Oktatóanyag: Workday konfigurálása a felhasználók automatikus átadásához

  • Cikk

Az oktatóanyag célja, hogy bemutassa a munkavégző profilok Workdayből helyi Active Directory (AD) való kiépítéséhez szükséges lépéseket.

Feljegyzés

Ezt az oktatóanyagot akkor használhatja, ha a Workdayből kiépíteni kívánt felhasználóknak helyszíni AD-fiókra és Microsoft Entra-fiókra van szükségük.

  • Ha a Workday felhasználóinak csak Microsoft Entra-fiókra (csak felhőalapú felhasználóknak) van szükségük, tekintse meg a Workday Microsoft Entra-azonosítós felhasználókiépítésre való konfigurálásával kapcsolatos oktatóanyagot.
  • Az olyan attribútumok visszaírásának konfigurálásához, mint az e-mail-cím, a felhasználónév és a telefonszám a Microsoft Entra ID-ból a Workdaybe, tekintse meg a Workday-visszaírás konfigurálására vonatkozó oktatóanyagot.

Az alábbi videó gyors áttekintést nyújt a Workdaynel való üzembe helyezési integráció megtervezésének lépéseiről.

Áttekintés

A Microsoft Entra felhasználói kiépítési szolgáltatása integrálható a Workday Human Resources API-val a felhasználói fiókok kiépítéséhez. A Microsoft Entra felhasználói kiépítési szolgáltatás által támogatott Workday-felhasználókiépítési munkafolyamatok a következő emberi erőforrások és identitás életciklus-kezelési forgatókönyvek automatizálását teszik lehetővé:

  • Új alkalmazottak felvétele – Amikor új alkalmazottat ad hozzá a Workdayhez, a rendszer automatikusan létrehoz egy felhasználói fiókot az Active Directoryban, a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365-ös és egyéb SaaS-alkalmazásokban, az informatikai felügyelet alatt álló kapcsolattartási adatok visszaírásával a Workdaybe.

  • Alkalmazotti attribútumok és profilfrissítések – Ha egy alkalmazotti rekord frissül a Workdayben (például a nevük, a címük vagy a felettesük), a felhasználói fiók automatikusan frissül az Active Directoryban, a Microsoft Entra ID-ban, valamint opcionálisan a Microsoft 365-ben és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.

  • Alkalmazotti felmondások – Ha egy alkalmazottat a Workdayben szüntetnek meg, a felhasználói fiók automatikusan le lesz tiltva az Active Directoryban, a Microsoft Entra-azonosítóban, valamint opcionálisan a Microsoft 365-ben és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.

  • Alkalmazotti rehires – Amikor egy alkalmazott újra meg van hiredve a Workdayben, a régi fiókja automatikusan újraaktiválható vagy újra kiépíthető (az Ön igényeinek megfelelően) az Active Directoryba, a Microsoft Entra ID-be, valamint opcionálisan a Microsoft 365-be és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokba.

Újdonságok

Ez a szakasz a Workday-integráció legutóbbi fejlesztéseit rögzíti. Az átfogó frissítések, tervezett módosítások és archívumok listáját a Microsoft Entra ID újdonságai című oldalon találja.

  • 2020. október – Igény szerinti igény szerinti üzembe helyezés a Workday esetében: Igény szerinti kiépítés használatával mostantól tesztelheti egy adott felhasználói profil végpontok közötti kiépítését a Workdayben az attribútumleképezés és a kifejezéslogika ellenőrzéséhez.

  • 2020. május – Telefonszámok visszaírása a Workdaybe: Az e-mail és a felhasználónév mellett a munkahelyi telefonszámot és a mobiltelefonszámot is visszaírhatja a Microsoft Entra-azonosítóról a Workdayre. További részletekért tekintse meg a visszaíró alkalmazás oktatóanyagát.

  • 2020. április – A Workday Web Services (WWS) API legújabb verziójának támogatása: Márciusban és szeptemberben évente kétszer a Workday funkciókban gazdag frissítéseket biztosít, amelyek segítenek megfelelni az üzleti céloknak és a változó munkaerőigénynek. A Workday által biztosított új funkciókkal való összhangban most már közvetlenül megadhatja a WWS API-verziót, amelyet a kapcsolat URL-címében szeretne használni. A Workday API-verzió megadásának részleteiért tekintse meg a Workday-kapcsolat konfigurálásáról szóló szakaszt.

Kiknek ideális ez a felhasználói kiépítési megoldás?

Ez a Workday-felhasználó-kiépítési megoldás ideális a következőkhöz:

  • Azok a szervezetek, amelyek előre elkészített, felhőalapú megoldást szeretnének a Workday-felhasználók kiépítéséhez

  • Azok a szervezetek, amelyek közvetlen felhasználói kiépítést igényelnek a Workdayből az Active Directoryba vagy a Microsoft Entra ID-ba

  • Azok a szervezetek, amelyek megkövetelik a felhasználók kiépítését a Workday HCM modulból beszerzett adatokkal (lásd Get_Workers)

  • Azok a szervezetek, amelyekhez csatlakozni, áthelyezni és a felhasználókat egy vagy több Active Directory-erdőbe, tartományba és szervezeti egységbe kell szinkronizálni, csak a Workday HCM modulban észlelt változásadatok alapján (lásd Get_Workers)

  • A Microsoft 365-öt e-mailben használó szervezetek

Megoldásarchitektúra

Ez a szakasz a gyakori hibrid környezetek végfelhasználói kiépítési megoldásarchitektúráit ismerteti. Két kapcsolódó folyamat létezik:

  • Mérvadó HR-adatfolyam – a Workdaytől a helyi Active Directory: Ebben a folyamatban a feldolgozói események (például új alkalmazottak, átadások, leállások) először a felhőbeli Workday HR-bérlőben fordulnak elő, majd az eseményadatok a Microsoft Entra-azonosítón és a kiépítési ügynökön keresztül helyi Active Directory. Az eseménytől függően az AD-beli műveletek létrehozásához/frissítéséhez/engedélyezéséhez/letiltásához vezethet.
  • Visszaírási folyamat – a helyi Active Directory és a Workday között: Miután a fiók létrehozása befejeződött az Active Directoryban, szinkronizálva lesz a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás keresztül, és az olyan információk, mint az e-mail, a felhasználónév és a telefonszám visszaírhatók a Workdaybe.

Overview

Végfelhasználói adatfolyam

  1. A HR-csapat munkavégző tranzakciókat hajt végre (Joiners/Movers/Leavers vagy New Hires/Transfers/Terminations) a Workday HCM-ben
  2. A Microsoft Entra kiépítési szolgáltatás a Workday HR-ből futtatja az identitások ütemezett szinkronizálását, és azonosítja azokat a módosításokat, amelyeket fel kell dolgozni a helyi Active Directory való szinkronizáláshoz.
  3. A Microsoft Entra kiépítési szolgáltatás meghívja a helyszíni Microsoft Entra Csatlakozás kiépítési ügynököt egy olyan hasznos adatkéréssel, amely az AD-fiók létrehozási/frissítési/engedélyezési/letiltási műveleteit tartalmazza.
  4. A Microsoft Entra Csatlakozás kiépítési ügynök szolgáltatásfiókot használ az AD-fiók adatainak hozzáadásához/frissítéséhez.
  5. A Microsoft Entra Csatlakozás/AD-szinkronizáló motor delta syncet futtat az AD-frissítések lekéréséhez.
  6. Az Active Directory-frissítések szinkronizálva vannak a Microsoft Entra-azonosítóval.
  7. Ha a Workday Visszaíró alkalmazás konfigurálva van, olyan attribútumokat ír vissza, mint az e-mail, a felhasználónév és a telefonszám a Workdaybe.

Tervezés és üzembe helyezés

A Workday Active Directory-felhasználók üzembe helyezésének konfigurálása jelentős tervezést igényel, amely különböző szempontokat fed le, például:

  • A Microsoft Entra Csatlakozás kiépítési ügynök beállítása
  • Üzembe helyezendő Workday-alkalmazások száma az AD-felhasználók számára
  • A megfelelő azonosító, attribútumleképezés, átalakítás és hatókörszűrő kiválasztása

Tekintse meg a felhőalapú HR üzembehelyezési tervét , amely átfogó irányelveket és ajánlott eljárásokat biztosít.

Integrációs rendszer felhasználójának konfigurálása a Workdayben

Az összes Workday-kiépítési összekötő gyakori követelménye, hogy a Workday integrációs rendszer felhasználóinak hitelesítő adataira van szükségük a Workday Human Resources API-hoz való csatlakozáshoz. Ez a szakasz azt ismerteti, hogyan hozhat létre integrációs rendszerfelhasználót a Workdayben, és a következő szakaszokból áll:

Feljegyzés

Ezt az eljárást megkerülheti, és ehelyett egy Workday globális rendszergazdai fiókot használhat rendszerintegrációs fiókként. Ez jól működik a demók esetében, de éles környezetben nem ajánlott.

Integrációs rendszer felhasználójának létrehozása

Integrációs rendszer felhasználójának létrehozása:

  1. Jelentkezzen be a Workday-bérlőbe rendszergazdai fiókkal. A Workday alkalmazásban írja be a Create user (Felhasználó létrehozása) kifejezést a keresőmezőbe, majd kattintson az Integrációs rendszer felhasználójának létrehozása parancsra.

    Create user

  2. Az integrációs rendszer felhasználójának létrehozása feladat elvégzéséhez adjon meg egy felhasználónevet és jelszót egy új integrációs rendszer felhasználójának.

