Oktatóanyag: Workday konfigurálása a felhasználók automatikus átadásához
Az oktatóanyag célja, hogy bemutassa a munkavégző profilok Workdayből helyi Active Directory (AD) való kiépítéséhez szükséges lépéseket.
Feljegyzés
Ezt az oktatóanyagot akkor használhatja, ha a Workdayből kiépíteni kívánt felhasználóknak helyszíni AD-fiókra és Microsoft Entra-fiókra van szükségük.
- Ha a Workday felhasználóinak csak Microsoft Entra-fiókra (csak felhőalapú felhasználóknak) van szükségük, tekintse meg a Workday Microsoft Entra-azonosítós felhasználókiépítésre való konfigurálásával kapcsolatos oktatóanyagot.
- Az olyan attribútumok visszaírásának konfigurálásához, mint az e-mail-cím, a felhasználónév és a telefonszám a Microsoft Entra ID-ból a Workdaybe, tekintse meg a Workday-visszaírás konfigurálására vonatkozó oktatóanyagot.
Az alábbi videó gyors áttekintést nyújt a Workdaynel való üzembe helyezési integráció megtervezésének lépéseiről.
Áttekintés
A Microsoft Entra felhasználói kiépítési szolgáltatása integrálható a Workday Human Resources API-val a felhasználói fiókok kiépítéséhez. A Microsoft Entra felhasználói kiépítési szolgáltatás által támogatott Workday-felhasználókiépítési munkafolyamatok a következő emberi erőforrások és identitás életciklus-kezelési forgatókönyvek automatizálását teszik lehetővé:
Új alkalmazottak felvétele – Amikor új alkalmazottat ad hozzá a Workdayhez, a rendszer automatikusan létrehoz egy felhasználói fiókot az Active Directoryban, a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365-ös és egyéb SaaS-alkalmazásokban, az informatikai felügyelet alatt álló kapcsolattartási adatok visszaírásával a Workdaybe.
Alkalmazotti attribútumok és profilfrissítések – Ha egy alkalmazotti rekord frissül a Workdayben (például a nevük, a címük vagy a felettesük), a felhasználói fiók automatikusan frissül az Active Directoryban, a Microsoft Entra ID-ban, valamint opcionálisan a Microsoft 365-ben és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.
Alkalmazotti felmondások – Ha egy alkalmazottat a Workdayben szüntetnek meg, a felhasználói fiók automatikusan le lesz tiltva az Active Directoryban, a Microsoft Entra-azonosítóban, valamint opcionálisan a Microsoft 365-ben és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.
Alkalmazotti rehires – Amikor egy alkalmazott újra meg van hiredve a Workdayben, a régi fiókja automatikusan újraaktiválható vagy újra kiépíthető (az Ön igényeinek megfelelően) az Active Directoryba, a Microsoft Entra ID-be, valamint opcionálisan a Microsoft 365-be és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokba.
Újdonságok
Ez a szakasz a Workday-integráció legutóbbi fejlesztéseit rögzíti. Az átfogó frissítések, tervezett módosítások és archívumok listáját a Microsoft Entra ID újdonságai című oldalon találja.
2020. október – Igény szerinti igény szerinti üzembe helyezés a Workday esetében: Igény szerinti kiépítés használatával mostantól tesztelheti egy adott felhasználói profil végpontok közötti kiépítését a Workdayben az attribútumleképezés és a kifejezéslogika ellenőrzéséhez.
2020. május – Telefonszámok visszaírása a Workdaybe: Az e-mail és a felhasználónév mellett a munkahelyi telefonszámot és a mobiltelefonszámot is visszaírhatja a Microsoft Entra-azonosítóról a Workdayre. További részletekért tekintse meg a visszaíró alkalmazás oktatóanyagát.
2020. április – A Workday Web Services (WWS) API legújabb verziójának támogatása: Márciusban és szeptemberben évente kétszer a Workday funkciókban gazdag frissítéseket biztosít, amelyek segítenek megfelelni az üzleti céloknak és a változó munkaerőigénynek. A Workday által biztosított új funkciókkal való összhangban most már közvetlenül megadhatja a WWS API-verziót, amelyet a kapcsolat URL-címében szeretne használni. A Workday API-verzió megadásának részleteiért tekintse meg a Workday-kapcsolat konfigurálásáról szóló szakaszt.
Kiknek ideális ez a felhasználói kiépítési megoldás?
Ez a Workday-felhasználó-kiépítési megoldás ideális a következőkhöz:
Azok a szervezetek, amelyek előre elkészített, felhőalapú megoldást szeretnének a Workday-felhasználók kiépítéséhez
Azok a szervezetek, amelyek közvetlen felhasználói kiépítést igényelnek a Workdayből az Active Directoryba vagy a Microsoft Entra ID-ba
Azok a szervezetek, amelyek megkövetelik a felhasználók kiépítését a Workday HCM modulból beszerzett adatokkal (lásd Get_Workers)
Azok a szervezetek, amelyekhez csatlakozni, áthelyezni és a felhasználókat egy vagy több Active Directory-erdőbe, tartományba és szervezeti egységbe kell szinkronizálni, csak a Workday HCM modulban észlelt változásadatok alapján (lásd Get_Workers)
A Microsoft 365-öt e-mailben használó szervezetek
Megoldásarchitektúra
Ez a szakasz a gyakori hibrid környezetek végfelhasználói kiépítési megoldásarchitektúráit ismerteti. Két kapcsolódó folyamat létezik:
- Mérvadó HR-adatfolyam – a Workdaytől a helyi Active Directory: Ebben a folyamatban a feldolgozói események (például új alkalmazottak, átadások, leállások) először a felhőbeli Workday HR-bérlőben fordulnak elő, majd az eseményadatok a Microsoft Entra-azonosítón és a kiépítési ügynökön keresztül helyi Active Directory. Az eseménytől függően az AD-beli műveletek létrehozásához/frissítéséhez/engedélyezéséhez/letiltásához vezethet.
- Visszaírási folyamat – a helyi Active Directory és a Workday között: Miután a fiók létrehozása befejeződött az Active Directoryban, szinkronizálva lesz a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás keresztül, és az olyan információk, mint az e-mail, a felhasználónév és a telefonszám visszaírhatók a Workdaybe.
Végfelhasználói adatfolyam
- A HR-csapat munkavégző tranzakciókat hajt végre (Joiners/Movers/Leavers vagy New Hires/Transfers/Terminations) a Workday HCM-ben
- A Microsoft Entra kiépítési szolgáltatás a Workday HR-ből futtatja az identitások ütemezett szinkronizálását, és azonosítja azokat a módosításokat, amelyeket fel kell dolgozni a helyi Active Directory való szinkronizáláshoz.
- A Microsoft Entra kiépítési szolgáltatás meghívja a helyszíni Microsoft Entra Csatlakozás kiépítési ügynököt egy olyan hasznos adatkéréssel, amely az AD-fiók létrehozási/frissítési/engedélyezési/letiltási műveleteit tartalmazza.
- A Microsoft Entra Csatlakozás kiépítési ügynök szolgáltatásfiókot használ az AD-fiók adatainak hozzáadásához/frissítéséhez.
- A Microsoft Entra Csatlakozás/AD-szinkronizáló motor delta syncet futtat az AD-frissítések lekéréséhez.
- Az Active Directory-frissítések szinkronizálva vannak a Microsoft Entra-azonosítóval.
- Ha a Workday Visszaíró alkalmazás konfigurálva van, olyan attribútumokat ír vissza, mint az e-mail, a felhasználónév és a telefonszám a Workdaybe.
Tervezés és üzembe helyezés
A Workday Active Directory-felhasználók üzembe helyezésének konfigurálása jelentős tervezést igényel, amely különböző szempontokat fed le, például:
- A Microsoft Entra Csatlakozás kiépítési ügynök beállítása
- Üzembe helyezendő Workday-alkalmazások száma az AD-felhasználók számára
- A megfelelő azonosító, attribútumleképezés, átalakítás és hatókörszűrő kiválasztása
Tekintse meg a felhőalapú HR üzembehelyezési tervét , amely átfogó irányelveket és ajánlott eljárásokat biztosít.
Integrációs rendszer felhasználójának konfigurálása a Workdayben
Az összes Workday-kiépítési összekötő gyakori követelménye, hogy a Workday integrációs rendszer felhasználóinak hitelesítő adataira van szükségük a Workday Human Resources API-hoz való csatlakozáshoz. Ez a szakasz azt ismerteti, hogyan hozhat létre integrációs rendszerfelhasználót a Workdayben, és a következő szakaszokból áll:
- Integrációs rendszer felhasználójának létrehozása
- Integrációs biztonsági csoport létrehozása
- Tartománybiztonsági szabályzat engedélyeinek konfigurálása
- Az üzleti folyamat biztonsági házirend-engedélyeinek konfigurálása
- A biztonsági szabályzat módosításainak aktiválása
Feljegyzés
Ezt az eljárást megkerülheti, és ehelyett egy Workday globális rendszergazdai fiókot használhat rendszerintegrációs fiókként. Ez jól működik a demók esetében, de éles környezetben nem ajánlott.
Integrációs rendszer felhasználójának létrehozása
Integrációs rendszer felhasználójának létrehozása:
Jelentkezzen be a Workday-bérlőbe rendszergazdai fiókkal. A Workday alkalmazásban írja be a Create user (Felhasználó létrehozása) kifejezést a keresőmezőbe, majd kattintson az Integrációs rendszer felhasználójának létrehozása parancsra.
Az integrációs rendszer felhasználójának létrehozása feladat elvégzéséhez adjon meg egy felhasználónevet és jelszót egy új integrációs rendszer felhasználójának.
- Hagyja bejelölve az Új jelszó megkövetelése jelölőnégyzetet a Következő bejelentkezés beállításnál , mert a felhasználó programozott módon fog bejelentkezni.
- Hagyja meg a munkamenet időtúllépési perceit az alapértelmezett 0 értékkel, ami megakadályozza, hogy a felhasználó munkamenetei idő előtt időtúllépést hajtsanak végre.
