Esercitazione: Configurazione di Workday per il provisioning utenti automatico con Active Directory locale e Azure Active DirectoryTutorial: Configure Workday for automatic user provisioning with on-premises Active Directory and Azure Active Directory

L'obiettivo di questa esercitazione è illustrare i passaggi da eseguire per importare utenti da Workday in Active Directory e Azure Active Directory, con il writeback facoltativo di alcuni attributi in Workday.The objective of this tutorial is to show you the steps you need to perform to import people from Workday into both Active Directory and Azure Active Directory, with optional writeback of some attributes to Workday.

PanoramicaOverview

Il servizio di provisioning utenti di Azure Active Directory si integra con l'API Human Resources di Workday per il provisioning degli account utente.The Azure Active Directory user provisioning service integrates with the Workday Human Resources API in order to provision user accounts. Azure AD usa questa connessione per consentire i flussi di lavoro di provisioning utenti seguenti:Azure AD uses this connection to enable the following user provisioning workflows:

  • Provisioning degli utenti in Active Directory: sincronizzare set selezionati di utenti da Workday in una o più foreste di Active Directory.Provisioning users to Active Directory - Synchronize selected sets of users from Workday into one or more Active Directory forests.

  • Provisioning degli utenti solo cloud in Azure Active Directory: è possibile eseguire il provisioning in Azure Active Directory degli utenti ibridi presenti sia in Active Directory che in Azure Active Directory usando AAD Connect.Provisioning cloud-only users to Azure Active Directory - Hybrid users who exist in both Active Directory and Azure Active Directory can be provisioned into the latter using AAD Connect. È tuttavia possibile eseguire il provisioning degli utenti solo cloud direttamente da Workday in Azure Active Directory tramite il servizio di provisioning utenti di Azure AD.However, users that are cloud-only can be provisioned directly from Workday to Azure Active Directory using the Azure AD user provisioning service.

  • Writeback degli indirizzi di posta elettronica in Workday: il servizio di provisioning utenti di Azure AD può eseguire la scrittura in Workday di attributi utente di Azure AD selezionati, ad esempio l'indirizzo di posta elettronica.Writeback of email addresses to Workday - the Azure AD user provisioning service can write selected Azure AD user attributes back to Workday, such as the email address.

Scenari possibiliScenarios covered

I flussi di lavoro di provisioning utenti di Workday supportati dal servizio di provisioning utenti di Azure AD consentono l'automazione dei seguenti scenari di gestione delle risorse umane e del ciclo di vita delle identità:The Workday user provisioning workflows supported by the Azure AD user provisioning service enable automation of the following human resources and identity lifecycle management scenarios:

  • Assunzione di nuovi dipendenti: quando viene aggiunto un nuovo dipendente a Workday, verrà creato automaticamente un account utente in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD, con il writeback dell'indirizzo di posta elettronica in Workday.Hiring new employees - When a new employee is added to Workday, a user account will be automatically created in Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD, with write-back of the email address to Workday.

  • Aggiornamenti di attributi e profili dei dipendenti: se il record di un dipendente viene aggiornato in Workday (ad esempio, il nome, il titolo o il manager), il relativo account utente verrà aggiornato automaticamente in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD.Employee attribute and profile updates - When an employee record is updated in Workday (such as their name, title, or manager), their user account will be automatically updated in Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD.

  • Eliminazione di dipendenti: quando un dipendente viene eliminato in Workday, il relativo account utente viene disabilitato automaticamente in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD.Employee terminations - When an employee is terminated in Workday, their user account is automatically disabled in Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD.

  • Riassunzioni di dipendenti: quando un dipendente viene nuovamente aggiunto in Workday, il relativo account utente precedente può essere automaticamente riattivato o sottoposto di nuovo a provisioning (a seconda delle proprie preferenze) in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD.Employee re-hires - When an employee is rehired in Workday, their old account can be automatically reactivated or re-provisioned (depending on your preference) to Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD.

Pianificazione della soluzionePlanning your solution

Prima di avviare l'integrazione di Workday, verificare i prerequisiti riportati di seguito e leggere le seguenti linee guida su come associare gli attuali requisiti per l'architettura Active Directory e il provisioning utenti con le soluzioni fornite da Azure Active Directory.Before beginning your Workday integration, check the prerequisites below and read the following guidance on how to match your current Active Directory architecture and user provisioning requirements with the solution(s) provided by Azure Active Directory.

PrerequisitiPrerequisites

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario outlined in this tutorial assumes that you already have the following items:

  • Una sottoscrizione di Azure AD Premium P1 valida con accesso di amministratore globaleA valid Azure AD Premium P1 subscription with global administrator access
  • Un tenant per l'implementazione di Workday a scopo di test e integrazioneA Workday implementation tenant for testing and integration purposes
  • Autorizzazioni di amministratore in Workday per creare un utente di integrazione dei sistemi e apportare modifiche ai dati dei dipendenti di prova a scopo di testAdministrator permissions in Workday to create a system integration user, and make changes to test employee data for testing purposes
  • Per il provisioning utenti in Active Directory, è necessario un server appartenente a un dominio con Windows Server 2012 o versione successiva per ospitare l'agente di sincronizzazione localeFor user provisioning to Active Directory, a domain-joined server running Windows Service 2012 or greater is required to host the on-premises synchronization agent
  • Azure AD Connect per la sincronizzazione tra Active Directory e Azure ADAzure AD Connect for synchronizing between Active Directory and Azure AD

Architettura della soluzioneSolution architecture

Azure AD fornisce un'ampia gamma di connettori di provisioning per facilitare l'esecuzione del provisioning e la gestione del ciclo di vita delle identità da Workday in Active Directory, Azure AD, app SaaS e altro ancora.Azure AD provides a rich set of provisioning connectors to help you solve provisioning and identity lifecycle management from Workday to Active Directory, Azure AD, SaaS apps, and beyond. Le funzionalità da usare e la configurazione della soluzione variano a seconda dell'ambiente e dei requisiti dell'organizzazione.Which features you will use and how you set up the solution will vary depending on your organization's environment and requirements. Per iniziare, prendere nota del numero degli elementi seguenti presenti e distribuiti nell'organizzazione:As a first step, take stock of how many of the following are present and deployed in your organization:

  • Quante foreste di Active Directory sono in uso?How many Active Directory Forests are in use?
  • Quanti domini di Active Directory sono in uso?How many Active Directory Domains are in use?
  • Quante unità organizzative di Active Directory sono in uso?How many Active Directory Organizational Units (OUs) are in use?
  • Quanti tenant di Azure Active Directory sono in uso?How many Azure Active Directory tenants are in use?
  • Sono presenti utenti di cui deve essere effettuato il provisioning sia in Active Directory che in Azure Active Directory (utenti "ibridi")?Are there users who need to be provisioned to both Active Directory and Azure Active Directory (e.g. "hybrid" users)?
  • Sono presenti utenti di cui deve essere effettuato il provisioning in Azure Active Directory, ma non in Active Directory (utenti "solo cloud")?Are there users who need to be provisioned to Azure Active Directory, but not Active Directory (e.g. "cloud-only" users)?
  • Deve essere eseguito il writeback degli indirizzi di posta elettronica degli utenti in Workday?Do user email addresses need to be written back to Workday?

Dopo aver risposto a queste domande, è possibile pianificare la distribuzione del provisioning di Workday seguendo le linee guida riportate di seguito.Once you have answers to these questions, you can plan your Workday provisioning deployment by following the guidance below.

Uso di app di connettori di provisioningUsing provisioning connector apps

Azure Active Directory supporta connettori di provisioning preintegrati per Workday e molte altre applicazioni SaaS.Azure Active Directory supports pre-integrated provisioning connectors for Workday and a large number of other SaaS applications.