    • Hagyja bejelölve az Új jelszó megkövetelése jelölőnégyzetet a Következő bejelentkezés beállításnál , mert a felhasználó programozott módon fog bejelentkezni.
    • Hagyja meg a munkamenet időtúllépési perceit az alapértelmezett 0 értékkel, ami megakadályozza, hogy a felhasználó munkamenetei idő előtt időtúllépést hajtsanak végre.
    • Válassza a Felhasználói felületi munkamenetek tiltása lehetőséget, mivel olyan biztonsági réteget biztosít, amely megakadályozza, hogy az integrációs rendszer jelszavával rendelkező felhasználók bejelentkezhessenek a Workdaybe.

    Create Integration System User

Integrációs biztonsági csoport létrehozása

Ebben a lépésben létrehoz egy nem korlátozott vagy korlátozott integrációs rendszerbiztonsági csoportot a Workdayben, és hozzárendeli az előző lépésben létrehozott integrációs rendszer felhasználóját ehhez a csoporthoz.

Biztonsági csoport létrehozása:

  1. Írja be a biztonsági csoport létrehozása kifejezést a keresőmezőbe, majd kattintson a Biztonsági csoport létrehozása parancsra.

    Screenshot that shows

  2. Végezze el a Biztonsági csoport létrehozása feladatot.

    • A Workdayben kétféle biztonsági csoport létezik:

      • Nem korlátozva: A biztonsági csoport minden tagja hozzáférhet a biztonsági csoport által védett összes adatpéldányhoz.
      • Korlátozott: Minden biztonsági csoporttag környezetfüggő hozzáféréssel rendelkezik a biztonsági csoport által elérhető adatpéldányok (sorok) egy részhalmazához.

    • Az integrációhoz megfelelő biztonsági csoporttípus kiválasztásához forduljon a Workday integrációs partneréhez.

    • Miután megismerte a csoport típusát, válassza az Integrációs rendszer biztonsági csoportja (Nem korlátozott) vagy az Integrációs rendszer biztonsági csoportja (korlátozott) lehetőséget a Bérlői biztonsági csoport típus legördülő listájában.

      CreateSecurity Group

  3. A biztonsági csoport létrehozása után megjelenik egy lap, amelyen tagokat rendelhet a biztonsági csoporthoz. Adja hozzá az előző lépésben létrehozott új integrációs rendszer felhasználóját ehhez a biztonsági csoporthoz. Korlátozott biztonsági csoport használata esetén a megfelelő szervezeti hatókört is ki kell választania.

    Edit Security Group

Tartománybiztonsági szabályzat engedélyeinek konfigurálása

Ebben a lépésben "tartományi biztonsági" szabályzatengedélyeket fog adni a feldolgozói adatokhoz a biztonsági csoportnak.

A tartománybiztonsági szabályzat engedélyeinek konfigurálása:

  1. Írja be a biztonsági csoport tagságát és hozzáférését a keresőmezőbe, és kattintson a jelentés hivatkozására.

    Search Security Group Membership

  2. Keresse meg és válassza ki az előző lépésben létrehozott biztonsági csoportot.

    Select Security Group

  3. Kattintson a csoport neve melletti három pontra (...) és a menüben válassza a Biztonsági csoport > tartományengedélyeinek fenntartása biztonsági csoporthoz lehetőséget

    Select Maintain Domain Permissions

  4. Az Integrációs engedélyek területen adja hozzá a következő tartományokat a tartománybiztonsági szabályzatok listájához, amelyek engedélyezik a hozzáférést

    • Külső fiók kiépítése
    • Feldolgozói adatok: Nyilvános feldolgozói jelentések
    • Személyes adatok: Munkahelyi kapcsolattartási adatok (akkor szükséges, ha a Microsoft Entra-azonosítóból a Workdaybe szeretné visszaírni a kapcsolattartási adatokat)
    • Workday-fiókok (kötelező, ha felhasználónév/UPN visszaírását tervezi a Microsoft Entra ID-ból a Workdaybe)

  5. Az Integrációs engedélyek területen adja hozzá a következő tartományokat a hozzáférés kérését engedélyező tartománybiztonsági szabályzatok listájához

    • Feldolgozói adatok: Feldolgozók
    • Feldolgozó adatai: Minden pozíció
    • Feldolgozói adatok: Aktuális oktatói adatok
    • Feldolgozói adatok: Munkahelyi cím a feldolgozói profilon
    • Feldolgozói adatok: Minősített feldolgozók (nem kötelező – a kiépítéshez szükséges feldolgozói képesítési adatok lekéréséhez adja hozzá)
    • Feldolgozói adatok: Készségek és tapasztalat (nem kötelező – a feldolgozói készségek adatainak lekérése a kiépítéshez)

  6. A fenti lépések elvégzése után az engedélyek képernyője az alábbi módon jelenik meg:

    All Domain Security Permissions

  7. Kattintson az OK gombra , majd a következő képernyőn a Kész gombra a konfiguráció befejezéséhez.

Az üzleti folyamat biztonsági házirend-engedélyeinek konfigurálása

Ebben a lépésben "üzleti folyamat biztonsága" szabályzatengedélyeket ad a feldolgozó adataihoz a biztonsági csoportnak.

Feljegyzés

Ez a lépés csak a Workday Visszaíró alkalmazás összekötőjének beállításához szükséges.

Az üzleti folyamatok biztonsági házirend-engedélyeinek konfigurálása:

  1. Írja be az Üzleti folyamat szabályzata kifejezést a keresőmezőbe, majd kattintson az Üzleti folyamat biztonsági házirendjének szerkesztése feladat hivatkozásra.

    Screenshot that shows

  2. Az Üzleti folyamat típusa szövegmezőben keresse meg a Partnert, és válassza a Munkahelyi partner módosítása üzleti folyamat lehetőséget, majd kattintson az OK gombra.

    Screenshot that shows the

  3. Az Üzleti folyamat biztonsági házirend szerkesztése lapon görgessen a Munkahelyi kapcsolattartási adatok módosítása (Webszolgáltatás) szakaszhoz.

  4. Válassza ki és vegye fel az új integrációs rendszer biztonsági csoportját azon biztonsági csoportok listájára, amelyek kezdeményezhetik a webszolgáltatások kérését.

    Business Process Security Policies

  5. Kattintson a Kész gombra.

A biztonsági szabályzat módosításainak aktiválása

A biztonsági szabályzat módosításainak aktiválása:

  1. Írja be az aktiválást a keresőmezőbe, majd kattintson a függőben lévő biztonsági házirend-módosítások aktiválása hivatkozásra.

    Activate

  2. Indítsa el a Függőben lévő biztonsági házirend módosítása tevékenység megkezdéséhez írjon be egy megjegyzést naplózási célokra, majd kattintson az OK gombra.

  3. A következő képernyőn végezze el a feladatot a Megerősítés jelölőnégyzet bejelölésével, majd kattintson az OK gombra.

    Activate Pending Security

A kiépítési ügynök telepítési előfeltételei

Tekintse át a kiépítési ügynök telepítési előfeltételeit , mielőtt továbblép a következő szakaszra.

Felhasználó-kiépítés konfigurálása a Workdayből az Active Directoryba

Ez a szakasz a felhasználói fiókok workday-ről az integráció hatókörén belüli minden Active Directory-tartományra történő kiépítésének lépéseit ismerteti.

1. rész: A kiépítési összekötő alkalmazás hozzáadása és a kiépítési ügynök letöltése

A Workday konfigurálása Active Directory-kiépítésre:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.

  3. Keresse meg a Workdayt az Active Directory felhasználói kiépítésében, és adja hozzá az alkalmazást a katalógusból.

  4. Az alkalmazás hozzáadása és az alkalmazás részletei képernyő megjelenítése után válassza a Kiépítés lehetőséget.

  5. Módosítsa a kiépítésimódot automatikusra.

  6. Kattintson a megjelenő információs szalagcímre a kiépítési ügynök letöltéséhez.

    Download Agent

2. rész: Helyszíni kiépítési ügynök(ek) telepítése és konfigurálása

Az Active Directory helyszíni üzembe helyezéséhez a kiépítési ügynököt olyan tartományhoz csatlakoztatott kiszolgálón kell telepíteni, amely hálózati hozzáféréssel rendelkezik a kívánt Active Directory-tartomány(ok)hoz.

Helyezze át a letöltött ügynök telepítőt a kiszolgáló gazdagépére, és kövesse az Ügynök telepítése szakaszban felsorolt lépéseket az ügynökkonfiguráció befejezéséhez.

3. rész: A kiépítési alkalmazásban konfigurálja a Workday és az Active Directory kapcsolatát

Ebben a lépésben kapcsolatot létesítünk a Workday és az Active Directory használatával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Tallózással keresse meg az Identity>Applications>Enterprise-alkalmazásokat> Munkanapokon az 1. részben létrehozott Active Directory felhasználókiépítési alkalmazásig.

  3. Töltse ki a Rendszergazda hitelesítő adatok szakaszt az alábbiak szerint:

    • Workday Felhasználónév – Adja meg a Workday integrációs rendszerfiókjának felhasználónevét, amelyhez hozzá van fűzve a bérlő tartományneve. Valahogy így kell kinéznie: username@tenant_name

    • Workday jelszó – Adja meg a Workday integrációs rendszerfiók jelszavát

    • Workday Web Services API URL-címe – Adja meg a bérlő Workday webszolgáltatások végpontjának URL-címét. Az URL-cím határozza meg az összekötő által használt Workday Web Services API verzióját.