- Válassza a Felhasználói felületi munkamenetek tiltása lehetőséget, mivel olyan biztonsági réteget biztosít, amely megakadályozza, hogy az integrációs rendszer jelszavával rendelkező felhasználók bejelentkezhessenek a Workdaybe.
Integrációs biztonsági csoport létrehozása
Ebben a lépésben létrehoz egy nem korlátozott vagy korlátozott integrációs rendszerbiztonsági csoportot a Workdayben, és hozzárendeli az előző lépésben létrehozott integrációs rendszer felhasználóját ehhez a csoporthoz.
Biztonsági csoport létrehozása:
Írja be a biztonsági csoport létrehozása kifejezést a keresőmezőbe, majd kattintson a Biztonsági csoport létrehozása parancsra.
Végezze el a Biztonsági csoport létrehozása feladatot.
A Workdayben kétféle biztonsági csoport létezik:
- Nem korlátozva: A biztonsági csoport minden tagja hozzáférhet a biztonsági csoport által védett összes adatpéldányhoz.
- Korlátozott: Minden biztonsági csoporttag környezetfüggő hozzáféréssel rendelkezik a biztonsági csoport által elérhető adatpéldányok (sorok) egy részhalmazához.
Az integrációhoz megfelelő biztonsági csoporttípus kiválasztásához forduljon a Workday integrációs partneréhez.
Miután megismerte a csoport típusát, válassza az Integrációs rendszer biztonsági csoportja (Nem korlátozott) vagy az Integrációs rendszer biztonsági csoportja (korlátozott) lehetőséget a Bérlői biztonsági csoport típus legördülő listájában.
A biztonsági csoport létrehozása után megjelenik egy lap, amelyen tagokat rendelhet a biztonsági csoporthoz. Adja hozzá az előző lépésben létrehozott új integrációs rendszer felhasználóját ehhez a biztonsági csoporthoz. Korlátozott biztonsági csoport használata esetén a megfelelő szervezeti hatókört is ki kell választania.
Tartománybiztonsági szabályzat engedélyeinek konfigurálása
Ebben a lépésben "tartományi biztonsági" szabályzatengedélyeket fog adni a feldolgozói adatokhoz a biztonsági csoportnak.
A tartománybiztonsági szabályzat engedélyeinek konfigurálása:
Írja be a biztonsági csoport tagságát és hozzáférését a keresőmezőbe, és kattintson a jelentés hivatkozására.
Keresse meg és válassza ki az előző lépésben létrehozott biztonsági csoportot.
Kattintson a csoport neve melletti három pontra (
...
) és a menüben válassza a Biztonsági csoport > tartományengedélyeinek fenntartása biztonsági csoporthoz lehetőségetAz Integrációs engedélyek területen adja hozzá a következő tartományokat a tartománybiztonsági szabályzatok listájához, amelyek engedélyezik a hozzáférést
- Külső fiók kiépítése
- Feldolgozói adatok: Nyilvános feldolgozói jelentések
- Személyes adatok: Munkahelyi kapcsolattartási adatok (akkor szükséges, ha a Microsoft Entra-azonosítóból a Workdaybe szeretné visszaírni a kapcsolattartási adatokat)
- Workday-fiókok (kötelező, ha felhasználónév/UPN visszaírását tervezi a Microsoft Entra ID-ból a Workdaybe)
Az Integrációs engedélyek területen adja hozzá a következő tartományokat a hozzáférés kérését engedélyező tartománybiztonsági szabályzatok listájához
- Feldolgozói adatok: Feldolgozók
- Feldolgozó adatai: Minden pozíció
- Feldolgozói adatok: Aktuális oktatói adatok
- Feldolgozói adatok: Munkahelyi cím a feldolgozói profilon
- Feldolgozói adatok: Minősített feldolgozók (nem kötelező – a kiépítéshez szükséges feldolgozói képesítési adatok lekéréséhez adja hozzá)
- Feldolgozói adatok: Készségek és tapasztalat (nem kötelező – a feldolgozói készségek adatainak lekérése a kiépítéshez)
A fenti lépések elvégzése után az engedélyek képernyője az alábbi módon jelenik meg:
Kattintson az OK gombra , majd a következő képernyőn a Kész gombra a konfiguráció befejezéséhez.
Az üzleti folyamat biztonsági házirend-engedélyeinek konfigurálása
Ebben a lépésben "üzleti folyamat biztonsága" szabályzatengedélyeket ad a feldolgozó adataihoz a biztonsági csoportnak.
Feljegyzés
Ez a lépés csak a Workday Visszaíró alkalmazás összekötőjének beállításához szükséges.
Az üzleti folyamatok biztonsági házirend-engedélyeinek konfigurálása:
Írja be az Üzleti folyamat szabályzata kifejezést a keresőmezőbe, majd kattintson az Üzleti folyamat biztonsági házirendjének szerkesztése feladat hivatkozásra.
Az Üzleti folyamat típusa szövegmezőben keresse meg a Partnert, és válassza a Munkahelyi partner módosítása üzleti folyamat lehetőséget, majd kattintson az OK gombra.
Az Üzleti folyamat biztonsági házirend szerkesztése lapon görgessen a Munkahelyi kapcsolattartási adatok módosítása (Webszolgáltatás) szakaszhoz.
Válassza ki és vegye fel az új integrációs rendszer biztonsági csoportját azon biztonsági csoportok listájára, amelyek kezdeményezhetik a webszolgáltatások kérését.
Kattintson a Kész gombra.
A biztonsági szabályzat módosításainak aktiválása
A biztonsági szabályzat módosításainak aktiválása:
Írja be az aktiválást a keresőmezőbe, majd kattintson a függőben lévő biztonsági házirend-módosítások aktiválása hivatkozásra.
Indítsa el a Függőben lévő biztonsági házirend módosítása tevékenység megkezdéséhez írjon be egy megjegyzést naplózási célokra, majd kattintson az OK gombra.
A következő képernyőn végezze el a feladatot a Megerősítés jelölőnégyzet bejelölésével, majd kattintson az OK gombra.
A kiépítési ügynök telepítési előfeltételei
Tekintse át a kiépítési ügynök telepítési előfeltételeit , mielőtt továbblép a következő szakaszra.
Felhasználó-kiépítés konfigurálása a Workdayből az Active Directoryba
Ez a szakasz a felhasználói fiókok workday-ről az integráció hatókörén belüli minden Active Directory-tartományra történő kiépítésének lépéseit ismerteti.
- Adja hozzá a kiépítési összekötő alkalmazást, és töltse le a kiépítési ügynököt
- Helyszíni kiépítési ügynök(ek) telepítése és konfigurálása
- A Workday és az Active Directory kapcsolatának konfigurálása
- Attribútumleképezések konfigurálása
- Felhasználói kiépítés engedélyezése és elindítása
1. rész: A kiépítési összekötő alkalmazás hozzáadása és a kiépítési ügynök letöltése
A Workday konfigurálása Active Directory-kiépítésre:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
Keresse meg a Workdayt az Active Directory felhasználói kiépítésében, és adja hozzá az alkalmazást a katalógusból.
Az alkalmazás hozzáadása és az alkalmazás részletei képernyő megjelenítése után válassza a Kiépítés lehetőséget.
Módosítsa a kiépítésimódot automatikusra.
Kattintson a megjelenő információs szalagcímre a kiépítési ügynök letöltéséhez.
2. rész: Helyszíni kiépítési ügynök(ek) telepítése és konfigurálása
Az Active Directory helyszíni üzembe helyezéséhez a kiépítési ügynököt olyan tartományhoz csatlakoztatott kiszolgálón kell telepíteni, amely hálózati hozzáféréssel rendelkezik a kívánt Active Directory-tartomány(ok)hoz.
Helyezze át a letöltött ügynök telepítőt a kiszolgáló gazdagépére, és kövesse az Ügynök telepítése szakaszban felsorolt lépéseket az ügynökkonfiguráció befejezéséhez.
3. rész: A kiépítési alkalmazásban konfigurálja a Workday és az Active Directory kapcsolatát
Ebben a lépésben kapcsolatot létesítünk a Workday és az Active Directory használatával.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Tallózással keresse meg az Identity>Applications>Enterprise-alkalmazásokat> Munkanapokon az 1. részben létrehozott Active Directory felhasználókiépítési alkalmazásig.
Töltse ki a Rendszergazda hitelesítő adatok szakaszt az alábbiak szerint:
Workday Felhasználónév – Adja meg a Workday integrációs rendszerfiókjának felhasználónevét, amelyhez hozzá van fűzve a bérlő tartományneve. Valahogy így kell kinéznie: username@tenant_name
Workday jelszó – Adja meg a Workday integrációs rendszerfiók jelszavát
Workday Web Services API URL-címe – Adja meg a bérlő Workday webszolgáltatások végpontjának URL-címét. Az URL-cím határozza meg az összekötő által használt Workday Web Services API verzióját.
URL-formátum HASZNÁLT WWS API-verzió XPATH-módosítások szükségesek https://####.workday.com/ccx/service/tenantName v21.1 Nem https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Nem https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Igen Feljegyzés
Ha az URL-címben nincs megadva verzióinformáció, az alkalmazás a Workday Web Services (WWS) 21.1-es verzióját használja, és nem szükséges módosítani az alkalmazáshoz szállított alapértelmezett XPATH API-kifejezéseket. Egy adott WWS API-verzió használatához adja meg a verziószámot az URL-címben
Példa:https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
Ha WWS API v30.0+-t használ, mielőtt bekapcsolná a kiépítési feladatot, frissítse az XPATH API-kifejezéseket az Attribútumleképezés – Speciális beállítások –>> A Workday attribútumlistájának szerkesztése szakaszában, amely a konfiguráció és a Workday attribútumreferenciájának kezelése című szakaszra hivatkozik.Active Directory Forest – Az Active Directory-tartomány "neve" az ügynök által regisztrált módon. A legördülő menüben válassza ki a céltartományt a kiépítéshez. Ez az érték általában egy sztring, például: contoso.com
Active Directory-tároló – Adja meg azt a tárolóbeli DN-t, ahol az ügynöknek alapértelmezés szerint felhasználói fiókokat kell létrehoznia. Példa: OU=Standard felhasználók,OU=Felhasználók,DC=contoso,DC=test
Feljegyzés
Ez a beállítás csak akkor lép életbe a felhasználói fiókok létrehozásakor, ha a parentDistinguishedName attribútum nincs konfigurálva az attribútumleképezésekben. Ez a beállítás nem használható felhasználói keresési vagy frissítési műveletekhez. A teljes tartomány alfája a keresési művelet hatókörébe tartozik.
