Integration der Microsoft Entra-Bereitstellung mit Workday
Der Microsoft Entra-Benutzerbereitstellungsdienst ist mit Workday HCM integriert, um den Identitätslebenszyklus von Benutzern zu verwalten. Microsoft Entra ID bietet drei vorbereitete Integrationen:
- Lokale Benutzerbereitstellung von Workday in Active Directory
- Workday zur Microsoft Entra-Benutzerbereitstellung
- Workday Writeback
In diesem Artikel wird erläutert, wie die Integration funktioniert und wie Sie das Bereitstellungsverhalten für verschiedene HR-Szenarien anpassen können.
Herstellen von Verbindungen
Beschränken des Workday-API-Zugriffs auf Microsoft Entra-Endpunkte
Der Microsoft Entra-Bereitstellungsdienst verwendet für das Erstellen einer Verbindung mit den Webdienst-API-Endpunkten von Workday die Standardauthentifizierung.
Um die Konnektivität zwischen dem Microsoft Entra-Bereitstellungsdienst und Workday noch besser zu schützen, können Sie den Zugriff einschränken, sodass der designierte Integrationssystembenutzer nur aus den zulässigen Microsoft Entra-IP-Adressbereichen auf die Workday-APIs zugreifen darf. Wenden Sie sich an Ihren Workday-Administrator, um die folgende Konfiguration in Ihrem Workday-Mandanten abzuschließen.
- Laden Sie die aktuellen IP-Adressbereiche für die öffentliche Azure-Cloud herunter.
- Öffnen Sie die Datei, und suchen Sie nach dem Tag Microsoft Entra ID
- Kopieren Sie alle IP-Adressbereiche, die innerhalb des-Elements addressPrefixes aufgeführt sind, und verwenden Sie den Bereich, um eine eigene IP-Adressliste zu erstellen.
- Melden Sie sich beim Workday-Verwaltungsportal an.
- Greifen Sie auf die Aufgabe Maintain IP Ranges (IP-Adressbereiche verwalten) zu, um einen neuen IP-Adressbereich für die Azure-Rechenzentren zu erstellen. Geben Sie die IP-Adressbereiche (in CIDR-Notation) als eine durch Trennzeichen getrennte Liste an.
- Greifen Sie auf die Aufgabe Manage Authentication Policies (Authentifizierungsrichtlinien verwalten) zu, um eine neue Authentifizierungsrichtlinie zu erstellen. Verwenden Sie in der Authentifizierungsrichtlinie die Positivliste für die Authentifizierung, um den Microsoft Entra-IP-Adressbereich und die Sicherheitsgruppe anzugeben, der Zugriff aus diesem IP-Adressbereich gestattet wird. Speichern Sie die Änderungen.
- Greifen Sie auf die Aufgabe Activate All Pending Authentication Policy Changes (Alle ausstehenden Änderungen an Authentifizierungsrichtlinien aktivieren) zu, um die Änderungen zu bestätigen.
Einschränken des Zugriffs auf Mitarbeiterdaten in Workday mithilfe von eingeschränkten Sicherheitsgruppen
Mithilfe der Standardschritte zum Konfigurieren des Systembenutzers für die Workday-Integration gewähren Sie den Zugriff zum Abrufen aller Benutzer in Ihrem Workday-Mandanten. In bestimmten Integrationsszenarien sollten Sie den Zugriff beschränken. Geben Sie beispielsweise mit dem API-Aufruf Get_Workers nur Benutzer in bestimmten Aufsichtsorganisationen zurück.
Sie können den Zugriff beschränken, indem Sie mit Ihrem Workday-Administrator zusammenarbeiten und eingeschränkte Sicherheitsgruppen für das Integrationssystem konfigurieren. Weitere Informationen zu Workday finden Sie in der Workday-Community (um den Artikel lesen zu können, müssen Sie Zugriff auf die Workday-Community haben).