Un singolo connettore di provisioning si interfaccia con l'API di un singolo sistema di origine e consente di eseguire il provisioning dei dati in un singolo sistema di destinazione.A single provisioning connector interfaces with the API of a single source system, and helps provision data to a single target system. La maggior parte dei connettori di provisioning supportati da Azure AD è destinata a un singolo sistema di origine e di destinazione (ad esempio, da Azure AD a ServiceNow) e può essere configurata aggiungendo l'app in questione dalla raccolta di app di Azure AD (ad esempio, ServiceNow).Most provisioning connectors that Azure AD supports are for a single source and target system (e.g. Azure AD to ServiceNow), and can be set up by adding the app in question from the Azure AD app gallery (e.g. ServiceNow).

È presente una relazione uno-a-uno tra le istanze dei connettori di provisioning e le istanze delle app in Azure AD:There is a one-to-one relationship between provisioning connector instances and app instances in Azure AD:

Sistema di origineSource System Sistema di destinazioneTarget System
Tenant di Azure ADAzure AD tenant Applicazione SaaSSaaS application

Tuttavia, quando si usano Workday e Active Directory, sono presenti più sistemi di origine e di destinazione che è necessario tenere presente:However, when working with Workday and Active Directory, there are multiple source and target systems to be considered:

Sistema di origineSource System Sistema di destinazioneTarget System NoteNotes
WorkdayWorkday Foresta di Active DirectoryActive Directory Forest Ogni foresta viene considerata come un sistema di destinazione distintoEach forest is treated as a distinct target system
WorkdayWorkday Tenant di Azure ADAzure AD tenant Come richiesto per gli utenti solo cloudAs required for cloud-only users
Foresta di Active DirectoryActive Directory Forest Tenant di Azure ADAzure AD tenant Questo flusso è attualmente gestito da AAD ConnectThis flow is handled by AAD Connect today
Tenant di Azure ADAzure AD tenant WorkdayWorkday Per il writeback degli indirizzi di posta elettronicaFor writeback of email addresses

Per semplificare questi flussi di lavoro tra più sistemi di origine e di destinazione, Azure AD fornisce diverse app di connettori di provisioning che è possibile aggiungere dalla raccolta di app di Azure AD:To facilitate these multiple workflows to multiple source and target systems, Azure AD provides multiple provisioning connector apps that you can add from the Azure AD app gallery:

Raccolta di app di AAD

  • Workday to Active Directory Provisioning (Provisioning Workday in Active Directory): questa app semplifica il provisioning degli account utente da Workday in una singola foresta di Active Directory.Workday to Active Directory Provisioning - This app facilitates user account provisioning from Workday to a single Active Directory forest. Se sono presenti più foreste, è possibile aggiungere un'istanza di questa app dalla raccolta di app di Azure AD per ogni foresta di Active Directory in cui è necessario effettuare il provisioning.If you have multiple forests, you can add one instance of this app from the Azure AD app gallery for each Active Directory forest you need to provision to.

  • Workday to Azure AD Provisioning (Provisioning Workday in Azure AD): mentre AAD Connect è lo strumento da usare per sincronizzare gli utenti di Active Directory in Azure Active Directory, questa app può essere usata per semplificare il provisioning degli utenti solo cloud da Workday a un singolo tenant di Azure Active Directory.Workday to Azure AD Provisioning - While AAD Connect is the tool that should be used to synchronize Active Directory users to Azure Active Directory, this app can be used to facilitate provisioning of cloud-only users from Workday to a single Azure Active Directory tenant.

  • Workday Writeback (Writeback Workday): questa app semplifica il writeback degli indirizzi di posta elettronica degli utenti da Azure Active Directory in Workday.Workday Writeback - This app facilitates writeback of user's email addresses from Azure Active Directory to Workday.

Suggerimento

La normale app "Workday" viene usata per la configurazione del Single Sign-On tra Azure Active Directory e Workday.The regular "Workday" app is used for setting up single sign-on between Workday and Azure Active Directory.

Nelle sezioni rimanenti di questa esercitazione verrà descritto come installare e configurare queste speciali app di connettori di provisioning.How to set up and configure these special provisioning connector apps is the subject of the remaining sections of this tutorial. La scelta delle app da configurare dipende dai sistemi in cui è necessario effettuare il provisioning e dal numero di foreste di Active Directory e di tenant Azure AD nell'ambiente in uso.Which apps you choose to configure will depend on which systems you need to provision to, and how many Active Directory Forests and Azure AD tenants are in your environment.

Panoramica

Configurare un utente di integrazione dei sistemi in WorkdayConfigure a system integration user in Workday

Un requisito comune di tutti i connettori di provisioning Workday è che richiedono le credenziali di un account di integrazione dei sistemi Workday per la connessione all'API Human Resources di Workday.A common requirement of all the Workday provisioning connectors is they require credentials for a Workday system integration account to connect to the Workday Human Resources API. In questa sezione viene descritto come creare un account di integrazione dei sistemi in Workday.This section describes how to create a system integrator account in Workday.

Nota

È possibile evitare di eseguire questa procedura usando un account di amministratore globale di Workday come account di integrazione dei sistemi.It is possible to bypass this procedure and instead use a Workday global administrator account as the system integration account. Questa soluzione è utilizzabile a scopo dimostrativo, ma non è consigliata per le distribuzioni di produzione.This may work fine for demos, but is not recommended for production deployments.

Creare un utente del sistema di integrazioneCreate an integration system user

Per creare un utente di sistema di integrazione, seguire questa procedura:To create an integration system user:

  1. Accedere al tenant di Workday usando un account amministratore.Sign into your Workday tenant using an administrator account. In Workday Workbench immettere "create user" nella casella di ricerca e quindi fare clic su Create Integration System User (Crea utente del sistema di integrazione).In the Workday Workbench, enter create user in the search box, and then click Create Integration System User.

    Creare un utenteCreate user

  2. Completare l'attività Create Integration System User specificando un nome utente e una password per un nuovo utente del sistema di integrazione.Complete the Create Integration System User task by supplying a user name and password for a new Integration System User.

    • Lasciare l'opzione Require New Password at Next Sign In (Richiedi nuova password al prossimo accesso) non selezionata, perché l'accesso dell'utente verrà eseguito a livello di codice.Leave the Require New Password at Next Sign In option unchecked, because this user will be logging on programmatically.
    • Lasciare l'opzione Session Timeout Minutes (Minuti di timeout della sessione) impostata sul valore predefinito 0, in modo da evitare un timeout prematuro delle sessioni dell'utente.Leave the Session Timeout Minutes with its default value of 0, which will prevent the user’s sessions from timing out prematurely.

      Creare un utente del sistema di integrazioneCreate Integration System User

Creare un gruppo di sicurezzaCreate a security group

È necessario creare un gruppo di sicurezza del sistema di integrazione non vincolato e assegnare l'utente a tale gruppo.You need to create an unconstrained integration system security group and assign the user to it.

Per creare un gruppo di sicurezza, seguire questa procedura:To create a security group:

  1. Immettere "create security group" nella casella di ricerca e quindi fare clic su Create Security Group(Crea gruppo di sicurezza).Enter create security group in the search box, and then click Create Security Group.

    Creare un gruppo di sicurezzaCreateSecurity Group

  2. Completare l'attività Creare un gruppo di sicurezza.Complete the Create Security Group task.
  3. Selezionare Integration System Security Group—Unconstrained (Gruppo di sicurezza del sistema di integrazione - Non vincolato) dall'elenco a discesa Type of Tenanted Security Group (Tipo di gruppo di sicurezza con tenant).Select Integration System Security Group—Unconstrained from the Type of Tenanted Security Group dropdown.
  4. Creare un gruppo di sicurezza a cui i membri verranno aggiunti in modo esplicito.Create a security group to which members will be explicitly added.