Értesítési e-mail – Adja meg az e-mail-címét, és jelölje be az "E-mail küldése sikertelenség esetén" jelölőnégyzetet.
Kattintson a Tesztelés Csatlakozás ion gombra. Ha a kapcsolati teszt sikeres, kattintson a felül található Mentés gombra. Ha ez nem sikerül, ellenőrizze, hogy a Workday hitelesítő adatai és az ügynök beállításakor konfigurált AD-hitelesítő adatok érvényesek-e.
A hitelesítő adatok sikeres mentése után a Leképezések szakasz megjeleníti a Workday-feldolgozók helyszíni Active Directoryba való szinkronizálásának alapértelmezett leképezését
4. rész: Attribútumleképezések konfigurálása
Ebben a szakaszban konfigurálja, hogyan áramlik a felhasználói adatok a Workdayből az Active Directoryba.
A Hozzárendelések alatti Kiépítés lapon kattintson a Munkanap-feldolgozók szinkronizálása a helyszíni Active Directoryba elemre.
A Forrásobjektum hatóköre mezőben kiválaszthatja, hogy a Workdayben mely felhasználók legyenek hatókörben az AD-be való kiépítéshez, ha attribútumalapú szűrőket határoz meg. Az alapértelmezett hatókör "minden felhasználó a Workdayben". Példaszűrők:
Példa: Hatókör a 1000000 és 2000000 közötti feldolgozóazonosítóval rendelkező felhasználókra (a 2000000 kivételével)
Attribútum: WorkerID
Operátor: REGEX-egyezés
Érték: (1[0-9][0-9][0-9][0-9][0-9][0-9])
Példa: Csak alkalmazottak és nem függő munkavállalók
Attribútum: EmployeeID
Operátor: NEM NULL
Tipp.
Amikor első alkalommal konfigurálja a kiépítési alkalmazást, tesztelnie és ellenőriznie kell az attribútumleképezéseket és -kifejezéseket, hogy biztosan a kívánt eredményt adja. A Microsoft azt javasolja, hogy használjon hatókörszűrőket a Forrásobjektum hatóköre és az igény szerinti kiépítés területen, hogy tesztelje a leképezéseket a Workday néhány tesztfelhasználójával. Miután ellenőrizte, hogy a leképezések működnek-e, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.
Figyelem
A kiépítési motor alapértelmezett viselkedése a hatókörön kívül eső felhasználók letiltása/törlése. Ez nem feltétlenül kívánatos a Workday-ből az AD-integrációba. Az alapértelmezett viselkedés felülbírálásához tekintse meg a hatókörön kívül eső felhasználói fiókok törlésének kihagyása című cikket
A Célobjektum-műveletek mezőben globálisan szűrheti az Active Directoryban végrehajtott műveleteket. A létrehozás és a frissítés a leggyakoribb.
Az Attribútumleképezések szakaszban megadhatja, hogy az egyes Workday-attribútumok hogyan képezhetők le Active Directory-attribútumokra.
A frissítéshez kattintson egy meglévő attribútumleképezésre, vagy kattintson a képernyő alján található Új leképezés hozzáadása elemre az új leképezések hozzáadásához. Az egyes attribútumleképezések a következő tulajdonságokat támogatják:
Leképezés típusa
Közvetlen – A Workday attribútum értékét írja az AD attribútumba módosítás nélkül
Állandó – Statikus, állandó sztringérték írása az AD attribútumba
Kifejezés – Lehetővé teszi egyéni érték írását az AD-attribútumba egy vagy több Workday-attribútum alapján. További információt a kifejezésekről szóló cikkben talál.
Forrásattribútum – A Workday felhasználói attribútuma. Ha a keresett attribútum nem található, olvassa el a Workday felhasználói attribútumok listájának testreszabásával kapcsolatos témakört.
Alapértelmezett érték – Nem kötelező. Ha a forrásattribútum üres értékkel rendelkezik, a leképezés ehelyett ezt az értéket fogja írni. A leggyakoribb konfiguráció az, hogy ezt hagyja üresen.
Célattribútum – Az Active Directory felhasználói attribútuma.
Az attribútumot használó objektumok egyezése – Azt jelzi, hogy ezt a leképezést kell-e használni a felhasználók egyedi azonosítására a Workday és az Active Directory között. Ez az érték általában a Workday Munkavégző azonosító mezőjében van beállítva, amely általában az Active Directory alkalmazotti azonosító attribútumainak egyikére van leképezve.
Egyező sorrend – Több egyező attribútum is beállítható. Ha több van, azokat a mező által meghatározott sorrendben értékeli ki a rendszer. Amint talál egyezést, a rendszer nem értékeli ki a további egyező attribútumokat.
A leképezés alkalmazása
Always – A leképezés alkalmazása a felhasználólétrehozási és a frissítési műveletekre is
Csak a létrehozás során – A leképezés alkalmazása csak a felhasználólétrehozási műveletekre
A leképezések mentéséhez kattintson a Mentés gombra az Attribútum-leképezés szakasz tetején.
Az alábbiakban néhány példaattribútum-leképezést láthat a Workday és az Active Directory között, néhány gyakori kifejezéssel
A parentDistinguishedName attribútumra leképezett kifejezés használatával egy felhasználót egy vagy több Workday-forrásattribútum alapján kiépíthet egy felhasználót különböző szervezeti egységekhez. Ez a példa a felhasználókat különböző szervezeti egységekbe helyezi attól függően, hogy melyik városban vannak.
Az Active Directory userPrincipalName attribútuma a SelectUniqueValue de-duplikációs függvény használatával jön létre, amely ellenőrzi, hogy létezik-e generált érték a cél AD-tartományban, és csak akkor állítja be, ha egyedi.
Itt található a kifejezések írásának dokumentációja. Ez a szakasz példákat tartalmaz a speciális karakterek eltávolítására.
WORKDAY ATTRIBÚTUM | ACTIVE DIRECTORY ATTRIBÚTUM | EGYEZŐ AZONOSÍTÓ? | LÉTREHOZÁS/FRISSÍTÉS |
---|---|---|---|
Feldolgozó azonosítója | EmployeeID | Igen | Csak létrehozásra írva |
PreferredNameData | Cn | Csak létrehozásra írva | |
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) | userPrincipalName | Csak létrehozásra írva | |
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) |
sAMAccountName | Csak létrehozásra írva | |
Kapcsoló([Aktív], "0", "Igaz", "1", "Hamis") | accountDisabled | Létrehozás + frissítés | |
FirstName | givenName | Létrehozás + frissítés | |
LastName | sn | Létrehozás + frissítés | |
PreferredNameData | displayName | Létrehozás + frissítés | |
Cég | company | Létrehozás + frissítés | |
Felügyeleti rendezés | department | Létrehozás + frissítés | |
ManagerReference | manager | Létrehozás + frissítés | |
BusinessTitle | Cím | Létrehozás + frissítés | |
AddressLineData | streetAddress | Létrehozás + frissítés | |
Önkormányzat | l | Létrehozás + frissítés | |
CountryReferenceTwoLetter | co | Létrehozás + frissítés | |
CountryReferenceTwoLetter | c | Létrehozás + frissítés | |
CountryRegionReference | St | Létrehozás + frissítés | |
WorkSpaceReference | physicalDeliveryOfficeName | Létrehozás + frissítés | |
Irányítószám | irányítószám | Létrehozás + frissítés | |
PrimaryWorkTelephone | telephoneNumber | Létrehozás + frissítés | |
Fax | facsimileTelephoneNumber | Létrehozás + frissítés | |
Mobil | mobil | Létrehozás + frissítés | |
LocalReference | preferredLanguage | Létrehozás + frissítés | |
Switch([Önkormányzat], "OU=Alapértelmezett felhasználók;DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") | parentDistinguishedName | Létrehozás + frissítés |
Miután az attribútumleképezési konfiguráció befejeződött, tesztelheti egyetlen felhasználó kiépítését igény szerinti kiépítéssel, majd engedélyezheti és elindíthatja a felhasználókiépítési szolgáltatást.
Felhasználói kiépítés engedélyezése és elindítása
Miután a Workday kiépítési alkalmazáskonfigurációi befejeződtek, és ellenőrizte az igény szerinti kiépítéssel rendelkező egyetlen felhasználó üzembe helyezését, bekapcsolhatja a kiépítési szolgáltatást.
Tipp.
A kiépítési szolgáltatás bekapcsolásakor alapértelmezés szerint az üzembe helyezési műveleteket kezdeményezi a hatókörben lévő összes felhasználó számára. Ha hibák lépnek fel a leképezési vagy a Workday-adatproblémákban, előfordulhat, hogy a kiépítési feladat meghiúsul, és karanténba kerül. Ennek elkerülése érdekében ajánlott eljárásként javasoljuk, hogy konfigurálja a forrásobjektum-hatókör szűrőt, és tesztelje az attribútumleképezéseket néhány, igény szerinti kiépítést használó felhasználóval, mielőtt elindítja a teljes szinkronizálást az összes felhasználó számára. Miután ellenőrizte, hogy a leképezések működnek-e, és megadja-e a kívánt eredményt, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.
Lépjen a Kiépítés panelre, és kattintson a Kiépítés indítása parancsra.
Ez a művelet elindítja a kezdeti szinkronizálást, amely változó számú órát vehet igénybe attól függően, hogy hány felhasználó van a Workday-bérlőben. A szinkronizálási ciklus előrehaladásának nyomon követéséhez ellenőrizze a folyamatjelző sávot.
