Esercitazione: Configurare Workday per il provisioning utenti automaticoTutorial: Configure Workday for automatic user provisioning

Questa esercitazione descrive i passaggi da eseguire per importare i profili di lavoro da giorni lavorativi in Active Directory e Azure Active Directory, con Write-back facoltativo dell'indirizzo di posta elettronica e nome utente per la giornata lavorativa.The objective of this tutorial is to show the steps you need to perform to import worker profiles from Workday into both Active Directory and Azure Active Directory, with optional write-back of email address and username to Workday.

PanoramicaOverview

Il servizio di provisioning utenti di Azure Active Directory si integra con l'API Human Resources di Workday per il provisioning degli account utente.The Azure Active Directory user provisioning service integrates with the Workday Human Resources API in order to provision user accounts. Azure AD usa questa connessione per consentire i flussi di lavoro di provisioning utenti seguenti:Azure AD uses this connection to enable the following user provisioning workflows:

  • Provisioning degli utenti in Active Directory - effettuare il provisioning di set selezionati di utenti da Workday in uno o più domini di Active Directory.Provisioning users to Active Directory - Provision selected sets of users from Workday into one or more Active Directory domains.

  • Provisioning degli utenti solo cloud su Azure Active Directory - Negli scenari in cui non viene utilizzato Active Directory locale, il provisioning degli utenti può essere effettuato direttamente da Workday ad Azure Active Directory utilizzando il servizio di provisioning degli utenti Azure AD.Provisioning cloud-only users to Azure Active Directory - In scenarios where on-premises Active Directory is not used, users can be provisioned directly from Workday to Azure Active Directory using the Azure AD user provisioning service.

  • Scrivi l'indirizzo di posta elettronica e il nome utente per la giornata lavorativa : il Azure ad servizio di provisioning utenti può scrivere gli indirizzi di posta elettronica e il nome utente da Azure ad di nuovo alla giornataWrite back email address and username to Workday - The Azure AD user provisioning service can write the email addresses and username from Azure AD back to Workday.

Quali scenari di risorse umane è in grado di gestire?What human resources scenarios does it cover?

I flussi di lavoro di provisioning utenti di Workday supportati dal servizio di provisioning utenti di Azure AD consentono l'automazione dei seguenti scenari di gestione delle risorse umane e del ciclo di vita delle identità:The Workday user provisioning workflows supported by the Azure AD user provisioning service enable automation of the following human resources and identity lifecycle management scenarios:

  • Assunzione di nuovi dipendenti: quando viene aggiunto un nuovo dipendente a Workday, viene creato automaticamente un account utente in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD, con il writeback dell'indirizzo di posta elettronica in Workday.Hiring new employees - When a new employee is added to Workday, a user account is automatically created in Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD, with write-back of the email address to Workday.

  • Aggiornamenti di attributi e profili dei dipendenti: se il record di un dipendente viene aggiornato in Workday (ad esempio, il nome, il titolo o il manager), il relativo account utente verrà aggiornato automaticamente in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD.Employee attribute and profile updates - When an employee record is updated in Workday (such as their name, title, or manager), their user account will be automatically updated in Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD.

  • Eliminazione di dipendenti: quando un dipendente viene eliminato in Workday, il relativo account utente viene disabilitato automaticamente in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD.Employee terminations - When an employee is terminated in Workday, their user account is automatically disabled in Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD.

  • Riassunzioni di dipendenti - quando un dipendente viene nuovamente aggiunto in Workday, il relativo account utente precedente può essere automaticamente riattivato o sottoposto di nuovo a provisioning (a seconda delle proprie preferenze) in Active Directory, Azure Active Directory e, facoltativamente, in Office 365 e altre applicazioni SaaS supportate da Azure AD.Employee rehires - When an employee is rehired in Workday, their old account can be automatically reactivated or re-provisioned (depending on your preference) to Active Directory, Azure Active Directory, and optionally Office 365 and other SaaS applications supported by Azure AD.

Per chi è più adatta questa soluzione di provisioning utenti?Who is this user provisioning solution best suited for?

Questa soluzione di provisioning utenti per i giorni lavorativi è ideale per:This Workday user provisioning solution is ideally suited for:

  • Organizzazioni che desiderano una soluzione predefinita basata sul cloud per il provisioning utenti WorkdayOrganizations that desire a pre-built, cloud-based solution for Workday user provisioning

  • Organizzazioni che richiedono il provisioning utenti diretto da Workday ad Active Directory o ad Azure Active DirectoryOrganizations that require direct user provisioning from Workday to Active Directory, or Azure Active Directory

  • Organizzazioni che richiedono che il provisioning utenti venga effettuato tramite i dati ottenuti dal modulo Workday HCM. Vedere Get_WorkersOrganizations that require users to be provisioned using data obtained from the Workday HCM module (see Get_Workers)

  • Organizzazioni che richiedono l'aggiunta o lo spostamento degli utenti o che devono lasciare gli utenti sincronizzati con uno o più domini, foreste o unità organizzative di Active Directory solo in base alle informazioni sulle modifiche rilevate nel modulo Workday HCM. Vedere Get_WorkersOrganizations that require joining, moving, and leaving users to be synced to one or more Active Directory Forests, Domains, and OUs based only on change information detected in the Workday HCM module (see Get_Workers)

  • Organizzazioni che usano Office 365 per la posta elettronicaOrganizations using Office 365 for email

Architettura della soluzioneSolution Architecture

Questa sezione descrive l'architettura della soluzione end-to-end di provisioning degli utenti per ambienti ibridi comuni.This section describes the end-to-end user provisioning solution architecture for common hybrid environments. Esistono due flussi correlati:There are two related flows:

  • Flusso di dati rilevante delle risorse umane, da Workday ad Active Directory locale: in questo flusso gli eventi del ruolo di lavoro (ad esempio, nuove assunzioni, trasferimenti e risoluzioni) si verificano prima nel tenant di risorse umane Workday nel cloud e quindi i dati degli eventi vengono trasmessi nell'istanza locale di Active Directory tramite Azure AD e l'agente di provisioning.Authoritative HR Data Flow – from Workday to on-premises Active Directory: In this flow worker events (such as New Hires, Transfers, Terminations) first occur in the cloud Workday HR tenant and then the event data flows into on-premises Active Directory through Azure AD and the Provisioning Agent. A seconda dell'evento, può determinare operazioni di creazione/aggiornamento/abilitazione o disabilitazione in Active Directory.Depending on the event, it may lead to create/update/enable/disable operations in AD.
  • Flusso di writeback per la posta elettronica e il nome utente: dalla Active Directory locale alla giornata lavorativa: Una volta che la creazione dell'account è stata completata in Active Directory, viene sincronizzata con Azure AD tramite Azure AD Connect e il messaggio di posta elettronica e l'attributo username possono essere riscritti nella giornata lavorativa.Email and Username Writeback Flow – from on-premises Active Directory to Workday: Once the account creation is complete in Active Directory, it is synced with Azure AD through Azure AD Connect and email and username attribute can be written back to Workday.

Panoramica

Flusso di dati end-to-end dell'utenteEnd-to-end user data flow

  1. Il team delle risorse umane esegue transazioni di ruoli di lavoro (nuovi ingressi/spostamenti/abbandoni oppure nuove assunzioni/trasferimenti/risoluzioni) in Workday HCMThe HR team performs worker transactions (Joiners/Movers/Leavers or New Hires/Transfers/Terminations) in Workday HCM
  2. Il servizio di provisioning di Azure AD esegue sincronizzazioni pianificate delle identità da Workday HR e identifica le modifiche che devono essere elaborate per la sincronizzazione con Active Directory in locale.The Azure AD Provisioning Service runs scheduled synchronizations of identities from Workday HR and identifies changes that need to be processed for sync with on-premises Active Directory.
  3. Il servizio di provisioning di Azure AD richiama l'agente di provisioning locale di AAD Connect con un payload di richiesta contenente operazioni di creazione/aggiornamento/abilitazione o disabilitazione dell'account AD.The Azure AD Provisioning Service invokes the on-premises AAD Connect Provisioning Agent with a request payload containing AD account create/update/enable/disable operations.
  4. L'agente di provisioning di Azure AD Connect usa un account del servizio per aggiungere/aggiornare i dati dell'account AD.The Azure AD Connect Provisioning Agent uses a service account to add/update AD account data.
  5. Il motore Azure AD Connect/AD Sync esegue una sincronizzazione delta per eseguire il pull degli aggiornamenti in AD.The Azure AD Connect / AD Sync engine runs delta sync to pull updates in AD.
  6. Gli aggiornamenti di Active Directory sono sincronizzati con Azure Active Directory.The Active Directory updates are synced with Azure Active Directory.
  7. Se il connettore di writeback dei giorni lavorativi è configurato, scrive l'attributo di posta elettronica e il nome utente nella giornata lavorativa, in base all'attributo corrispondente usato.If the Workday Writeback connector is configured, it writes back email attribute and username to Workday, based on the matching attribute used.

Pianificazione della distribuzionePlanning your deployment

Prima di avviare l'integrazione di Workday, verificare i prerequisiti riportati di seguito e leggere le seguenti linee guida su come associare gli attuali requisiti per l'architettura Active Directory e il provisioning utenti con le soluzioni fornite da Azure Active Directory.Before beginning your Workday integration, check the prerequisites below and read the following guidance on how to match your current Active Directory architecture and user provisioning requirements with the solution(s) provided by Azure Active Directory. Un piano di distribuzione completo con fogli di lavoro di pianificazione è disponibile anche per agevolare la collaborazione con i partner di integrazione Workday e le parti interessate delle risorse umane.A comprehensive deployment plan with planning worksheets is also available to assist you in collaborating with your Workday integration partner and HR stakeholders.

Questa sezione contiene gli aspetti di pianificazione seguenti:This section covers the following aspects of planning:

PrerequisitiPrerequisites

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario outlined in this tutorial assumes that you already have the following items:

  • Una sottoscrizione di Azure AD Premium P1 o di livello superiore valida con accesso di amministratore globaleA valid Azure AD Premium P1 or higher subscription with global administrator access
  • Un tenant per l'implementazione di Workday a scopo di test e integrazioneA Workday implementation tenant for testing and integration purposes
  • Autorizzazioni di amministratore in Workday per creare un utente di integrazione dei sistemi e apportare modifiche ai dati dei dipendenti di prova a scopo di testAdministrator permissions in Workday to create a system integration user, and make changes to test employee data for testing purposes
  • Per il provisioning utenti in Active Directory, è necessario un server con Windows Server 2012 o versione successiva con il runtime .NET 4.7.1 o versione successiva per ospitare l'agente di provisioning localeFor user provisioning to Active Directory, a server running Windows Server 2012 or greater with .NET 4.7.1+ runtime is required to host the on-premises provisioning agent
  • Azure AD Connect per la sincronizzazione utenti tra Active Directory e Azure ADAzure AD Connect for synchronizing users between Active Directory and Azure AD

Selezione di app di connettori di provisioning da distribuireSelecting provisioning connector apps to deploy

Per semplificare i flussi di lavoro di provisioning tra Workday e Active Directory, Azure AD fornisce diverse app di connettori di provisioning che è possibile aggiungere dalla raccolta di app di Azure AD:To facilitate provisioning workflows between Workday and Active Directory, Azure AD provides multiple provisioning connector apps that you can add from the Azure AD app gallery:

Raccolta di app di AAD

  • Workday to Active Directory Provisioning - questa app semplifica il provisioning degli account utente da Workday in un singolo dominio di Active Directory.Workday to Active Directory User Provisioning - This app facilitates user account provisioning from Workday to a single Active Directory domain. Se sono presenti più domini, è possibile aggiungere un'istanza di questa app dalla raccolta di app di Azure AD per ogni dominio di Active Directory in cui è necessario effettuare il provisioning.If you have multiple domains, you can add one instance of this app from the Azure AD app gallery for each Active Directory domain you need to provision to.

