravovaný prohlížeč.
Nastavení zásad konfigurace aplikací Intune
| Scénář | Páry klíč-hodnota |
|---|---|
| Automaticky vyplňte pole tenanta a webové adresy pro: ● Workday na Androidu, když povolíte Android pro pracovní profily. ● Workday na iPadu a i Telefon. |
Ke konfiguraci tenanta použijte tyto hodnoty: ● Konfigurační klíč = UserGroupCode● Typ hodnoty = Řetězec ● Hodnota konfigurace = název vašeho tenanta. Příklad: gmsKe konfiguraci webové adresy použijte tyto hodnoty: ● Konfigurační klíč = AppServiceHost● Typ hodnoty = Řetězec ● Hodnota konfigurace = základní adresa URL vašeho tenanta. Příklad: https://www.myworkday.com |
| Zakažte tyto akce pro Workday na iPadu a i Telefon: ● Vyjmutí, kopírování a vložení ● Tisk |
Nastavte hodnotu (logická hodnota) na False tyto klíče a zakažte funkčnost:● AllowCutCopyPaste● AllowPrint |
| Zakažte snímky obrazovky pro Workday v Androidu. | Nastavte hodnotu (logická hodnota) na FalseAllowScreenshots klíč, aby se zakázala funkce. |
| Zakažte navrhované aktualizace pro uživatele. | Nastavte hodnotu (logická hodnota) na FalseAllowSuggestedUpdates klíč, aby se zakázala funkce. |
| Přizpůsobte si adresu URL obchodu s aplikacemi tak, aby nasměrovávejte mobilní uživatele do obchodu s aplikacemi podle vašeho výběru. | Pomocí těchto hodnot změňte adresu URL obchodu s aplikacemi: ● Konfigurační klíč = AppUpdateURL● Typ hodnoty = Řetězec ● Hodnota konfigurace = adresa URL obchodu s aplikacemi |
Zásady konfigurace pro iOS
Přihlaste se k portálu Azure.
Vyhledejte Intune nebo vyberte widget ze seznamu.
Přejděte do zásad konfigurace aplikací klientských aplikací>>. Pak vyberte + Přidat>spravovaná zařízení.
Zadejte název.
V části Platforma zvolte iOS/iPadOS.
V části Přidružená aplikace zvolte aplikaci Workday pro iOS, kterou jste přidali.
Vyberte Nastavení Konfigurace. V části Formát nastavení konfigurace vyberte Zadat data XML.
Tady je ukázkový soubor XML. Přidejte konfigurace, které chcete použít. Nahraďte
STRING_VALUEřetězcem, který chcete použít. Nahradit<true /> or <false />za<true />nebo<false />. Pokud konfiguraci nepřidáte, bude tato ukázková funkce nastavená naTruehodnotu .<dict> <key>UserGroupCode</key> <string>STRING_VALUE</string> <key>AppServiceHost</key> <string>STRING_VALUE</string> <key>AllowCutCopyPaste</key> <true /> or <false /> <key>AllowPrint</key> <true /> or <false /> <key>AllowSuggestedUpdates</key> <true /> or <false /> <key>AppUpdateURL</key> <string>STRING_VALUE</string> </dict>Vyberte Přidat.
Aktualizujte stránku a vyberte nově vytvořenou zásadu.
Vyberte Zadání a zvolte, na koho se má aplikace vztahovat.
Zvolte Uložit.
Zásady konfigurace Pro Android
- Přihlaste se k portálu Azure.
- Vyhledejte Intune nebo vyberte widget ze seznamu.
- Přejděte do zásad konfigurace aplikací klientských aplikací>>. Pak vyberte + Přidat>spravovaná zařízení.
- Zadejte název.
- V části Platforma zvolte Android.
- V části Přidružená aplikace zvolte aplikaci Workday pro Android, kterou jste přidali.
- Vyberte Nastavení Konfigurace. V části Formát nastavení konfigurace vyberte Zadat data JSON.