Diese Strategie des Beschränkens des Zugriffs mithilfe eingeschränkter ISSGs (Integrationssystem-Sicherheitsgruppen) ist insbesondere in den folgenden Szenarien hilfreich:
- Rollout in mehreren Phasen: Sie verfügen über einen großen Workday-Mandanten und planen einen Rollout in mehreren Phasen für die automatische Bereitstellung von Workday zu Microsoft Entra ID. In diesem Szenario sollten Benutzer, die sich nicht im Gültigkeitsbereich der aktuellen Phase befinden, nicht mit Microsoft Entra-Bereichsfiltern ausgeschlossen werden. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG zu konfigurieren, sodass nur Arbeitnehmer im Gültigkeitsbereich in Microsoft Entra ID sichtbar sind.
- Mehrere Bereitstellungsaufträge: Sie verfügen über einen großen Workday-Mandanten und mehrere AD-Domänen, die jeweils andere Geschäftseinheiten/Abteilungen/Unternehmen unterstützen. Zur Unterstützung dieser Topologie möchten Sie mehrere Bereitstellungsaufträge von Workday zu Microsoft Entra ausführen, um jeweils eine bestimmte Gruppe von Arbeitnehmern bereitzustellen. In diesem Szenario sollten Sie die Arbeitnehmerdaten nicht mit Microsoft Entra-Bereichsfiltern ausschließen. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG konfigurieren, damit nur die relevanten Arbeitnehmerdaten für Microsoft Entra ID sichtbar sind.
Abfragen der Workday-Testverbindung
Zum Testen der Konnektivität mit Workday sendet Microsoft Entra ID die folgende Get_Workers-Workday-Webdienstanforderung.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Funktionsweise der vollständigen Synchronisierung
Vollständige Synchronisierung bezieht sich im Zusammenhang mit der Workday-gesteuerten Bereitstellung auf den Prozess, mit dem alle Identitäten aus Workday abgerufen werden und festgelegt wird, welche Bereitstellungsregeln auf die einzelnen Mitarbeiterobjekte angewandt werden sollen. Die vollständige Synchronisierung erfolgt, wenn Sie die Bereitstellung zum ersten Mal aktivieren, und auch, wenn Sie die Bereitstellung über das Microsoft Entra Admin Center oder mithilfe der Graph-APIs neu starten.
Zum Abrufen der Arbeitnehmerdaten sendet Microsoft Entra ID die folgende Get_Workers-Workday-Webdienstanforderung. Die Abfrage durchsucht das Workday-Transaktionsprotokoll nach allen effektiv veralteten Mitarbeitereinträgen zum Zeitpunkt der vollständigen Synchronisierung.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Mit dem Knoten Response_Group wird angegeben, welche Mitarbeiterattribute aus Workday abgerufen werden sollen. Eine Beschreibung der einzelnen Flags im Knoten Response_Group finden Sie in der Dokumentation von Workday zur Get_Workers-API.
Bestimmte Flagwerte, die im Knoten Response_Group angegeben sind, werden basierend auf den in der Microsoft Entra-Bereitstellungsanwendung für Workday konfigurierten Attributen berechnet. Die Kriterien, die zum Festlegen der Flagwerte angewandt werden, finden Sie im Abschnitt Unterstützten Entitäten.
Die Antwort auf Get_Workers von Workday für die obige Abfrage enthält die Anzahl der Mitarbeiterdatensätze und die Seitenanzahl.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Zum Abrufen der nächsten Seite des Resultsets wird in der nächsten Get_Workers-Abfrage die Seitenzahl als Parameter im Response_Filter angegeben.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
Der Microsoft Entra-Bereitstellungsdienst verarbeitet während der vollständigen Synchronisierung jede Seite und durchläuft alle gültigen Arbeitnehmer. Für jeden aus Workday importierten Arbeitnehmereintrag werden folgende Aktionen ausgeführt:
- Der XPATH-Ausdruck wird angewandt, um Attributwerte aus Workday abzurufen.
- Die Attributzuordnung und die Vergleichsregeln werden angewandt.
- Der Dienst bestimmt, welcher Vorgang im Ziel ausgeführt werden soll (Microsoft Entra ID /Active Directory).