    Creare un gruppo di sicurezzaCreateSecurity Group

Assegnare l'utente del sistema di integrazione al gruppo di sicurezzaAssign the integration system user to the security group

Per assegnare l'utente di sistema di integrazione, seguire questa procedura:To assign the integration system user:

  1. Immettere "edit security group" nella casella di ricerca e quindi fare clic su Edit Security Group(Modifica gruppo di sicurezza).Enter edit security group in the search box, and then click Edit Security Group.

    Modificare un gruppo di sicurezzaEdit Security Group

  2. Eseguire la ricerca del nuovo gruppo di sicurezza di integrazione e selezionarlo in base al nome.Search for, and select the new integration security group by name.

    Modificare un gruppo di sicurezzaEdit Security Group

  3. Aggiungere il nuovo utente del sistema di integrazione al nuovo gruppo di sicurezza.Add the new integration system user to the new security group.

    Gruppo di sicurezza del sistemaSystem Security Group

Configurare le opzioni del gruppo di sicurezzaConfigure security group options

In questo passaggio, al nuovo gruppo di sicurezza vengono concesse le autorizzazioni per le operazioni Get e Put sugli oggetti protetti dai seguenti criteri di sicurezza del dominio:In this step, you grant to the new security group permissions for Get and Put operations on the objects secured by the following domain security policies:

  • External Account ProvisioningExternal Account Provisioning
  • Worker Data: Public Worker ReportsWorker Data: Public Worker Reports
  • Worker Data: All PositionsWorker Data: All Positions
  • Worker Data: Current Staffing InformationWorker Data: Current Staffing Information
  • Dati lavoratore - Qualifica riportata sul profiloWorker Data: Business Title on Worker Profile

Per configurare le opzioni del gruppo di sicurezza, seguire questa procedura:To configure security group options:

  1. Immettere criteri di sicurezza del dominio nella casella di ricerca, quindi fare clic sul collegamento Domain Security Policies for Functional Area (Criteri di sicurezza del dominio per area funzionale).Enter domain security policies in the search box, and then click on the link Domain Security Policies for Functional Area.

    Criteri di sicurezza di dominioDomain Security Policies

  2. Cercare system e selezionare System come area funzionale.Search for system and select the System functional area. Fare clic su OK.Click OK.

    Criteri di sicurezza di dominioDomain Security Policies

  3. Nell'elenco dei criteri di sicurezza relativi all'area funzionale del sistema espandere Amministrazione sicurezza e selezionare i criteri di sicurezza del dominio Provisioning account esterno.In the list of security policies for the System functional area, expand Security Administration and select the domain security policy External Account Provisioning.

    Criteri di sicurezza di dominioDomain Security Policies

  4. Fare clic sul pulsante Edit Permissions (Modifica autorizzazioni) e nella finestra di dialogo Edit Permissions (Modifica autorizzazioni) aggiungere il nuovo gruppo di sicurezza all'elenco dei gruppi di sicurezza con autorizzazioni di integrazione Get e Put.Click Edit Permissions, and then, on the Edit Permissions dialog page, add the new security group to the list of security groups with Get and Put integration permissions.

    Modificare un'autorizzazioneEdit Permission

  5. Ripetere il passaggio 1 precedente per tornare alla schermata di selezione delle aree funzionali. Cercare "staffing", selezionare l'area funzionale Staffing (Personale) e fare clic su OK.Repeat step 1 above to return to the screen for selecting functional areas, and this time, search for staffing, select the Staffing functional area and click OK.

    Criteri di sicurezza di dominioDomain Security Policies

  6. Nell'elenco dei criteri di sicurezza relativi all'area funzionale del personale espandere Worker Data: Staffing (Dati lavoratore - Personale) e ripetere il passaggio 4 sopra descritto per ciascuno dei rimanenti criteri di sicurezza:In the list of security policies for the Staffing functional area, expand Worker Data: Staffing and repeat step 4 above for each of these remaining security policies:

    • Worker Data: Public Worker ReportsWorker Data: Public Worker Reports
    • Worker Data: All PositionsWorker Data: All Positions
    • Worker Data: Current Staffing InformationWorker Data: Current Staffing Information
    • Dati lavoratore - Qualifica riportata sul profiloWorker Data: Business Title on Worker Profile
  7. Ripetere il passaggio 1 precedente per tornare alla schermata di selezione delle aree funzionali. Cercare Contact Information, selezionare l'area funzionale Staffing (Personale) e fare clic su OK.Repeat step 1, above, to return to the screen for selecting functional areas, and this time, search for Contact Information, select the Staffing functional area, and click OK.

  8. Nell'elenco dei criteri di sicurezza relativi all'area funzionale del personale espandere Worker Data: Work Contact Information (Dati lavoratore - Informazioni di contatto lavoro) e ripetere il passaggio 4 sopra descritto per i criteri di sicurezza seguenti:In the list of security policies for the Staffing functional area, expand Worker Data: Work Contact Information, and repeat step 4 above for the security policies below:

    • Worker Data: Work EmailWorker Data: Work Email

    Criteri di sicurezza di dominioDomain Security Policies

Attivare le modifiche apportate ai criteri di sicurezzaActivate security policy changes

Per attivare le modifiche apportate ai criteri di sicurezza, seguire questa procedura:To activate security policy changes:

  1. Immettere "activate" (attiva) nella casella di ricerca e quindi fare clic sul collegamento Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza).Enter activate in the search box, and then click on the link Activate Pending Security Policy Changes.

    AttivareActivate

  2. Avviare l'attività Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza) immettendo un commento a scopo di controllo e quindi fare clic su OK.Begin the Activate Pending Security Policy Changes task by entering a comment for auditing purposes, and then click OK.

    Attivare la sicurezza in sospesoActivate Pending Security

  3. Completare l'attività nella schermata successiva selezionando la casella di controllo Confirm (Conferma) e quindi facendo clic su OK.Complete the task on the next screen by checking the checkbox Confirm, and then click OK.

    Attivare la sicurezza in sospesoActivate Pending Security

Configurazione del provisioning utenti da Workday in Active DirectoryConfiguring user provisioning from Workday to Active Directory

Seguire queste istruzioni per configurare il provisioning degli account utente da Workday in ogni foresta di Active Directory in cui è necessario effettuare il provisioning.Follow these instructions to configure user account provisioning from Workday to each Active Directory forest that you require provisioning to.

Parte 1: Aggiungere l'app del connettore di provisioning e creare la connessione a WorkdayPart 1: Adding the provisioning connector app and creating the connection to Workday

Per configurare il provisioning da Workday in Active Directory:To configure Workday to Active Directory provisioning:

  1. Passare a https://portal.azure.comGo to https://portal.azure.com

  2. Sulla barra di spostamento a sinistra selezionare Azure Active DirectoryIn the left navigation bar, select Azure Active Directory

  3. Selezionare Applicazioni aziendali e quindi Tutte le applicazioni.Select Enterprise Applications, then All Applications.

  4. Selezionare Aggiungere un'applicazione e quindi selezionare la categoria Tutto.Select Add an application, and select the All category.

  5. Cercare Workday Provisioning to Active Directory (Provisioning Workday in Active Directory) e aggiungere tale app dalla raccolta.Search for Workday Provisioning to Active Directory, and add that app from the gallery.

  6. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare ProvisioningAfter the app is added and the app details screen is shown, select Provisioning

  7. Impostare Modalità di provisioning su AutomaticoChange the Provisioning Mode to Automatic

  8. Completare la sezione Credenziali amministratore come segue:Complete the Admin Credentials section as follows:

    • Nome utente amministratore: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant.Admin Username – Enter the username of the Workday integration system account, with the tenant domain name appended. Dovrebbe essere simile a: username@contoso4Should look something like: username@contoso4

    • Password di amministratore: immettere la password dell'account del sistema di integrazione WorkdayAdmin password – Enter the password of the Workday integration system account

    • URL tenant: immettere l'URL dell'endpoint dei servizi Web Workday per il tenant.Tenant URL – Enter the URL to the Workday web services endpoint for your tenant. Dovrebbe essere simile a: https://wd3-impl-services1.workday.com/ccx/service/contoso4, dove contoso4 è sostituito dal nome del tenant corretto e wd3-impl è sostituito dalla stringa di ambiente corretta.This should look like: https://wd3-impl-services1.workday.com/ccx/service/contoso4, where contoso4 is replaced with your correct tenant name and wd3-impl is replaced with the correct environment string.