Az Azure Portal Naplózási naplók lapján bármikor megtekintheti, hogy a kiépítési szolgáltatás milyen műveleteket hajtott végre. A naplózási naplók felsorolják a kiépítési szolgáltatás által végrehajtott összes egyéni szinkronizálási eseményt, például azt, hogy mely felhasználókat olvassák ki a Workdayből, majd hozzáadják vagy frissítik az Active Directoryban. A naplózási naplók áttekintésére és a kiépítési hibák elhárítására vonatkozó útmutatásért tekintse meg a Hibaelhárítás szakaszt.
Miután a kezdeti szinkronizálás befejeződött, egy naplózási összefoglaló jelentést fog írni a Kiépítés lapra, ahogy az alább látható.
Gyakori kérdések (GYIK)
Megoldási képességekkel kapcsolatos kérdések
- Hogyan állítja be a megoldás az új felhasználói fiók jelszavát az Active Directoryban a Workday új bérlőjének feldolgozásakor?
- A megoldás támogatja az e-mail-értesítések küldését a kiépítési műveletek befejezése után?
- A megoldás gyorsítótárazza a Workday felhasználói profilokat a Microsoft Entra felhőben vagy a kiépítési ügynök rétegében?
- Támogatja a megoldás a helyszíni AD-csoportok felhasználóhoz való hozzárendelését?
- Mely Workday API-kat használja a megoldás a Workday-feldolgozói profilok lekérdezéséhez és frissítéséhez?
- Konfigurálhatom a Workday HCM-bérlőmet két Microsoft Entra-bérlővel?
- Hogyan javasol fejlesztéseket, vagy új funkciókat kér a Workday és a Microsoft Entra integrációjához?
A kiépítési ügynökkel kapcsolatos kérdések
- Mi a kiépítési ügynök GA-verziója?
- Hogyan ismeri a kiépítési ügynököm verzióját?
- A Microsoft automatikusan leküldi a Kiépítési ügynök frissítéseit?
- Telepíthetem a kiépítési ügynököt ugyanarra a kiszolgálóra, amelyen a Microsoft Entra Csatlakozás fut?
- Hogyan konfigurálja a kiépítési ügynököt úgy, hogy proxykiszolgálót használjon a kimenő HTTP-kommunikációhoz?
- Hogyan győződjön meg arról, hogy a kiépítési ügynök képes kommunikálni a Microsoft Entra-bérlővel, és nincsenek tűzfalak, amelyek blokkolják az ügynök által igényelt portokat?
- Hogyan regisztrálja a kiépítési ügynökömhöz társított tartományt?
- Hogyan távolítsa el a kiépítési ügynököt?
Workday–AD attribútumleképezés és konfigurációs kérdések
- Hogyan biztonsági másolatot készíteni vagy exportálni a Workday Provisioning Attribútumleképezés és -séma munkapéldányáról?
- Egyéni attribútumok vannak a Workdayben és az Active Directoryban. Hogyan konfigurálja a megoldást az egyéni attribútumok használatára?
- Kiépíthetem a felhasználó fényképét a Workdayből az Active Directoryba?
- Hogyan szinkronizálja a mobilszámokat a Workdayből a nyilvános használathoz való felhasználói hozzájárulás alapján?
- Hogyan megjelenítendő neveket formázza az AD-ben a felhasználó részleg/ország/város attribútumai alapján, és kezeli a regionális varianciákat?
- Hogyan hozhatok létre egyedi értékeket a SamAccountName attribútumhoz a SelectUniqueValue használatával?
- Hogyan távolítsa el a karaktereket mellékjelekkel, és konvertálja őket normál angol ábécékké?
Megoldási képességekkel kapcsolatos kérdések
Hogyan állítja be a megoldás az új felhasználói fiók jelszavát az Active Directoryban a Workday új bérlőjének feldolgozásakor?
Amikor a helyszíni kiépítési ügynök kérést kap egy új AD-fiók létrehozására, automatikusan létrehoz egy összetett véletlenszerű jelszót, amely megfelel az AD-kiszolgáló által meghatározott jelszó-összetettségi követelményeknek, és beállítja azt a felhasználói objektumon. Ezt a jelszót sehol nem naplózza a rendszer.
A megoldás támogatja az e-mail-értesítések küldését a kiépítési műveletek befejezése után?
Nem, az aktuális kiadás nem támogatja az e-mail-értesítések küldését a kiépítési műveletek befejezése után.
A megoldás gyorsítótárazza a Workday felhasználói profilokat a Microsoft Entra felhőben vagy a kiépítési ügynök rétegében?
Nem, a megoldás nem tartja fenn a felhasználói profilok gyorsítótárát. A Microsoft Entra kiépítési szolgáltatás egyszerűen adatfeldolgozóként működik, adatokat olvas a Workdayből, és a cél Active Directoryba vagy a Microsoft Entra-azonosítóba ír. A felhasználói adatvédelemmel és adatmegőrzéssel kapcsolatos részletekért tekintse meg a személyes adatok kezelése című szakaszt.
Támogatja a megoldás a helyszíni AD-csoportok felhasználóhoz való hozzárendelését?
Ez a funkció jelenleg nem támogatott. Az ajánlott áthidaló megoldás egy Olyan PowerShell-szkript üzembe helyezése, amely lekérdezi a Microsoft Graph API-végpontot a naplózási naplóadatokhoz, és ezt használja olyan forgatókönyvek aktiválására, mint a csoporthozzárendelés. Ez a PowerShell-szkript csatolható egy feladatütemezőhöz, és a kiépítési ügynököt futtató ugyanazon a dobozon telepíthető.
Mely Workday API-kat használja a megoldás a Workday-feldolgozói profilok lekérdezéséhez és frissítéséhez?
A megoldás jelenleg a következő Workday API-kat használja:
A Rendszergazda Hitelesítő adatok szakaszban használt Workday Web Services API URL-formátum határozza meg a Get_Workers
- Ha az URL-formátum a következő, https://####.workday.com/ccx/service/tenantName akkor a rendszer az API 21.1-es verziót használja.
- Ha az URL-formátum a következő: https://####.workday.com/ccx/service/tenantName/Human_Resources , akkor a rendszer az API 21.1-es verziót használja
- Ha az URL-formátum a következő, https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# akkor a rendszer a megadott API-verziót használja. (Például: ha a 34.0-s verzió van megadva, akkor azt használja.)
A Workday e-mail-visszaírási funkció Change_Work_Contact_Information használ (30.0-s verzió)
A Workday Username Writeback funkció Update_Workday_Account használ (31.2-s verzió)
Konfigurálhatom a Workday HCM-bérlőmet két Microsoft Entra-bérlővel?
Igen, ez a konfiguráció támogatott. A forgatókönyv konfigurálásához az alábbi magas szintű lépések szükségesek:
- Helyezze üzembe az 1. kiépítési ügynököt, és regisztrálja a Microsoft Entra 1. bérlőjéhez.
- Telepítse a 2. kiépítési ügynököt, és regisztrálja a Microsoft Entra-bérlő #2-ben.
- Az egyes kiépítési ügynökök által kezelt "gyermektartományok" alapján konfigurálja az egyes ügynököket a tartomány(ok) használatával. Egy ügynök több tartományt is képes kezelni.
- Az Azure Portalon állítsa be a Workdayt az AD felhasználói kiépítési alkalmazásra minden bérlőben, és konfigurálja a megfelelő tartományokkal.
Hogyan javasol fejlesztéseket, vagy új funkciókat kér a Workday és a Microsoft Entra integrációjához?
A visszajelzése nagyon értékes, mivel segít nekünk meghatározni a jövőbeli kiadások és fejlesztések irányát. Örömmel fogadunk minden visszajelzést, és javasoljuk, hogy küldje el ötletét vagy fejlesztési javaslatát a Microsoft Entra ID visszajelzési fórumában. A Workday-integrációval kapcsolatos konkrét visszajelzésekért válassza ki az SaaS-alkalmazások kategóriát, és keressen a Workday kulcsszóval a Workdayhez kapcsolódó meglévő visszajelzések megkereséséhez.
Ha új ötletre tesz javaslatot, ellenőrizze, hogy valaki más már javasolt-e hasonló funkciót. Ebben az esetben szavazhat a funkcióra vagy a fejlesztésre vonatkozó kérelemre. Megjegyzést is fűzhet az adott használati esethez, hogy megjelenítse az ötlet támogatását, és bemutassuk, hogy a funkció milyen értékes lesz Önnek is.
A kiépítési ügynökkel kapcsolatos kérdések
Mi a kiépítési ügynök GA-verziója?
Tekintse meg a Microsoft Entra Csatlakozás Kiépítési ügynök: A kiépítési ügynök legújabb GA-verziójának verziókiadási előzményeit.
Hogyan ismeri a kiépítési ügynököm verzióját?
Jelentkezzen be arra a Windows-kiszolgálóra, ahol a kiépítési ügynök telepítve van.
Ugrás a Vezérlőpult –>Program eltávolítása vagy módosítása menüre
Keresse meg a Microsoft Entra Csatlakozás Provisioning Agent bejegyzésnek megfelelő verziót
A Microsoft automatikusan leküldi a Kiépítési ügynök frissítéseit?
Igen, a Microsoft automatikusan frissíti a kiépítési ügynököt, ha a Windows szolgáltatás, a Microsoft Entra Csatlakozás Agent Updater működik.
Telepíthetem a kiépítési ügynököt ugyanarra a kiszolgálóra, amelyen a Microsoft Entra Csatlakozás fut?
Igen, telepítheti a kiépítési ügynököt ugyanazon a kiszolgálón, amely a Microsoft Entra Csatlakozás fut.
A konfiguráció időpontjában a kiépítési ügynök a Microsoft Entra rendszergazdai hitelesítő adatait kéri. Az ügynök helyben tárolja a hitelesítő adatokat a kiszolgálón?
A konfiguráció során a kiépítési ügynök csak a Microsoft Entra-bérlőhöz való csatlakozáshoz kéri a Microsoft Entra rendszergazdai hitelesítő adatait. Nem tárolja helyileg a hitelesítő adatokat a kiszolgálón. Azonban megőrzi a helyi Windows-jelszótárolóban lévő helyi Active Directory tartományhoz való csatlakozáshoz használt hitelesítő adatokat.