Sobald die Verarbeitung abgeschlossen wurde, wird der Zeitstempel vom Beginn der vollständigen Synchronisierung als Wasserzeichen gespeichert. Dieses Wasserzeichen dient als Startpunkt für den inkrementellen Synchronisierungszyklus.
Funktionsweise der inkrementellen Synchronisierung
Nach der vollständigen Synchronisierung verwaltet der Microsoft Entra-Bereitstellungsdienst einen LastExecutionTimestamp und verwendet diesen zum Erstellen von Deltaabfragen für das Abrufen inkrementeller Änderungen. Während der inkrementellen Synchronisierung sendet Microsoft Entra ID die folgenden Typen von Abfragen an Workday:
- Abfrage von manuellen Updates
- Abfrage von Updates und Kündigungen zu einem bestimmten Datum
- Abfrage für zukünftige Neueinstellungen
Abfrage von manuellen Updates
Die folgende Get_Workers-Anforderung fragt manuelle Updates ab, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Abfrage von Updates und Kündigungen zu einem bestimmten Datum
Die folgende Get_Workers-Anforderung fragt Updates zu bestimmten Daten ab, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Abfrage für zukünftige Neueinstellungen
Wenn eine der oben genannten Abfragen eine Einstellung in der Zukunft zurückgibt, werden mithilfe der folgenden Get_Workers-Anforderung Informationen zu einer zukünftigen Neueinstellung abgerufen. Das WID-Attribut des neu eingestellten Mitarbeiters wird für die Suche verwendet, und als effektives Datum werden das Datum und die Uhrzeit der Einstellung festgelegt.
Hinweis
Bei Einstellungen in Workday, die in der Zukunft liegen, ist das Feld „Active“ (Aktiv) auf „0“ festgelegt. Es ändert sich am Tag des Einstellungsdatums in „1“. Der Connector fragt entwurfsgemäß Informationen zur zukünftigen Einstellung ab, die am Einstellungsdatum gültig sind. Aus diesem Grund erhält er immer das Mitarbeiterprofil der zukünftigen Einstellung, dessen Feld „Active“ auf „1“ festgelegt ist. Auf diese Weise können Sie das Microsoft Entra-Profil für zukünftige Arbeitnehmer bereits im Voraus einrichten, wobei alle erforderlichen Informationen bereits ausgefüllt sind. Wenn Sie die Aktivierung des Microsoft Entra-Kontos für zukünftige Arbeitnehmer verzögern möchten, verwenden Sie die Transformationsfunktion DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Abrufen von Attributen für Mitarbeiterdaten
Die Get_Workers-API kann verschiedene Datasets zurückgeben, die einem Mitarbeiter zugeordnet sind. Abhängig von den XPATH-API-Ausdrücken, die im Bereitstellungsschema konfiguriert sind, legt der Microsoft Entra-Bereitstellungsdienst fest, welche Datasets aus Workday abgerufen werden sollen. Die entsprechenden Response_Group-Flags werden in der Get_Workers-Anforderung festgelegt.
In der folgenden Tabelle finden Sie einen Leitfaden für die Konfiguration der Zuordnung zum Abrufen eines bestimmten Datasets.