    • Foresta Active Directory: il "nome" della foresta di Active Directory, come restituito dal cmdlet PowerShell Get-ADForest.Active Directory Forest - The “Name” of your Active Directory forest, as returned by the Get-ADForest powershell commandlet. In genere si tratta di una stringa simile a: contoso.comThis is typically a string like: contoso.com

    • Contenitore Active Directory: immettere la stringa del contenitore che contiene tutti gli utenti nella foresta di Active Directory.Active Directory Container - Enter the container string that contains all users in your AD forest. Esempio: OU=Standard Users,OU=Users,DC=contoso,DC=testExample: OU=Standard Users,OU=Users,DC=contoso,DC=test

    • Indirizzo di posta elettronica per le notifiche: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".Notification Email – Enter your email address, and check the “send email if failure occurs” checkbox.

    • Fare clic sul pulsante Test connessione.Click the Test Connection button. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore.If the connection test succeeds, click the Save button at the top. In caso contrario, verificare che le credenziali per Workday siano valide in Workday.If it fails, double-check that the Workday credentials are valid in Workday.

Portale di Azure

Parte 2: Configurare i mapping degli attributiPart 2: Configure attribute mappings

In questa sezione verrà configurato il flusso dei dati utente da Workday in Active Directory.In this section, you will configure how user data flows from Workday to Active Directory.

  1. Nella scheda Provisioning, in Mapping, fare clic su Synchronize Workday Workers to OnPremises (Sincronizza lavoratori Workday in locale).On the Provisioning tab under Mappings, click Synchronize Workday Workers to OnPremises.

  2. Nel campo Ambito dell'oggetto di origine è possibile selezionare i set di utenti in Workday inclusi nell'ambito per il provisioning in Active Directory, definendo un set di filtri basati su attributi.In the Source Object Scope field, you can select which sets of users in Workday should be in scope for provisioning to AD, by defining a set of attribute-based filters. L'ambito predefinito è "tutti gli utenti in Workday".The default scope is “all users in Workday”. Filtri di esempio:Example filters:

    • Esempio: Ambito per gli utenti con ID lavoratore compreso tra 1000000 e 2000000Example: Scope to users with Worker IDs between 1000000 and 2000000

      • Attributo: WorkerIDAttribute: WorkerID

      • Operatore: Corrispondenza REGEXOperator: REGEX Match

      • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])Value: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Esempio: Solo i dipendenti, senza i lavoratori occasionaliExample: Only employees and not contingent workers

      • Attributo: EmployeeIDAttribute: EmployeeID

      • Operatore: NON È NULLOperator: IS NOT NULL

  3. Nel campo Azioni oggetto di destinazione è possibile applicare un filtro a livello globale per le azioni di cui è consentita l'esecuzione in Active Directory.In the Target Object Actions field, you can globally filter what actions are allowed to be performed on Active Directory. Creazione e Aggiornamento sono le più comuni.Create and Update are most common.

  4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.In the Attribute mappings section, you can define how individual Workday attributes map to Active Directory attributes.

  5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping.Click on an existing attribute mapping to update it, or click Add new mapping at the bottom of the screen to add new mappings. Il mapping di un singolo attributo supporta queste proprietà:An individual attribute mapping supports these properties:

    • Tipo di mappingMapping Type

      • Diretto: scrive il valore dell'attributo di Workday nell'attributo di Active Directory, senza modificheDirect – Writes the value of the Workday attribute to the AD attribute, with no changes

      • Costante: scrive un valore stringa costante statico nell'attributo di Active DirectoryConstant - Write a static, constant string value to the AD attribute

      • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday.Expression – Allows you to write a custom value to the AD attribute, based on one or more Workday attributes. Per altre informazioni, vedere questo articolo sulle espressioni.For more info, see this article on expressions.

    • Attributo di origine: l'attributo utente in Workday.Source attribute - The user attribute from Workday.

    • Valore predefinito: facoltativo.Default value – Optional. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore.If the source attribute has an empty value, the mapping will write this value instead. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.Most common configuration is to leave this blank.

    • Attributo di destinazione: l'attributo utente in Active Directory.Target attribute – The user attribute in Active Directory.

    • Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Active Directory.Match objects using this attribute – Whether or not this mapping should be used to uniquely identify users between Workday and Active Directory. In genere, è impostato sul campo ID lavoratore per Workday, che solitamente è associato a uno degli attributi ID dipendente in Active Directory.This is typically set on the Worker ID field for Workday, which is typically mapped to one of the Employee ID attributes in Active Directory.

    • Precedenza abbinamento: è possibile impostare più attributi corrispondenti.Matching precedence – Multiple matching attributes can be set. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo.When there are multiple, they are evaluated in the order defined by this field. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.As soon as a match is found, no further matching attributes are evaluated.

    • Applica questo mappingApply this mapping

      • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utenteAlways – Apply this mapping on both user creation and update actions

      • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utenteOnly during creation - Apply this mapping only on user creation actions

  6. Per salvare i mapping, fare clic su Salva nella parte superiore della sezione Mapping attributi.To save your mappings, click Save at the top of the Attribute Mapping section.

Portale di Azure

Di seguito sono riportati alcuni esempi di mapping degli attributi tra Workday e Active Directory, con alcune espressioni comuniBelow are some example attribute mappings between Workday and Active Directory, with some common expressions

  • L'espressione che esegue il mapping all'attributo di Active Directory parentDistinguishedName può essere usata per eseguire il provisioning di un utente in un'unità organizzativa specifica, in base a uno o più attributi di origine di Workday.The expression that maps to the parentDistinguishedName AD attribute can be used to provision a user to a specific OU based on one or more Workday source attributes. In questo esempio, gli utenti vengono inseriti in unità organizzative diverse a seconda dei dati sulla città in Workday.This example places users in different OUs depending on their city data in Workday.

  • L'espressione che esegue il mapping all'attributo di Active Directory userPrincipalName crea un nome UPN firstName.LastName@contoso.com. Sostituisce inoltre i caratteri speciali non validi.The expression that maps to the userPrincipalName AD attribute create a UPN of firstName.LastName@contoso.com. It also replaces illegal special characters.

  • La documentazione sulla scrittura delle espressioni è disponibile quiThere is documentation on writing expressions here

