Tutorial: Konfigurieren von Workday für die Microsoft Entra-Benutzerbereitstellung

In diesem Tutorial werden die Schritte veranschaulicht, die Sie ausführen müssen, um Mitarbeiterdaten aus Workday in Microsoft Entra ID bereitzustellen.

Hinweis

Verwenden Sie dieses Tutorial, wenn die Benutzer, die Sie aus Workday bereitstellen möchten, ausschließlich Cloudbenutzer sind und kein lokales Active Directory-Konto benötigen. Wenn die Benutzer*innen nur ein lokales AD-Konto oder sowohl ein AD- als auch ein Microsoft Entra-Konto benötigen, lesen Sie das Tutorial zum Konfigurieren der Benutzerbereitstellung aus Workday in Active Directory.

Das folgende Video bietet einen kurzen Überblick über die Schritte, die bei der Planung der Bereitstellungsintegration mit Workday erforderlich sind.

Überblick

Der Microsoft Entra-Benutzerbereitstellungsdienst kann zum Bereitstellen von Benutzerkonten mit der Workday Human Resources-API integriert werden. Die vom Microsoft Entra-Benutzerbereitstellungsdienst unterstützten Workday-Workflows zur Benutzerbereitstellung ermöglichen die Automatisierung der folgenden Szenarien für das Personalwesen und Identity Lifecycle Management:

• Einstellung neuer Mitarbeitender: Wenn Workday neue Mitarbeitende hinzugefügt werden, wird in Microsoft Entra ID und optional in Microsoft 365 sowie in anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch ein Benutzerkonto erstellt, und die E-Mail-Adresse wird in Workday zurückgeschrieben.

• Aktualisierung von Mitarbeiterattributen und -profilen: Wenn in Workday ein Mitarbeiterdatensatz aktualisiert wird (z. B. Name, Titel oder Vorgesetzte*r), wird das entsprechende Benutzerkonto in Microsoft Entra ID und optional in Microsoft 365 sowie in anderen, von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch aktualisiert.

• Kündigung von Mitarbeitenden: Wenn Mitarbeitenden in Workday gekündigt wird, wird das entsprechende Benutzerkonto in Microsoft Entra ID und optional in Microsoft 365 sowie in anderen, von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch deaktiviert.

• Wiedereinstellung von Mitarbeitenden: Wenn Mitarbeitende in Workday erneut eingestellt werden, kann ihr altes Konto in Microsoft Entra ID und optional in Microsoft 365 und in anderen, von Microsoft Entra ID unterstützten SaaS-Anwendungen je nach Präferenz automatisch reaktiviert oder erneut bereitgestellt werden.

Für wen ist diese Benutzerbereitstellungslösung am besten geeignet?

Diese Benutzerbereitstellungslösung zwischen Workday und Microsoft Entra eignet sich ideal für:

• Organisationen, die eine vorgefertigte, cloudbasierte Lösung für die Workday-Benutzerbereitstellung verwenden möchten

• Organisationen, bei denen Benutzer*innen direkt aus Workday in Microsoft Entra ID bereitgestellt werden müssen

• Organisationen, bei denen Benutzer mithilfe von Daten bereitgestellt werden müssen, die aus Workday abgerufen werden

• Organisationen, die Microsoft 365 für E-Mails verwenden

Lösungsarchitektur

In diesem Abschnitt wird die Lösungsarchitektur der End-to-End-Benutzerbereitstellung für ausschließliche Cloudbenutzer beschrieben. Es gibt zwei zugehörige Flows:

• Autoritativer Personaldatenfluss von Workday nach Microsoft Entra ID: In diesem Flow treten mitarbeiterbezogene Ereignisse (z. B. Neueinstellungen, Wechsel, Kündigungen) zuerst in Workday auf, und anschließend werden die Ereignisdaten in Microsoft Entra ID übertragen. Abhängig vom Ereignis kann dies dann in Microsoft Entra ID zu Erstellungs-, Aktualisierungs-, Aktivierungs- oder Deaktivierungsvorgängen führen.