| # | Workday-Entität | Standardmäßig inbegriffen | XPATH-Muster zum Angeben der Zuordnung für das Abrufen nicht standardmäßiger Entitäten |
|---|---|---|---|
| 1 | Personal Data |
Ja | wd:Worker_Data/wd:Personal_Data |
| 2 | Employment Data |
Ja | wd:Worker_Data/wd:Employment_Data |
| 3 | Additional Job Data |
Ja | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
| 4 | Organization Data |
Ja | wd:Worker_Data/wd:Organization_Data |
| 5 | Management Chain Data |
Ja | wd:Worker_Data/wd:Management_Chain_Data |
| 6 | Supervisory Organization |
Ja | SUPERVISORY |
| 7 | Company |
Ja | COMPANY |
| 8 | Business Unit |
Nein | BUSINESS_UNIT |
| 9 | Business Unit Hierarchy |
Nein | BUSINESS_UNIT_HIERARCHY |
| 10 | Company Hierarchy |
Nein | COMPANY_HIERARCHY |
| 11 | Cost Center |
Nein | COST_CENTER |
| 12 | Cost Center Hierarchy |
Nein | COST_CENTER_HIERARCHY |
| 13 | Fund |
Nein | FUND |
| 14 | Fund Hierarchy |
Nein | FUND_HIERARCHY |
| 15 | Gift |
Nein | GIFT |
| 16 | Gift Hierarchy |
Nein | GIFT_HIERARCHY |
| 17 | Grant |
Nein | GRANT |
| 18 | Grant Hierarchy |
Nein | GRANT_HIERARCHY |
| 19 | Business Site Hierarchy |
Nein | BUSINESS_SITE_HIERARCHY |
| 20 | Matrix Organization |
Nein | MATRIX |
| 21 | Pay Group |
Nein | PAY_GROUP |
| 22 | Programs |
Nein | PROGRAMS |
| 23 | Program Hierarchy |
Nein | PROGRAM_HIERARCHY |
| 24 | Region |
Nein | REGION_HIERARCHY |
| 25 | Location Hierarchy |
Nein | LOCATION_HIERARCHY |
| 26 | Account Provisioning Data |
Nein | wd:Worker_Data/wd:Account_Provisioning_Data |
| 27 | Background Check Data |
Nein | wd:Worker_Data/wd:Background_Check_Data |
| 28 | Benefit Eligibility Data |
Nein | wd:Worker_Data/wd:Benefit_Eligibility_Data |
| 29 | Benefit Enrollment Data |
Nein | wd:Worker_Data/wd:Benefit_Enrollment_Data |
| 30 | Career Data |
Nein | wd:Worker_Data/wd:Career_Data |
| 31 | Compensation Data |
Nein | wd:Worker_Data/wd:Compensation_Data |
| 32 | Contingent Worker Tax Authority Data |
Nein | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
| 33 | Development Item Data |
Nein | wd:Worker_Data/wd:Development_Item_Data |
| 34 | Employee Contracts Data |
Nein | wd:Worker_Data/wd:Employee_Contracts_Data |
| 35 | Employee Review Data |
Nein | wd:Worker_Data/wd:Employee_Review_Data |
| 36 | Feedback Received Data |
Nein | wd:Worker_Data/wd:Feedback_Received_Data |
| 37 | Worker Goal Data |
Nein | wd:Worker_Data/wd:Worker_Goal_Data |
| 38 | Photo Data |
Nein | wd:Worker_Data/wd:Photo_Data |
| 39 | Qualification Data |
Nein | wd:Worker_Data/wd:Qualification_Data |
| 40 | Related Persons Data |
Nein | wd:Worker_Data/wd:Related_Persons_Data |
| 41 | Role Data |
Nein | wd:Worker_Data/wd:Role_Data |
| 42 | Skill Data |
Nein | wd:Worker_Data/wd:Skill_Data |
| 43 | Succession Profile Data |
Nein | wd:Worker_Data/wd:Succession_Profile_Data |
| 44 | Talent Assessment Data |
Nein | wd:Worker_Data/wd:Talent_Assessment_Data |
| 45 | User Account Data |
No | wd:Worker_Data/wd:User_Account_Data |
| 46 | Worker Document Data |
Nein | wd:Worker_Data/wd:Worker_Document_Data |
Hinweis
Jede in der Tabelle aufgelistete Workday-Entität wird durch eine Domänensicherheitsrichtlinie in Workday geschützt. Wenn Sie nach dem Festlegen des richtigen XPATH keine Attribute abrufen können, die der Entität zugeordnet sind, wenden Sie sich an Ihren Workday-Administrator, um sicherzustellen, dass für den Integrationssystembenutzer, der der Bereitstellungs-App zugeordnet ist, die entsprechende Domänensicherheitsrichtlinie konfiguriert ist. Wenn Sie z. B. Daten zu Fertigkeiten abrufen möchten, ist der Zugriff Abrufen für die Workday-Domäne Worker Data: Skills and Experience (Mitarbeiterdaten: Fertigkeiten und Erfahrungen).