ATTRIBUTO DI WORKDAYWORKDAY ATTRIBUTE ATTRIBUTO DI ACTIVE DIRECTORYACTIVE DIRECTORY ATTRIBUTE ID CORRISPONDENTE?MATCHING ID? CREAZIONE / AGGIORNAMENTOCREATE / UPDATE
WorkerIDWorkerID EmployeeIDEmployeeID Yes Scritto solo al momento della creazioneWritten on create only
MunicipalityMunicipality ll Creazione e aggiornamentoCreate + update
CompanyCompany companycompany Creazione e aggiornamentoCreate + update
CountryReferenceTwoLetterCountryReferenceTwoLetter coco Creazione e aggiornamentoCreate + update
CountryReferenceTwoLetterCountryReferenceTwoLetter cc Creazione e aggiornamentoCreate + update
SupervisoryOrganizationSupervisoryOrganization departmentdepartment Creazione e aggiornamentoCreate + update
PreferredNameDataPreferredNameData displayNamedisplayName Creazione e aggiornamentoCreate + update
EmployeeIDEmployeeID cncn Scritto solo al momento della creazioneWritten on create only
FaxFax facsimileTelephoneNumberfacsimileTelephoneNumber Creazione e aggiornamentoCreate + update
FirstNameFirstName givenNamegivenName Creazione e aggiornamentoCreate + update
Switch([Active], , "0", "True", "1",)Switch([Active], , "0", "True", "1",) accountDisabledaccountDisabled Creazione e aggiornamentoCreate + update
MobileMobile mobilemobile Creazione e aggiornamentoCreate + update
EmailAddressEmailAddress mailmail Creazione e aggiornamentoCreate + update
ManagerReferenceManagerReference managermanager Creazione e aggiornamentoCreate + update
WorkSpaceReferenceWorkSpaceReference physicalDeliveryOfficeNamephysicalDeliveryOfficeName Creazione e aggiornamentoCreate + update
PostalCodePostalCode postalCodepostalCode Creazione e aggiornamentoCreate + update
LocalReferenceLocalReference preferredLanguagepreferredLanguage Creazione e aggiornamentoCreate + update
Replace(Mid(Replace([EmployeeID], , "([\\/\\\\\\[\\]\\:\\;\\Replace(Mid(Replace([EmployeeID], , "([\\/\\\\\\[\\]\\:\\;\\ \\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$$)", , "", , )\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$$)", , "", , )** sAMAccountNamesAMAccountName
LastNameLastName snsn Creazione e aggiornamentoCreate + update
CountryRegionReferenceCountryRegionReference stst Creazione e aggiornamentoCreate + update
AddressLineDataAddressLineData streetAddressstreetAddress Creazione e aggiornamentoCreate + update
PrimaryWorkTelephonePrimaryWorkTelephone telephoneNumbertelephoneNumber Creazione e aggiornamentoCreate + update
BusinessTitleBusinessTitle titletitle Creazione e aggiornamentoCreate + update
Join("@",Replace(Replace(Replace(Replace(Replace(Replace(Replace( Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace( Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Join(".", [FirstName], [LastName]), , "([Øø])", , "oe", , ), , "[Ææ]", , "ae", , ), , "([äãàâãåáąÄÃÀÂÃÅÁĄA])", , "a", , ), , "([B])", , "b", , ), , "([CçčćÇČĆ])", , "c", , ), , "([ďĎD])", , "d", , ), , "([ëèéêęěËÈÉÊĘĚE])", , "e", , ), , "([F])", , "f", , ), , "([G])", , "g", , ), , "([H])", , "h", , ), , "([ïîìíÏÎÌÍI])", , "i", , ), , "([J])", , "j", , ), , "([K])", , "k", , ), , "([ľłŁĽL])", , "l", , ), , "([M])", , "m", , ), , "([ñńňÑŃŇN])", , "n", , ), , "([öòőõôóÖÒŐÕÔÓO])", , "o", , ), , "([P])", , "p", , ), , "([Q])", , "q", , ), , "([řŘR])", , "r", , ), , "([ßšśŠŚS])", , "s", , ), , "([TŤť])", , "t", , ), , "([üùûúůűÜÙÛÚŮŰU])", , "u", , ), , "([V])", , "v", , ), , "([W])", , "w", , ), , "([ýÿýŸÝY])", , "y", , ), , "([źžżŹŽŻZ])", , "z", , ), " ", , , "", , ), "contoso.com")Join("@",Replace(Replace(Replace(Replace(Replace(Replace(Replace( Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace( Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Join(".", [FirstName], [LastName]), , "([Øø])", , "oe", , ), , "[Ææ]", , "ae", , ), , "([äãàâãåáąÄÃÀÂÃÅÁĄA])", , "a", , ), , "([B])", , "b", , ), , "([CçčćÇČĆ])", , "c", , ), , "([ďĎD])", , "d", , ), , "([ëèéêęěËÈÉÊĘĚE])", , "e", , ), , "([F])", , "f", , ), , "([G])", , "g", , ), , "([H])", , "h", , ), , "([ïîìíÏÎÌÍI])", , "i", , ), , "([J])", , "j", , ), , "([K])", , "k", , ), , "([ľłŁĽL])", , "l", , ), , "([M])", , "m", , ), , "([ñńňÑŃŇN])", , "n", , ), , "([öòőõôóÖÒŐÕÔÓO])", , "o", , ), , "([P])", , "p", , ), , "([Q])", , "q", , ), , "([řŘR])", , "r", , ), , "([ßšśŠŚS])", , "s", , ), , "([TŤť])", , "t", , ), , "([üùûúůűÜÙÛÚŮŰU])", , "u", , ), , "([V])", , "v", , ), , "([W])", , "w", , ), , "([ýÿýŸÝY])", , "y", , ), , "([źžżŹŽŻZ])", , "z", , ), " ", , , "", , ), "contoso.com") userPrincipalNameuserPrincipalName Creazione e aggiornamentoCreate + update
Switch([Municipality], "OU=Standard Users,OU=Users,OU=Default,OU=Locations,DC=contoso,DC=com", "Dallas", "OU=Standard Users,OU=Users,OU=Dallas,OU=Locations,DC=contoso,DC=com", "Austin", "OU=Standard Users,OU=Users,OU=Austin,OU=Locations,DC=contoso,DC=com", "Seattle", "OU=Standard Users,OU=Users,OU=Seattle,OU=Locations,DC=contoso,DC=com", “London", "OU=Standard Users,OU=Users,OU=London,OU=Locations,DC=contoso,DC=com")Switch([Municipality], "OU=Standard Users,OU=Users,OU=Default,OU=Locations,DC=contoso,DC=com", "Dallas", "OU=Standard Users,OU=Users,OU=Dallas,OU=Locations,DC=contoso,DC=com", "Austin", "OU=Standard Users,OU=Users,OU=Austin,OU=Locations,DC=contoso,DC=com", "Seattle", "OU=Standard Users,OU=Users,OU=Seattle,OU=Locations,DC=contoso,DC=com", “London", "OU=Standard Users,OU=Users,OU=London,OU=Locations,DC=contoso,DC=com") parentDistinguishedNameparentDistinguishedName Creazione e aggiornamentoCreate + update

Parte 3: Configurare l'agente di sincronizzazione localePart 3: Configure the on-premises synchronization agent

Per eseguire il provisioning in Active Directory locale, è necessario installare un agente in un server appartenente a un dominio nella foresta di Active Directory desiderata.In order to provision to Active Directory on-premises, an agent must be installed on a domain-joined server in the desire Active Directory forest. Per completare la procedura, sono necessarie credenziali di amministratore di dominio (o amministratore dell'organizzazione).Domain admin (or Enterprise admin) credentials are required to complete the procedure.

È possibile scaricare l'agente di sincronizzazione locale quiYou can download the on-premises synchronization agent here

Dopo aver installato l'agente, eseguire i comandi di PowerShell riportati di seguito per configurare l'agente per l'ambiente in uso.After installing agent, run the Powershell commands below to configure the agent for your environment.