• Rückschreibedatenfluss – vom lokalen Active Directory nach Workday: Nach Abschluss der Kontoerstellung in Active Directory wird das Konto über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert. Anschließend kann für Informationen wie E-Mail-Adresse, Benutzername und Telefonnummer das Rückschreiben in Workday durchgeführt werden.

  

End-to-End-Benutzerdatenfluss

1. Das Team der Personalabteilung führt Mitarbeitertransaktionen (Einstellungen/Wechsel/Kündigungen) in Workday Employee Central aus.
2. Der Microsoft Entra-Bereitstellungsdienst führt geplante Synchronisierungen von Identitäten aus Workday EC aus und ermittelt Änderungen, die für eine Synchronisierung mit dem lokalen Active Directory verarbeitet werden müssen.
3. Der Microsoft Entra-Bereitstellungsdienst ermittelt die Änderung und ruft den entsprechenden Vorgang zum Erstellen, Aktualisieren, Aktivieren oder Deaktivieren für die jeweiligen Benutzer*innen in Microsoft Entra ID auf.
4. Wenn die App für das Rückschreiben in Workday konfiguriert wurde, werden damit Attribute wie E-Mail-Adresse, Benutzername und Telefonnummer aus Microsoft Entra ID abgerufen.
5. Der Microsoft Entra-Bereitstellungsdienst legt E-Mail-Adresse, Benutzername und Telefonnummer in Workday fest.

Planen der Bereitstellung

Das Konfigurieren einer cloudbasierten Benutzerbereitstellung für das Personalwesen von Workday in Microsoft Entra ID erfordert eine ausführliche Planung, die unter anderem die folgenden Aspekte abdecken sollte:

• Ermittlung der Übereinstimmungs-ID
• Attributzuordnung
• Attributtransformation
• Bereichsfilter

Ausführliche Anleitungen zu diesen Themen finden Sie unter Planen der HR-Cloudbereitstellung.

Konfigurieren eines Integrationssystembenutzers in Workday

Im Abschnitt Konfigurieren des Integrationssystembenutzers finden Sie Informationen zum Erstellen eines Benutzerkontos für das Workday-Integrationssystem mit Berechtigungen zum Abrufen von Beschäftigtendaten.

Konfigurieren der Benutzerbereitstellung von Workday in Microsoft Entra ID

In den folgenden Abschnitten werden die Schritte zum Konfigurieren der Benutzerbereitstellung von Workday in Microsoft Entra ID für reine Cloudbereitstellungen beschrieben.

• Hinzufügen der Microsoft Entra-Bereitstellungsconnector-App und Herstellen der Verbindung mit Workday
• Konfigurieren von Workday- und Microsoft Entra-Attributzuordnungen
• Aktivieren und Starten der Benutzerbereitstellung

Teil 1: Hinzufügen der Microsoft Entra-Bereitstellungsconnector-App und Herstellen der Verbindung mit Workday

So konfigurieren Sie die Bereitstellung von Workday in Microsoft Entra für reine Cloudbenutzer*innen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.

3. Suchen Sie nach Workday zu Microsoft Entra-Benutzerbereitstellung, und fügen Sie die App aus dem Katalog hinzu.

4. Sobald die App hinzugefügt wurde und der Bildschirm mit den App-Details angezeigt wird, wählen Sie Bereitstellung aus.

5. Ändern Sie den Bereitstellungsmodus in Automatisch.

6. Vervollständigen Sie den Abschnitt Administratoranmeldeinformationen wie folgt:

   • Workday-Benutzername: Geben Sie den Benutzernamen des Workday-Systemintegrationskontos mit angefügtem Mandantendomänennamen ein. Sollte etwa so aussehen: benutzername@contoso4

   • Workday-Kennwort: Geben Sie das Kennwort des Workday-Systemintegrationskontos ein.

   • URL der Workday Web Services-API: Geben Sie die URL des Workday-Webdienstendpunkts für Ihren Mandanten ein. Die URL bestimmt die Version der Workday Web Services-API, die vom Connector verwendet wird.