      URL-formátum HASZNÁLT WWS API-verzió XPATH-módosítások szükségesek
      https://####.workday.com/ccx/service/tenantName v21.1 Nem
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Nem
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##. # Igen

      Feljegyzés

      Ha az URL-címben nincs megadva verzióinformáció, az alkalmazás a Workday Web Services (WWS) 21.1-es verzióját használja, és nem szükséges módosítani az alkalmazáshoz szállított alapértelmezett XPATH API-kifejezéseket. Egy adott WWS API-verzió használatához adja meg a verziószámot az URL-címben
      Példa: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Ha WWS API v30.0+-t használ, mielőtt bekapcsolná a kiépítési feladatot, frissítse az XPATH API-kifejezéseket az Attribútumleképezés – Speciális beállítások –>> A Workday attribútumlistájának szerkesztése szakaszában, amely a konfiguráció és a Workday attribútumreferenciájának kezelése című szakaszra hivatkozik.

    • Active Directory Forest – Az Active Directory-tartomány "neve" az ügynök által regisztrált módon. A legördülő menüben válassza ki a céltartományt a kiépítéshez. Ez az érték általában egy sztring, például: contoso.com

    • Active Directory-tároló – Adja meg azt a tárolóbeli DN-t, ahol az ügynöknek alapértelmezés szerint felhasználói fiókokat kell létrehoznia. Példa: OU=Standard felhasználók,OU=Felhasználók,DC=contoso,DC=test

      Feljegyzés

      Ez a beállítás csak akkor lép életbe a felhasználói fiókok létrehozásakor, ha a parentDistinguishedName attribútum nincs konfigurálva az attribútumleképezésekben. Ez a beállítás nem használható felhasználói keresési vagy frissítési műveletekhez. A teljes tartomány alfája a keresési művelet hatókörébe tartozik.

    • Értesítési e-mail – Adja meg az e-mail-címét, és jelölje be az "E-mail küldése sikertelenség esetén" jelölőnégyzetet.

      Feljegyzés

      A Microsoft Entra kiépítési szolgáltatás e-mailben értesítést küld, ha a kiépítési feladat karanténba kerül.

    • Kattintson a Tesztelés Csatlakozás ion gombra. Ha a kapcsolati teszt sikeres, kattintson a felül található Mentés gombra. Ha ez nem sikerül, ellenőrizze, hogy a Workday hitelesítő adatai és az ügynök beállításakor konfigurált AD-hitelesítő adatok érvényesek-e.

      Screenshot that shows the

    • A hitelesítő adatok sikeres mentése után a Leképezések szakasz megjeleníti a Workday-feldolgozók helyszíni Active Directoryba való szinkronizálásának alapértelmezett leképezését

4. rész: Attribútumleképezések konfigurálása

Ebben a szakaszban konfigurálja, hogyan áramlik a felhasználói adatok a Workdayből az Active Directoryba.

  1. A Hozzárendelések alatti Kiépítés lapon kattintson a Munkanap-feldolgozók szinkronizálása a helyszíni Active Directoryba elemre.

  2. A Forrásobjektum hatóköre mezőben kiválaszthatja, hogy a Workdayben mely felhasználók legyenek hatókörben az AD-be való kiépítéshez, ha attribútumalapú szűrőket határoz meg. Az alapértelmezett hatókör "minden felhasználó a Workdayben". Példaszűrők:

    • Példa: Hatókör a 1000000 és 2000000 közötti feldolgozóazonosítóval rendelkező felhasználókra (a 2000000 kivételével)

      • Attribútum: WorkerID

      • Operátor: REGEX-egyezés

      • Érték: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Példa: Csak alkalmazottak és nem függő munkavállalók

      • Attribútum: EmployeeID

      • Operátor: NEM NULL

    Tipp.

    Amikor első alkalommal konfigurálja a kiépítési alkalmazást, tesztelnie és ellenőriznie kell az attribútumleképezéseket és -kifejezéseket, hogy biztosan a kívánt eredményt adja. A Microsoft azt javasolja, hogy használjon hatókörszűrőket a Forrásobjektum hatóköre és az igény szerinti kiépítés területen, hogy tesztelje a leképezéseket a Workday néhány tesztfelhasználójával. Miután ellenőrizte, hogy a leképezések működnek-e, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.

    Figyelem

    A kiépítési motor alapértelmezett viselkedése a hatókörön kívül eső felhasználók letiltása/törlése. Ez nem feltétlenül kívánatos a Workday-ből az AD-integrációba. Az alapértelmezett viselkedés felülbírálásához tekintse meg a hatókörön kívül eső felhasználói fiókok törlésének kihagyása című cikket

  3. A Célobjektum-műveletek mezőben globálisan szűrheti az Active Directoryban végrehajtott műveleteket. A létrehozás és a frissítés a leggyakoribb.

  4. Az Attribútumleképezések szakaszban megadhatja, hogy az egyes Workday-attribútumok hogyan képezhetők le Active Directory-attribútumokra.

  5. A frissítéshez kattintson egy meglévő attribútumleképezésre, vagy kattintson a képernyő alján található Új leképezés hozzáadása elemre az új leképezések hozzáadásához. Az egyes attribútumleképezések a következő tulajdonságokat támogatják:

    • Leképezés típusa

      • Közvetlen – A Workday attribútum értékét írja az AD attribútumba módosítás nélkül

      • Állandó – Statikus, állandó sztringérték írása az AD attribútumba

      • Kifejezés – Lehetővé teszi egyéni érték írását az AD-attribútumba egy vagy több Workday-attribútum alapján. További információt a kifejezésekről szóló cikkben talál.

    • Forrásattribútum – A Workday felhasználói attribútuma. Ha a keresett attribútum nem található, olvassa el a Workday felhasználói attribútumok listájának testreszabásával kapcsolatos témakört.

    • Alapértelmezett érték – Nem kötelező. Ha a forrásattribútum üres értékkel rendelkezik, a leképezés ehelyett ezt az értéket fogja írni. A leggyakoribb konfiguráció az, hogy ezt hagyja üresen.

    • Célattribútum – Az Active Directory felhasználói attribútuma.

    • Az attribútumot használó objektumok egyezése – Azt jelzi, hogy ezt a leképezést kell-e használni a felhasználók egyedi azonosítására a Workday és az Active Directory között. Ez az érték általában a Workday Munkavégző azonosító mezőjében van beállítva, amely általában az Active Directory alkalmazotti azonosító attribútumainak egyikére van leképezve.

    • Egyező sorrend – Több egyező attribútum is beállítható. Ha több van, azokat a mező által meghatározott sorrendben értékeli ki a rendszer. Amint talál egyezést, a rendszer nem értékeli ki a további egyező attribútumokat.

    • A leképezés alkalmazása

      • Always – A leképezés alkalmazása a felhasználólétrehozási és a frissítési műveletekre is

      • Csak a létrehozás során – A leképezés alkalmazása csak a felhasználólétrehozási műveletekre

  6. A leképezések mentéséhez kattintson a Mentés gombra az Attribútum-leképezés szakasz tetején.

    Screenshot that shows the

Az alábbiakban néhány példaattribútum-leképezést láthat a Workday és az Active Directory között, néhány gyakori kifejezéssel

  • A parentDistinguishedName attribútumra leképezett kifejezés használatával egy felhasználót egy vagy több Workday-forrásattribútum alapján kiépíthet egy felhasználót különböző szervezeti egységekhez. Ez a példa a felhasználókat különböző szervezeti egységekbe helyezi attól függően, hogy melyik városban vannak.

  • Az Active Directory userPrincipalName attribútuma a SelectUniqueValue de-duplikációs függvény használatával jön létre, amely ellenőrzi, hogy létezik-e generált érték a cél AD-tartományban, és csak akkor állítja be, ha egyedi.

  • Itt található a kifejezések írásának dokumentációja. Ez a szakasz példákat tartalmaz a speciális karakterek eltávolítására.

WORKDAY ATTRIBÚTUM ACTIVE DIRECTORY ATTRIBÚTUM EGYEZŐ AZONOSÍTÓ? LÉTREHOZÁS/FRISSÍTÉS
Feldolgozó azonosítója EmployeeID Igen Csak létrehozásra írva
PreferredNameData Cn Csak létrehozásra írva
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Csak létrehozásra írva
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Csak létrehozásra írva
Kapcsoló([Aktív], "0", "Igaz", "1", "Hamis") accountDisabled Létrehozás + frissítés
FirstName givenName Létrehozás + frissítés
LastName sn Létrehozás + frissítés
PreferredNameData displayName Létrehozás + frissítés
Cég company Létrehozás + frissítés
Felügyeleti rendezés department Létrehozás + frissítés
ManagerReference manager Létrehozás + frissítés
BusinessTitle Cím Létrehozás + frissítés
AddressLineData streetAddress Létrehozás + frissítés
Önkormányzat l Létrehozás + frissítés
CountryReferenceTwoLetter co Létrehozás + frissítés
CountryReferenceTwoLetter c Létrehozás + frissítés
CountryRegionReference St Létrehozás + frissítés
WorkSpaceReference physicalDeliveryOfficeName Létrehozás + frissítés
Irányítószám irányítószám Létrehozás + frissítés
PrimaryWorkTelephone telephoneNumber Létrehozás + frissítés
Fax facsimileTelephoneNumber Létrehozás + frissítés
Mobil mobil Létrehozás + frissítés
LocalReference preferredLanguage Létrehozás + frissítés
Switch([Önkormányzat], "OU=Alapértelmezett felhasználók;DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Létrehozás + frissítés

Miután az attribútumleképezési konfiguráció befejeződött, tesztelheti egyetlen felhasználó kiépítését igény szerinti kiépítéssel, majd engedélyezheti és elindíthatja a felhasználókiépítési szolgáltatást.