  • Workday to Azure AD Provisioning - mentre AAD Connect è lo strumento da usare per sincronizzare gli utenti di Active Directory in Azure Active Directory, questa app può essere usata per semplificare il provisioning utenti solo cloud da Workday a un singolo tenant di Azure Active Directory.Workday to Azure AD User Provisioning - While AAD Connect is the tool that should be used to synchronize Active Directory users to Azure Active Directory, this app can be used to facilitate provisioning of cloud-only users from Workday to a single Azure Active Directory tenant.

  • Workday Writeback (Writeback Workday): questa app semplifica il writeback degli indirizzi di posta elettronica degli utenti da Azure Active Directory in Workday.Workday Writeback - This app facilitates write-back of user's email addresses from Azure Active Directory to Workday.

Suggerimento

La normale app "Workday" viene usata per la configurazione del Single Sign-On tra Azure Active Directory e Workday.The regular "Workday" app is used for setting up single sign-on between Workday and Azure Active Directory.

Usare il diagramma di flusso decisionale seguente per identificare le app di provisioning di Workday attinenti allo scenario.Use the decision flow chart below to identify which Workday provisioning apps are relevant to your scenario. Diagramma di flusso decisionaleDecision Flowchart

Usare il sommario per passare alla sezione rilevante di questa esercitazione.Use the table of contents to go to the relevant section of this tutorial.

Pianificazione della distribuzione dell'agente di provisioning Azure AD ConnectPlanning deployment of Azure AD Connect Provisioning Agent

Nota

Questa sezione è rilevante solo se si prevede di distribuire Workday all'app Workday to Active Directory User Provisioning.This section is relevant only if you plan to deploy the Workday to Active Directory User Provisioning App. È possibile ignorare questo passaggio se si distribuisce l'app Workday Writeback o Workday to Azure AD User Provisioning.You can skip this if you are deploying the Workday Writeback or Workday to Azure AD User Provisioning App.

La soluzione di provisioning utenti da Workday ad AD richiede la distribuzione di uno o più agenti di provisioning in server che eseguono Windows 2012 R2 o versioni successive con almeno 4 GB di RAM e runtime .NET 4.7.1 e versioni successive.The Workday to AD User Provisioning solution requires deploying one or more Provisioning Agents on servers running Windows 2012 R2 or greater with minimum of 4 GB RAM and .NET 4.7.1+ runtime. Valutare le considerazioni seguenti prima di installare l'agente di provisioning:The following considerations must be taken into account before installing the Provisioning Agent:

  • Assicurarsi che il server host che esegue l'agente di provisioning abbia accesso in rete al dominio di Active Directory di destinazioneEnsure that the host server running the Provisioning Agent has network access to the target AD domain
  • La configurazione guidata dell'agente di provisioning registra l'agente con il tenant di Azure AD e il processo di registrazione richiede l'accesso a *.msappproxy.net tramite la porta 443.The Provisioning Agent Configuration Wizard registers the agent with your Azure AD tenant and the registration process requires access to *.msappproxy.net over the SSL port 443. Assicurarsi che le regole del firewall in uscita siano in grado di consentire questa comunicazione.Ensure that outbound firewall rules are in place that enable this communication. L'agente supporta la configurazione proxy HTTPS in uscita.The agent supports outbound HTTPS proxy configuration.
  • L'agente di provisioning usa un account del servizio per comunicare con i domini locali di Active Directory.The Provisioning Agent uses a service account to communicate with the on-premises AD domain(s). Prima dell'installazione dell'agente, è consigliabile creare un account del servizio con autorizzazioni di amministratore di dominio sulle proprietà utente e una password senza scadenza.Prior to installation of the agent, it is recommended that you create a service account with domain administrator permissions and a password that does not expire.
  • Durante la configurazione dell'agente di provisioning è possibile selezionare i controller di dominio che devono gestire le richieste di provisioning.During the Provisioning Agent configuration, you can select domain controllers that should handle provisioning requests. In presenza di vari controller di dominio distribuiti geograficamente, installare l'agente di provisioning nello stesso sito del controller di dominio preferito per migliorare l'affidabilità e le prestazioni della soluzione end-to-endIf you have several geographically distributed domain controllers, install the Provisioning Agent in the same site as your preferred domain controller(s) to improve the reliability and performance of the end-to-end solution
  • Per la disponibilità elevata è possibile distribuire più di un agente di provisioning e registrarlo in modo che gestisca lo stesso set di domini locali di Active Directory.For high availability, you can deploy more than one Provisioning Agent and register it to handle the same set of on-premises AD domains.

Importante

Negli ambienti di produzione Microsoft consiglia di avere almeno 3 agenti di provisioning configurati con il tenant di Azure AD per la disponibilità elevata.In production environments, Microsoft recommends that you have a minimum of 3 Provisioning Agents configured with your Azure AD tenant for high availability.

Integrazione con più domini di Active DirectoryIntegrating with multiple Active Directory domains

Nota

Questa sezione è rilevante solo se si prevede di distribuire Workday all'app Workday to Active Directory User Provisioning.This section is relevant only if you plan to deploy the Workday to Active Directory User Provisioning App. È possibile ignorare questo passaggio se si distribuisce l'app Workday Writeback o Workday to Azure AD User Provisioning.You can skip this if you are deploying the Workday Writeback or Workday to Azure AD User Provisioning App.

A seconda della topologia di Active Directory, sarà necessario decidere il numero di app connettori di provisioning utenti e il numero di agenti di provisioning da configurare.Depending on your Active Directory topology, you will need to decide the number of User Provisioning Connector Apps and number of Provisioning Agents to configure. Di seguito sono riportati alcuni dei modelli di distribuzione più comuni a cui è possibile fare riferimento al momento di pianificare la distribuzione.Listed below are some of the common deployment patterns that you can refer to as you plan your deployment.

Scenario di distribuzione 1: Singolo tenant di Workday -> Singolo dominio di ADDeployment Scenario #1 : Single Workday Tenant -> Single AD domain

In questo scenario, si ha un tenant di Workday e si vuole effettuare il provisioning utenti in un singolo dominio AD di destinazione.In this scenario, you have one Workday tenant and you would like to provision users to a single target AD domain. Ecco la configurazione di produzione consigliata per questa distribuzione.Here is the recommended production configuration for this deployment.

No.No. di provisioning di agenti da distribuire in localeof provisioning agents to deploy on-premises 3 (per disponibilità elevata e failover)3 (for high availability and fail over)
No.No. di app Workday to Azure AD User Provisioning da configurare nel portale di Azureof Workday to AD User Provisioning Apps to configure in Azure portal 11

Scenario 1

Scenario di distribuzione 2: Singolo tenant Workday -> Domini AD figli multipliDeployment Scenario #2 : Single Workday Tenant -> Multiple child AD domains

Questo scenario implica il provisioning utenti da Workday a più domini figlio AD di destinazione in una foresta.This scenario involves provisioning users from Workday to multiple target AD child domains in a forest. Ecco la configurazione di produzione consigliata per questa distribuzione.Here is the recommended production configuration for this deployment.

No.No. di provisioning di agenti da distribuire in localeof provisioning agents to deploy on-premises 3 (per disponibilità elevata e failover)3 (for high availability and fail over)
No.No. di app Workday to Azure AD User Provisioning da configurare nel portale di Azureof Workday to AD User Provisioning Apps to configure in Azure portal un'app per ogni dominio figlioone app per child domain

Scenario 2

Scenario di distribuzione 3: Singolo tenant di Workday-> Foreste AD non contigueDeployment Scenario #3 : Single Workday Tenant -> Disjoint AD forests

Questo scenario implica il provisioning utenti da Workday a domini in foreste AD non contigue.This scenario involves provisioning users from Workday to domains in disjoint AD forests. Ecco la configurazione di produzione consigliata per questa distribuzione.Here is the recommended production configuration for this deployment.

No.No. di provisioning di agenti da distribuire in localeof provisioning agents to deploy on-premises 3 per ogni foresta AD non contigua3 per disjoint AD forest
No.No. di app Workday to Azure AD User Provisioning da configurare nel portale di Azureof Workday to AD User Provisioning Apps to configure in Azure portal un'app per ogni dominio figlioone app per child domain

Scenario 3

Pianificare mapping e trasformazioni degli attributi utente da Workday ad Active DirectoryPlanning Workday to Active Directory User Attribute Mapping and Transformations

Nota

Questa sezione è rilevante solo se si prevede di distribuire Workday all'app Workday to Active Directory User Provisioning.This section is relevant only if you plan to deploy the Workday to Active Directory User Provisioning App. È possibile ignorare questo passaggio se si distribuisce l'app Workday Writeback o Workday to Azure AD User Provisioning.You can skip this if you are deploying the Workday Writeback or Workday to Azure AD User Provisioning App.

Prima di configurare il provisioning degli utenti in un dominio di Active Directory, cercare di rispondere alle domande seguenti.Before configuring user provisioning to an Active Directory domain, consider the following questions. Le risposte a queste domande permettono di determinare come devono essere impostati i filtri di ambito e i mapping degli attributi.The answers to these questions will determine how your scoping filters and attribute mappings need to be set.

  • Di quali utenti in Workday è necessario effettuare il provisioning in questa foresta di Active Directory?What users in Workday need to be provisioned to this Active Directory forest?

    • Esempio: utenti il cui attributo "Company" di Workday contiene il valore "Contoso", e l'attributo "Worker_Type" contiene "Regular"Example: Users where the Workday "Company" attribute contains the value "Contoso", and the "Worker_Type" attribute contains "Regular"
  • Come vengono instradati gli utenti alle diverse unità organizzative?How are users routed into different organization units (OUs)?

    • Esempio: gli utenti vengono instradati alle unità organizzative che corrispondono alla posizione di un ufficio, in base a quanto definito negli attributi "Municipality" e "Country_Region_Reference" di WorkdayExample: Users are routed to OUs that correspond to an office location, as defined in the Workday "Municipality" and "Country_Region_Reference" attributes
  • Come devono essere immessi gli attributi seguenti in Active Directory?How should the following attributes be populated in the Active Directory?