     URL-Format	Verwendete WWS-API-Version	Erforderliche XPath-Änderungen
     https://####.workday.com/ccx/service/tenantName	v21.1	Nein
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Nein
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Ja

     Hinweis

     Wenn in der URL keine Versionsinformationen angegeben sind, wird Workday Web Services (WWS) v21.1 von der App genutzt, und es müssen keine Änderungen an den XPath-API-Standardausdrücken der App vorgenommen werden. Geben Sie die Versionsnummer in der URL an, wenn Sie eine bestimmte WWS-API-Version verwenden möchten.
     Beispiel: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Wenn Sie eine WWS-API der Version 30.0 oder höher verwenden, müssen Sie vor der Aktivierung des Bereitstellungsauftrags unter Attributzuordnung > Erweiterte Optionen > Attributliste für Workday bearbeiten die XPath-API-Ausdrücke aktualisieren. (Entsprechende Informationen finden Sie im Abschnitt Verwalten Ihrer Konfiguration und in der Workday-Attributreferenz.)

   • Benachrichtigungs-E-Mail: Geben Sie Ihre E-Mail-Adresse ein, und aktivieren Sie das Kontrollkästchen „E-Mail senden, wenn Fehler auftritt“.

   • Klicken Sie auf die Schaltfläche Verbindung testen.

   • Wenn der Verbindungstest erfolgreich ist, klicken Sie oben auf die Schaltfläche Speichern. Falls nicht, überprüfen Sie, ob die Workday-URL und -Anmeldeinformationen in Workday gültig sind.

Teil 2: Konfigurieren von Workday- und Microsoft Entra-Attributzuordnungen

In diesem Abschnitt konfigurieren Sie den Fluss von Benutzerdaten aus Workday nach Microsoft Entra ID für reine Cloudbenutzer*innen.

1. Klicken Sie auf der Registerkarte „Bereitstellung“ unter Zuordnungen auf Mitarbeiter in Microsoft Entra ID synchronisieren.

2. Im Feld Quellobjektbereich können Sie die Benutzergruppen in Workday für die Bereitstellung in Microsoft Entra ID auswählen, indem Sie attributbasierte Filter definieren. Der Standardbereich ist „Alle Benutzer in Workday“. Beispielfilter:

   • Beispiel: Auswählen der Benutzer mit Mitarbeiter-IDs von 1000000 bis 2000000

     • Attribut: WorkerID

     • Operator: REGEX Match

     • Wert: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Beispiel: Nur vorübergehend Beschäftigte und keine regulären Mitarbeiter

     • Attribut: ContingentID

     • Operator: IS NOT NULL

3. Im Feld Zielobjektaktionen können Sie global filtern, welche Aktionen in Microsoft Entra ID ausgeführt werden. Erstellen und Aktualisieren erfolgen am häufigsten.

4. Im Abschnitt Attributzuordnungen können Sie definieren, wie einzelne Workday-Attribute Active Directory-Attributen zugeordnet werden.

5. Klicken Sie auf eine vorhandene Attributzuordnung, um sie zu aktualisieren. Oder klicken Sie am unteren Bildschirmrand auf Neue Zuordnung hinzufügen, um neue Zuordnungen hinzuzufügen. Eine einzelne Attributzuordnung unterstützt die folgenden Eigenschaften:

   • Zuordnungstyp

     • Direkt: Schreibt den Wert des Workday-Attributs unverändert in das AD-Attribut.

     • Konstant: Schreibt einen statischen, konstanten Zeichenfolgenwert in das AD-Attribut.

     • Ausdruck: Ermöglicht das Schreiben eines benutzerdefinierten Werts basierend auf einem oder mehreren Workday-Attributen in das AD-Attribut. Weitere Informationen finden Sie im Artikel zu Ausdrücken.

   • Quellattribut: Das Benutzerattribut aus Workday. Wenn das gesuchte Attribut nicht vorhanden ist, finden Sie weitere Informationen unter Anpassen der Liste der Workday-Benutzerattribute.

   • Standardwert: Optional. Wenn das Quellattribut einen leeren Wert aufweist, wird von der Zuordnung stattdessen dieser Wert geschrieben. Die meisten Konfigurationen sehen vor, dieses Feld leer zu lassen.