Felhasználói kiépítés engedélyezése és elindítása

Miután a Workday kiépítési alkalmazáskonfigurációi befejeződtek, és ellenőrizte az igény szerinti kiépítéssel rendelkező egyetlen felhasználó üzembe helyezését, bekapcsolhatja a kiépítési szolgáltatást.

Tipp.

A kiépítési szolgáltatás bekapcsolásakor alapértelmezés szerint az üzembe helyezési műveleteket kezdeményezi a hatókörben lévő összes felhasználó számára. Ha hibák lépnek fel a leképezési vagy a Workday-adatproblémákban, előfordulhat, hogy a kiépítési feladat meghiúsul, és karanténba kerül. Ennek elkerülése érdekében ajánlott eljárásként javasoljuk, hogy konfigurálja a forrásobjektum-hatókör szűrőt, és tesztelje az attribútumleképezéseket néhány, igény szerinti kiépítést használó felhasználóval, mielőtt elindítja a teljes szinkronizálást az összes felhasználó számára. Miután ellenőrizte, hogy a leképezések működnek-e, és megadja-e a kívánt eredményt, eltávolíthatja a szűrőt, vagy fokozatosan kibonthatja, hogy több felhasználót is bevonjon.

  1. Lépjen a Kiépítés panelre, és kattintson a Kiépítés indítása parancsra.

  2. Ez a művelet elindítja a kezdeti szinkronizálást, amely változó számú órát vehet igénybe attól függően, hogy hány felhasználó van a Workday-bérlőben. A szinkronizálási ciklus előrehaladásának nyomon követéséhez ellenőrizze a folyamatjelző sávot.

  3. Az Azure Portal Naplózási naplók lapján bármikor megtekintheti, hogy a kiépítési szolgáltatás milyen műveleteket hajtott végre. A naplózási naplók felsorolják a kiépítési szolgáltatás által végrehajtott összes egyéni szinkronizálási eseményt, például azt, hogy mely felhasználókat olvassák ki a Workdayből, majd hozzáadják vagy frissítik az Active Directoryban. A naplózási naplók áttekintésére és a kiépítési hibák elhárítására vonatkozó útmutatásért tekintse meg a Hibaelhárítás szakaszt.

  4. Miután a kezdeti szinkronizálás befejeződött, egy naplózási összefoglaló jelentést fog írni a Kiépítés lapra, ahogy az alább látható.

    Provisioning progress bar

Gyakori kérdések (GYIK)

Megoldási képességekkel kapcsolatos kérdések

Hogyan állítja be a megoldás az új felhasználói fiók jelszavát az Active Directoryban a Workday új bérlőjének feldolgozásakor?

Amikor a helyszíni kiépítési ügynök kérést kap egy új AD-fiók létrehozására, automatikusan létrehoz egy összetett véletlenszerű jelszót, amely megfelel az AD-kiszolgáló által meghatározott jelszó-összetettségi követelményeknek, és beállítja azt a felhasználói objektumon. Ezt a jelszót sehol nem naplózza a rendszer.

A megoldás támogatja az e-mail-értesítések küldését a kiépítési műveletek befejezése után?

Nem, az aktuális kiadás nem támogatja az e-mail-értesítések küldését a kiépítési műveletek befejezése után.

A megoldás gyorsítótárazza a Workday felhasználói profilokat a Microsoft Entra felhőben vagy a kiépítési ügynök rétegében?

Nem, a megoldás nem tartja fenn a felhasználói profilok gyorsítótárát. A Microsoft Entra kiépítési szolgáltatás egyszerűen adatfeldolgozóként működik, adatokat olvas a Workdayből, és a cél Active Directoryba vagy a Microsoft Entra-azonosítóba ír. A felhasználói adatvédelemmel és adatmegőrzéssel kapcsolatos részletekért tekintse meg a személyes adatok kezelése című szakaszt.

Támogatja a megoldás a helyszíni AD-csoportok felhasználóhoz való hozzárendelését?

Ez a funkció jelenleg nem támogatott. Az ajánlott áthidaló megoldás egy Olyan PowerShell-szkript üzembe helyezése, amely lekérdezi a Microsoft Graph API-végpontot a naplózási naplóadatokhoz, és ezt használja olyan forgatókönyvek aktiválására, mint a csoporthozzárendelés. Ez a PowerShell-szkript csatolható egy feladatütemezőhöz, és a kiépítési ügynököt futtató ugyanazon a dobozon telepíthető.

Mely Workday API-kat használja a megoldás a Workday-feldolgozói profilok lekérdezéséhez és frissítéséhez?

A megoldás jelenleg a következő Workday API-kat használja:

  • A Rendszergazda Hitelesítő adatok szakaszban használt Workday Web Services API URL-formátum határozza meg a Get_Workers

    • Ha az URL-formátum a következő, https://####.workday.com/ccx/service/tenantName akkor a rendszer az API 21.1-es verziót használja.
    • Ha az URL-formátum a következő: https://####.workday.com/ccx/service/tenantName/Human_Resources , akkor a rendszer az API 21.1-es verziót használja
    • Ha az URL-formátum a következő, https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# akkor a rendszer a megadott API-verziót használja. (Például: ha a 34.0-s verzió van megadva, akkor azt használja.)

  • A Workday e-mail-visszaírási funkció Change_Work_Contact_Information használ (30.0-s verzió)

  • A Workday Username Writeback funkció Update_Workday_Account használ (31.2-s verzió)

Konfigurálhatom a Workday HCM-bérlőmet két Microsoft Entra-bérlővel?

Igen, ez a konfiguráció támogatott. A forgatókönyv konfigurálásához az alábbi magas szintű lépések szükségesek:

  • Helyezze üzembe az 1. kiépítési ügynököt, és regisztrálja a Microsoft Entra 1. bérlőjéhez.
  • Telepítse a 2. kiépítési ügynököt, és regisztrálja a Microsoft Entra-bérlő #2-ben.
  • Az egyes kiépítési ügynökök által kezelt "gyermektartományok" alapján konfigurálja az egyes ügynököket a tartomány(ok) használatával. Egy ügynök több tartományt is képes kezelni.
  • Az Azure Portalon állítsa be a Workdayt az AD felhasználói kiépítési alkalmazásra minden bérlőben, és konfigurálja a megfelelő tartományokkal.

A visszajelzése nagyon értékes, mivel segít nekünk meghatározni a jövőbeli kiadások és fejlesztések irányát. Örömmel fogadunk minden visszajelzést, és javasoljuk, hogy küldje el ötletét vagy fejlesztési javaslatát a Microsoft Entra ID visszajelzési fórumában. A Workday-integrációval kapcsolatos konkrét visszajelzésekért válassza ki az SaaS-alkalmazások kategóriát, és keressen a Workday kulcsszóval a Workdayhez kapcsolódó meglévő visszajelzések megkereséséhez.

UserVoice SaaS Apps

UserVoice Workday

Ha új ötletre tesz javaslatot, ellenőrizze, hogy valaki más már javasolt-e hasonló funkciót. Ebben az esetben szavazhat a funkcióra vagy a fejlesztésre vonatkozó kérelemre. Megjegyzést is fűzhet az adott használati esethez, hogy megjelenítse az ötlet támogatását, és bemutassuk, hogy a funkció milyen értékes lesz Önnek is.

A kiépítési ügynökkel kapcsolatos kérdések

Mi a kiépítési ügynök GA-verziója?

Tekintse meg a Microsoft Entra Csatlakozás Kiépítési ügynök: A kiépítési ügynök legújabb GA-verziójának verziókiadási előzményeit.

Hogyan ismeri a kiépítési ügynököm verzióját?

  • Jelentkezzen be arra a Windows-kiszolgálóra, ahol a kiépítési ügynök telepítve van.

  • Ugrás a Vezérlőpult –>Program eltávolítása vagy módosítása menüre

  • Keresse meg a Microsoft Entra Csatlakozás Provisioning Agent bejegyzésnek megfelelő verziót

    Azure portal

A Microsoft automatikusan leküldi a Kiépítési ügynök frissítéseit?

Igen, a Microsoft automatikusan frissíti a kiépítési ügynököt, ha a Windows szolgáltatás, a Microsoft Entra Csatlakozás Agent Updater működik.

Telepíthetem a kiépítési ügynököt ugyanarra a kiszolgálóra, amelyen a Microsoft Entra Csatlakozás fut?

Igen, telepítheti a kiépítési ügynököt ugyanazon a kiszolgálón, amely a Microsoft Entra Csatlakozás fut.

A konfiguráció időpontjában a kiépítési ügynök a Microsoft Entra rendszergazdai hitelesítő adatait kéri. Az ügynök helyben tárolja a hitelesítő adatokat a kiszolgálón?

A konfiguráció során a kiépítési ügynök csak a Microsoft Entra-bérlőhöz való csatlakozáshoz kéri a Microsoft Entra rendszergazdai hitelesítő adatait. Nem tárolja helyileg a hitelesítő adatokat a kiszolgálón. Azonban megőrzi a helyi Windows-jelszótárolóban lévő helyi Active Directory tartományhoz való csatlakozáshoz használt hitelesítő adatokat.