Hogyan konfigurálja a kiépítési ügynököt úgy, hogy proxykiszolgálót használjon a kimenő HTTP-kommunikációhoz?
A kiépítési ügynök támogatja a kimenő proxy használatát. Konfigurálhatja a C:\Program Files\Microsoft Azure AD Csatlakozás Provisioning Agent\AAD CsatlakozásProvisioningAgent.exe.config ügynökkonfigurációs fájl szerkesztésével. Adja hozzá a következő sorokat a fájl vége felé, a záró </configuration>
címke előtt.
Cserélje le a [proxy-server] és [proxy-port] változókat a proxykiszolgálója nevére és a port értékeire.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Hogyan győződjön meg arról, hogy a kiépítési ügynök képes kommunikálni a Microsoft Entra-bérlővel, és nincsenek tűzfalak, amelyek blokkolják az ügynök által igényelt portokat?
Azt is ellenőrizheti, hogy az összes szükséges port nyitva van-e.
Konfigurálható egy kiépítési ügynök több AD-tartomány kiépítésére?
Igen, egy kiépítési ügynök konfigurálható úgy, hogy több AD-tartományt kezeljen, amíg az ügynök látóvonallal rendelkezik a megfelelő tartományvezérlőkhöz. A Microsoft azt javasolja, hogy állítson be egy 3 kiépítési ügynökből álló csoportot, amely ugyanazt az AD-tartományt szolgálja ki a magas rendelkezésre állás és a feladatátvételi támogatás biztosítása érdekében.
Hogyan regisztrálja a kiépítési ügynökömhöz társított tartományt?
*, kérje le a Microsoft Entra-bérlő bérlőazonosítóját .
Jelentkezzen be a Kiépítési ügynököt futtató Windows-kiszolgálóra.
Nyissa meg a PowerShellt Windows Rendszergazda istratorként.
Váltson a regisztrációs szkripteket tartalmazó könyvtárra, és futtassa a következő parancsokat a [bérlőazonosító] paraméter helyett a bérlőazonosító értékére.
cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder" Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1" Get-PublishedResources -TenantId "[tenant ID]"
A megjelenő ügynökök listájából másolja ki annak az erőforrásnak a
id
mezőjét, amelynek resourceName értéke megegyezik az AD-tartomány nevével.Illessze be az azonosító értékét ebbe a parancsba, és hajtsa végre a parancsot a PowerShellben.
Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
Futtassa újra az Ügynökkonfiguráció varázslót.
A tartományhoz korábban hozzárendelt egyéb ügynököket újra kell konfigurálni.
Hogyan távolítsa el a kiépítési ügynököt?
- Jelentkezzen be arra a Windows-kiszolgálóra, ahol a kiépítési ügynök telepítve van.
- Ugrás a Vezérlőpult –>Program eltávolítása vagy módosítása menüre
- Távolítsa el a következő programokat:
- Microsoft Entra Csatlakozás kiépítési ügynök
- Microsoft Entra Csatlakozás Agent Updater
- Microsoft Entra Csatlakozás Kiépítési ügynökcsomag
Workday–AD attribútumleképezés és konfigurációs kérdések
Hogyan biztonsági másolatot készíteni vagy exportálni a Workday Provisioning Attribútumleképezés és -séma munkapéldányáról?
A Microsoft Graph API-val exportálhatja a Workday user provisioning konfigurációját. A részletekért tekintse meg a Workday felhasználókiépítési attribútumleképezés konfigurációjának exportálása és importálása című szakasz lépéseit.
Egyéni attribútumok vannak a Workdayben és az Active Directoryban. Hogyan konfigurálja a megoldást az egyéni attribútumok használatára?
A megoldás támogatja az egyéni Workday- és Active Directory-attribútumokat. Ha egyéni attribútumokat szeretne hozzáadni a leképezési sémához, nyissa meg az Attribútumleképezés panelt, és görgessen lefelé a Speciális beállítások megjelenítése szakasz kibontásához.
Az egyéni Workday-attribútumok hozzáadásához válassza a Workday attribútumlistájának szerkesztése lehetőséget, és az egyéni AD-attribútumok hozzáadásához válassza a Helyszíni Active Directory attribútumlistájának szerkesztése lehetőséget.
Lásd még:
Hogyan úgy konfigurálja a megoldást, hogy csak a Workday-módosítások alapján frissítse az AD attribútumait, és ne hozzon létre új AD-fiókokat?
Ez a konfiguráció az Attribútumleképezések panelEn a Célobjektum-műveletek beállításával érhető el az alábbiak szerint:
Jelölje be a "Frissítés" jelölőnégyzetet, hogy csak a munkanapról az AD-be irányuló frissítési műveletek folyjanak.
Kiépíthetem a felhasználó fényképét a Workdayből az Active Directoryba?
A megoldás jelenleg nem támogatja az olyan bináris attribútumok beállítását, mint a thumbnailPhoto és a jpegPhoto az Active Directoryban.
Hogyan szinkronizálja a mobilszámokat a Workdayből a nyilvános használathoz való felhasználói hozzájárulás alapján?
Lépjen a Workday Kiépítési alkalmazás "Kiépítés" paneljére.
Kattintson az attribútumleképezésekre
A Leképezések csoportban válassza a Workday-feldolgozók szinkronizálása a helyszíni Active Directoryba (vagy a Workday-feldolgozók szinkronizálása a Microsoft Entra-azonosítóval).
Az Attribútumleképezések lapon görgessen le, és jelölje be a "Speciális beállítások megjelenítése" jelölőnégyzetet. Kattintson a Workday attribútumlistájának szerkesztésére
A megnyíló panelen keresse meg a "Mobile" attribútumot, és kattintson a sorra az API-kifejezés szerkesztéséhez
Cserélje le az API-kifejezést a következő új kifejezésre, amely csak akkor kéri le a munkahelyi mobilszámot, ha a "Nyilvános használat jelző" értéke "True" (Igaz) értékre van állítva a Workdayben.
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
Mentse az attribútumlistát.
Mentse az attribútumleképezést.
Törölje az aktuális állapotot, és indítsa újra a teljes szinkronizálást.
Hogyan megjelenítendő neveket formázza az AD-ben a felhasználó részleg/ország/város attribútumai alapján, és kezeli a regionális varianciákat?
Gyakori követelmény a displayName attribútum konfigurálása az AD-ben, hogy a felhasználó részlegével és országával/régiójával kapcsolatos információkat is biztosítjon. Ha például John Smith az EGYESÜLT Államok marketingosztályán dolgozik, előfordulhat, hogy azt szeretné, hogy a displayName megjelenik Smith, John (Marketing-US) néven.
Az alábbiakban bemutatjuk, hogyan kezelheti a CN vagy a displayName konstruktálásával kapcsolatos követelményeket, hogy olyan attribútumokat tartalmazzon, mint a vállalat, az üzleti egység, a város vagy az ország/régió.
A Rendszer minden Workday-attribútumot egy mögöttes XPATH API-kifejezéssel kér le, amely konfigurálható az Attribútumleképezés – Speciális szakasz –>> A Workday attribútumlistájának szerkesztése című témakörben. Itt található az alapértelmezett XPATH API-kifejezés a Workday PreferredFirstName, a PreferredLastName, a Company és a SupervisoryOrganization attribútumokhoz.
Workday attribútum API XPATH-kifejezés PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text() PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text() Cég wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor Felügyeleti rendezés wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text() A Workday-csapattal győződjön meg arról, hogy a fenti API-kifejezés érvényes a Workday-bérlő konfigurációjához. Szükség esetén szerkesztheti őket a Workday felhasználói attribútumok listájának testreszabása című szakaszban leírtak szerint.
Hasonlóképpen a Workdayben található ország-/régióinformációk a következő XPATH használatával kérhetők le: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference
A Workday attribútumlista szakaszban 5 országhoz/régióhoz kapcsolódó attribútum érhető el.
Workday attribútum API XPATH-kifejezés CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text() CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Leíró CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text() CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text() CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Leíró A Workday-csapattal győződjön meg arról, hogy a fenti API-kifejezések érvényesek a Workday-bérlő konfigurációjához. Szükség esetén szerkesztheti őket a Workday felhasználói attribútumok listájának testreszabása című szakaszban leírtak szerint.
A megfelelő attribútumleképezési kifejezés létrehozásához határozza meg, hogy melyik Workday attribútum "mérvadóan" jelöli a felhasználó vezetéknevét, vezetéknevét, országát/régióját és részlegét. Tegyük fel, hogy az attribútumok a PreferredFirstName, a PreferredLastName, a CountryReferenceTwoLetter és a SupervisoryOrganization . Ezzel létrehozhat egy kifejezést az AD displayName attribútumhoz az alábbiak szerint egy olyan megjelenítendő név lekéréséhez, mint a Smith, John (Marketing-US).
Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
Miután megkapta a megfelelő kifejezést, szerkessze az Attribútumleképezések táblát, és módosítsa a displayName attribútumleképezést az alábbiak szerint:
A fenti példán túl tegyük fel, hogy a Workdayből érkező városneveket rövidített értékekké szeretné konvertálni, majd olyan megjelenítendő nevek létrehozására használja, mint Például Smith, John (CHI) vagy Doe, Jane (NYC). Ezt az eredményt egy Switch kifejezéssel, a Workday Municipality attribútummal, mint determináns változóval lehet elérni.
Switch ( [Municipality], Join(", ", [PreferredLastName], [PreferredFirstName]), "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"), "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"), "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)") )
Lásd még:
Hogyan hozhatok létre egyedi értékeket a SamAccountName attribútumhoz a SelectUniqueValue használatával?
Tegyük fel, hogy egyedi értékeket szeretne létrehozni a samAccountName attribútumhoz a Workday FirstName és LastName attribútumainak kombinációjával. Az alábbiakban egy olyan kifejezés látható, amely a következőkkel kezdődhet:
SelectUniqueValue(
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)
A fenti kifejezés működése: Ha a felhasználó John Smith, először JSmith-t próbál létrehozni, ha a JSmith már létezik, akkor a JoSmitht hozza létre, ha ez létezik, akkor JohSmitht hoz létre. A kifejezés azt is biztosítja, hogy a létrehozott érték megfeleljen a samAccountName-hoz társított hosszkorlátozásnak és speciális karakterkorlátozásnak.