    • Nome comune (cn)Common Name (cn)

      • Esempio: usare il valore di User_ID di Workday, impostato dalle risorse umaneExample: Use the Workday User_ID value, as set by human resources
    • ID dipendente (employeeId)Employee ID (employeeId)

      • Esempio: usare il valore di Worker_ID di WorkdayExample: Use the Workday Worker_ID value
    • Nome dell'account SAM (sAMAccountName)SAM Account Name (sAMAccountName)

      • Esempio: usare il valore di User_ID di Workday, filtrato tramite un'espressione di provisioning di Azure AD per rimuovere i caratteri non validiExample: Use the Workday User_ID value, filtered through an Azure AD provisioning expression to remove illegal characters
    • Nome dell'entità utente (userPrincipalName)User Principal Name (userPrincipalName)

      • Esempio: usare il valore di User_ID di Workday, con un'espressione di provisioning di Azure AD per aggiungere un nome di dominioExample: Use the Workday User_ID value, with an Azure AD provisioning expression to append a domain name
  • Come devono essere impostate le corrispondenze degli utenti tra Workday e Active Directory?How should users be matched between Workday and Active Directory?

    • Esempio: gli utenti con un valore di "Worker_ID" di Workday specifico vengono associati agli utenti di Active Directory il cui attributo "employeeID" ha lo stesso valore. Se il valore di Worker_ID non viene trovato in Active Directory, creare un nuovo utente.Example: Users with a specific Workday "Worker_ID" value are matched with Active Directory users where "employeeID" has the same value. If the Worker_ID value is not found in Active Directory, then create a new user.
  • La foresta di Active Directory contiene già gli ID utente necessari per il funzionamento della logica di corrispondenza?Does the Active Directory forest already contain the user IDs required for the matching logic to work?

    • Esempio: Se questa configurazione è una nuova distribuzione di Workday, è consigliabile fare in modo che Active Directory sia già popolato con i valori di Worker_ID di Workday corretti (o con il valore dell'ID univoco desiderato) per mantenere la logica di corrispondenza il più semplice possibile.Example: If this setup is a new Workday deployment, it is recommended that Active Directory be pre-populated with the correct Workday Worker_ID values (or unique ID value of choice) to keep the matching logic as simple as possible.

Nelle sezioni rimanenti di questa esercitazione verrà descritto come installare e configurare queste speciali app di connettori di provisioning.How to set up and configure these special provisioning connector apps is the subject of the remaining sections of this tutorial. La scelta delle app da configurare dipende dai sistemi in cui è necessario effettuare il provisioning e dal numero di domini di Active Directory e di tenant Azure AD nell'ambiente in uso.Which apps you choose to configure will depend on which systems you need to provision to, and how many Active Directory Domains and Azure AD tenants are in your environment.

Configurare un utente del sistema di integrazione in WorkdayConfigure integration system user in Workday

Un requisito comune di tutti i connettori di provisioning Workday è la richiesta di credenziali di un utente del sistema di integrazione Workday per la connessione all'API Human Resources di Workday.A common requirement of all the Workday provisioning connectors is that they require credentials of a Workday integration system user to connect to the Workday Human Resources API. Questa sezione descrive come creare un utente del sistema di integrazione in Workday e contiene le sezioni seguenti:This section describes how to create an integration system user in Workday and has the following sections:

Nota

È possibile evitare di eseguire questa procedura usando un account di amministratore globale di Workday come account di integrazione dei sistemi.It is possible to bypass this procedure and instead use a Workday global administrator account as the system integration account. Questa soluzione è utilizzabile a scopo dimostrativo, ma non è consigliata per le distribuzioni di produzione.This may work fine for demos, but is not recommended for production deployments.

Creazione di un utente del sistema di integrazioneCreating an integration system user

Per creare un utente di sistema di integrazione, seguire questa procedura:To create an integration system user:

  1. Accedere al tenant di Workday usando un account amministratore.Sign into your Workday tenant using an administrator account. Nell'applicazione Workday immettere "create user" nella casella di ricerca e quindi fare clic su Create Integration System User (Crea utente del sistema di integrazione).In the Workday Application, enter create user in the search box, and then click Create Integration System User.

    Creare un utenteCreate user

  2. Completare l'attività Create Integration System User specificando un nome utente e una password per un nuovo utente del sistema di integrazione.Complete the Create Integration System User task by supplying a user name and password for a new Integration System User.

  • Lasciare l'opzione Require New Password at Next Sign In (Richiedi nuova password al prossimo accesso) non selezionata, perché l'accesso dell'utente verrà eseguito a livello di codice.Leave the Require New Password at Next Sign In option unchecked, because this user will be logging on programmatically.

  • Lasciare l'opzione Session Timeout Minutes (Minuti di timeout della sessione) impostata sul valore predefinito 0, in modo da evitare un timeout prematuro delle sessioni dell'utente.Leave the Session Timeout Minutes with its default value of 0, which will prevent the user’s sessions from timing out prematurely.

  • Selezionare l'opzione Do Not Allow UI Sessions (Non consentire sessioni di interfaccia utente) in quanto aggiunge un livello di sicurezza che impedisce a un utente con la password del sistema di integrazione di accedere a Workday.Select the option Do Not Allow UI Sessions as it provides an added layer of security that prevents a user with the password of the integration system from logging into Workday.

    Creare un utente del sistema di integrazioneCreate Integration System User

Creazione di un gruppo di sicurezza del sistema di integrazioneCreating an integration security group

In questo passaggio si creerà un gruppo di sicurezza del sistema di integrazione non vincolato o vincolato in Workday e si assegnerà l'utente del sistema di integrazione creato nel passaggio precedente a questo gruppo.In this step, you will create an unconstrained or constrained integration system security group in Workday and assign the integration system user created in the previous step to this group.

Per creare un gruppo di sicurezza, seguire questa procedura:To create a security group:

  1. Immettere "create security group" nella casella di ricerca e quindi fare clic su Create Security Group(Crea gruppo di sicurezza).Enter create security group in the search box, and then click Create Security Group.

    Creare un gruppo di sicurezzaCreateSecurity Group

  2. Completare l'attività Creare un gruppo di sicurezza.Complete the Create Security Group task.

    • Esistono due tipi di gruppi di sicurezza in Workday:There are two types of security groups in Workday:

      • Non vincolato: tutti i membri del gruppo di sicurezza possono accedere a tutte le istanze di dati protette dal gruppo di sicurezza.Unconstrained: All members of the security group can access all data instances secured by the security group.
      • Vincolato: tutti i membri del gruppo di sicurezza hanno accesso contestuale a un subset delle istanze di dati (righe) a cui può accedere il gruppo di sicurezza.Constrained: All security group members have contextual access to a subset of data instances (rows) that the security group can access.
    • Verificare il partner di integrazione di Workday per selezionare il tipo di gruppo di sicurezza appropriato per l'integrazione.Please check with your Workday integration partner to select the appropriate security group type for the integration.

    • Una volta appurato il tipo di gruppo, selezionare Integration System Security Group (Unconstrained) (Gruppo di sicurezza del sistema di integrazione - Non vincolato) o Integration System Security Group (Constrained) (Gruppo di sicurezza del sistema di integrazione - Vincolato) dall'elenco a discesa Type of Tenanted Security Group (Tipo di gruppo di sicurezza con tenant).Once you know the group type, select Integration System Security Group (Unconstrained) or Integration System Security Group (Constrained) from the Type of Tenanted Security Group dropdown.

      Creare un gruppo di sicurezzaCreateSecurity Group

  3. Dopo aver creato il gruppo di sicurezza, verrà visualizzata una pagina in cui sarà possibile assegnare membri al gruppo.After the Security Group creation is successful, you will see a page where you can assign members to the Security Group. Aggiungere il nuovo utente di sistema di integrazione creato nel passaggio precedente per questo gruppo di sicurezza.Add the new integration system user created in the previous step to this security group. Se si usa il gruppo di sicurezza vincolato, è necessario anche selezionare l'ambito dell'organizzazione appropriato.If you are using constrained security group, you will also need to select the appropriate organization scope.

    Modificare un gruppo di sicurezzaEdit Security Group

Configurazione delle autorizzazioni dei criteri di sicurezza del dominioConfiguring domain security policy permissions

In questo passaggio si concedono al gruppo di sicurezza le autorizzazioni dei criteri di sicurezza del dominio per i dati del ruolo di lavoro.In this step, you'll grant "domain security" policy permissions for the worker data to the security group.

Per configurare le autorizzazioni dei criteri di sicurezza del dominio:To configure domain security policy permissions:

  1. Immettere Domain Security Configuration (Configurazione della sicurezza del dominio) nella casella di ricerca e quindi fare clic sul collegamento Domain Security Configuration Policies (Criteri di configurazione della sicurezza del dominio).Enter Domain Security Configuration in the search box, and then click on the link Domain Security Configuration Report.

    Criteri di sicurezza di dominioDomain Security Policies

  2. Nella casella di testo Domain (Dominio) cercare i domini seguenti e aggiungerli al filtro uno alla volta.In the Domain text box, search for the following domains and add them to the filter one by one.

    • External Account Provisioning (Provisioning account esterno)External Account Provisioning

    • Worker Data: Public Worker Reports (Dati ruolo di lavoro: report ruoli di lavoro pubblici)Worker Data: Public Worker Reports

    • Person Data: Work Contact Information (Dati ruolo di lavoro: Informazioni contatto di lavoro)Person Data: Work Contact Information

    • Worker Data: All Positions (Dati ruolo di lavoro: tutte le posizioni)Worker Data: All Positions

    • Worker Data: Current Staffing Information (Dati ruolo di lavoro: informazioni correnti del personale)Worker Data: Current Staffing Information

    • Worker Data: Business Title on Worker Profile (Dati ruolo di lavoro: qualifica riportata sul profilo)Worker Data: Business Title on Worker Profile

    • Account giorni lavorativiWorkday Accounts

      Criteri di sicurezza di dominioDomain Security Policies

      Criteri di sicurezza di dominioDomain Security Policies

      Fare clic su OK.Click OK.

  3. Nel report che viene visualizzato selezionare i puntini di sospensione (...) visualizzati accanto a External Account Provisioning (Provisioning account esterno) e fare clic sulla voce di menu Domain -> Edit Security Policy Permissions (Dominio -> Modifica autorizzazioni criteri di sicurezza)In the report that shows up, select the ellipsis (...) that appears next to External Account Provisioning and click on the menu option Domain -> Edit Security Policy Permissions

    Criteri di sicurezza di dominioDomain Security Policies

  4. Nella pagina Edit Domain Security Policy Permissions (Modifica autorizzazioni criteri di sicurezza di dominio) scorrere fino alla sezione Integration Permissions (Autorizzazioni di integrazione).On the Edit Domain Security Policy Permissions page, scroll down to the section Integration Permissions. Fare clic sul segno "+" per aggiungere il gruppo del sistema di integrazione all'elenco dei gruppi di sicurezza con autorizzazioni di integrazione Get e Put.Click on the "+" sign to add the integration system group to the list of security groups with Get and Put integration permissions.