Comando 1Command #1

cd C:\Program Files\Microsoft Azure Active Directory Synchronization Agent\Modules\AADSyncAgentcd C:\Program Files\Microsoft Azure Active Directory Synchronization Agent\Modules\AADSyncAgent

import-module AADSyncAgent.psd1import-module AADSyncAgent.psd1

Comando 2Command #2

Add-ADSyncAgentActiveDirectoryConfigurationAdd-ADSyncAgentActiveDirectoryConfiguration

  • Input: per "Nome directory", immettere il nome della foresta di Active Directory, com'è stato immesso nella parte #2Input: For "Directory Name", enter the AD Forest name, as entered in part #2
  • Input: nome utente e password di amministratore per la foresta di Active DirectoryInput: Admin username and password for Active Directory forest

Comando 3Command #3

Add-ADSyncAgentAzureActiveDirectoryConfigurationAdd-ADSyncAgentAzureActiveDirectoryConfiguration

  • Input: nome utente e password di amministratore globale per il tenant di Azure ADInput: Global admin username and password for your Azure AD tenant

Importante

Attualmente c'è un problema noto riguardante le credenziali di amministratore globale che non funzionano se usano un dominio personalizzato (esempio: admin@contoso.com).There is presently a known issue with global administrator credentials not working if they use a custom domain (example: admin@contoso.com). Per aggirare il problema, è possibile creare e usare un account amministratore globale con un dominio onmicrosoft.com (esempio: admin@contoso.onmicrosoft.com)As a workaround, create and use a global administrator account with an onmicrosoft.com domain (example: admin@contoso.onmicrosoft.com)

Comando 4Command #4

Get-AdSyncAgentProvisioningTasksGet-AdSyncAgentProvisioningTasks

  • Azione: verificare che i dati vengano restituiti.Action: Confirm data is returned. Questo comando individua automaticamente le app di provisioning Workday nel tenant di Azure AD.This command automatically discovers Workday provisioning apps in your Azure AD tenant. Output di esempio:Example output:

Name : My AD ForestName : My AD Forest

Enabled : TrueEnabled : True

DirectoryName : mydomain.contoso.comDirectoryName : mydomain.contoso.com

Credentialed : FalseCredentialed : False

Identifier : WDAYdnAppDelta.c2ef8d247a61499ba8af0a29208fb853.4725aa7b-1103-41e6-8929-75a5471a5203Identifier : WDAYdnAppDelta.c2ef8d247a61499ba8af0a29208fb853.4725aa7b-1103-41e6-8929-75a5471a5203

Comando 5Command #5

Start-AdSyncAgentSynchronization -AutomaticStart-AdSyncAgentSynchronization -Automatic

Comando 6Command #6

net stop aadsyncagentnet stop aadsyncagent

Comando 7Command #7

net start aadsyncagentnet start aadsyncagent

Suggerimento

Oltre ai comandi "net" in Powershell, il servizio agente di sincronizzazione può essere avviato e arrestato anche usando Services.msc.In addition to the "net" commands in Powershell, the synchronization agent service can also be started and stopped using Services.msc. Se si verificano errori durante l'esecuzione dei comandi di Powershell, assicurarsi che il l'agente di provisioning di Microsoft Azure AD Connect sia in esecuzione in Services.msc.If you get errors when running the Powershell commands, ensure that the Microsoft Azure AD Connect Provisioning Agent is running in Services.msc.

Services

Configurazione aggiuntiva per i clienti dell'Unione EuropeaAdditional configuration for customers in the European Union

Se il tenant di Azure Active Directory si trova in uno dei data center in Europa, completare i passaggi aggiuntivi seguenti.If your Azure Active Directory tenant is located in one of the EU data centers, then follow the additional steps below.

  1. Aprire Services.msc e arrestare il servizio agente di provisioning di Microsoft Azure AD Connect.Open Services.msc , and stop the Microsoft Azure AD Connect Provisioning Agent service.
  2. Passare alla cartella di installazione dell'agente (ad esempio C:\Programmi\Microsoft Azure AD Connect Provisioning Agent).Go to the agent installation folder (example: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent).
  3. Aprire SyncAgnt.exe.config in un editor di testo.Open SyncAgnt.exe.config in a text editor.
  4. Sostituire https://manage.hub.syncfabric.windowsazure.com/Management con https://eu.manage.hub.syncfabric.windowsazure.com/ManagementReplace https://manage.hub.syncfabric.windowsazure.com/Management with https://eu.manage.hub.syncfabric.windowsazure.com/Management
  5. Sostituire https://provision.hub.syncfabric.windowsazure.com/Provisioning con https://eu.provision.hub.syncfabric.windowsazure.com/ProvisioningReplace https://provision.hub.syncfabric.windowsazure.com/Provisioning with https://eu.provision.hub.syncfabric.windowsazure.com/Provisioning
  6. Salvare il file SyncAgnt.exe.config.Save the SyncAgnt.exe.config file.
  7. Aprire Services.msc e avviare il servizio agente di provisioning di Microsoft Azure AD Connect.Open Services.msc, and start the Microsoft Azure AD Connect Provisioning Agent service.

Risoluzione dei problemi dell'agenteAgent troubleshooting

Il registro eventi di Windows nel computer Windows Server che ospita l'agente contiene gli eventi per tutte le operazioni eseguite dall'agente.The Windows Event Log on the Windows Server machine hosting the agent contains events for all operations performed by the agent. Per visualizzare questi eventi:To view these events:

  1. Aprire Eventvwr.msc.Open Eventvwr.msc.
  2. Selezionare Registri di Windows > Applicazione.Select Windows Logs > Application.
  3. Visualizzare tutti gli eventi registrati sotto AADSyncAgent.View all events logged under the source AADSyncAgent.
  4. Controllare errori e avvisi.Check for errors and warnings.

Se si verifica un problema di autorizzazioni con le credenziali di Active Directory o Azure Active Directory fornite nei comandi di Powershell, verrà visualizzato un errore come questo:If there is a permissions problem with either the Active Directory or Azure Active Directory credentials provided in the Powershell commands, you will see an error such as this one:

Log eventi

Parte 4: Avviare il servizioPart 4: Start the service

Dopo aver completato le parti 1-3, è possibile avviare il servizio di provisioning nel portale di Azure.Once parts 1-3 have been completed, you can start the provisioning service back in the Azure portal.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.In the Provisioning tab, set the Provisioning Status to On.

  2. Fare clic su Salva.Click Save.

  3. Verrà avviata la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti in Workday.This will start the initial sync, which can take a variable number of hours depending on how many users are in Workday.

  4. In qualsiasi momento è possibile controllare la scheda Log di controllo nel portale di Azure per vedere le azioni che sono state eseguite dal servizio di provisioning.At any time, check the Audit logs tab in the Azure portal to see what actions the provisioning service has performed. I log di controllo elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio quali utenti vengono letti da Workday e successivamente aggiunti o aggiornati in Active Directory.The audit logs lists all individual sync events performed by the provisioning service, such as which users are being read out of Workday and then subsequently added or updated to Active Directory. Vedere la guida alla creazione di report per il provisioning per istruzioni dettagliate su come leggere i log di controlloSee the provisioning reporting guide for detailed instructions on how to read the audit logs

  5. Controllare il registro eventi di Windows nel computer Windows Server che ospita l'agente per eventuali nuovi errori o avvisi.Check the Windows Event Log on the Windows Server machine hosting the agent for any new errors or warnings. Questi eventi possono essere visualizzati avviando Eventvwr.msc sul server e selezionando Registri di Windows > Applicazione.These events are viewable by launching Eventvwr.msc on the server and selecting Windows Logs > Application. Tutti i messaggi correlati al provisioning vengono registrati sotto AADSyncAgent.All provisioning-related messages are logged under the source AADSyncAgent.

  6. Al termine verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.One completed, it will write an audit summary report in the Provisioning tab, as shown below.

Portale di Azure

Configurazione del provisioning utenti in Azure Active DirectoryConfiguring user provisioning to Azure Active Directory

La configurazione del provisioning in Azure Active Directory dipende dei requisiti di provisioning, come descritto nella tabella seguente.How you configure provisioning to Azure Active Directory will depend on your provisioning requirements, as detailed in the table below.

ScenarioScenario SoluzioneSolution
È necessario eseguire il provisioning degli utenti in Active Directory e Azure ADUsers need to be provisioned to Active Directory and Azure AD Usare AAD ConnectUse AAD Connect
È necessario eseguire il provisioning degli utenti solo in Active DirectoryUsers need to be provisioned to Active Directory only Usare AAD ConnectUse AAD Connect
È necessario eseguire il provisioning degli utenti solo in Azure AD (solo cloud)Users need to be provisioned to Azure AD only (cloud only) Usare l'app Workday to Azure Active Directory provisioning (Provisioning Workday in Azure Active Directory) nella raccolta di appUse the Workday to Azure Active Directory provisioning app in the app gallery

Per istruzioni sulla configurazione di Azure AD Connect, vedere la documentazione di Azure AD Connect.For instructions on setting up Azure AD Connect, see the Azure AD Connect documentation.