Im Folgenden finden Sie einige Beispiele dazu, wie Sie die Workday-Integration erweitern können, um bestimmte Anforderungen zu erfüllen.
Beispiel 1: Abrufen von Informationen zu Kostenstelle und Lohngruppe
Angenommen, Sie möchten die folgenden Datasets aus Workday abrufen und in Ihren Bereitstellungsregeln verwenden:
- Kostenstelle
- Hierarchie der Kostenstellen
- Lohngruppe
Die oben aufgeführten Datasets sind standardmäßig nicht enthalten. So rufen Sie diese Datasets ab
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie Ihre Benutzerbereitstellungsanwendung Workday in Active Directory/Microsoft Entra aus.
Wählen Sie Bereitstellung aus.
Bearbeiten Sie die Zuordnungen, und öffnen Sie die Liste der Workday-Attribute im Abschnitt „Erweitert“.
Fügen Sie die folgenden Attributdefinitionen hinzu, und markieren Sie sie als „erforderlich“. Diese Attribute sind keinem Attribut in Active Directory oder Microsoft Entra ID zugeordnet. Sie dienen als Signale für den Connector, um die Informationen zu Kostenstelle, Kostenstellenhierarchie und Lohngruppe abzurufen.
Attributname XPATH-API-Ausdruck CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Wenn die Datasets für Kostenstelle und Lohngruppe in der Get_Workers-Antwort enthalten sind, können Sie mithilfe der XPATH-Werte Namen und Code der Kostenstelle sowie die Lohngruppe abrufen.
Attributname XPATH-API-Ausdruck CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Beispiel 2: Abrufen von Daten zu Qualifikation und Fertigkeiten
Angenommen, Sie möchten Zertifizierungen abrufen, die einem Benutzer zugeordnet sind. Diese Informationen sind im Dataset mit den Qualifikationsdaten enthalten. Verwenden Sie den folgenden XPATH-Ausdruck, um dieses Dataset in der Get_Workers-Antwort abzurufen:
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Beispiel 3: Abrufen der Zuweisungen von Bereitstellungsgruppen
Angenommen, Sie möchten die Bereitstellungsgruppen abrufen, die einem Mitarbeiter zugewiesen sind. Diese Informationen sind im Dataset mit den Kontobereitstellungsdaten enthalten. Verwenden Sie den folgenden XPATH-Ausdruck, um diese Daten in der Get_Workers-Antwort abzurufen:
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Umgang mit verschiedenen HR-Szenarien
In diesem Abschnitt wird erläutert, wie Sie die Bereitstellungs-App für die folgenden Szenarien zur Personalverwaltung anpassen können:
- Unterstützung für Mitarbeiterumwandlungen
- Abrufen von Details zu zugewiesenen internationalen Aufträgen und sekundären Aufträgen
Unterstützung für Mitarbeiterumwandlungen
In diesem Abschnitt wird die Unterstützung des Microsoft Entra-Bereitstellungsdienstes für Szenarien beschrieben, in denen ein Arbeitnehmer von Vollzeitmitarbeiter*in (Full-Time-Employee, FTE) zu Zeitarbeitnehmer (Contingent Worker, CW) oder umgekehrt wechselt. Je nachdem, wie solche Umwandlungen in Workday verarbeitet werden, müssen verschiedene Implementierungsaspekte berücksichtigt werden.
- Szenario 1: rückdatierte Umwandlung von FTE zu CW oder umgekehrt
- Szenario 2: derzeitige Anstellung als CW/FTE, sofortiger Wechsel zu FTE/CW
- Szenario 3: derzeitige Anstellung als CW/FTE ist beendet, nach längerem Zeitraum erneute Anstellung als FTE/CW
- Szenario 4: zukünftige Umwandlung, wenn der aktive Status CW/FTE lautet
Szenario 1: rückdatierte Umwandlung von FTE zu CW oder umgekehrt
Ihr Personalteam kann die Umwandlungsaktion in Workday aus wichtigen geschäftlichen Gründen rückdatieren. Beispiele hierfür sind die Bearbeitung der Lohn- und Gehaltsabrechnung, die Einhaltung von Budgets, rechtliche Anforderungen und die Verwaltung von Sozialleistungen. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.