    Modificare un'autorizzazioneEdit Permission

  5. Fare clic sul segno "+" per aggiungere il gruppo del sistema di integrazione all'elenco dei gruppi di sicurezza con autorizzazioni di integrazione Get e Put.Click on the "+" sign to add the integration system group to the list of security groups with Get and Put integration permissions.

    Modificare un'autorizzazioneEdit Permission

  6. Ripetere i passaggi precedenti da 3 a 5 per ognuno di questi criteri di sicurezza rimanenti:Repeat steps 3-5 above for each of these remaining security policies:

    OperazioneOperation Criteri di sicurezza del dominioDomain Security Policy
    Get e putGet and Put Worker Data: Public Worker Reports (Dati ruolo di lavoro: report ruoli di lavoro pubblici)Worker Data: Public Worker Reports
    Get e putGet and Put Person Data: Work Contact Information (Dati ruolo personali: Informazioni contatto di lavoro)Person Data: Work Contact Information
    RecuperaGet Worker Data: All Positions (Dati ruolo di lavoro: tutte le posizioni)Worker Data: All Positions
    RecuperaGet Worker Data: Current Staffing Information (Dati ruolo di lavoro: informazioni correnti sul personale)Worker Data: Current Staffing Information
    RecuperaGet Worker Data: Business Title on Worker Profile (Dati ruolo di lavoro: qualifica riportata sul profilo)Worker Data: Business Title on Worker Profile
    Get e putGet and Put Account giorni lavorativiWorkday Accounts

Configurazione delle autorizzazioni dei criteri di sicurezza dei processi aziendaliConfiguring business process security policy permissions

In questo passaggio si concedono al gruppo di sicurezza le autorizzazioni dei criteri di sicurezza dei processi aziendali per i dati del ruolo di lavoro.In this step, you'll grant "business process security" policy permissions for the worker data to the security group. Questo passaggio è obbligatorio per la configurazione del connettore dell'app Workday Writeback.This step is required for setting up the Workday Writeback app connector.

Per configurare le autorizzazioni dei criteri di sicurezza dei processi aziendali:To configure business process security policy permissions:

  1. Immettere Business Process Policy (Criteri di processi aziendali) nella casella di ricerca e quindi fare clic sul collegamento Edit Business Process Security Policy (Modifica criteri di sicurezza dei processi aziendali).Enter Business Process Policy in the search box, and then click on the link Edit Business Process Security Policy task.

    Criteri di sicurezza dei processi aziendaliBusiness Process Security Policies

  2. Nella casella di testo Business Process Type (Tipo di processo aziendale) cercare Contact (Contatto) e selezionare il processo aziendale Contact Change (Modifica contatto), quindi fare clic su OK.In the Business Process Type textbox, search for Contact and select Contact Change business process and click OK.

    Criteri di sicurezza dei processi aziendaliBusiness Process Security Policies

  3. Nella pagina Edit Business Process Security Policy (Modifica criteri di sicurezza dei processi aziendali) scorrere fino alla sezione Maintain Contact Information (Web Service) (Gestisci informazioni di contatto (servizio Web)).On the Edit Business Process Security Policy page, scroll to the Maintain Contact Information (Web Service) section.

    Criteri di sicurezza dei processi aziendaliBusiness Process Security Policies

  4. Selezionare e aggiungere il nuovo gruppo di sicurezza del sistema di integrazione all'elenco dei gruppi di sicurezza che possono avviare la richiesta di servizi Web.Select and add the new integration system security group to the list of security groups that can initiate the web services request. Fare clic su Done (Fine).Click on Done.

    Criteri di sicurezza dei processi aziendaliBusiness Process Security Policies

Attivazione delle modifiche apportate ai criteri di sicurezzaActivating security policy changes

Per attivare le modifiche apportate ai criteri di sicurezza, seguire questa procedura:To activate security policy changes:

  1. Immettere "activate" (attiva) nella casella di ricerca e quindi fare clic sul collegamento Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza) .Enter activate in the search box, and then click on the link Activate Pending Security Policy Changes.

    AttivareActivate

  2. Avviare l'attività Activate Pending Security Policy Changes (Attiva le modifiche in sospeso ai criteri di sicurezza) immettendo un commento a scopo di controllo e quindi fare clic su OK.Begin the Activate Pending Security Policy Changes task by entering a comment for auditing purposes, and then click OK.

  3. Completare l'attività nella schermata successiva selezionando la casella di controllo Confirm (Conferma) e quindi facendo clic su OK.Complete the task on the next screen by checking the checkbox Confirm, and then click OK.

    Attivare la sicurezza in sospesoActivate Pending Security

Configurazione del provisioning utenti da Workday in Active DirectoryConfiguring user provisioning from Workday to Active Directory

Questa sezione fornisce i passaggi per configurare il provisioning degli account utente da Workday in ogni dominio di Active Directory nell'ambito dell'integrazione.This section provides steps for user account provisioning from Workday to each Active Directory domain within the scope of your integration.

Parte 1: installare e configurare gli agenti di provisioning localiPart 1: Install and configure on-premises Provisioning Agent(s)

Per effettuare il provisioning in Active Directory locale, è necessario installare un agente in un server con .NET Framework 4.7.1 e versioni successive e con accesso alla rete ai domini di Active Directory richiesti.To provision to Active Directory on-premises, an agent must be installed on a server that has .NET 4.7.1+ Framework and network access to the desired Active Directory domain(s).

Suggerimento

È possibile controllare la versione di .NET Framework nel server seguendo le istruzioni disponibili qui.You can check the version of the .NET framework on your server using the instructions provided here. Se il server non dispone di .NET 4.7.1 o versioni successive, è possibile scaricarlo da qui.If the server does not have .NET 4.7.1 or higher installed, you can download it from here.

Dopo aver distribuito .NET 4.7.1 o versioni successive, sarà possibile scaricare l' agente di provisioning locale qui e seguire i passaggi seguenti per completare la configurazione dell'agente.Once you have deployed .NET 4.7.1+, you can download the on-premises provisioning agent here and follow the steps given below to complete the agent configuration.

  1. Accedere al server Windows in cui si vuole installare il nuovo agente.Sign in to the Windows Server where you want to install the new agent.

  2. Avviare il programma di installazione dell'agente di provisioning, accettare le condizioni e fare clic sul pulsante Installa .Launch the Provisioning Agent installer, agree to the terms, and click on the Install button.

    Schermata di installazioneInstall Screen

  3. Al termine dell'installazione verrà avviata la procedura guidata e verrà visualizzata la schermata Connect Azure AD (Connetti Azure AD).After installation is complete, the wizard will launch and you will see the Connect Azure AD screen. Fare clic sul pulsante Authenticate (Autentica) per connettersi all'istanza di Azure AD.Click on the Authenticate button to connect to your Azure AD instance.

    Connect Azure ADConnect Azure AD

  4. Eseguire l'autenticazione all'istanza di Azure AD con credenziali di amministratore globale.Authenticate to your Azure AD instance using Global Admin Credentials.

    Autenticazione amministratoreAdmin Auth

    Nota

    Le credenziali di amministratore di Azure AD vengono usate solo per la connessione al tenant di Azure AD.The Azure AD admin credentials is used only to connect to your Azure AD tenant. L'agente non archivia le credenziali in locale nel server.The agent does not store the credentials locally on the server.

  5. Al termine dell'autenticazione con Azure AD verrà visualizzata la schermata Connect Active Directory (Connetti Active Directory).After successful authentication with Azure AD, you will see the Connect Active Directory screen. In questo passaggio, inserire il nome di dominio AD e fare clic sul pulsante Add Directory (Aggiungi directory).In this step, enter your AD domain name and click on the Add Directory button.

    Add DirectoryAdd Directory

  6. Verrà ora richiesto di immettere le credenziali necessarie per connettersi al dominio AD.You will now be prompted to enter the credentials required to connect to the AD Domain. Nella stessa schermata è possibile usare Select domain controller priority (Seleziona priorità controller di dominio) per specificare i controller di dominio che l'agente deve usare per l'invio di richieste di provisioning.On the same screen, you can use the Select domain controller priority to specify domain controllers that the agent should use for sending provisioning requests.

    Credenziali del dominio

  7. Dopo aver configurato il dominio, il programma di installazione mostrerà un elenco di domini configurati.After configuring the domain, the installer displays a list of configured domains. In questa schermata è possibile ripetere i passaggi 5 e 6 per aggiungere più domini o fare clic su Next (Avanti) per procedere alla registrazione dell'agente.On this screen, you can repeat step #5 and #6 to add more domains or click on Next to proceed to agent registration.

    Domini configuratiConfigured Domains

    Nota

    In presenza di più domini di Active Directory (ad esempio na.contoso.com, emea.contoso.com), aggiungere singolarmente ogni dominio all'elenco.If you have multiple AD domains (e.g. na.contoso.com, emea.contoso.com), then please add each domain individually to the list. Non è sufficiente aggiungere soltanto il dominio padre (ad esempio, contoso.com).Only adding the parent domain (e.g. contoso.com) is not sufficient. È necessario registrare ogni dominio figlio con l'agente.You must register each child domain with the agent.

  8. Esaminare i dettagli di configurazione e fare clic su Confirm (Conferma) per registrare l'agente.Review the configuration details and click on Confirm to register the agent.

    Schermata di confermaConfirm Screen

  9. La Configurazione guidata mostra lo stato di avanzamento della registrazione dell'agente.The configuration wizard displays the progress of the agent registration.

    Registrazione dell'agenteAgent Registration

  10. Al termine della registrazione dell'agente sarà possibile fare clic su Exit (Esci) per uscire dalla procedura guidata.Once the agent registration is successful, you can click on Exit to exit the Wizard.

    Schermata ExitExit Screen

  11. Verificare l'installazione dell'agente e accertarsi che sia in esecuzione aprendo lo snap-in "Services" e cercare il servizio denominato "Microsoft Azure AD Connect Provisioning Agent" (Agente di provisioning Microsoft Azure Active Directory Connect)Verify the installation of the Agent and make sure it is running by opening the “Services” Snap-In and look for the Service named “Microsoft Azure AD Connect Provisioning Agent”

    Servizi

Parte 2: aggiungere l'app del connettore di provisioning e creare la connessione a WorkdayPart 2: Adding the provisioning connector app and creating the connection to Workday

Per configurare il provisioning da Workday in Active Directory:To configure Workday to Active Directory provisioning:

  1. Passare a https://portal.azure.com.Go to https://portal.azure.com

  2. Sulla barra di spostamento a sinistra selezionare Azure Active DirectoryIn the left navigation bar, select Azure Active Directory

  3. Selezionare Applicazioni aziendali e quindi Tutte le applicazioni.Select Enterprise Applications, then All Applications.

  4. Selezionare Aggiungere un'applicazione e quindi selezionare la categoria Tutto.Select Add an application, and select the All category.