   • Zielattribut: Das Benutzerattribut in Microsoft Entra ID.

   • Objekte mit diesem Attribut abgleichen: Gibt an, ob dieses Attribut zum eindeutigen Bestimmen von Benutzer*innen zwischen Workday und Microsoft Entra ID verwendet werden soll. Dieser Wert wird meist für das Feld „Worker-ID“ für Workday festgelegt, das in der Regel dem Attribut „Mitarbeiter-ID“ (neu) oder einem Erweiterungsattribut in Microsoft Entra ID zugeordnet wird.

   • Rangfolge für Abgleich: Es können mehrere Attribute für den Abgleich festgelegt werden. Falls mehrere vorhanden sind, werden sie entsprechend der in diesem Feld festgelegten Reihenfolge ausgewertet. Sobald eine Übereinstimmung gefunden wird, werden keine weiteren Attribute für den Abgleich mehr ausgewertet.

   • Diese Zuordnung anwenden

     • Immer: Wenden Sie diese Zuordnung sowohl bei der Aktion zum Erstellen eines Benutzers als auch bei der zum Aktualisieren eines Benutzers an.

     • Nur während der Erstellung: Wenden Sie diese Zuordnung nur bei der Aktion zum Erstellen eines Benutzers an.

6. Klicken Sie oben im Abschnitt „Attributzuordnung“ auf Speichern, um Ihre Zuordnungen zu speichern.

Aktivieren und Starten der Benutzerbereitstellung

Nachdem die Konfiguration der Workday-Bereitstellungs-App abgeschlossen ist, können Sie den Bereitstellungsdienst aktivieren.

Tipp

Beim Aktivieren des Bereitstellungsdiensts werden Bereitstellungsvorgänge für alle Benutzer im Bereich initiiert. Wenn Fehler in der Zuordnung oder Workday-Datenprobleme auftreten, kann der Bereitstellungsauftrag fehlschlagen und in den Quarantänezustand wechseln. Um dies zu vermeiden, empfehlen wir, den Filter Quellobjektbereich zu konfigurieren und Ihre Attributzuordnungen mit einigen Testbenutzern zu testen, bevor Sie die vollständige Synchronisierung für alle Benutzer starten. Sobald Sie sich vergewissert haben, dass die Zuordnungen funktionieren und Sie die gewünschten Ergebnisse erhalten, können Sie den Filter entweder entfernen oder schrittweise erweitern, um mehr Benutzer einzubinden.

1. Legen Sie auf der Registerkarte Bereitstellung die Einstellung Bereitstellungsstatus auf Ein fest.

2. Klicken Sie auf Speichern.

3. Dieser Vorgang startet die erste Synchronisierung, die abhängig von der Anzahl der Benutzer im Workday-Mandanten eine variable Anzahl von Stunden dauern kann. Sie können die Statusanzeige überprüfen, um den Fortschritt des Synchronisierungszyklus zu verfolgen.

4. Im Azure-Portal können Sie sich auf der Registerkarte Überwachungsprotokolle jederzeit ansehen, welche Aktionen der Bereitstellungsdienst ausgeführt hat. Die Überwachungsprotokolle enthalten alle einzelnen Synchronisierungsereignisse, die vom Bereitstellungsdienst ausgeführt werden – beispielsweise, welche Benutzer*innen in Workday gelesen und anschließend Microsoft Entra ID hinzugefügt oder dort aktualisiert wurden.

5. Nach Abschluss der ersten Synchronisierung wird auf der Registerkarte Bereitstellung ein Überwachungszusammenfassungsbericht ausgegeben:

   

Nächste Schritte

• Hier erfahren Sie mehr zu Integrationsszenarios und Webdienstaufrufen für Microsoft Entra ID und Workday.
• Weitere Informationen zu unterstützten Workday-Attributen für die eingehende Bereitstellung
• Konfigurieren von Workday Writeback
• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen.
• Erfahren Sie, wie Sie einmaliges Anmelden (SSO) zwischen Workday und Microsoft Entra ID konfigurieren
• Weitere Informationen zum Exportieren und Importieren von Bereitstellungskonfigurationen