- Es ist der 15. Januar 2023, und Jane Doe hat eine befristete Stelle im Unternehmen. Die Personalabteilung bietet Jane eine unbefristete Stelle an.
- Die Änderungen an Janes Vertrag erfordern eine Rückdatierung der Transaktion, sodass sie auf den Anfang des aktuellen Monats fällt. Die Personalabteilung initiiert am 15. Januar 2023 eine rückdatierte Umwandlungstransaktion in Workday mit dem Gültigkeitsdatum 1. Januar 2023. Für Jane gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv.
- Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll am 15. Januar 2023. Der Dienst stellt automatisch im nächsten Synchronisierungszyklus Attribute für das neue FTE-Profil bereit.
- Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.
Szenario 2: derzeitige Anstellung als CW/FTE, sofortiger Wechsel zu FTE/CW
Dieses Szenario ähnelt dem obigen Szenario, außer, dass die Personalabteilung anstelle einer Rückdatierung eine Umwandlung durchführt, die ab sofort gilt. Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll. Im nächsten Synchronisierungszyklus stellt der Dienst automatisch alle zugeordneten Attribute mit einem aktiven FTE-Profil bereit. Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.
Szenario 3: derzeitige Anstellung als CW/FTE ist beendet, nach längerem Zeitraum erneute Anstellung als FTE/CW
Es ist nicht ungewöhnlich, dass Arbeitnehmerinnen und Arbeitnehmer vorübergehend bei einem Unternehmen beschäftigt sind, das Unternehmen verlassen und dann nach mehreren Monaten mit unbefristetem Vertrag wieder eingestellt werden. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.
- Es ist der 1. Januar 2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da Johns WorkerID (übereinstimmendes Attribut) kein AD-Konto zugeordnet ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns WID (WorkdayID) für vorübergehend Beschäftigte mit seinem AD-Konto.
- Johns Vertrag endet am 31. Januar 2023. Im Bereitstellungszyklus, der am 31. Januar am Ende des Tages ausgeführt wird, ist das AD-Konto von John deaktiviert.
- John bewirbt sich um eine andere Position an und tritt am 1. Mai 2023 eine unbefristete Stelle im Unternehmen an. Die Personalabteilung gibt Johns Daten als Mitarbeiterinformation am 15. April 2023 ein. Für John gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv. Die beiden Datensätze weisen die gleiche WorkerID, aber unterschiedliche WIDs auf.
- Am 15. April überträgt der Microsoft Entra-Bereitstellungsdienst während des inkrementellen Zyklus automatisch das Eigentum am AD-Konto an das aktive Arbeitnehmerprofil. In diesem Fall wird die Verknüpfung des Profils für einen vorübergehend beschäftigten Arbeitnehmer aus dem AD-Konto entfernt und eine neue Verknüpfung zwischen Johns aktivem Mitarbeiterprofil und seinem AD-Konto erstellt.
- Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.
Szenario 4: zukünftige Umwandlung, wenn der aktive Status CW/FTE lautet
Manchmal ist ein Arbeitnehmer möglicherweise bereits ein aktiver Mitarbeiter mit befristetem Vertrag, wenn die Personalabteilung eine Umwandlungstransaktion mit Datum in der Zukunft initiiert. Das folgende Beispiel zeigt, wie die Bereitstellung für dieses Szenario abläuft und welche Konfigurationsänderungen erforderlich sind, um dieses Szenario zu unterstützen.
Es ist der 1. Januar 2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da Johns WorkerID (übereinstimmendes Attribut) kein AD-Konto zugeordnet ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns WID (WorkdayID) für vorübergehend Beschäftigte mit seinem AD-Konto.
Am 15. Januar initiiert die Personalabteilung eine Transaktion, um John mit Wirkung vom 1. Februar 2023 von einem befristeten in einen unbefristeten Mitarbeiter umzuwandeln.