  5. Cercare Workday Provisioning to Active Directory (Provisioning Workday in Active Directory) e aggiungere tale app dalla raccolta.Search for Workday Provisioning to Active Directory, and add that app from the gallery.

  6. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare ProvisioningAfter the app is added and the app details screen is shown, select Provisioning

  7. Impostare Modalità di provisioning su AutomaticoChange the Provisioning Mode to Automatic

  8. Completare la sezione Credenziali amministratore come segue:Complete the Admin Credentials section as follows:

    • Nome utente dell'amministratore: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant.Admin Username – Enter the username of the Workday integration system account, with the tenant domain name appended. Dovrebbe avere un aspetto simile al seguente: username@tenant_nameIt should look something like: username@tenant_name

    • Password dell'amministratore: immettere la password dell'account del sistema di integrazione WorkdayAdmin password – Enter the password of the Workday integration system account

    • URL del tenant: immettere l'URL dell'endpoint dei servizi Web Workday per il tenant.Tenant URL – Enter the URL to the Workday web services endpoint for your tenant. Il valore dovrebbe essere simile a: https://wd3-impl-services1.workday.com/ccx/service/contoso4, dove contoso4 è sostituito dal nome del tenant corretto e wd3-impl è sostituito dalla stringa di ambiente corretta.This value should look like: https://wd3-impl-services1.workday.com/ccx/service/contoso4, where contoso4 is replaced with your correct tenant name and wd3-impl is replaced with the correct environment string.

    • Foresta di Active Directory: il "nome" del dominio di Active Directory, così come registrato con l'agente.Active Directory Forest - The "Name" of your Active Directory domain, as registered with the agent. Usare l'elenco a discesa per selezionare il dominio di destinazione per il provisioning.Use the dropdown to select the target domain for provisioning. In genere, il valore corrisponde a una stringa simile a: contoso.comThis value is typically a string like: contoso.com

    • Contenitore di Active Directory: immettere il nome distinto del contenitore in cui l'agente deve creare gli account utente per impostazione predefinita.Active Directory Container - Enter the container DN where the agent should create user accounts by default. Esempio: OU=Standard Users,OU=Users,DC=contoso,DC=testExample: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Nota

      Questa impostazione deve essere usata per la creazione degli account utente solo se l'attributo parentDistinguishedName non è configurato nel mapping degli attributi.This setting only comes into play for user account creations if the parentDistinguishedName attribute is not configured in the attribute mappings. Questa impostazione non viene usata per la ricerca di utenti o per le operazioni di aggiornamento.This setting is not used for user search or update operations. L'intero sottoalbero del dominio rientra nell'ambito dell'operazione di ricerca.The entire domain sub tree falls in the scope of the search operation.

    • Indirizzo di posta elettronica per le notifiche: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo per inviare una notifica di posta elettronica in caso di errore.Notification Email – Enter your email address, and check the “send email if failure occurs” checkbox.

      Nota

      Il servizio di provisioning di Azure AD invia una notifica di posta elettronica se il processo di provisioning entra in uno stato di quarantena.The Azure AD Provisioning Service sends email notification if the provisioning job goes into a quarantine state.

    • Fare clic sul pulsante Test connessione.Click the Test Connection button. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore.If the connection test succeeds, click the Save button at the top. In caso contrario, verificare che le credenziali di Workday e Active Directory configurate nel programma di installazione dell'agente siano valide.If it fails, double-check that the Workday credentials and the AD credentials configured on the agent setup are valid.

      Portale di Azure

    • Dopo che le credenziali vengono salvate correttamente, la sezione Mapping mostrerà il mapping predefinito Synchronize Workday Workers to On Premises (Sincronizza ruoli di lavoro Workday in Active Directory locale)Once the credentials are saved successfully, the Mappings section will display the default mapping Synchronize Workday Workers to On Premises Active Directory

Parte 3: configurare i mapping degli attributiPart 3: Configure attribute mappings

In questa sezione verrà configurato il flusso dei dati utente da Workday in Active Directory.In this section, you will configure how user data flows from Workday to Active Directory.

  1. Nella scheda Provisioning in Mapping fare clic su Synchronize Workday Workers to On Premises (Sincronizza ruoli di lavoro Workday in Active Directory locale).On the Provisioning tab under Mappings, click Synchronize Workday Workers to On Premises Active Directory.

  2. Nel campo Source Object Scope (Ambito dell'oggetto di origine) è possibile selezionare i set di utenti in Workday da includere nell'ambito per il provisioning in AD, definendo un set di filtri basati su attributi.In the Source Object Scope field, you can select which sets of users in Workday should be in scope for provisioning to AD, by defining a set of attribute-based filters. L'ambito predefinito è "tutti gli utenti in Workday".The default scope is “all users in Workday”. Filtri di esempio:Example filters:

    • Esempio: Ambito per gli utenti con ID di lavoro compresi tra 1 milione e 2 milioni (esclusi 2 milioni)Example: Scope to users with Worker IDs between 1000000 and 2000000 (excluding 2000000)

      • Attributo: WorkerIDAttribute: WorkerID

      • Operator: REGEX Match (Corrispondenza REGEX)Operator: REGEX Match

      • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])Value: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Esempio: solo i dipendenti, senza i lavoratori occasionaliExample: Only employees and not contingent workers

      • Attributo: EmployeeIDAttribute: EmployeeID

      • Operator: NON È NULLOperator: IS NOT NULL

    Suggerimento

    Quando si configura l'app di provisioning per la prima volta, è necessario testare e verificare i mapping degli attributi e le espressioni per assicurarsi che restituisca il risultato desiderato.When you are configuring the provisioning app for the first time, you will need to test and verify your attribute mappings and expressions to make sure that it is giving you the desired result. Microsoft consiglia di usare i filtri di ambito in Source Object Scope (Ambito dell'oggetto di origine) per testare il mapping con alcuni utenti test da Workday.Microsoft recommends using the scoping filters under Source Object Scope to test your mappings with a few test users from Workday. Dopo avere verificato che i mapping funzionino è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.Once you have verified that the mappings work, then you can either remove the filter or gradually expand it to include more users.

    Attenzione

    Il comportamento predefinito del motore di provisioning è disabilitare/eliminare gli utenti che non rientrano nell'ambito.The default behavior of the provisioning engine is to disable/delete users that go out of scope. Questo potrebbe non essere auspicabile nella giornata lavorativa per l'integrazione di Active Directory.This may not be desirable in your Workday to AD integration. Per eseguire l'override di questo comportamento predefinito, vedere l'articolo ignorare l'eliminazione di account utente che non rientrano nell'ambitoTo override this default behavior refer to the article Skip deletion of user accounts that go out of scope

  3. Nel campo Target Object Actions (Azioni oggetto di destinazione) è possibile applicare un filtro a livello globale per le azioni che vengono eseguite in Active Directory.In the Target Object Actions field, you can globally filter what actions are performed on Active Directory. Creazione e Aggiornamento sono le più comuni.Create and Update are most common.

  4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.In the Attribute mappings section, you can define how individual Workday attributes map to Active Directory attributes.

  5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping.Click on an existing attribute mapping to update it, or click Add new mapping at the bottom of the screen to add new mappings. Il mapping di un singolo attributo supporta queste proprietà:An individual attribute mapping supports these properties:

    • Tipo di mappingMapping Type

      • Direct (Diretto): scrive il valore dell'attributo di Workday nell'attributo di AD, senza modificheDirect – Writes the value of the Workday attribute to the AD attribute, with no changes

      • Costant (Costante): scrive un valore stringa costante statico nell'attributo di ADConstant - Write a static, constant string value to the AD attribute

      • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday.Expression – Allows you to write a custom value to the AD attribute, based on one or more Workday attributes. Per altre informazioni, vedere questo articolo sulle espressioni.For more info, see this article on expressions.

    • Attributo di origine: l'attributo utente in Workday.Source attribute - The user attribute from Workday. Se l'attributo che si sta cercando non è presente, vedere Personalizzazione dell'elenco di attributi utente di Workday.If the attribute you are looking for is not present, see Customizing the list of Workday user attributes.

    • Valore predefinito: facoltativo.Default value – Optional. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore.If the source attribute has an empty value, the mapping will write this value instead. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.Most common configuration is to leave this blank.

    • Attributo di destinazione: l'attributo utente in Active Directory.Target attribute – The user attribute in Active Directory.

    • Abbina gli oggetti in base a questo attributo: specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Active Directory.Match objects using this attribute – Whether or not this mapping should be used to uniquely identify users between Workday and Active Directory. In genere, è impostato sul campo ID ruolo di lavoro per Workday, che solitamente è associato a uno degli attributi ID dipendente in Active Directory.This value is typically set on the Worker ID field for Workday, which is typically mapped to one of the Employee ID attributes in Active Directory.

    • Precedenza abbinamento: è possibile impostare più attributi corrispondenti.Matching precedence – Multiple matching attributes can be set. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo.When there are multiple, they are evaluated in the order defined by this field. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.As soon as a match is found, no further matching attributes are evaluated.

    • Applica questo mappingApply this mapping

      • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utenteAlways – Apply this mapping on both user creation and update actions

      • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utenteOnly during creation - Apply this mapping only on user creation actions

  6. Per salvare i mapping, fare clic su Save, Salva, nella parte superiore della sezione Attribute-Mapping, Mapping attributi.To save your mappings, click Save at the top of the Attribute-Mapping section.

    Portale di Azure

Di seguito sono riportati alcuni esempi di mapping degli attributi tra Workday e Active Directory, con alcune espressioni comuniBelow are some example attribute mappings between Workday and Active Directory, with some common expressions

  • L'espressione che esegue il mapping all'attributo parentDistinguishedName viene usata per effettuare il provisioning di un utente in diverse unità organizzative in base a uno o più attributi di origine di Workday.The expression that maps to the parentDistinguishedName attribute is used to provision a user to different OUs based on one or more Workday source attributes. L'esempio qui colloca gli utenti in diverse unità organizzative in base alla città in cui si trovano.This example here places users in different OUs based on what city they are in.

  • L'attributo userPrincipalName in Active Directory viene generato usando la funzione di deduplicazione SelectUniqueValue che controlla l'esistenza di un valore generato nel dominio di destinazione di AD e lo imposta solo se univoco.The userPrincipalName attribute in Active Directory is generated using the de-duplication function SelectUniqueValue that checks for existence of a generated value in the target AD domain and only sets it if it is unique.

  • La documentazione sulla scrittura di espressioni è disponibile qui.There is documentation on writing expressions here. Questa sezione include alcuni esempi di come rimuovere i caratteri speciali.This section includes examples on how to remove special characters.