Nelle sezioni seguenti viene descritta la configurazione di una connessione tra Workday e Azure AD per il provisioning degli utenti solo cloud.The following sections describe setting up a connection between Workday and Azure AD to provision cloud-only users.

Importante

Eseguire la procedura seguente solo se sono presenti utenti solo cloud, di cui è necessario eseguire il provisioning in Azure AD e non in Active Directory locale.Only follow the procedure below if you have cloud-only users that need to be provisioned to Azure AD and not on-premises Active Directory.

Parte 1: Aggiungere l'app del connettore di provisioning in Azure AD e creare la connessione a WorkdayPart 1: Adding the Azure AD provisioning connector app and creating the connection to Workday

Per configurare il provisioning da Workday ad Azure Active Directory per gli utenti solo cloud:To configure Workday to Azure Active Directory provisioning for cloud-only users:

  1. Passare a https://portal.azure.com.Go to https://portal.azure.com.

  2. Sulla barra di spostamento a sinistra selezionare Azure Active DirectoryIn the left navigation bar, select Azure Active Directory

  3. Selezionare Applicazioni aziendali e quindi Tutte le applicazioni.Select Enterprise Applications, then All Applications.

  4. Selezionare Aggiungere un'applicazione e quindi selezionare la categoria Tutto.Select Add an application, and then select the All category.

  5. Cercare Workday to Azure AD provisioning (Provisioning Workday in Azure AD) e aggiungere tale app dalla raccolta.Search for Workday to Azure AD provisioning, and add that app from the gallery.

  6. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare ProvisioningAfter the app is added and the app details screen is shown, select Provisioning

  7. Impostare Modalità di provisioning su AutomaticoChange the Provisioning Mode to Automatic

  8. Completare la sezione Credenziali amministratore come segue:Complete the Admin Credentials section as follows:

    • Nome utente amministratore: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant.Admin Username – Enter the username of the Workday integration system account, with the tenant domain name appended. Dovrebbe essere simile a: username@contoso4Should look something like: username@contoso4

    • Password di amministratore: immettere la password dell'account del sistema di integrazione WorkdayAdmin password – Enter the password of the Workday integration system account

    • URL tenant: immettere l'URL dell'endpoint dei servizi Web Workday per il tenant.Tenant URL – Enter the URL to the Workday web services endpoint for your tenant. Dovrebbe essere simile a: https://wd3-impl-services1.workday.com/ccx/service/contoso4, dove contoso4 è sostituito dal nome del tenant corretto e wd3-impl è sostituito dalla stringa di ambiente corretta.This should look like: https://wd3-impl-services1.workday.com/ccx/service/contoso4, where contoso4 is replaced with your correct tenant name and wd3-impl is replaced with the correct environment string. Se l'URL non è noto, determinare l'URL corretto da usare insieme al proprio partner di integrazione Workday o al supporto tecnico.If this URL is not known, please work with your Workday integration partner or support representative to determine the correct URL to use.

    • Indirizzo di posta elettronica per le notifiche: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".Notification Email – Enter your email address, and check the “send email if failure occurs” checkbox.

    • Fare clic sul pulsante Test connessione.Click the Test Connection button.

    • Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore.If the connection test succeeds, click the Save button at the top. In caso contrario, verificare che l'URL e le credenziali per Workday siano validi in Workday.If it fails, double-check that the Workday URL and credentials are valid in Workday.

Parte 2: Configurare i mapping degli attributiPart 2: Configure attribute mappings

In questa sezione verrà configurato il flusso dei dati utente da Workday in Azure Active Directory per gli utenti solo cloud.In this section, you will configure how user data flows from Workday to Azure Active Directory for cloud-only users.

  1. Nella scheda Provisioning, in Mapping, fare clic su Synchronize Workers to Azure AD (Sincronizza lavoratori in Azure AD).On the Provisioning tab under Mappings, click Synchronize Workers to Azure AD.

  2. Nel campo Ambito dell'oggetto di origine è possibile selezionare i set di utenti in Workday inclusi nell'ambito per il provisioning in Azure AD, definendo un set di filtri basati su attributi.In the Source Object Scope field, you can select which sets of users in Workday should be in scope for provisioning to Azure AD, by defining a set of attribute-based filters. L'ambito predefinito è "tutti gli utenti in Workday".The default scope is “all users in Workday”. Filtri di esempio:Example filters:

    • Esempio: Ambito per gli utenti con ID lavoratore compreso tra 1000000 e 2000000Example: Scope to users with Worker IDs between 1000000 and 2000000

      • Attributo: WorkerIDAttribute: WorkerID

      • Operatore: Corrispondenza REGEXOperator: REGEX Match

      • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])Value: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Esempio: Solo i lavoratori occasionali, senza i dipendentiExample: Only contingent workers and not regular employees

      • Attributo: ContingentIDAttribute: ContingentID

      • Operatore: NON È NULLOperator: IS NOT NULL

  3. Nel campo Azioni oggetto di destinazione è possibile applicare un filtro a livello globale per le azioni di cui è consentita l'esecuzione in Azure AD.In the Target Object Actions field, you can globally filter what actions are allowed to be performed on Azure AD. Creazione e Aggiornamento sono le più comuni.Create and Update are most common.

  4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.In the Attribute mappings section, you can define how individual Workday attributes map to Active Directory attributes.

  5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping.Click on an existing attribute mapping to update it, or click Add new mapping at the bottom of the screen to add new mappings. Il mapping di un singolo attributo supporta queste proprietà:An individual attribute mapping supports these properties:

    • Tipo di mappingMapping Type

      • Diretto: scrive il valore dell'attributo di Workday nell'attributo di Active Directory, senza modificheDirect – Writes the value of the Workday attribute to the AD attribute, with no changes

      • Costante: scrive un valore stringa costante statico nell'attributo di Active DirectoryConstant - Write a static, constant string value to the AD attribute

      • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday.Expression – Allows you to write a custom value to the AD attribute, based on one or more Workday attributes. Per altre informazioni, vedere questo articolo sulle espressioni.For more info, see this article on expressions.

    • Attributo di origine: l'attributo utente in Workday.Source attribute - The user attribute from Workday.

    • Valore predefinito: facoltativo.Default value – Optional. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore.If the source attribute has an empty value, the mapping will write this value instead. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.Most common configuration is to leave this blank.

    • Attributo di destinazione: l'attributo utente in Azure AD.Target attribute – The user attribute in Azure AD.

    • Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Azure AD.Match objects using this attribute – Whether or not this mapping should be used to uniquely identify users between Workday and Azure AD. In genere, è impostato sul campo ID lavoratore per Workday, che solitamente è associato all'attributo ID dipendente (nuovo) o a un attributo di estensione in Azure AD.This is typically set on the Worker ID field for Workday, which is typically mapped to the Employee ID attribute (new) or an extension attribute in Azure AD.

    • Precedenza abbinamento: è possibile impostare più attributi corrispondenti.Matching precedence – Multiple matching attributes can be set. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo.When there are multiple, they are evaluated in the order defined by this field. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.As soon as a match is found, no further matching attributes are evaluated.

    • Applica questo mappingApply this mapping

      • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utenteAlways – Apply this mapping on both user creation and update actions

      • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utenteOnly during creation - Apply this mapping only on user creation actions

  6. Per salvare i mapping, fare clic su Salva nella parte superiore della sezione Mapping attributi.To save your mappings, click Save at the top of the Attribute Mapping section.