Da der Microsoft Entra-Bereitstellungsdienst vordatierte Einstellungen automatisch verarbeitet, wird er Johns neues Profil als Vollzeitmitarbeiter am 15. Januar verarbeiten und Johns Profil in AD mit Informationen zu seiner unbefristeten Anstellung aktualisieren, obwohl er zu diesem Zeitpunkt immer noch ein Zeitarbeitnehmer ist.
Um dieses Verhalten zu verhindern und um sicherzustellen, dass Johns Informationen als unbefristeter Mitarbeiter erst am 1. Februar 2023 bereitgestellt werden, führen Sie die folgenden Konfigurationsänderungen aus.
Konfigurationsänderungen
- Bitten Sie Ihren Workday-Administrator, eine Bereitstellungsgruppe namens „Umwandlungen mit Datum in der Zukunft“ zu erstellen.
- Implementieren Sie Logik in Workday, um Datensätze für Mitarbeiter, deren Stellen erst zu einem zukünftigen Datum in befristete oder unbefristete Stellen umgewandelt werden, zu dieser Bereitstellungsgruppe hinzuzufügen.
- Aktualisieren Sie die Microsoft Entra-Bereitstellungs-App, um diese Bereitstellungsgruppe zu lesen. Lesen Sie die Anweisungen zum Abrufen der Bereitstellungsgruppe.
- Erstellen Sie einen Bereichsfilter in Microsoft Entra ID, um Arbeitnehmerprofile auszuschließen, die Teil dieser Bereitstellungsgruppe sind.
- Implementieren Sie Logik in Workday, sodass Workday an dem Datum, an dem die Umwandlung wirksam wird, den entsprechenden Datensatz für befristete/unbefristete Mitarbeiter aus der Bereitstellungsgruppe in Workday entfernt.
- Mit dieser Konfiguration ist der vorhandene Datensatz für befristete/unbefristete Mitarbeiter weiterhin gültig, und die Bereitstellungsänderung erfolgt erst am Tag der Umwandlung.
Hinweis
Während der ersten vollständigen Synchronisierung stellen Sie möglicherweise ein Verhalten fest, bei dem die Attributwerte, die dem vorherigen inaktiven Mitarbeiterprofil zugeordnet sind, an das AD-Konto des umgewandelten Mitarbeiters übertragen werden. Diese Einstellung ist temporär und wird schließlich im Zuge der vollständigen Synchronisierung durch Attributwerte aus dem aktiven Mitarbeiterprofil überschrieben. Sobald die vollständige Synchronisierung abgeschlossen ist und der Bereitstellungsauftrag einen stabilen Zustand erreicht, wird während der inkrementellen Synchronisierung immer das aktive Mitarbeiterprofil ausgewählt.
Abrufen von Details zu zugewiesenen internationalen Aufträgen und sekundären Aufträgen
Standardmäßig ruft der Workday-Connector Attribute ab, die dem primären Auftrag des Workers zugeordnet sind. Der Connector unterstützt auch das Abrufen Additional Job Data, die den zugewiesenen internationalen Aufträgen oder sekundären Aufträgen zugeordnet sind.
Führen Sie die folgenden Schritte aus, um Attribute abzurufen, die den zugewiesenen internationalen Aufträgen zugeordnet sind:
- Legen Sie die Workday-Verbindungs-URL fest. Es wird die Workday-Webdienst-API-Version 30.0 oder höher verwendet. Legen Sie die richtigen XPATH-Werte in Ihrer Workday-Bereitstellungs-App entsprechend fest.
- Verwenden Sie den Selektor
@wd:Primary_Job=0für denWorker_Job_Data-Knoten, um das richtige Attribut abzurufen.- Beispiel 1: Verwenden Sie den XPATH-Ausdruck
wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text(), umSecondaryBusinessTitleabzurufen. - Beispiel 2: Verwenden Sie den XPATH-Ausdruck
wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor, umSecondaryBusinessLocationabzurufen.
- Beispiel 1: Verwenden Sie den XPATH-Ausdruck