ATTRIBUTO DI WORKDAYWORKDAY ATTRIBUTE ATTRIBUTO DI ACTIVE DIRECTORYACTIVE DIRECTORY ATTRIBUTE ID CORRISPONDENTE?MATCHING ID? CREAZIONE / AGGIORNAMENTOCREATE / UPDATE
WorkerIDWorkerID EmployeeIDEmployeeID Yes Scritto solo al momento della creazioneWritten on create only
PreferredNameDataPreferredNameData cncn Scritto solo al momento della creazioneWritten on create only
SelectUniqueValue (join ("@", join (".", [FirstName], [LastName]), "contoso.com"), join ("@", join (".", Mid ([FirstName], 1, 1 [), LastName]), "contoso.com"), join ("@", join (".", Mid [([FirstName], 1,2), LastName]), "contoso.com"))SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalNameuserPrincipalName Scritto solo al momento della creazioneWritten on create only
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$*$)", , "", , )Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$*$)", , "", , ) sAMAccountNamesAMAccountName Scritto solo al momento della creazioneWritten on create only
Switch([Active], , "0", "True", "1", "False")Switch([Active], , "0", "True", "1", "False") accountDisabledaccountDisabled Creazione e aggiornamentoCreate + update
FirstNameFirstName givenNamegivenName Creazione e aggiornamentoCreate + update
LastNameLastName snsn Creazione e aggiornamentoCreate + update
PreferredNameDataPreferredNameData displayNamedisplayName Creazione e aggiornamentoCreate + update
CompanyCompany companycompany Creazione e aggiornamentoCreate + update
SupervisoryOrganizationSupervisoryOrganization departmentdepartment Creazione e aggiornamentoCreate + update
ManagerReferenceManagerReference responsabilemanager Creazione e aggiornamentoCreate + update
BusinessTitleBusinessTitle titletitle Creazione e aggiornamentoCreate + update
AddressLineDataAddressLineData streetAddressstreetAddress Creazione e aggiornamentoCreate + update
MunicipalityMunicipality ll Creazione e aggiornamentoCreate + update
CountryReferenceTwoLetterCountryReferenceTwoLetter coco Creazione e aggiornamentoCreate + update
CountryReferenceTwoLetterCountryReferenceTwoLetter cc Creazione e aggiornamentoCreate + update
CountryRegionReferenceCountryRegionReference stst Creazione e aggiornamentoCreate + update
WorkSpaceReferenceWorkSpaceReference physicalDeliveryOfficeNamephysicalDeliveryOfficeName Creazione e aggiornamentoCreate + update
PostalCodePostalCode postalCodepostalCode Creazione e aggiornamentoCreate + update
PrimaryWorkTelephonePrimaryWorkTelephone telephoneNumbertelephoneNumber Creazione e aggiornamentoCreate + update
FaxFax facsimileTelephoneNumberfacsimileTelephoneNumber Creazione e aggiornamentoCreate + update
MobileMobile mobilemobile Creazione e aggiornamentoCreate + update
LocalReferenceLocalReference preferredLanguagepreferredLanguage Creazione e aggiornamentoCreate + update
Switch([Municipality], "OU=Standard Users,OU=Users,OU=Default,OU=Locations,DC=contoso,DC=com", "Dallas", "OU=Standard Users,OU=Users,OU=Dallas,OU=Locations,DC=contoso,DC=com", "Austin", "OU=Standard Users,OU=Users,OU=Austin,OU=Locations,DC=contoso,DC=com", "Seattle", "OU=Standard Users,OU=Users,OU=Seattle,OU=Locations,DC=contoso,DC=com", “London", "OU=Standard Users,OU=Users,OU=London,OU=Locations,DC=contoso,DC=com")Switch([Municipality], "OU=Standard Users,OU=Users,OU=Default,OU=Locations,DC=contoso,DC=com", "Dallas", "OU=Standard Users,OU=Users,OU=Dallas,OU=Locations,DC=contoso,DC=com", "Austin", "OU=Standard Users,OU=Users,OU=Austin,OU=Locations,DC=contoso,DC=com", "Seattle", "OU=Standard Users,OU=Users,OU=Seattle,OU=Locations,DC=contoso,DC=com", “London", "OU=Standard Users,OU=Users,OU=London,OU=Locations,DC=contoso,DC=com") parentDistinguishedNameparentDistinguishedName Creazione e aggiornamentoCreate + update

Dopo aver completato la configurazione di mapping di attributo, è ora possibile abilitare e avviare il servizio di provisioning utenti.Once your attribute mapping configuration is complete, you can now enable and launch the user provisioning service.

Configurazione del provisioning utenti in Azure ADConfiguring user provisioning to Azure AD

Le sezioni seguenti descrivono i passaggi per la configurazione del provisioning utenti da Workday ad Azure AD per le distribuzioni solo cloud.The following sections describe steps for configuring user provisioning from Workday to Azure AD for cloud-only deployments.

Importante

Eseguire la procedura seguente solo se sono presenti utenti solo cloud, di cui è necessario eseguire il provisioning in Azure AD e non in Active Directory locale.Only follow the procedure below if you have cloud-only users that need to be provisioned to Azure AD and not on-premises Active Directory.

Parte 1: aggiungere l'app del connettore di provisioning in Azure AD e creare la connessione a WorkdayPart 1: Adding the Azure AD provisioning connector app and creating the connection to Workday

Per configurare il provisioning da Workday ad Azure Active Directory per gli utenti solo cloud:To configure Workday to Azure Active Directory provisioning for cloud-only users:

  1. Passare a https://portal.azure.com.Go to https://portal.azure.com.

  2. Sulla barra di spostamento a sinistra selezionare Azure Active DirectoryIn the left navigation bar, select Azure Active Directory

  3. Selezionare Applicazioni aziendali e quindi Tutte le applicazioni.Select Enterprise Applications, then All Applications.

  4. Selezionare Aggiungere un'applicazione e quindi selezionare la categoria Tutto.Select Add an application, and then select the All category.

  5. Cercare Workday to Azure AD provisioning (Provisioning Workday in Azure AD) e aggiungere tale app dalla raccolta.Search for Workday to Azure AD provisioning, and add that app from the gallery.

  6. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare ProvisioningAfter the app is added and the app details screen is shown, select Provisioning

  7. Impostare Modalità di provisioning su AutomaticoChange the Provisioning Mode to Automatic

  8. Completare la sezione Credenziali amministratore come segue:Complete the Admin Credentials section as follows:

    • Nome utente amministratore: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant.Admin Username – Enter the username of the Workday integration system account, with the tenant domain name appended. Dovrebbe essere simile a: username@contoso4Should look something like: username@contoso4

    • Password dell'amministratore: immettere la password dell'account del sistema di integrazione WorkdayAdmin password – Enter the password of the Workday integration system account

    • URL del tenant: immettere l'URL dell'endpoint dei servizi Web Workday per il tenant.Tenant URL – Enter the URL to the Workday web services endpoint for your tenant. Questo valore dovrebbe essere simile a: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources, dove contoso4 è sostituito dal nome del tenant corretto e wd3-impl è sostituito dalla stringa di ambiente corretta.This value should look like: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources, where contoso4 is replaced with your correct tenant name and wd3-impl is replaced with the correct environment string. Se l'URL non è noto, determinare l'URL corretto da usare insieme al proprio partner di integrazione Workday o al supporto tecnico.If this URL is not known, please work with your Workday integration partner or support representative to determine the correct URL to use.

    • Indirizzo di posta elettronica per le notifiche: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".Notification Email – Enter your email address, and check the “send email if failure occurs” checkbox.

    • Fare clic sul pulsante Test connessione.Click the Test Connection button.

    • Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore.If the connection test succeeds, click the Save button at the top. In caso contrario, verificare che l'URL e le credenziali per Workday siano validi in Workday.If it fails, double-check that the Workday URL and credentials are valid in Workday.

Parte 2: Configurare i mapping degli attributi di Workday e Azure ADPart 2: Configure Workday and Azure AD attribute mappings

In questa sezione verrà configurato il flusso dei dati utente da Workday in Azure Active Directory per gli utenti solo cloud.In this section, you will configure how user data flows from Workday to Azure Active Directory for cloud-only users.

  1. Nella scheda Provisioning, in Mapping, fare clic su Synchronize Workers to Azure AD (Sincronizza lavoratori in Azure AD).On the Provisioning tab under Mappings, click Synchronize Workers to Azure AD.

  2. Nel campo Source Object Scope (Ambito dell'oggetto di origine) è possibile selezionare i set di utenti in Workday da includere nell'ambito per il provisioning in Azure AD, definendo un set di filtri basati su attributi.In the Source Object Scope field, you can select which sets of users in Workday should be in scope for provisioning to Azure AD, by defining a set of attribute-based filters. L'ambito predefinito è "tutti gli utenti in Workday".The default scope is “all users in Workday”. Filtri di esempio:Example filters:

    • Esempio: ambito per gli utenti con ID lavoratore compreso tra 1000000 e 2000000Example: Scope to users with Worker IDs between 1000000 and 2000000

      • Attributo: WorkerIDAttribute: WorkerID

      • Operator: REGEX Match (Corrispondenza REGEX)Operator: REGEX Match

      • Valore: (1[0-9][0-9][0-9][0-9][0-9][0-9])Value: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Esempio: solo i lavoratori occasionali, senza i dipendentiExample: Only contingent workers and not regular employees

      • Attributo: ContingentIDAttribute: ContingentID

      • Operator: NON È NULLOperator: IS NOT NULL

  3. Nel campo Target Object Actions (Azioni oggetto di destinazione) è possibile applicare un filtro a livello globale per le azioni che vengono eseguite in Azure AD.In the Target Object Actions field, you can globally filter what actions are performed on Azure AD. Create (Crea) e Update (Aggiorna) sono le più comuni.Create and Update are most common.

  4. Nella sezione Mapping attributi è possibile definire il mapping dei singoli attributi di Workday agli attributi di Active Directory.In the Attribute mappings section, you can define how individual Workday attributes map to Active Directory attributes.

  5. Fare clic su un mapping di attributi esistente per aggiornarlo oppure fare clic su Aggiungi nuovo mapping nella parte inferiore della schermata per aggiungere nuovi mapping.Click on an existing attribute mapping to update it, or click Add new mapping at the bottom of the screen to add new mappings. Il mapping di un singolo attributo supporta queste proprietà:An individual attribute mapping supports these properties:

    • Tipo di mappingMapping Type

      • Direct (Diretto): scrive il valore dell'attributo di Workday nell'attributo di AD, senza modificheDirect – Writes the value of the Workday attribute to the AD attribute, with no changes

      • Costant (Costante): scrive un valore stringa costante statico nell'attributo di ADConstant - Write a static, constant string value to the AD attribute

      • Espressione: consente di scrivere un valore personalizzato per l'attributo di Active Directory, in base a uno o più attributi di Workday.Expression – Allows you to write a custom value to the AD attribute, based on one or more Workday attributes. Per altre informazioni, vedere questo articolo sulle espressioni.For more info, see this article on expressions.

    • Attributo di origine: l'attributo utente in Workday.Source attribute - The user attribute from Workday. Se l'attributo che si sta cercando non è presente, vedere Personalizzazione dell'elenco di attributi utente di Workday.If the attribute you are looking for is not present, see Customizing the list of Workday user attributes.