Hogyan konfigurálja a kiépítési ügynököt úgy, hogy proxykiszolgálót használjon a kimenő HTTP-kommunikációhoz?

A kiépítési ügynök támogatja a kimenő proxy használatát. Konfigurálhatja a C:\Program Files\Microsoft Azure AD Csatlakozás Provisioning Agent\AAD CsatlakozásProvisioningAgent.exe.config ügynökkonfigurációs fájl szerkesztésével. Adja hozzá a következő sorokat a fájl vége felé, a záró </configuration> címke előtt. Cserélje le a [proxy-server] és [proxy-port] változókat a proxykiszolgálója nevére és a port értékeire.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Hogyan győződjön meg arról, hogy a kiépítési ügynök képes kommunikálni a Microsoft Entra-bérlővel, és nincsenek tűzfalak, amelyek blokkolják az ügynök által igényelt portokat?

Azt is ellenőrizheti, hogy az összes szükséges port nyitva van-e.

Konfigurálható egy kiépítési ügynök több AD-tartomány kiépítésére?

Igen, egy kiépítési ügynök konfigurálható úgy, hogy több AD-tartományt kezeljen, amíg az ügynök látóvonallal rendelkezik a megfelelő tartományvezérlőkhöz. A Microsoft azt javasolja, hogy állítson be egy 3 kiépítési ügynökből álló csoportot, amely ugyanazt az AD-tartományt szolgálja ki a magas rendelkezésre állás és a feladatátvételi támogatás biztosítása érdekében.

Hogyan regisztrálja a kiépítési ügynökömhöz társított tartományt?

*, kérje le a Microsoft Entra-bérlő bérlőazonosítóját .

  • Jelentkezzen be a Kiépítési ügynököt futtató Windows-kiszolgálóra.

  • Nyissa meg a PowerShellt Windows Rendszergazda istratorként.

  • Váltson a regisztrációs szkripteket tartalmazó könyvtárra, és futtassa a következő parancsokat a [bérlőazonosító] paraméter helyett a bérlőazonosító értékére.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • A megjelenő ügynökök listájából másolja ki annak az erőforrásnak a id mezőjét, amelynek resourceName értéke megegyezik az AD-tartomány nevével.

  • Illessze be az azonosító értékét ebbe a parancsba, és hajtsa végre a parancsot a PowerShellben.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Futtassa újra az Ügynökkonfiguráció varázslót.

  • A tartományhoz korábban hozzárendelt egyéb ügynököket újra kell konfigurálni.

Hogyan távolítsa el a kiépítési ügynököt?

  • Jelentkezzen be arra a Windows-kiszolgálóra, ahol a kiépítési ügynök telepítve van.
  • Ugrás a Vezérlőpult –>Program eltávolítása vagy módosítása menüre
  • Távolítsa el a következő programokat:
    • Microsoft Entra Csatlakozás kiépítési ügynök
    • Microsoft Entra Csatlakozás Agent Updater
    • Microsoft Entra Csatlakozás Kiépítési ügynökcsomag

Workday–AD attribútumleképezés és konfigurációs kérdések

Hogyan biztonsági másolatot készíteni vagy exportálni a Workday Provisioning Attribútumleképezés és -séma munkapéldányáról?

A Microsoft Graph API-val exportálhatja a Workday user provisioning konfigurációját. A részletekért tekintse meg a Workday felhasználókiépítési attribútumleképezés konfigurációjának exportálása és importálása című szakasz lépéseit.

Egyéni attribútumok vannak a Workdayben és az Active Directoryban. Hogyan konfigurálja a megoldást az egyéni attribútumok használatára?

A megoldás támogatja az egyéni Workday- és Active Directory-attribútumokat. Ha egyéni attribútumokat szeretne hozzáadni a leképezési sémához, nyissa meg az Attribútumleképezés panelt, és görgessen lefelé a Speciális beállítások megjelenítése szakasz kibontásához.

Edit Attribute List

Az egyéni Workday-attribútumok hozzáadásához válassza a Workday attribútumlistájának szerkesztése lehetőséget, és az egyéni AD-attribútumok hozzáadásához válassza a Helyszíni Active Directory attribútumlistájának szerkesztése lehetőséget.

Lásd még:

Hogyan úgy konfigurálja a megoldást, hogy csak a Workday-módosítások alapján frissítse az AD attribútumait, és ne hozzon létre új AD-fiókokat?

Ez a konfiguráció az Attribútumleképezések panelEn a Célobjektum-műveletek beállításával érhető el az alábbiak szerint:

Update action

Jelölje be a "Frissítés" jelölőnégyzetet, hogy csak a munkanapról az AD-be irányuló frissítési műveletek folyjanak.

Kiépíthetem a felhasználó fényképét a Workdayből az Active Directoryba?

A megoldás jelenleg nem támogatja az olyan bináris attribútumok beállítását, mint a thumbnailPhoto és a jpegPhoto az Active Directoryban.

  • Lépjen a Workday Kiépítési alkalmazás "Kiépítés" paneljére.

  • Kattintson az attribútumleképezésekre

  • A Leképezések csoportban válassza a Workday-feldolgozók szinkronizálása a helyszíni Active Directoryba (vagy a Workday-feldolgozók szinkronizálása a Microsoft Entra-azonosítóval).

  • Az Attribútumleképezések lapon görgessen le, és jelölje be a "Speciális beállítások megjelenítése" jelölőnégyzetet. Kattintson a Workday attribútumlistájának szerkesztésére

  • A megnyíló panelen keresse meg a "Mobile" attribútumot, és kattintson a sorra az API-kifejezés szerkesztéséhez Mobile GDPR

  • Cserélje le az API-kifejezést a következő új kifejezésre, amely csak akkor kéri le a munkahelyi mobilszámot, ha a "Nyilvános használat jelző" értéke "True" (Igaz) értékre van állítva a Workdayben.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Mentse az attribútumlistát.

  • Mentse az attribútumleképezést.

  • Törölje az aktuális állapotot, és indítsa újra a teljes szinkronizálást.

Hogyan megjelenítendő neveket formázza az AD-ben a felhasználó részleg/ország/város attribútumai alapján, és kezeli a regionális varianciákat?

Gyakori követelmény a displayName attribútum konfigurálása az AD-ben, hogy a felhasználó részlegével és országával/régiójával kapcsolatos információkat is biztosítjon. Ha például John Smith az EGYESÜLT Államok marketingosztályán dolgozik, előfordulhat, hogy azt szeretné, hogy a displayName megjelenik Smith, John (Marketing-US) néven.

Az alábbiakban bemutatjuk, hogyan kezelheti a CN vagy a displayName konstruktálásával kapcsolatos követelményeket, hogy olyan attribútumokat tartalmazzon, mint a vállalat, az üzleti egység, a város vagy az ország/régió.

  • A Rendszer minden Workday-attribútumot egy mögöttes XPATH API-kifejezéssel kér le, amely konfigurálható az Attribútumleképezés – Speciális szakasz –>> A Workday attribútumlistájának szerkesztése című témakörben. Itt található az alapértelmezett XPATH API-kifejezés a Workday PreferredFirstName, a PreferredLastName, a Company és a SupervisoryOrganization attribútumokhoz.

    Workday attribútum API XPATH-kifejezés
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Cég wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    Felügyeleti rendezés wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    A Workday-csapattal győződjön meg arról, hogy a fenti API-kifejezés érvényes a Workday-bérlő konfigurációjához. Szükség esetén szerkesztheti őket a Workday felhasználói attribútumok listájának testreszabása című szakaszban leírtak szerint.

  • Hasonlóképpen a Workdayben található ország-/régióinformációk a következő XPATH használatával kérhetők le: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    A Workday attribútumlista szakaszban 5 országhoz/régióhoz kapcsolódó attribútum érhető el.

    Workday attribútum API XPATH-kifejezés
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Leíró
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Leíró

    A Workday-csapattal győződjön meg arról, hogy a fenti API-kifejezések érvényesek a Workday-bérlő konfigurációjához. Szükség esetén szerkesztheti őket a Workday felhasználói attribútumok listájának testreszabása című szakaszban leírtak szerint.

  • A megfelelő attribútumleképezési kifejezés létrehozásához határozza meg, hogy melyik Workday attribútum "mérvadóan" jelöli a felhasználó vezetéknevét, vezetéknevét, országát/régióját és részlegét. Tegyük fel, hogy az attribútumok a PreferredFirstName, a PreferredLastName, a CountryReferenceTwoLetter és a SupervisoryOrganization . Ezzel létrehozhat egy kifejezést az AD displayName attribútumhoz az alábbiak szerint egy olyan megjelenítendő név lekéréséhez, mint a Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Miután megkapta a megfelelő kifejezést, szerkessze az Attribútumleképezések táblát, és módosítsa a displayName attribútumleképezést az alábbiak szerint:DisplayName Mapping

  • A fenti példán túl tegyük fel, hogy a Workdayből érkező városneveket rövidített értékekké szeretné konvertálni, majd olyan megjelenítendő nevek létrehozására használja, mint Például Smith, John (CHI) vagy Doe, Jane (NYC). Ezt az eredményt egy Switch kifejezéssel, a Workday Municipality attribútummal, mint determináns változóval lehet elérni.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Lásd még:

Hogyan hozhatok létre egyedi értékeket a SamAccountName attribútumhoz a SelectUniqueValue használatával?