Parte 3: Avviare il servizioPart 3: Start the service

Dopo aver completato le parti 1-2, è possibile avviare il servizio di provisioning.Once parts 1-2 have been completed, you can start the provisioning service.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.In the Provisioning tab, set the Provisioning Status to On.

  2. Fare clic su Salva.Click Save.

  3. Verrà avviata la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti in Workday.This will start the initial sync, which can take a variable number of hours depending on how many users are in Workday.

  4. I singoli eventi di sincronizzazione possono essere visualizzati nella scheda Log di controllo. Vedere la guida alla creazione di report per il provisioning per istruzioni dettagliate su come leggere i log di controlloIndividual sync events can be viewed in the Audit Logs tab. See the provisioning reporting guide for detailed instructions on how to read the audit logs

  5. Al termine verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.One completed, it will write an audit summary report in the Provisioning tab, as shown below.

Configurazione del writeback degli indirizzi di posta elettronica in WorkdayConfiguring writeback of email addresses to Workday

Seguire queste istruzioni per configurare il writeback degli indirizzi di posta elettronica degli utenti da Azure Active Directory in Workday.Follow these instructions to configure writeback of user email addresses from Azure Active Directory to Workday.

Parte 1: Aggiungere l'app del connettore di provisioning e creare la connessione a WorkdayPart 1: Adding the provisioning connector app and creating the connection to Workday

Per configurare il provisioning da Workday in Active Directory:To configure Workday to Active Directory provisioning:

  1. Passare a https://portal.azure.comGo to https://portal.azure.com

  2. Sulla barra di spostamento a sinistra selezionare Azure Active DirectoryIn the left navigation bar, select Azure Active Directory

  3. Selezionare Applicazioni aziendali e quindi Tutte le applicazioni.Select Enterprise Applications, then All Applications.

  4. Selezionare Aggiungere un'applicazione e quindi selezionare la categoria Tutto.Select Add an application, then select the All category.

  5. Cercare Workday Writeback (Writeback Workday) e aggiungere tale applicazione dalla raccolta.Search for Workday Writeback, and add that app from the gallery.

  6. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare ProvisioningAfter the app is added and the app details screen is shown, select Provisioning

  7. Impostare Modalità di provisioning su AutomaticoChange the Provisioning Mode to Automatic

  8. Completare la sezione Credenziali amministratore come segue:Complete the Admin Credentials section as follows:

    • Nome utente amministratore: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant.Admin Username – Enter the username of the Workday integration system account, with the tenant domain name appended. Dovrebbe essere simile a: username@contoso4Should look something like: username@contoso4

    • Password di amministratore: immettere la password dell'account del sistema di integrazione WorkdayAdmin password – Enter the password of the Workday integration system account

    • URL tenant: immettere l'URL dell'endpoint dei servizi Web Workday per il tenant.Tenant URL – Enter the URL to the Workday web services endpoint for your tenant. Dovrebbe essere simile a: https://wd3-impl-services1.workday.com/ccx/service/contoso4, dove contoso4 è sostituito dal nome del tenant corretto e wd3-impl è sostituito dalla stringa di ambiente corretta (se necessario).This should look like: https://wd3-impl-services1.workday.com/ccx/service/contoso4, where contoso4 is replaced with your correct tenant name and wd3-impl is replaced with the correct environment string (if necessary).

    • Indirizzo di posta elettronica per le notifiche: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".Notification Email – Enter your email address, and check the “send email if failure occurs” checkbox.

    • Fare clic sul pulsante Test connessione.Click the Test Connection button. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore.If the connection test succeeds, click the Save button at the top. In caso contrario, verificare che l'URL e le credenziali per Workday siano validi in Workday.If it fails, double-check that the Workday URL and credentials are valid in Workday.

Parte 2: Configurare i mapping degli attributiPart 2: Configure attribute mappings

In questa sezione verrà configurato il flusso dei dati utente da Workday in Active Directory.In this section, you will configure how user data flows from Workday to Active Directory.

  1. Nella scheda Provisioning, in Mapping, fare clic su Synchronize Azure AD Users to Workday (Sincronizza utenti Azure AD in Workday).On the Provisioning tab under Mappings, click Synchronize Azure AD Users to Workday.

  2. Nel campo Ambito dell'oggetto di origine è possibile scegliere di filtrare i set di utenti di Azure Active Directory per cui eseguire il writeback degli indirizzi di posta elettronica in Workday.In the Source Object Scope field, you can optionally filter which sets of users in Azure Active Directory should have their email addresses written back to Workday. L'ambito predefinito è "tutti gli utenti in Azure AD".The default scope is “all users in Azure AD”.

  3. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.In the Attribute mappings section, you can define how individual Workday attributes map to Active Directory attributes. Per impostazione predefinita, è presente un mapping per l'indirizzo di posta elettronica.There is a mapping for the email address by default. L'ID corrispondente deve tuttavia essere aggiornato in base agli utenti di Azure AD con le voci corrispondenti in Workday.However, the matching ID must be updated to match users in Azure AD with their corresponding entries in Workday. Un metodo comune per garantire la corrispondenza è sincronizzare l'ID lavoratore o l'ID dipendente di Workday in extensionAttribute1-15 in Azure AD e quindi usare questo attributo in Azure AD per associare gli utenti in Workday.A popular matching method is to synchronize the Workday worker ID or employee ID to extensionAttribute1-15 in Azure AD, and then use this attribute in Azure AD to match users back in Workday.

  4. Per salvare i mapping, fare clic su Salva nella parte superiore della sezione Mapping attributi.To save your mappings, click Save at the top of the Attribute Mapping section.

Parte 3: Avviare il servizioPart 3: Start the service

Dopo aver completato le parti 1-2, è possibile avviare il servizio di provisioning.Once parts 1-2 have been completed, you can start the provisioning service.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.In the Provisioning tab, set the Provisioning Status to On.

  2. Fare clic su Salva.Click Save.

  3. Verrà avviata la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti in Workday.This will start the initial sync, which can take a variable number of hours depending on how many users are in Workday.

  4. I singoli eventi di sincronizzazione possono essere visualizzati nella scheda Log di controllo. Vedere la guida alla creazione di report per il provisioning per istruzioni dettagliate su come leggere i log di controlloIndividual sync events can be viewed in the Audit Logs tab. See the provisioning reporting guide for detailed instructions on how to read the audit logs

  5. Al termine verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.One completed, it will write an audit summary report in the Provisioning tab, as shown below.

Problemi notiKnown issues

  • Quando si esegue il comando di Powershell Add-ADSyncAgentAzureActiveDirectoryConfiguration, attualmente c'è un problema noto riguardante le credenziali di amministratore globale che non funziona se usano un dominio personalizzato (esempio: admin@contoso.com) .When running the Add-ADSyncAgentAzureActiveDirectoryConfiguration Powershell command, there is presently a known issue with global administrator credentials not working if they use a custom domain (example: admin@contoso.com). Per aggirare il problema, è possibile creare e usare un account amministratore globale in Azure Active Directory con un dominio onmicrosoft.com (esempio: admin@contoso.onmicrosoft.com).As a workaround, create and use a global administrator account in Azure AD with an onmicrosoft.com domain (example: admin@contoso.onmicrosoft.com).

  • È stato risolto un problema precedente relativo ai log di controllo che non compaiono nei tenant di Azure Active Directory che si trovano nell'Unione Europea.A previous issue with audit logs not appearing in Azure AD tenants located in the European Union has been resolved. Tuttavia è richiesta una configurazione aggiuntiva dell'agente per i tenant di Azure Active Directory che si trovano nell'Unione Europea.However, additional agent configuration is required for Azure AD tenants in the EU. Per informazioni dettagliate, vedere Parte 3: Configurare l'agente di sincronizzazione localeFor details, see Part 3: Configure the on-premises synchronization agent

Risorse aggiuntiveAdditional resources

Passaggi successiviNext steps