    • Valore predefinito: facoltativo.Default value – Optional. Se l'attributo di origine ha un valore vuoto, il mapping eseguirà la scrittura di questo valore.If the source attribute has an empty value, the mapping will write this value instead. Nella maggior parte delle configurazioni questo campo viene lasciato vuoto.Most common configuration is to leave this blank.

    • Attributo di destinazione: l'attributo utente in Azure AD.Target attribute – The user attribute in Azure AD.

    • Match objects using this attribute (Abbina gli oggetti in base a questo attributo): specifica se questo mapping deve essere usato per l'identificazione univoca degli utenti tra Workday e Azure AD.Match objects using this attribute – Whether or not this attribute should be used to uniquely identify users between Workday and Azure AD. Questo valore è impostato in genere sul campo ID ruolo di lavoro per Workday, che solitamente è associato all'attributo ID dipendente (nuovo) o a un attributo di estensione in Azure AD.This value is typically set on the Worker ID field for Workday, which is typically mapped to the Employee ID attribute (new) or an extension attribute in Azure AD.

    • Precedenza abbinamento: è possibile impostare più attributi corrispondenti.Matching precedence – Multiple matching attributes can be set. Se sono presenti più attributi, vengono valutati nell'ordine definito da questo campo.When there are multiple, they are evaluated in the order defined by this field. Quando viene rilevata una corrispondenza la valutazione degli attributi corrispondenti termina.As soon as a match is found, no further matching attributes are evaluated.

    • Applica questo mappingApply this mapping

      • Sempre: applica il mapping sia all'azione di creazione che all'azione di aggiornamento dell'utenteAlways – Apply this mapping on both user creation and update actions

      • Only during creation (Solo durante la creazione): applica il mapping solo alle azioni di creazione dell'utenteOnly during creation - Apply this mapping only on user creation actions

  6. Per salvare i mapping, fare clic su Salva nella parte superiore della sezione Mapping attributi.To save your mappings, click Save at the top of the Attribute-Mapping section.

Dopo aver completato la configurazione di mapping di attributo, è ora possibile abilitare e avviare il servizio di provisioning utenti.Once your attribute mapping configuration is complete, you can now enable and launch the user provisioning service.

Configurazione del writeback degli attributi Azure AD per la giornata lavorativaConfiguring Azure AD attribute writeback to Workday

Seguire queste istruzioni per configurare il writeback degli indirizzi di posta elettronica dell'utente e il nome utente da Azure Active Directory a giornata lavorativa.Follow these instructions to configure writeback of user email addresses and username from Azure Active Directory to Workday.

Parte 1: Aggiungere l'app del connettore Writeback e creare la connessione a WorkdayPart 1: Adding the Writeback connector app and creating the connection to Workday

Per configurare il connettore di Workday Writeback:To configure Workday Writeback connector:

  1. Passare a https://portal.azure.com.Go to https://portal.azure.com

  2. Sulla barra di spostamento a sinistra selezionare Azure Active DirectoryIn the left navigation bar, select Azure Active Directory

  3. Selezionare Applicazioni aziendali e quindi Tutte le applicazioni.Select Enterprise Applications, then All Applications.

  4. Selezionare Aggiungere un'applicazione e quindi selezionare la categoria Tutto.Select Add an application, then select the All category.

  5. Cercare Workday Writeback (Writeback Workday) e aggiungere tale applicazione dalla raccolta.Search for Workday Writeback, and add that app from the gallery.

  6. Dopo avere aggiunto l'app e visualizzato la schermata dei dettagli dell'app, selezionare ProvisioningAfter the app is added and the app details screen is shown, select Provisioning

  7. Impostare Modalità di provisioning su AutomaticoChange the Provisioning Mode to Automatic

  8. Completare la sezione Credenziali amministratore come segue:Complete the Admin Credentials section as follows:

    • Nome utente amministratore: immettere il nome utente dell'account del sistema di integrazione Workday, aggiungendo il nome di dominio del tenant.Admin Username – Enter the username of the Workday integration system account, with the tenant domain name appended. Dovrebbe avere un aspetto simile al seguente: username@contoso4Should look something like: username@contoso4

    • Password dell'amministratore: immettere la password dell'account del sistema di integrazione WorkdayAdmin password – Enter the password of the Workday integration system account

    • URL tenant: immettere l'URL dell'endpoint dei servizi Web Workday per il tenant.Tenant URL – Enter the URL to the Workday web services endpoint for your tenant. Dovrebbe essere simile a: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources, dove contoso4 è sostituito dal nome del tenant corretto e wd3-impl è sostituito dalla stringa di ambiente corretta (se necessario).This value should look like: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources, where contoso4 is replaced with your correct tenant name and wd3-impl is replaced with the correct environment string (if necessary).

    • Indirizzo di posta elettronica per le notifiche: immettere l'indirizzo di posta elettronica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".Notification Email – Enter your email address, and check the “send email if failure occurs” checkbox.

    • Fare clic sul pulsante Test connessione.Click the Test Connection button. Se il test della connessione ha esito positivo, fare clic sul pulsante Salva nella parte superiore.If the connection test succeeds, click the Save button at the top. In caso contrario, verificare che l'URL e le credenziali per Workday siano validi in Workday.If it fails, double-check that the Workday URL and credentials are valid in Workday.

Parte 2: Configurare i mapping degli attributi di writebackPart 2: Configure writeback attribute mappings

In questa sezione si configurerà il flusso degli attributi writeback da Azure AD a Workday.In this section, you will configure how writeback attributes flow from Azure AD to Workday. Attualmente, il connettore supporta solo il writeback dell'indirizzo di posta elettronica e il nome utente per la giornata lavorativa.At present, the connector only supports writeback of email address and username to Workday.

  1. Nella scheda Provisioning, in Mapping, fare clic su Synchronize Azure AD Users to Workday (Sincronizza utenti Azure AD in Workday).On the Provisioning tab under Mappings, click Synchronize Azure Active Directory Users to Workday.

  2. Nel campo Source Object Scope (Ambito dell'oggetto di origine) è possibile scegliere di filtrare i set di utenti di Azure Active Directory di cui eseguire il writeback degli indirizzi di posta elettronica in Workday.In the Source Object Scope field, you can optionally filter, which sets of users in Azure Active Directory should have their email addresses written back to Workday. L'ambito predefinito è "tutti gli utenti in Azure AD".The default scope is “all users in Azure AD”.

  3. Nella sezione Mapping degli attributi, aggiornare l'ID corrispondente per indicare l'attributo in Azure Active Directory in cui è memorizzato l'ID del ruolo di lavoro Workday o l'ID del dipendente.In the Attribute mappings section, update the matching ID to indicate the attribute in Azure Active Directory where the Workday worker ID or employee ID is stored. Un metodo comune per garantire la corrispondenza è sincronizzare l'ID lavoratore o l'ID dipendente di Workday in extensionAttribute1-15 in Azure AD e quindi usare questo attributo in Azure AD per associare gli utenti in Workday.A popular matching method is to synchronize the Workday worker ID or employee ID to extensionAttribute1-15 in Azure AD, and then use this attribute in Azure AD to match users back in Workday.

  4. In genere è possibile eseguire il mapping dell'attributo Azure AD userPrincipalName all'attributo userid di giornata lavorativa ed eseguire il mapping dell'attributo Azure ad mail all'attributo EmailAddress giornoTypically you map the Azure AD userPrincipalName attribute to Workday UserID attribute and map the Azure AD mail attribute to the Workday EmailAddress attribute. Per salvare i mapping, fare clic su Salva nella parte superiore della sezione Mapping attributi.To save your mappings, click Save at the top of the Attribute-Mapping section.

Dopo aver completato la configurazione di mapping di attributo, è ora possibile abilitare e avviare il servizio di provisioning utenti.Once your attribute mapping configuration is complete, you can now enable and launch the user provisioning service.

Abilitare e avviare il provisioning utentiEnable and launch user provisioning

Dopo aver completato le configurazioni dell'app di provisioning Workday, è possibile attivare il servizio di provisioning nel portale di Azure.Once the Workday provisioning app configurations have been completed, you can turn on the provisioning service in the Azure portal.

Suggerimento

Per impostazione predefinita quando si attiva il servizio di provisioning, verranno avviate le operazioni di provisioning per tutti gli utenti nell'ambito.By default when you turn on the provisioning service, it will initiate provisioning operations for all users in scope. Se sono presenti errori di mapping o problemi di dati in Workday, il processo di provisioning potrebbe non riuscire e passare allo stato di quarantena.If there are errors in the mapping or Workday data issues, then the provisioning job might fail and go into the quarantine state. Come procedura consigliata per evitare questo problema è consigliabile configurare il filtro Source Object Scope (Ambito dell'oggetto di origine) e il test di mapping degli attributi con alcuni utenti test prima di avviare la sincronizzazione completa per tutti gli utenti.To avoid this, as a best practice, we recommend configuring Source Object Scope filter and testing your attribute mappings with a few test users before launching the full sync for all users. Dopo avere verificato che i mapping funzionino e che restituiscano i risultati desiderati è possibile rimuovere il filtro o espanderlo gradualmente in modo da includere altri utenti.Once you have verified that the mappings work and are giving you the desired results, then you can either remove the filter or gradually expand it to include more users.

  1. Nella scheda Provisioning impostare Stato provisioning su Attivato.In the Provisioning tab, set the Provisioning Status to On.

  2. Fare clic su Save.Click Save.

  3. Questa operazione avvierà la sincronizzazione iniziale, che può richiedere un numero variabile di ore a seconda del numero di utenti nel tenant di Workday.This operation will start the initial sync, which can take a variable number of hours depending on how many users are in the Workday tenant.

  4. In qualsiasi momento è possibile controllare la scheda Log di controllo nel portale di Azure per vedere le azioni che sono state eseguite dal servizio di provisioning.At any time, check the Audit logs tab in the Azure portal to see what actions the provisioning service has performed. I log di controllo elencano tutti i singoli eventi di sincronizzazione eseguiti dal servizio di provisioning, ad esempio quali utenti vengono letti da Workday e successivamente aggiunti o aggiornati in Active Directory.The audit logs lists all individual sync events performed by the provisioning service, such as which users are being read out of Workday and then subsequently added or updated to Active Directory. Vedere la sezione Troubleshooting (Risoluzione dei problemi) per istruzioni su come esaminare i log di controllo e correggere gli errori di provisioning.Refer to the Troubleshooting section for instructions on how to review the audit logs and fix provisioning errors.

  5. Al termine della sincronizzazione iniziale, verrà scritto un report di riepilogo di controllo nella scheda Provisioning, come illustrato di seguito.Once the initial sync is completed, it will write an audit summary report in the Provisioning tab, as shown below.

    Portale di Azure

Domande frequentiFrequently Asked Questions (FAQ)

Domande relative alla funzionalità di soluzioneSolution capability questions

Durante l'elaborazione di una nuova assunzione da Workday, come viene impostata la password per il nuovo account utente in Active Directory?When processing a new hire from Workday, how does the solution set the password for the new user account in Active Directory?