Tegyük fel, hogy egyedi értékeket szeretne létrehozni a samAccountName attribútumhoz a Workday FirstName és LastName attribútumainak kombinációjával. Az alábbiakban egy olyan kifejezés látható, amely a következőkkel kezdődhet:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

A fenti kifejezés működése: Ha a felhasználó John Smith, először JSmith-t próbál létrehozni, ha a JSmith már létezik, akkor a JoSmitht hozza létre, ha ez létezik, akkor JohSmitht hoz létre. A kifejezés azt is biztosítja, hogy a létrehozott érték megfeleljen a samAccountName-hoz társított hosszkorlátozásnak és speciális karakterkorlátozásnak.

Lásd még:

Hogyan távolítsa el a karaktereket mellékjelekkel, és konvertálja őket normál angol ábécékké?

A NormalizeDiacritics függvénnyel eltávolíthatja a felhasználó vezeték- és utónevében szereplő speciális karaktereket, miközben a felhasználó e-mail-címét vagy CN-értékét hozza létre.

Hibaelhárítási tippek

Ez a szakasz konkrét útmutatást nyújt a Workday-integrációval kapcsolatos kiépítési problémák elhárításához a Microsoft Entra naplói és a Windows Server Eseménynapló naplói használatával. Az oktatóanyagban rögzített általános hibaelhárítási lépésekre és fogalmakra épül: Jelentéskészítés az automatikus felhasználói fiókok kiépítéséről

Ez a szakasz a hibaelhárítás alábbi szempontjait ismerteti:

Kiépítési ügynök konfigurálása Eseménynapló naplók kibocsátásához

  1. Jelentkezzen be arra a Windows Server-gépre, ahol a kiépítési ügynök telepítve van

  2. Állítsa le a Microsoft Entra Csatlakozás Kiépítési ügynök szolgáltatást.

  3. Készítsen másolatot az eredeti konfigurációs fájlról: C:\Program Files\Microsoft Azure AD Csatlakozás Provisioning Agent\AAD CsatlakozásProvisioningAgent.exe.config.

  4. Cserélje le a meglévő <system.diagnostics> szakaszt a következőre.

    • A figyelő konfigurációja etw üzeneteket bocsát ki az EventViewer-naplókba
    • A figyelő konfigurációs textWriterListener nyomkövetési üzeneteket küld a fájlnak ProvAgentTrace.log. A textWriterListenerhez kapcsolódó sorok kibontása csak speciális hibaelhárítás céljából.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Indítsa el a Microsoft Entra Csatlakozás Kiépítési ügynök szolgáltatást.

A Windows Eseménynapló beállítása ügynökkel kapcsolatos hibaelhárításhoz

  1. Jelentkezzen be arra a Windows Server-gépre, amelyen a kiépítési ügynök telepítve van

  2. Nyissa meg a Windows Server Eseménynapló asztali alkalmazást.

  3. Válassza a Windows Naplók > alkalmazás lehetőséget.

  4. Az Aktuális napló szűrése... lehetőséggel megtekintheti a Microsoft Entra forrás alatt naplózott összes eseményt Csatlakozás Kiépítési ügynököt, és kizárhatja az eseményeket az "5" eseményazonosítóval, az alábbi módon megadva a "-5" szűrőt.

    Feljegyzés

    Az 5. eseményazonosító rögzíti az ügynök rendszerindítási üzeneteit a Microsoft Entra felhőszolgáltatásnak, ezért szűrjük a naplófájlok elemzése során.

    Windows Event Viewer

  5. Kattintson az OK gombra, és rendezze az eredménynézetet Dátum és idő oszlop szerint.

Az Azure Portal naplózási naplóinak beállítása a szolgáltatás hibaelhárításához

  1. Indítsa el az Azure Portalt, és lépjen a Workday kiépítési alkalmazás Naplózási naplók szakaszára.

  2. A Naplók lap Oszlopok gombjával csak a következő oszlopok jelennek meg a nézetben (Dátum, Tevékenység, Állapot, Állapot ok). Ez a konfiguráció biztosítja, hogy csak a hibaelhárításhoz releváns adatokra összpontosítson.

    Audit log columns

  3. A nézet szűréséhez használja a Cél és a Dátumtartomány lekérdezési paramétereket.

    • Állítsa a Cél lekérdezés paramétert a Workday munkavégző objektum "Feldolgozó azonosítója" vagy "Alkalmazott azonosítója" értékére.
    • Állítsa be a dátumtartományt egy megfelelő időszakra, amely alatt a kiépítéssel kapcsolatos hibák vagy problémák kivizsgálását szeretné elvégezni.

    Audit log filters

Az AD felhasználói fiók létrehozási műveleteinek naplóinak ismertetése

Amikor új alkalmazottat észlel a Workdayben (mondjuk a 21023-as alkalmazotti azonosítóval), a Microsoft Entra kiépítési szolgáltatás megpróbál létrehozni egy új AD-felhasználói fiókot a feldolgozó számára, és a folyamat során 4 naplózási naplórekordot hoz létre az alábbiak szerint:

Audit log create ops

Amikor az auditnapló-rekordok bármelyikére kattint, megnyílik a Tevékenység részletei lap. Itt látható a Tevékenység részletei lap az egyes naplórekord-típusokhoz.

  • Munkanap importálási rekord: Ez a naplórekord megjeleníti a Workdayből beolvasott feldolgozói adatokat. A naplórekord További részletek szakaszában található információk segítségével elháríthatja az adatok Workdayből való beolvasásával kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • AD-importálási rekord: Ez a naplórekord megjeleníti az AD-ből lekért fiók adatait. Mivel a kezdeti felhasználólétrehozás során nincs AD-fiók, a Tevékenység állapota ok azt jelzi, hogy az Active Directoryban nem található a Matching ID attribútummal rendelkező fiók. A naplórekord További részletek szakaszában található információk segítségével elháríthatja az adatok Workdayből való beolvasásával kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object was not found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Az AD-importálási műveletnek megfelelő Kiépítési ügynök naplórekordjainak megkereséséhez nyissa meg a Windows Eseménynapló naplóit, és a Keresés... menüben keresse meg az Egyező azonosító/Csatlakozás tulajdonság attribútumot tartalmazó naplóbejegyzéseket (ebben az esetben 21023).

    Find

    Keresse meg az eseményazonosító = 9 bejegyzést, amely megadja az ügynök által az AD-fiók lekéréséhez használt LDAP keresési szűrőt. Ellenőrizheti, hogy ez-e a megfelelő keresési szűrő az egyedi felhasználói bejegyzések lekéréséhez.

    LDAP Search

    Az eseményazonosítót = 2 azonosítóval azonnal követő rekord rögzíti a keresési művelet eredményét, és ha bármilyen eredményt adott vissza.

    LDAP Results

  • Szinkronizálási szabály műveleti rekordja: Ez a naplórekord megjeleníti az attribútumleképezési szabályok és a konfigurált hatókörszűrők eredményeit, valamint a bejövő Workday-esemény feldolgozásához végrehajtandó kiépítési műveletet. A naplórekord További részletek szakaszában található információk segítségével elháríthatja a szinkronizálási művelettel kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object will be added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Ha problémák lépnek fel az attribútumleképezési kifejezésekkel kapcsolatban, vagy a bejövő Workday-adatok problémái vannak (például: üres vagy null érték a szükséges attribútumok esetében), akkor ebben a szakaszban hiba jelenik meg a hiba részleteit tartalmazó Hibakóddal.

  • AD-exportálási rekord: Ez a naplórekord megjeleníti az AD-fióklétrehozási művelet eredményét, valamint a folyamatban beállított attribútumértékeket. A naplórekord További részletek szakaszában található információk segítségével elháríthatja a fiók létrehozási műveletével kapcsolatos problémákat. Alább látható egy példarekord, valamint az egyes mezők értelmezésére vonatkozó mutatók. A "További részletek" szakaszban az "EventName" értéke "EntryExportAdd", a "JoiningProperty" értéke a Matching ID attribútum értéke, a "SourceAnchor" a rekordhoz társított WorkdayID (WID), a "TargetAnchor" pedig az újonnan létrehozott felhasználó AD "ObjectGuid" attribútumának értéke.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object will be created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user

    Az AD-exportálási műveletnek megfelelő Kiépítési ügynök naplórekordjainak megkereséséhez nyissa meg a Windows Eseménynapló naplóit, és a Keresés... menüben keresse meg az Egyező azonosító/Csatlakozás tulajdonság attribútumot tartalmazó naplóbejegyzéseket (ebben az esetben 21023).

    Keresse meg az exportálási művelet időbélyegének megfelelő HTTP POST rekordot az eseményazonosító = 2 értékével. Ez a rekord tartalmazza a kiépítési szolgáltatás által a kiépítési ügynöknek küldött attribútumértékeket.

    Screenshot that shows the 'HTTP POST' record in the 'Provisioning Agent' log.

    A fenti eseményt közvetlenül követően egy másik eseménynek kell lennie, amely rögzíti az AD-fiók létrehozása művelet válaszát. Ez az esemény visszaadja az AD-ben létrehozott új objectGuid objektumot, amely TargetAnchor attribútumként van beállítva a kiépítési szolgáltatásban.

    Screenshot that shows the 'Provisioning Agent' log with the objectGuid created in AD highlighted.

A kezelő frissítési műveleteinek naplóinak ismertetése

A kezelő attribútum egy referenciaattribútum az AD-ben. A kiépítési szolgáltatás nem állítja be a kezelő attribútumot a felhasználólétrehozási művelet részeként. Ehelyett a kezelő attribútum egy frissítési művelet részeként van beállítva, miután AD-fiókot hozott létre a felhasználó számára. A fenti példát kibontva tegyük fel, hogy a Workdayben aktiválódik egy "21451" alkalmazotti azonosítójú új alkalmazott, és az új alkalmazott felettese (21023) már rendelkezik AD-fiókkal. Ebben a forgatókönyvben a 21451 felhasználó naplóiban való keresés 5 bejegyzést jelenít meg.