Lásd még:
Hogyan távolítsa el a karaktereket mellékjelekkel, és konvertálja őket normál angol ábécékké?
A NormalizeDiacritics függvénnyel eltávolíthatja a felhasználó vezeték- és utónevében szereplő speciális karaktereket, miközben a felhasználó e-mail-címét vagy CN-értékét hozza létre.
Hibaelhárítási tippek
Ez a szakasz konkrét útmutatást nyújt a Workday-integrációval kapcsolatos kiépítési problémák elhárításához a Microsoft Entra naplói és a Windows Server Eseménynapló naplói használatával. Az oktatóanyagban rögzített általános hibaelhárítási lépésekre és fogalmakra épül: Jelentéskészítés az automatikus felhasználói fiókok kiépítéséről
Ez a szakasz a hibaelhárítás alábbi szempontjait ismerteti:
- Kiépítési ügynök konfigurálása Eseménynapló naplók kibocsátásához
- A Windows Eseménynapló beállítása ügynökkel kapcsolatos hibaelhárításhoz
- Az Azure Portal naplózási naplóinak beállítása a szolgáltatás hibaelhárításához
- Az AD felhasználói fiók létrehozási műveleteinek naplóinak ismertetése
- A Manager frissítési műveleteinek naplóinak ismertetése
- Gyakori hibák elhárítása
Kiépítési ügynök konfigurálása Eseménynapló naplók kibocsátásához
Jelentkezzen be arra a Windows Server-gépre, ahol a kiépítési ügynök telepítve van
Állítsa le a Microsoft Entra Csatlakozás Kiépítési ügynök szolgáltatást.
Készítsen másolatot az eredeti konfigurációs fájlról: C:\Program Files\Microsoft Azure AD Csatlakozás Provisioning Agent\AAD CsatlakozásProvisioningAgent.exe.config.
Cserélje le a meglévő
<system.diagnostics>
szakaszt a következőre.- A figyelő konfigurációja etw üzeneteket bocsát ki az EventViewer-naplókba
- A figyelő konfigurációs textWriterListener nyomkövetési üzeneteket küld a fájlnak ProvAgentTrace.log. A textWriterListenerhez kapcsolódó sorok kibontása csak speciális hibaelhárítás céljából.
<system.diagnostics> <sources> <source name="AAD Connect Provisioning Agent"> <listeners> <add name="console"/> <add name="etw"/> <!-- <add name="textWriterListener"/> --> </listeners> </source> </sources> <sharedListeners> <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/> <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent"> <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/> </add> <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> --> </sharedListeners> </system.diagnostics>
Indítsa el a Microsoft Entra Csatlakozás Kiépítési ügynök szolgáltatást.
A Windows Eseménynapló beállítása ügynökkel kapcsolatos hibaelhárításhoz
Jelentkezzen be arra a Windows Server-gépre, amelyen a kiépítési ügynök telepítve van
Nyissa meg a Windows Server Eseménynapló asztali alkalmazást.
Válassza a Windows Naplók > alkalmazás lehetőséget.
Az Aktuális napló szűrése... lehetőséggel megtekintheti a Microsoft Entra forrás alatt naplózott összes eseményt Csatlakozás Kiépítési ügynököt, és kizárhatja az eseményeket az "5" eseményazonosítóval, az alábbi módon megadva a "-5" szűrőt.
Feljegyzés
Az 5. eseményazonosító rögzíti az ügynök rendszerindítási üzeneteit a Microsoft Entra felhőszolgáltatásnak, ezért szűrjük a naplófájlok elemzése során.
Kattintson az OK gombra, és rendezze az eredménynézetet Dátum és idő oszlop szerint.
Az Azure Portal naplózási naplóinak beállítása a szolgáltatás hibaelhárításához
Indítsa el az Azure Portalt, és lépjen a Workday kiépítési alkalmazás Naplózási naplók szakaszára.
A Naplók lap Oszlopok gombjával csak a következő oszlopok jelennek meg a nézetben (Dátum, Tevékenység, Állapot, Állapot ok). Ez a konfiguráció biztosítja, hogy csak a hibaelhárításhoz releváns adatokra összpontosítson.
A nézet szűréséhez használja a Cél és a Dátumtartomány lekérdezési paramétereket.
- Állítsa a Cél lekérdezés paramétert a Workday munkavégző objektum "Feldolgozó azonosítója" vagy "Alkalmazott azonosítója" értékére.
- Állítsa be a dátumtartományt egy megfelelő időszakra, amely alatt a kiépítéssel kapcsolatos hibák vagy problémák kivizsgálását szeretné elvégezni.
Az AD felhasználói fiók létrehozási műveleteinek naplóinak ismertetése
Amikor új alkalmazottat észlel a Workdayben (mondjuk a 21023-as alkalmazotti azonosítóval), a Microsoft Entra kiépítési szolgáltatás megpróbál létrehozni egy új AD-felhasználói fiókot a feldolgozó számára, és a folyamat során 4 naplózási naplórekordot hoz létre az alábbiak szerint:
Amikor az auditnapló-rekordok bármelyikére kattint, megnyílik a Tevékenység részletei lap. Itt látható a Tevékenység részletei lap az egyes naplórekord-típusokhoz.
Munkanap importálási rekord: Ez a naplórekord megjeleníti a Workdayből beolvasott feldolgozói adatokat. A naplórekord További részletek szakaszában található információk segítségével elháríthatja az adatok Workdayből való beolvasásával kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport" JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field) SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
AD-importálási rekord: Ez a naplórekord megjeleníti az AD-ből lekért fiók adatait. Mivel a kezdeti felhasználólétrehozás során nincs AD-fiók, a Tevékenység állapota ok azt jelzi, hogy az Active Directoryban nem található a Matching ID attribútummal rendelkező fiók. A naplórekord További részletek szakaszában található információk segítségével elháríthatja az adatok Workdayből való beolvasásával kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók.
ErrorCode : None // Use the error code captured here to troubleshoot Workday issues EventName : EntryImportObjectNotFound // Implies that object was not found in AD JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
Az AD-importálási műveletnek megfelelő Kiépítési ügynök naplórekordjainak megkereséséhez nyissa meg a Windows Eseménynapló naplóit, és a Keresés... menüben keresse meg az Egyező azonosító/Csatlakozás tulajdonság attribútumot tartalmazó naplóbejegyzéseket (ebben az esetben 21023).
Keresse meg az eseményazonosító = 9 bejegyzést, amely megadja az ügynök által az AD-fiók lekéréséhez használt LDAP keresési szűrőt. Ellenőrizheti, hogy ez-e a megfelelő keresési szűrő az egyedi felhasználói bejegyzések lekéréséhez.
Az eseményazonosítót = 2 azonosítóval azonnal követő rekord rögzíti a keresési művelet eredményét, és ha bármilyen eredményt adott vissza.
Szinkronizálási szabály műveleti rekordja: Ez a naplórekord megjeleníti az attribútumleképezési szabályok és a konfigurált hatókörszűrők eredményeit, valamint a bejövő Workday-esemény feldolgozásához végrehajtandó kiépítési műveletet. A naplórekord További részletek szakaszában található információk segítségével elháríthatja a szinkronizálási művelettel kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók.
ErrorCode : None // Use the error code captured here to troubleshoot sync issues EventName : EntrySynchronizationAdd // Implies that the object will be added JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
Ha problémák lépnek fel az attribútumleképezési kifejezésekkel kapcsolatban, vagy a bejövő Workday-adatok problémái vannak (például: üres vagy null érték a szükséges attribútumok esetében), akkor ebben a szakaszban hiba jelenik meg a hiba részleteit tartalmazó Hibakóddal.
AD-exportálási rekord: Ez a naplórekord megjeleníti az AD-fióklétrehozási művelet eredményét, valamint a folyamatban beállított attribútumértékeket. A naplórekord További részletek szakaszában található információk segítségével elháríthatja a fiók létrehozási műveletével kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók. A "További részletek" szakaszban az "EventName" értéke "EntryExportAdd", a "JoiningProperty" értéke a Matching ID attribútum értéke, a "SourceAnchor" a rekordhoz társított WorkdayID (WID), a "TargetAnchor" pedig az újonnan létrehozott felhasználó AD "ObjectGuid" attribútumának értéke.
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues EventName : EntryExportAdd // Implies that object will be created JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
Az AD-exportálási műveletnek megfelelő Kiépítési ügynök naplórekordjainak megkereséséhez nyissa meg a Windows Eseménynapló naplóit, és a Keresés... menüben keresse meg az Egyező azonosító/Csatlakozás tulajdonság attribútumot tartalmazó naplóbejegyzéseket (ebben az esetben 21023).
Keresse meg az exportálási művelet időbélyegének megfelelő HTTP POST rekordot az eseményazonosító = 2 értékével. Ez a rekord tartalmazza a kiépítési szolgáltatás által a kiépítési ügynöknek küldött attribútumértékeket.
A fenti eseményt közvetlenül követően egy másik eseménynek kell lennie, amely rögzíti az AD-fiók létrehozása művelet válaszát. Ez az esemény visszaadja az AD-ben létrehozott új objectGuid objektumot, amely TargetAnchor attribútumként van beállítva a kiépítési szolgáltatásban.
A kezelő frissítési műveleteinek naplóinak ismertetése
A kezelő attribútum egy referenciaattribútum az AD-ben. A kiépítési szolgáltatás nem állítja be a kezelő attribútumot a felhasználólétrehozási művelet részeként. Ehelyett a kezelő attribútum egy frissítési művelet részeként van beállítva, miután AD-fiókot hozott létre a felhasználó számára. A fenti példát kibontva tegyük fel, hogy a Workdayben aktiválódik egy "21451" alkalmazotti azonosítójú új alkalmazott, és az új alkalmazott felettese (21023) már rendelkezik AD-fiókkal. Ebben a forgatókönyvben a 21451 felhasználó naplóiban való keresés 5 bejegyzést jelenít meg.
