Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra s Workday

  • Článek

V tomto kurzu se dozvíte, jak integrovat Workday s Microsoft Entra ID. Když integrujete Workday s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k Workday.
  • Povolte uživatelům, aby se k Workday automaticky přihlásili pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Předpoklady

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním (SSO) Workday

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Workday podporuje jednotné přihlašování iniciované aktualizací SP .

  • Aplikaci Workday Mobile je teď možné nakonfigurovat s ID Microsoft Entra pro povolení jednotného přihlašování. Další podrobnosti o konfiguraci najdete na tomto odkazu.

Poznámka:

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Pokud chcete nakonfigurovat integraci Workday do Microsoft Entra ID, musíte přidat Workday z galerie do seznamu spravovaných aplikací SaaS.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. Do části Přidat z galerie zadejte Do vyhledávacího pole Workday.
  4. Na panelu výsledků vyberte Workday a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro Workday

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Aplikací Workday pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Aplikaci Workday.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s aplikací Workday, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra tak, aby uživatelé mohli tuto funkci používat.
    1. Vytvořte testovacího uživatele Microsoft Entra, který otestuje jednotné přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřaďte testovacímu uživateli Microsoft Entra, aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Nakonfigurujte Workday tak, aby na straně aplikace nakonfigurovali nastavení jednotného přihlašování.
    1. Vytvořte testovacího uživatele Aplikace Workday, který bude mít protějšk B.Simon v aplikaci Workday, který je propojený s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte na stránku integrace aplikace Workday aplikace Identity>Application>Enterprise>, vyhledejte oddíl Spravovat a vyberte Jednotné přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Screenshot showing Edit Basic SAML Configuration.

  5. Na stránce Základní konfigurace SAML zadejte hodnoty pro následující pole:

    a. Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://impl.workday.com/<tenant>/login-saml2.flex

    b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://impl.workday.com/<tenant>/login-saml.htmld

    c. Do textového pole Odhlásit adresu URL zadejte adresu URL pomocí následujícího vzoru: https://impl.workday.com/<tenant>/login-saml.htmld

    Poznámka:

    Tyto hodnoty nejsou skutečné. Aktualizujte tyto hodnoty pomocí skutečné přihlašovací adresy URL, adresy URL odpovědi a adresy URL odhlášení. Adresa URL odpovědi musí mít subdoménu, například www, wd2, wd3, wd3-impl, wd5, wd5-impl). Použití něčeho podobného http://www.myworkday.com funguje, ale http://myworkday.com ne. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Workday. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  6. Aplikace Workday očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání mapování vlastních atributů na konfiguraci atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů, zatímco nameidentifier je mapován na user.userprincipalname. Aplikace Workday očekává , že se identifikátor nameidentifier mapuje pomocí user.mail, UPN atd., takže potřebujete upravit mapování atributů kliknutím na ikonu Upravit a změnit mapování atributů.

    Screenshot shows User Attributes with the Edit icon selected.

    Poznámka:

    Tady jsme namapovali ID názvu uživatele (UPN) na výchozí název uživatele (user.userprincipalname). Abyste mohli úspěšně pracovat s jednotným přihlašováním, musíte id jména namapovat na skutečné ID uživatele v účtu Workday (váš e-mail, hlavní název uživatele atd.).

  7. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte stáhnout certifikát a uložit ho do počítače.

    Screenshot showing The Certificate download link.

  8. Pokud chcete upravit možnosti podepisování podle vašeho požadavku, kliknutím na tlačítko Upravit otevřete dialogové okno podpisového certifikátu SAML.

    Screenshot showing Certificate.

    a. Vyberte podepsat odpověď SAML a kontrolní výraz pro možnost podepisování.

    Screenshot showing SAML Signing Certificate.

    b. Klikněte na Uložit.

  9. V části Nastavit Workday zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Screenshot showing Copy configuration URLs.

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například, B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k Aplikaci Workday.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte do aplikace Identita>Enterprise Applications>>Workday.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace Workday

  1. V jiném okně webového prohlížeče se přihlaste k firemnímu webu Workday jako správce.

  2. Do vyhledávacího pole vyhledejte název Upravit nastavení tenanta – zabezpečení na levé horní straně domovské stránky.

    Screenshot showing Edit Tenant Security.

  3. V části Nastavení SAML klikněte na Importovat zprostředkovatele identity.

    Screenshot showing SAML Setup.

  4. V části Importovat zprostředkovatele identity proveďte následující kroky:

    Screenshot showing Importing Identity Provider.

    a. Zadejte název zprostředkovatele identity, jako AzureAD je v textovém poli.

    b. V textovém poli Použito pro prostředí vyberte v rozevíracím seznamu odpovídající názvy prostředí.

    c. Kliknutím na Vybrat soubory nahrajte stažený soubor XML metadat federace.

    d. Klikněte na OK.

  5. Po kliknutí na OK se do zprostředkovatelů identity SAML přidá nový řádek a pak můžete přidat následující kroky pro nově vytvořený řádek.

    Screenshot showing SAML Identity Providers.

    a. Zaškrtněte políčko Povolit odhlášení iniciované protokolem IDP.

    b. Do textového pole Adresa URL odpovědi pro odhlášení zadejte http://www.workday.com.

    c. Zaškrtněte políčko Povolit odhlášení iniciované aplikací Workday.

    d. Do textového pole Adresa URL žádosti o odhlášení vložte hodnotu adresy URL pro odhlášení.

    e. Klikněte na zaškrtávací políčko Iniciované aktualizací SP.

    f. Do textového pole ID zprostředkovatele služeb zadejte http://www.workday.com.

    g. Vyberte Nepovolit deflaci žádosti o ověření iniciované aktualizací SP.

    h. Klikněte na OK.

    i. Pokud byl úkol úspěšně dokončen, klikněte na Tlačítko Hotovo.

    Poznámka:

    Ujistěte se, že jste správně nastavili jednotné přihlašování. V případě, že povolíte jednotné přihlašování s nesprávným nastavením, možná nebudete moct aplikaci zadat pomocí svých přihlašovacích údajů a uzamknout se. V této situaci aplikace Workday poskytuje adresu URL pro záložní přihlášení, kde se uživatelé můžou přihlásit pomocí svého normálního uživatelského jména a hesla v následujícím formátu:[Vaše adresa URL workday]/login.flex?redirect=n

Vytvoření testovacího uživatele Workday

  1. Přihlaste se k webu společnosti Workday jako správce.

  2. Klikněte na Profil v pravém horním rohu, vyberte Domů a klikněte na Adresář na kartě Aplikace .

  3. Na stránce Adresář vyberte možnost Najít pracovní procesy na kartě Zobrazení.

    Screenshot showing Find workers.

  4. Na stránce Najít pracovní procesy vyberte uživatele z výsledků.

  5. Na následující stránce vyberte Zabezpečení pracovního procesu úlohy > a účet Workday se musí shodovat s ID Microsoft Entra jako hodnotou ID názvu.

    Screenshot showing Worker Security.

Poznámka:

Další informace o tom, jak vytvořit testovacího uživatele workday, získáte od týmu podpory klienta Workday.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Klikněte na Otestovat tuto aplikaci, tím se přesměruje na přihlašovací adresu URL workday, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na přihlašovací adresu URL workday a spusťte tok přihlášení odtud.

  • Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici Workday v Moje aplikace, měli byste být automaticky přihlášení k Aplikaci Workday, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete Workday, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.