Manager Update

Az első 4 rekord a felhasználói létrehozási művelet részeként feltárt rekordhoz hasonló. Az 5. rekord a manager attribútumfrissítéséhez társított exportálás. A naplórekord megjeleníti az AD-fiókkezelő frissítési műveletének eredményét, amelyet a kezelő objectGuid attribútumával hajt végre.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Gyakori hibák elhárítása

Ez a szakasz a Workday-felhasználók kiépítésével és megoldásával kapcsolatos gyakori hibákat ismerteti. A hibák a következőképpen vannak csoportosítva:

A kiépítési ügynök hibái

# Hibaforgatókönyv Valószínű okok Ajánlott megoldás
1. Hiba történt a kiépítési ügynök telepítésekor a következő hibaüzenettel: A "Microsoft Entra Csatlakozás Provisioning Agent" szolgáltatás (AAD Csatlakozás ProvisioningAgent) nem indult el. Ellenőrizze, hogy rendelkezik-e a rendszer indításához szükséges jogosultságokkal. Ez a hiba általában akkor jelenik meg, ha a kiépítési ügynököt tartományvezérlőre próbálja telepíteni, és a csoportházirend megakadályozza a szolgáltatás elindítását. Az is látható, hogy az ügynök egy korábbi verziója fut, és nem távolította el az új telepítés megkezdése előtt. Telepítse a kiépítési ügynököt egy nem tartományvezérlő kiszolgálón. Az új ügynök telepítése előtt győződjön meg arról, hogy az ügynök korábbi verziói el lettek távolítva.
2. A "Microsoft Entra Csatlakozás Kiépítési ügynök" Windows-szolgáltatás indítási állapotban van, és nem vált futó állapotra. A telepítés részeként az ügynök varázsló létrehoz egy helyi fiókot (NT Service\AAD Csatlakozás ProvisioningAgent) a kiszolgálón, és ez a szolgáltatás indításához használt bejelentkezési fiók. Ha a Windows-kiszolgálón található biztonsági szabályzat megakadályozza, hogy a helyi fiókok futtassanak szolgáltatásokat, ez a hiba jelenik meg. Nyissa meg a Szolgáltatások konzolt. Kattintson a jobb gombbal a Windows-szolgáltatás "Microsoft Entra Csatlakozás Kiépítési ügynök" elemére, és a bejelentkezési lapon adja meg a szolgáltatás futtatásához szükséges tartományi rendszergazda fiókját. Indítsa újra a szolgáltatást.
3. Amikor az Active Directory Csatlakozás lépésben konfigurálja a kiépítési ügynököt az AD-tartománnyal, a varázsló hosszú ideig próbálja betölteni az AD-sémát, és végül időtúllépést okoz. Ez a hiba általában akkor jelentkezik, ha a varázsló tűzfalproblémák miatt nem tud csatlakozni az AD tartományvezérlői kiszolgálóhoz. A Csatlakozás Active Directory varázsló képernyőjén, miközben megadja az AD-tartomány hitelesítő adatait, van egy tartományvezérlő-prioritás kiválasztása lehetőség. Ezzel a beállítással kiválaszthat egy olyan tartományvezérlőt, amely az ügynökkiszolgálóval azonos helyen található, és győződjön meg arról, hogy nincsenek olyan tűzfalszabályok, amelyek blokkolják a kommunikációt.

Csatlakozási hibák

Ha a kiépítési szolgáltatás nem tud csatlakozni a Workdayhez vagy az Active Directoryhoz, a kiépítés karanténba került állapotba kerülhet. Az alábbi táblázat segítségével elháríthatja a csatlakozási problémákat.

# Hibaforgatókönyv Valószínű okok Ajánlott megoldás
1. Amikor a Teszt Csatlakozás ion elemre kattint, a következő hibaüzenet jelenik meg: Hiba történt az Active Directoryhoz való csatlakozáskor. Győződjön meg arról, hogy a helyszíni kiépítési ügynök fut, és a megfelelő Active Directory-tartománnyal van konfigurálva. Ez a hiba általában akkor jelenik meg, ha a kiépítési ügynök nem fut, vagy tűzfal blokkolja a Microsoft Entra ID és a kiépítési ügynök közötti kommunikációt. Ez a hiba akkor is előfordulhat, ha a tartomány nincs konfigurálva az Ügynök varázslóban. Nyissa meg a Szolgáltatások konzolt a Windows-kiszolgálón, és ellenőrizze, hogy az ügynök fut-e. Nyissa meg a kiépítési ügynök varázslót, és győződjön meg arról, hogy a megfelelő tartomány regisztrálva van az ügynöknél.
2. A kiépítési feladat karanténba kerül a hétvégén (P-Sat), és e-mailben értesítjük, hogy hiba történt a szinkronizálás során. A hiba egyik gyakori oka a Workday tervezett állásideje. Ha Ön Workday megvalósítási bérlőt használ, vegye figyelembe, hogy a Workday megvalósítási bérlőihez állásidő van ütemezve hétvégére (általában péntek estétől szombat reggelig), és ebben az időszakban a Workday kiépítési alkalmazások karanténba helyezett állapotba léphetnek, mivel nem tudnak csatlakozni a Workdayhez. Amint a Workday megvalósítási bérlője újra elérhetővé válik, visszaállnak normál állapotba. Ritka esetekben ez a hibaüzenet akkor is megjelenhet, ha az integrációs rendszer felhasználójának jelszava megváltozott a bérlő frissítése miatt, vagy ha a fiók zárolva lett, illetve lejárt. Beszéljen Workday-rendszergazdájával vagy integrációs partnerével, hogy megtudja, mikorra van ütemezve a Workday állásideje, így figyelmen kívül hagyhatja a figyelmeztető üzeneteket a leállás ideje alatt, és meggyőződhet a rendelkezésre állásról, amint a Workday-példány újra elérhető.

Az AD felhasználói fiók létrehozási hibái

# Hibaforgatókönyv Valószínű okok Ajánlott megoldás
1. Művelethibák exportálása a naplóban a következő üzenettel : OperationsError-SvcErr: Művelethiba történt. Nincs fölérendelt hivatkozás konfigurálva a címtárszolgáltatáshoz. A címtárszolgáltatás ezért nem tud átirányításokat kiadni az erdőn kívüli objektumokra. Ez a hiba általában akkor jelenik meg, ha az Active Directory-tároló szervezeti egység helytelenül van beállítva, vagy ha probléma adódik a parentDistinguishedName elemhez használt Kifejezésleképezéssel. Az Elírások keresése az Active Directory container OU paraméterben. Ha a parentDistinguishedName elemet használja az attribútumleképezésben, győződjön meg arról, hogy mindig egy AD-tartományon belüli ismert tárolóba adja vissza az értékeket. A létrehozott érték megtekintéséhez ellenőrizze az Exportálási eseményt az auditnaplókban.
2. Művelethibák exportálása a naplóban a következő hibakóddal: SystemForCrossDomainIdentityManagementBadResponse és message Error: ConstraintViolation-AtrErr: A kérelem egyik értéke érvénytelen. Az attribútum értéke nem volt az elfogadható értéktartományban. \nError Details: CONSTRAINT_ATT_TYPE - company. Bár ez a hiba a vállalati attribútumra jellemző, ezt a hibát más attribútumok, például a CN esetében is láthatja. Ez a hiba az AD által kényszerített sémakorlátozás miatt jelenik meg. Alapértelmezés szerint az olyan attribútumok, mint a vállalati és a CN az AD-ben, felső határa 64 karakter. Ha a Workdayből érkező érték több mint 64 karakterből áll, akkor ez a hibaüzenet jelenik meg. Ellenőrizze az Exportálás eseményt az auditnaplókban, hogy megtekintse a hibaüzenetben jelentett attribútum értékét. Fontolja meg a Workdayből érkező érték csonkolását a Mid függvény használatával, vagy módosítsa a leképezéseket olyan AD-attribútumra, amely nem rendelkezik hasonló hosszkorlátozásokkal.

Az AD felhasználói fiók frissítési hibái

Az AD felhasználói fiók frissítési folyamata során a kiépítési szolgáltatás beolvassa az információkat a Workdayből és az AD-ből, futtatja az attribútumleképezési szabályokat, és meghatározza, hogy szükség van-e bármilyen módosítás érvénybe lépésére. Ennek megfelelően egy frissítési esemény aktiválódik. Ha ezen lépések bármelyike hibába ütközik, a rendszer naplózza az auditnaplókban. Az alábbi táblázat segítségével elháríthatja a gyakori frissítési hibákat.