Az első 4 rekord a felhasználói létrehozási művelet részeként feltárt rekordhoz hasonló. Az 5. rekord a manager attribútumfrissítéséhez társított exportálás. A naplórekord megjeleníti az AD-fiókkezelő frissítési műveletének eredményét, amelyet a kezelő objectGuid attribútumával hajt végre.
// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023
// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451
Gyakori hibák elhárítása
Ez a szakasz a Workday-felhasználók kiépítésével és megoldásával kapcsolatos gyakori hibákat ismerteti. A hibák a következőképpen vannak csoportosítva:
- A kiépítési ügynök hibái
- Csatlakozási hibák
- Az AD felhasználói fiók létrehozási hibái
- Az AD felhasználói fiók frissítési hibái
A kiépítési ügynök hibái
# | Hibaforgatókönyv | Valószínű okok | Ajánlott megoldás |
---|---|---|---|
1. | Hiba történt a kiépítési ügynök telepítésekor a következő hibaüzenettel: A "Microsoft Entra Csatlakozás Provisioning Agent" szolgáltatás (AAD Csatlakozás ProvisioningAgent) nem indult el. Ellenőrizze, hogy rendelkezik-e a rendszer indításához szükséges jogosultságokkal. | Ez a hiba általában akkor jelenik meg, ha a kiépítési ügynököt tartományvezérlőre próbálja telepíteni, és a csoportházirend megakadályozza a szolgáltatás elindítását. Az is látható, hogy az ügynök egy korábbi verziója fut, és nem távolította el az új telepítés megkezdése előtt. | Telepítse a kiépítési ügynököt egy nem tartományvezérlő kiszolgálón. Az új ügynök telepítése előtt győződjön meg arról, hogy az ügynök korábbi verziói el lettek távolítva. |
2. | A "Microsoft Entra Csatlakozás Kiépítési ügynök" Windows-szolgáltatás indítási állapotban van, és nem vált futó állapotra. | A telepítés részeként az ügynök varázsló létrehoz egy helyi fiókot (NT Service\AAD Csatlakozás ProvisioningAgent) a kiszolgálón, és ez a szolgáltatás indításához használt bejelentkezési fiók. Ha a Windows-kiszolgálón található biztonsági szabályzat megakadályozza, hogy a helyi fiókok futtassanak szolgáltatásokat, ez a hiba jelenik meg. | Nyissa meg a Szolgáltatások konzolt. Kattintson a jobb gombbal a Windows-szolgáltatás "Microsoft Entra Csatlakozás Kiépítési ügynök" elemére, és a bejelentkezési lapon adja meg a szolgáltatás futtatásához szükséges tartományi rendszergazda fiókját. Indítsa újra a szolgáltatást. |
3. | Amikor az Active Directory Csatlakozás lépésben konfigurálja a kiépítési ügynököt az AD-tartománnyal, a varázsló hosszú ideig próbálja betölteni az AD-sémát, és végül időtúllépést okoz. | Ez a hiba általában akkor jelentkezik, ha a varázsló tűzfalproblémák miatt nem tud csatlakozni az AD tartományvezérlői kiszolgálóhoz. | A Csatlakozás Active Directory varázsló képernyőjén, miközben megadja az AD-tartomány hitelesítő adatait, van egy tartományvezérlő-prioritás kiválasztása lehetőség. Ezzel a beállítással kiválaszthat egy olyan tartományvezérlőt, amely az ügynökkiszolgálóval azonos helyen található, és győződjön meg arról, hogy nincsenek olyan tűzfalszabályok, amelyek blokkolják a kommunikációt. |
Csatlakozási hibák
Ha a kiépítési szolgáltatás nem tud csatlakozni a Workdayhez vagy az Active Directoryhoz, a kiépítés karanténba került állapotba kerülhet. Az alábbi táblázat segítségével elháríthatja a csatlakozási problémákat.
# | Hibaforgatókönyv | Valószínű okok | Ajánlott megoldás |
---|---|---|---|
1. | Amikor a Teszt Csatlakozás ion elemre kattint, a következő hibaüzenet jelenik meg: Hiba történt az Active Directoryhoz való csatlakozáskor. Győződjön meg arról, hogy a helyszíni kiépítési ügynök fut, és a megfelelő Active Directory-tartománnyal van konfigurálva. | Ez a hiba általában akkor jelenik meg, ha a kiépítési ügynök nem fut, vagy tűzfal blokkolja a Microsoft Entra ID és a kiépítési ügynök közötti kommunikációt. Ez a hiba akkor is előfordulhat, ha a tartomány nincs konfigurálva az Ügynök varázslóban. | Nyissa meg a Szolgáltatások konzolt a Windows-kiszolgálón, és ellenőrizze, hogy az ügynök fut-e. Nyissa meg a kiépítési ügynök varázslót, és győződjön meg arról, hogy a megfelelő tartomány regisztrálva van az ügynöknél. |
2. | A kiépítési feladat karanténba kerül a hétvégén (P-Sat), és e-mailben értesítjük, hogy hiba történt a szinkronizálás során. | A hiba egyik gyakori oka a Workday tervezett állásideje. Ha Ön Workday megvalósítási bérlőt használ, vegye figyelembe, hogy a Workday megvalósítási bérlőihez állásidő van ütemezve hétvégére (általában péntek estétől szombat reggelig), és ebben az időszakban a Workday kiépítési alkalmazások karanténba helyezett állapotba léphetnek, mivel nem tudnak csatlakozni a Workdayhez. Amint a Workday megvalósítási bérlője újra elérhetővé válik, visszaállnak normál állapotba. Ritka esetekben ez a hibaüzenet akkor is megjelenhet, ha az integrációs rendszer felhasználójának jelszava megváltozott a bérlő frissítése miatt, vagy ha a fiók zárolva lett, illetve lejárt. | Beszéljen Workday-rendszergazdájával vagy integrációs partnerével, hogy megtudja, mikorra van ütemezve a Workday állásideje, így figyelmen kívül hagyhatja a figyelmeztető üzeneteket a leállás ideje alatt, és meggyőződhet a rendelkezésre állásról, amint a Workday-példány újra elérhető. |
Az AD felhasználói fiók létrehozási hibái
# | Hibaforgatókönyv | Valószínű okok | Ajánlott megoldás |
---|---|---|---|
1. | Művelethibák exportálása a naplóban a következő üzenettel : OperationsError-SvcErr: Művelethiba történt. Nincs fölérendelt hivatkozás konfigurálva a címtárszolgáltatáshoz. A címtárszolgáltatás ezért nem tud átirányításokat kiadni az erdőn kívüli objektumokra. | Ez a hiba általában akkor jelenik meg, ha az Active Directory-tároló szervezeti egység helytelenül van beállítva, vagy ha probléma adódik a parentDistinguishedName elemhez használt Kifejezésleképezéssel. | Az Elírások keresése az Active Directory container OU paraméterben. Ha a parentDistinguishedName elemet használja az attribútumleképezésben, győződjön meg arról, hogy mindig egy AD-tartományon belüli ismert tárolóba adja vissza az értékeket. A létrehozott érték megtekintéséhez ellenőrizze az Exportálási eseményt az auditnaplókban. |
2. | Művelethibák exportálása a naplóban a következő hibakóddal: SystemForCrossDomainIdentityManagementBadResponse és message Error: ConstraintViolation-AtrErr: A kérelem egyik értéke érvénytelen. Az attribútum értéke nem volt az elfogadható értéktartományban. \nError Details: CONSTRAINT_ATT_TYPE - company. | Bár ez a hiba a vállalati attribútumra jellemző, ezt a hibát más attribútumok, például a CN esetében is láthatja. Ez a hiba az AD által kényszerített sémakorlátozás miatt jelenik meg. Alapértelmezés szerint az olyan attribútumok, mint a vállalati és a CN az AD-ben, felső határa 64 karakter. Ha a Workdayből érkező érték több mint 64 karakterből áll, akkor ez a hibaüzenet jelenik meg. | Ellenőrizze az Exportálás eseményt az auditnaplókban, hogy megtekintse a hibaüzenetben jelentett attribútum értékét. Fontolja meg a Workdayből érkező érték csonkolását a Mid függvény használatával, vagy módosítsa a leképezéseket olyan AD-attribútumra, amely nem rendelkezik hasonló hosszkorlátozásokkal. |
Az AD felhasználói fiók frissítési hibái
Az AD felhasználói fiók frissítési folyamata során a kiépítési szolgáltatás beolvassa az információkat a Workdayből és az AD-ből, futtatja az attribútumleképezési szabályokat, és meghatározza, hogy szükség van-e bármilyen módosítás érvénybe lépésére. Ennek megfelelően egy frissítési esemény aktiválódik. Ha ezen lépések bármelyike hibába ütközik, a rendszer naplózza az auditnaplókban. Az alábbi táblázat segítségével elháríthatja a gyakori frissítési hibákat.
# | Hibaforgatókönyv | Valószínű okok | Ajánlott megoldás |
---|---|---|---|
1. | Szinkronizálási szabályműveleti hibák a naplóban az EventName = EntrySynchronizationError és ErrorCode = EndpointUnavailable üzenettel. | Ez a hiba akkor jelenik meg, ha a kiépítési szolgáltatás nem tudja lekérni a felhasználói profil adatait az Active Directoryból a helyszíni kiépítési ügynök által tapasztalt feldolgozási hiba miatt. | Ellenőrizze a kiépítési ügynök naplóit, Eseménynapló az olvasási művelettel kapcsolatos problémákat jelző hibaeseményeket (szűrés a 2. eseményazonosító szerint). |
2. | Az AD kezelő attribútuma nem frissül az AD bizonyos felhasználói számára. | Ennek a hibának a legvalószínűbb oka az, ha hatókörkezelési szabályokat használ, és a felhasználó felettese nem része a hatókörnek. Akkor is előfordulhat, hogy a probléma akkor jelentkezik, ha a kezelő egyező azonosító attribútuma (pl. EmployeeID) nem található a cél AD-tartományban, vagy nem a megfelelő értékre van beállítva. | Tekintse át a hatókörszűrőt, és vegye fel a kezelő felhasználót a hatókörbe. Ellenőrizze a kezelő profilját az AD-ben, hogy van-e érték az egyező azonosító attribútumhoz. |
A konfiguráció kezelése
Ez a szakasz azt ismerteti, hogyan bővítheti, szabhatja testre és kezelheti a Workday-alapú felhasználókiépítési konfigurációt. A következő témaköröket ismerteti:
- A Workday felhasználói attribútumok listájának testreszabása
- A konfiguráció exportálása és importálása
A Workday felhasználói attribútumok listájának testreszabása
Az Active Directoryhoz és a Microsoft Entra-azonosítóhoz készült Workday-kiépítési alkalmazások tartalmazzák az alapértelmezett Workday-felhasználói attribútumok listáját, amelyek közül választhat. Ezek a listák azonban nem átfogóak. A Workday több száz lehetséges felhasználói attribútumot támogat, amelyek szabványosak vagy egyediek lehetnek a Workday-bérlő számára.
A Microsoft Entra kiépítési szolgáltatás támogatja a lista vagy a Workday attribútum testreszabását úgy, hogy az tartalmazza az Emberi erőforrások API Get_Workers műveletében közzétett attribútumokat.
A módosítás elvégzéséhez a Workday Studióval ki kell nyernie a használni kívánt attribútumokat képviselő XPath-kifejezéseket, majd hozzá kell adnia őket a kiépítési konfigurációhoz a speciális attribútumszerkesztővel.
Egy Workday-felhasználói attribútum XPath-kifejezésének lekérése:
Töltse le és telepítse a Workday Studiót. A telepítő eléréséhez workday közösségi fiókra lesz szüksége.
Töltse le a Workday Human_Resources WSDL-fájlt, amely a használni kívánt WWS API-verzióra vonatkozik a Workday Web Services címtárból
Indítsa el a Workday Studiót.
A parancssávon válassza a Workday > Test Web Service lehetőséget a Testerben.
Válassza a Külső lehetőséget, és válassza ki a 2. lépésben letöltött Human_Resources WSDL-fájlt.
Állítsa be a Hely mezőt a következőre
https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources
, de cserélje le az "IMPL-CC" értéket a tényleges példánytípusra, a "TENANT" értéket pedig a valódi bérlő nevére.Művelet beállítása Get_Workers
A Workday hitelesítő adatainak beállításához kattintson a Kérés/Válasz panelek alatti kis konfigurálási hivatkozásra. Ellenőrizze a hitelesítést, majd adja meg a Workday integrációs rendszerfiók felhasználónevét és jelszavát. Ügyeljen arra, hogy a felhasználónevet name@tenant formátumban formázza, és hagyja bejelölve a WS-Security UsernameToken beállítást.
Kattintson az OK gombra.
A Kérés panelen illessze be az alábbi XML-fájlt. Állítsa be a Employee_ID egy valós felhasználó alkalmazotti azonosítójára a Workday-bérlőben. Állítsa a wd:verziót a használni kívánt WWS-verzióra. Válassza ki azt a felhasználót, akinek ki kell töltenie a kinyerni kívánt attribútumot.
<?xml version="1.0" encoding="UTF-8"?> <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema"> <env:Body> <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1"> <wd:Request_References wd:Skip_Non_Existing_Instances="true"> <wd:Worker_Reference> <wd:ID wd:type="Employee_ID">21008</wd:ID> </wd:Worker_Reference> </wd:Request_References> <wd:Response_Group> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Personal_Information>true</wd:Include_Personal_Information> <wd:Include_Employment_Information>true</wd:Include_Employment_Information> <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data> <wd:Include_Organizations>true</wd:Include_Organizations> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data> <wd:Include_Photo>true</wd:Include_Photo> <wd:Include_User_Account>true</wd:Include_User_Account> <wd:Include_Roles>true</wd:Include_Roles> </wd:Response_Group> </wd:Get_Workers_Request> </env:Body> </env:Envelope>
Kattintson a Kérés küldése (zöld nyíl) gombra a parancs végrehajtásához. Ha sikeres, a válasznak meg kell jelennie a Válasz panelen. Ellenőrizze a választ, hogy rendelkezik-e a megadott felhasználói azonosító adataival, és nem hibával.
Ha sikeres, másolja az XML-t a Válasz panelről, és mentse XML-fájlként.
A Workday Studio parancssávjában válassza a Fájl > megnyitása... lehetőséget, és nyissa meg a mentett XML-fájlt. Ez a művelet megnyitja a fájlt a Workday Studio XML-szerkesztőjében.
A fájlfán navigáljon a /env: Boríték > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker (Munkavégző ) területen a felhasználó adatainak megkereséséhez.
A wd: Feldolgozó területen keresse meg a hozzáadni kívánt attribútumot, és jelölje ki.
Másolja ki a kijelölt attribútum XPath-kifejezését a Dokumentum elérési útja mezőből.
Távolítsa el a /env:Boríték/env:Body/wd:Get_Workers_Response/wd:Response_Data/ előtagot a másolt kifejezésből.
Ha a másolt kifejezés utolsó eleme egy csomópont (például "/wd: Birth_Date"), akkor fűzze hozzá a /text() elemet a kifejezés végén. Ez nem szükséges, ha az utolsó elem egy attribútum (például:"/@wd: típus").
Az eredménynek a következőhöz hasonlónak
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
kell lennie: . Ezt az értéket másolja az Azure Portalra.
Egyéni Workday-felhasználói attribútum hozzáadása a kiépítési konfigurációhoz:
Indítsa el az Azure Portalt, és keresse meg a Workday-kiépítési alkalmazás kiépítési szakaszát az oktatóanyag korábbi részében leírtak szerint.
Állítsa ki a kiépítési állapototkikapcsolva, majd válassza a Mentés lehetőséget. Ez a lépés segít biztosítani, hogy a módosítások csak akkor lépnek érvénybe, ha készen áll.
A Leképezések csoportban válassza a Workday-feldolgozók szinkronizálása a helyszíni Active Directoryba (vagy a Workday-feldolgozók szinkronizálása a Microsoft Entra-azonosítóval).
Görgessen a következő képernyő aljára, és válassza a Speciális beállítások megjelenítése lehetőséget.
Válassza a Workday attribútumlistájának szerkesztése lehetőséget.
Görgessen az attribútumlista aljára a beviteli mezők helyére.
A Név mezőben adja meg az attribútum megjelenítendő nevét.
Típus esetén válassza ki az attribútumnak megfelelő típust (a sztring a leggyakoribb).
Api Expression esetén adja meg a Workday Studióból másolt XPath-kifejezést. Példa:
wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()
Válassza az Attribútum hozzáadása lehetőséget.
Válassza a Fenti Mentés lehetőséget, majd az Igen lehetőséget a párbeszédpanelen. Ha még mindig nyitva van, zárja be az Attribútumleképezés képernyőt.
A fő kiépítési lapon válassza ismét a Munkanap-feldolgozók szinkronizálása a helyszíni Active Directoryba (vagy a Feldolgozók szinkronizálása a Microsoft Entra-azonosítóba) lehetőséget.
Válassza az Új leképezés hozzáadása lehetőséget.
Az új attribútumnak most meg kell jelennie a Forrás attribútumok listájában.
Igény szerint adjon hozzá egy leképezést az új attribútumhoz.
Ha végzett, ne felejtse el vissza állítani a kiépítési állapotot Be értékre, és menteni.
Konfiguráció exportálása és importálása
Tekintse meg a kiépítési konfiguráció exportálását és importálását ismertető cikket
Személyes adatok kezelése
Az Active Directory Workday kiépítési megoldásához telepíteni kell egy kiépítési ügynököt egy helyszíni Windows-kiszolgálón, és ez az ügynök naplókat hoz létre a Windows eseménynaplójában, amelyek személyes adatokat tartalmazhatnak a Workday–AD attribútumleképezéstől függően. A felhasználói adatvédelmi kötelezettségek teljesítéséhez az eseménynaplókban 48 órán túl egyetlen adat sem marad meg, ha beállít egy Windows ütemezett feladatot az eseménynapló törléséhez.
A Microsoft Entra kiépítési szolgáltatás a GDPR-besorolás adatfeldolgozó kategóriájába tartozik. Adatfeldolgozó folyamatként a szolgáltatás adatfeldolgozási szolgáltatásokat nyújt a legfontosabb partnerek és végfelhasználók számára. A Microsoft Entra kiépítési szolgáltatás nem hoz létre felhasználói adatokat, és nincs független szabályozása a gyűjtött személyes adatok és a használatuk módjára vonatkozóan. Az adatlekérés, az összesítés, az elemzés és a jelentéskészítés a Microsoft Entra kiépítési szolgáltatásban meglévő vállalati adatokon alapul.
Feljegyzés
A személyes adatok megtekintésével vagy törlésével kapcsolatos információkért tekintse át a Microsoft útmutatását a GDPR-webhelyre vonatkozó Windows-adattulajdonosi kérelmekről. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.
Az adatmegőrzés tekintetében a Microsoft Entra kiépítési szolgáltatás 30 napon túl nem hoz létre jelentéseket, nem végez elemzéseket, és nem nyújt elemzéseket. Ezért a Microsoft Entra kiépítési szolgáltatás 30 napnál tovább nem tárol, dolgoz fel vagy őriz meg adatokat. Ez a kialakítás megfelel a GDPR-előírásoknak, a Microsoft adatvédelmi megfelelőségi előírásainak és a Microsoft Entra adatmegőrzési szabályzatainak.
Következő lépések
- További információ a Microsoft Entra ID- és Workday-integrációs forgatókönyvekről és webszolgáltatás-hívásokról
- Tudnivalók a naplók áttekintéséről és az átadási tevékenységekkel kapcsolatos jelentések lekéréséről
- Megtudhatja, hogyan konfigurálhatja az egyszeri bejelentkezést a Workday és a Microsoft Entra ID között
- Megtudhatja, hogyan konfigurálhatja a Workday Visszaírást
- Megtudhatja, hogyan kezelheti a kiépítési konfigurációkat a Microsoft Graph API-k használatával