# Hibaforgatókönyv Valószínű okok Ajánlott megoldás
1. Szinkronizálási szabályműveleti hibák a naplóban az EventName = EntrySynchronizationError és ErrorCode = EndpointUnavailable üzenettel. Ez a hiba akkor jelenik meg, ha a kiépítési szolgáltatás nem tudja lekérni a felhasználói profil adatait az Active Directoryból a helyszíni kiépítési ügynök által tapasztalt feldolgozási hiba miatt. Ellenőrizze a kiépítési ügynök naplóit, Eseménynapló az olvasási művelettel kapcsolatos problémákat jelző hibaeseményeket (szűrés a 2. eseményazonosító szerint).
2. Az AD kezelő attribútuma nem frissül az AD bizonyos felhasználói számára. Ennek a hibának a legvalószínűbb oka az, ha hatókörkezelési szabályokat használ, és a felhasználó felettese nem része a hatókörnek. Akkor is előfordulhat, hogy a probléma akkor jelentkezik, ha a kezelő egyező azonosító attribútuma (pl. EmployeeID) nem található a cél AD-tartományban, vagy nem a megfelelő értékre van beállítva. Tekintse át a hatókörszűrőt, és vegye fel a kezelő felhasználót a hatókörbe. Ellenőrizze a kezelő profilját az AD-ben, hogy van-e érték az egyező azonosító attribútumhoz.

A konfiguráció kezelése

Ez a szakasz azt ismerteti, hogyan bővítheti, szabhatja testre és kezelheti a Workday-alapú felhasználókiépítési konfigurációt. A következő témaköröket ismerteti:

A Workday felhasználói attribútumok listájának testreszabása

Az Active Directoryhoz és a Microsoft Entra-azonosítóhoz készült Workday-kiépítési alkalmazások tartalmazzák az alapértelmezett Workday-felhasználói attribútumok listáját, amelyek közül választhat. Ezek a listák azonban nem átfogóak. A Workday több száz lehetséges felhasználói attribútumot támogat, amelyek szabványosak vagy egyediek lehetnek a Workday-bérlő számára.

A Microsoft Entra kiépítési szolgáltatás támogatja a lista vagy a Workday attribútum testreszabását úgy, hogy az tartalmazza az Emberi erőforrások API Get_Workers műveletében közzétett attribútumokat.

A módosítás elvégzéséhez a Workday Studióval ki kell nyernie a használni kívánt attribútumokat képviselő XPath-kifejezéseket, majd hozzá kell adnia őket a kiépítési konfigurációhoz a speciális attribútumszerkesztővel.

Egy Workday-felhasználói attribútum XPath-kifejezésének lekérése:

  1. Töltse le és telepítse a Workday Studiót. A telepítő eléréséhez workday közösségi fiókra lesz szüksége.

  2. Töltse le a Workday Human_Resources WSDL-fájlt, amely a használni kívánt WWS API-verzióra vonatkozik a Workday Web Services címtárból

  3. Indítsa el a Workday Studiót.

  4. A parancssávon válassza a Workday > Test Web Service lehetőséget a Testerben.

  5. Válassza a Külső lehetőséget, és válassza ki a 2. lépésben letöltött Human_Resources WSDL-fájlt.

    Screenshot that shows the

  6. Állítsa be a Hely mezőt a következőre https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, de cserélje le az "IMPL-CC" értéket a tényleges példánytípusra, a "TENANT" értéket pedig a valódi bérlő nevére.

  7. Művelet beállítása Get_Workers

  8. A Workday hitelesítő adatainak beállításához kattintson a Kérés/Válasz panelek alatti kis konfigurálási hivatkozásra. Ellenőrizze a hitelesítést, majd adja meg a Workday integrációs rendszerfiók felhasználónevét és jelszavát. Ügyeljen arra, hogy a felhasználónevet name@tenant formátumban formázza, és hagyja bejelölve a WS-Security UsernameToken beállítást. Screenshot that shows the

  9. Kattintson az OK gombra.

  10. A Kérés panelen illessze be az alábbi XML-fájlt. Állítsa be a Employee_ID egy valós felhasználó alkalmazotti azonosítójára a Workday-bérlőben. Állítsa a wd:verziót a használni kívánt WWS-verzióra. Válassza ki azt a felhasználót, akinek ki kell töltenie a kinyerni kívánt attribútumot.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Kattintson a Kérés küldése (zöld nyíl) gombra a parancs végrehajtásához. Ha sikeres, a válasznak meg kell jelennie a Válasz panelen. Ellenőrizze a választ, hogy rendelkezik-e a megadott felhasználói azonosító adataival, és nem hibával.

  12. Ha sikeres, másolja az XML-t a Válasz panelről, és mentse XML-fájlként.

  13. A Workday Studio parancssávjában válassza a Fájl > megnyitása... lehetőséget, és nyissa meg a mentett XML-fájlt. Ez a művelet megnyitja a fájlt a Workday Studio XML-szerkesztőjében.

    Screenshot of an X M L file open in the

  14. A fájlfán navigáljon a /env: Boríték > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker (Munkavégző ) területen a felhasználó adatainak megkereséséhez.

  15. A wd: Feldolgozó területen keresse meg a hozzáadni kívánt attribútumot, és jelölje ki.

  16. Másolja ki a kijelölt attribútum XPath-kifejezését a Dokumentum elérési útja mezőből.

  17. Távolítsa el a /env:Boríték/env:Body/wd:Get_Workers_Response/wd:Response_Data/ előtagot a másolt kifejezésből.

  18. Ha a másolt kifejezés utolsó eleme egy csomópont (például "/wd: Birth_Date"), akkor fűzze hozzá a /text() elemet a kifejezés végén. Ez nem szükséges, ha az utolsó elem egy attribútum (például:"/@wd: típus").

  19. Az eredménynek a következőhöz hasonlónak wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()kell lennie: . Ezt az értéket másolja az Azure Portalra.

Egyéni Workday-felhasználói attribútum hozzáadása a kiépítési konfigurációhoz:

  1. Indítsa el az Azure Portalt, és keresse meg a Workday-kiépítési alkalmazás kiépítési szakaszát az oktatóanyag korábbi részében leírtak szerint.

  2. Állítsa ki a kiépítési állapototkikapcsolva, majd válassza a Mentés lehetőséget. Ez a lépés segít biztosítani, hogy a módosítások csak akkor lépnek érvénybe, ha készen áll.

  3. A Leképezések csoportban válassza a Workday-feldolgozók szinkronizálása a helyszíni Active Directoryba (vagy a Workday-feldolgozók szinkronizálása a Microsoft Entra-azonosítóval).

  4. Görgessen a következő képernyő aljára, és válassza a Speciális beállítások megjelenítése lehetőséget.

  5. Válassza a Workday attribútumlistájának szerkesztése lehetőséget.

    Screenshot that shows the

  6. Görgessen az attribútumlista aljára a beviteli mezők helyére.

  7. A Név mezőben adja meg az attribútum megjelenítendő nevét.

  8. Típus esetén válassza ki az attribútumnak megfelelő típust (a sztring a leggyakoribb).

  9. Api Expression esetén adja meg a Workday Studióból másolt XPath-kifejezést. Példa: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Válassza az Attribútum hozzáadása lehetőséget.

    Workday Studio

  11. Válassza a Fenti Mentés lehetőséget, majd az Igen lehetőséget a párbeszédpanelen. Ha még mindig nyitva van, zárja be az Attribútumleképezés képernyőt.

  12. A fő kiépítési lapon válassza ismét a Munkanap-feldolgozók szinkronizálása a helyszíni Active Directoryba (vagy a Feldolgozók szinkronizálása a Microsoft Entra-azonosítóba) lehetőséget.

  13. Válassza az Új leképezés hozzáadása lehetőséget.

  14. Az új attribútumnak most meg kell jelennie a Forrás attribútumok listájában.

  15. Igény szerint adjon hozzá egy leképezést az új attribútumhoz.

  16. Ha végzett, ne felejtse el vissza állítani a kiépítési állapotot Be értékre, és menteni.

Konfiguráció exportálása és importálása

Tekintse meg a kiépítési konfiguráció exportálását és importálását ismertető cikket

Személyes adatok kezelése

Az Active Directory Workday kiépítési megoldásához telepíteni kell egy kiépítési ügynököt egy helyszíni Windows-kiszolgálón, és ez az ügynök naplókat hoz létre a Windows eseménynaplójában, amelyek személyes adatokat tartalmazhatnak a Workday–AD attribútumleképezéstől függően. A felhasználói adatvédelmi kötelezettségek teljesítéséhez az eseménynaplókban 48 órán túl egyetlen adat sem marad meg, ha beállít egy Windows ütemezett feladatot az eseménynapló törléséhez.

A Microsoft Entra kiépítési szolgáltatás a GDPR-besorolás adatfeldolgozó kategóriájába tartozik. Adatfeldolgozó folyamatként a szolgáltatás adatfeldolgozási szolgáltatásokat nyújt a legfontosabb partnerek és végfelhasználók számára. A Microsoft Entra kiépítési szolgáltatás nem hoz létre felhasználói adatokat, és nincs független szabályozása a gyűjtött személyes adatok és a használatuk módjára vonatkozóan. Az adatlekérés, az összesítés, az elemzés és a jelentéskészítés a Microsoft Entra kiépítési szolgáltatásban meglévő vállalati adatokon alapul.

Feljegyzés

A személyes adatok megtekintésével vagy törlésével kapcsolatos információkért tekintse át a Microsoft útmutatását a GDPR-webhelyre vonatkozó Windows-adattulajdonosi kérelmekről. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.

Az adatmegőrzés tekintetében a Microsoft Entra kiépítési szolgáltatás 30 napon túl nem hoz létre jelentéseket, nem végez elemzéseket, és nem nyújt elemzéseket. Ezért a Microsoft Entra kiépítési szolgáltatás 30 napnál tovább nem tárol, dolgoz fel vagy őriz meg adatokat. Ez a kialakítás megfelel a GDPR-előírásoknak, a Microsoft adatvédelmi megfelelőségi előírásainak és a Microsoft Entra adatmegőrzési szabályzatainak.

Következő lépések