Quando l'agente di provisioning locale ottiene una richiesta per creare un nuovo account di AD, viene generata automaticamente una password casuale complessa progettata per soddisfare i requisiti di complessità delle password definiti dal server AD e la imposta per l'oggetto utente.When the on-premises provisioning agent gets a request to create a new AD account, it automatically generates a complex random password designed to meet the password complexity requirements defined by the AD server and sets this on the user object. Questa password non viene registrata in un punto qualsiasi.This password is not logged anywhere.

La soluzione supporta l'invio di notifiche di posta elettronica dopo il completamento di operazioni di provisioning?Does the solution support sending email notifications after provisioning operations complete?

No, l'invio di notifiche tramite posta elettronica dopo il completamento delle operazioni di provisioning non è supportato nella versione corrente.No, sending email notifications after completing provisioning operations is not supported in the current release.

Come gestire la distribuzione delle password per le nuove assunzioni e fornire in modo sicuro un meccanismo per reimpostare le password?How do I manage delivery of passwords for new hires and securely provide a mechanism to reset their password?

Uno dei passaggi finali coinvolti nel provisioning di un nuovo account AD è il recapito della password temporanea assegnata all'account AD dell'utente.One of the final steps involved in new AD account provisioning is the delivery of the temporary password assigned to the user’s AD account. Molte aziende usano ancora l'approccio tradizionale: fornire la password temporanea al manager dell'utente, che la trasmette alla nuova assunzione o al lavoratore occasionale.Many enterprises still use the traditional approach of delivering the temporary password to the user’s manager, who then hands over the password to the new hire/contingent worker. Questo processo ha un difetto intrinseco nel sistema di sicurezza; è presente un'opzione per implementare un migliore approccio usando le funzionalità di Azure AD.This process has an inherent security flaw and there is an option available to implement a better approach using Azure AD capabilities.

Come parte del processo di assunzione, i team delle risorse umane in genere eseguono una verifica delle attività precedenti ed esaminano attentamente il numero di telefono cellulare delle nuove assunzioni.As part of the hiring process, HR teams usually run a background check and vet the mobile number of the new hire. Inoltre, con l'integrazione del provisioning utenti da Workday ad Active Directory, è possibile compilare e implementare una funzionalità di reimpostazione della password self-service per l'utente durante il suo primo giorno di lavoro.With the Workday to AD User Provisioning integration, you can build on top of this fact and rollout a self-service password reset capability for the user on Day 1. Questa operazione si ottiene propagando l'attributo "Mobile Number" (Numero di telefono cellulare) della nuova assunzione da Workday ad AD e quindi da AD ad Azure AD mediante AAD Connect.This is accomplished by propagating the “Mobile Number” attribute of the new hire from Workday to AD and then from AD to Azure AD using AAD Connect. Una volta che "Numero di telefono cellulare" è presente in Azure AD è possibile abilitare la reimpostazione della password self-service (SSPR) per conto dell'utente, così che durante il suo primo giorno, la nuova assunzione possa usare il numero di dispositivo mobili registrato e verificato per l'autenticazione.Once the “Mobile Number” is present in Azure AD, you can enable the Self-Service Password Reset (SSPR) for the user’s account, so that on Day 1, a new hire can use the registered and verified mobile number for authentication.

La soluzione memorizza nella cache i profili utente di Workday sul cloud di Azure AD o a livello di agente di provisioning?Does the solution cache Workday user profiles in the Azure AD cloud or at the provisioning agent layer?

No, la soluzione non gestisce una cache di profili utente.No, the solution does not maintain a cache of user profiles. Il servizio di provisioning di Azure AD funge semplicemente da elaboratore dati, leggendo i dati di Workday e scrivendoli nelle destinazioni Active Directory o Azure AD.The Azure AD provisioning service simply acts as a data processor, reading data from Workday and writing to the target Active Directory or Azure AD. Vedere la sezione Managing personal data (Gestione dei dati personali) per dettagli relativi alla privacy e alla conservazione dei dati dell'utente.See the section Managing personal data for details related to user privacy and data retention.

La soluzione supporta l'assegnazione in locale di gruppi di AD all'utente?Does the solution support assigning on-premises AD groups to the user?

Questa funzionalità non è attualmente supportata.This functionality is not supported currently. La soluzione consigliata è l'implementazione di uno script di PowerShell che interroga l'endpoint dell'API Azure AD Graph per i dati del log di controllo e li usa per attivare scenari come l'assegnazione dei gruppi.Recommended workaround is to deploy a PowerShell script that queries the Azure AD Graph API endpoint for audit log data and use that to trigger scenarios such as group assignment. Questo script di PowerShell può essere collegato a un'utilità di pianificazione e distribuito nella stessa finestra in cui è in esecuzione l'agente di provisioning.This PowerShell script can be attached to a task scheduler and deployed on the same box running the provisioning agent.

Quali API di Workday vengono usate dalla soluzione per eseguire query e aggiornare i profili dei ruoli di lavoro in Workday?Which Workday APIs does the solution use to query and update Workday worker profiles?

La soluzione attualmente usa le API di Workday seguenti:The solution currently uses the following Workday APIs:

  • Get_Workers (v21.1) per il recupero di informazioni relative al lavoratoreGet_Workers (v21.1) for fetching worker information
  • Maintain_Contact_Information (v26.1) per la funzionalità di Writeback dell'indirizzo di posta elettronica di lavoroMaintain_Contact_Information (v26.1) for the Work Email Writeback feature
  • Update_Workday_Account (v 31,2) per la funzionalità di writeback dei nomi utenteUpdate_Workday_Account (v31.2) for Username Writeback feature

È possibile configurare il tenant di Workday HCM con due tenant di Azure AD?Can I configure my Workday HCM tenant with two Azure AD tenants?

Sì, questa configurazione è supportata.Yes, this configuration is supported. Ecco i passaggi di livello elevato per configurare questo scenario:Here are the high level steps to configure this scenario:

  • Distribuire l'agente di provisioning n. 1 e registrarlo con il tenant n. 1 di Azure AD.Deploy provisioning agent #1 and register it with Azure AD tenant #1.
  • Distribuire l'agente di provisioning n. 2 e registrarlo con il tenant n. 2 di Azure AD.Deploy provisioning agent #2 and register it with Azure AD tenant #2.
  • Configurare ogni agente con i domini, sulla base dei "Sottodomini" che verranno gestiti da ogni agente di provisioning.Based on the "Child Domains" that each Provisioning Agent will manage, configure each agent with the domain(s). Un agente può gestire più domini.One agent can handle multiple domains.
  • Nel portale di Azure, impostare l'app Workday to Azure AD User Provisioning in ogni tenant e configurarla con i rispettivi domini.In Azure portal, setup the Workday to AD User Provisioning App in each tenant and configure it with the respective domains.

Come mai l'app di provisioning utenti "Workday to Azure AD" non è supportata se è stata distribuita Azure AD Connect?Why "Workday to Azure AD" user provisioning app is not supported if we have deployed Azure AD Connect?

Quando Azure AD viene usato in una modalità ibrida (che contiene una combinazione di utenti cloud e locali), è importante disporre di una definizione chiara di "origine dell'autorità".When Azure AD is used in hybrid mode (where it contains a mix of cloud + on-premises users), it's important to have a clear definition of "source of authority". In genere gli scenari ibridi richiedono la distribuzione di Azure AD Connect.Typically hybrid scenarios require deployment of Azure AD Connect. Dopo aver distribuito Azure AD Connect, AD locale diventa l'origine dell'autorità.When Azure AD Connect is deployed, on-premises AD is the source of authority. L'introduzione alla combinazione del connettore di Workday to Azure AD può causare una situazione in cui i valori attributo di Workday possono potenzialmente sovrascrivere i valori impostati da Azure AD Connect.Introducing the Workday to Azure AD connector into the mix can lead to a situation where Workday attribute values could potentially overwrite the values set by Azure AD Connect. Di conseguenza l'app di provisioning utenti "Workday to Azure AD" non è supportata quando viene abilitato Azure AD Connect.Hence use of "Workday to Azure AD" provisioning app is not supported when Azure AD Connect is enabled. In tali situazioni, è consigliabile usare l'app di provisioning utenti "Workday to AD" per recuperare gli utenti nell'AD locale e sincronizzarli in Azure AD con Azure AD Connect.In such situations, we recommend using "Workday to AD User" provisioning app for getting users into on-premises AD and then syncing them into Azure AD using Azure AD Connect.

I commenti sono molto apprezzati, perché aiutano a stabilire la direzione per miglioramenti e versioni future.Your feedback is highly valued as it helps us set the direction for the future releases and enhancements. Tutti i commenti e suggerimenti sono i benvenuti. Microsoft invita a sottoporre idee o suggerimenti di miglioramento nel forum dei commenti e suggerimenti di Azure Active Directory.We welcome all feedback and encourage you to submit your idea or improvement suggestion in the feedback forum of Azure AD. Per feedback specifici relativi all'integrazione di Workday, selezionare la categoria SaaS Applications (Applicazioni SaaS) ed effettuare la ricerca usando le parole chiave Workday per commenti e suggerimenti relativi a Workday.For specific feedback related to the Workday integration, select the category SaaS Applications and search using the keywords Workday to find existing feedback related to the Workday.

App SaaS di UserVoice

Workday UserVoice

Quando si suggerisce una nuova idea, verificare se altri utenti hanno già suggerito una funzionalità simile.When suggesting a new idea, please check to see if someone else has already suggested a similar feature. In tal caso, è possibile votare a favore della richiesta di funzionalità o miglioramento.In that case, you can up vote the feature or enhancement request. È anche possibile lasciare un commento riguardante il caso d'uso specifico per mostrare il supporto all'idea e dimostrare in che modo la funzionalità potrebbe essere utile per il proprio contesto.You can also leave a comment regarding your specific use case to show your support for the idea and demonstrate how the feature will be valuable for you too.

Domande relative all'agente di provisioningProvisioning Agent questions

Qual è la versione disponibile a livello generale dell'agente di provisioning?What is the GA version of the Provisioning Agent?

  • Le versioni disponibili a livello generale dell'agente di provisioning sono la 1.1.30 e successive.The GA version of the Provisioning Agent is 1.1.30 and above.
  • Se la versione dell'agente è precedente alla 1.1.30, si esegue la versione di anteprima pubblica che verrà automaticamente aggiornata alla versione disponibile a livello generale se il server che ospita l'agente dispone di runtime .NET 4.7.1.If your agent version is less than 1.1.30, you are running the public preview version and it will automatically be updated to the GA version if the server hosting the agent has .NET 4.7.1 runtime.

Come capire la versione dell'agente di provisioning?How do I know the version of my Provisioning Agent?

  • Accedere al server Windows in cui è installato l'agente di provisioning.Sign in to the Windows server where the Provisioning Agent is installed.

  • Passare al menu Pannello di controllo -> Disinstalla o modifica programmaGo to Control Panel -> Uninstall or Change a Program menu

  • Cercare la versione corrispondente alla voce Microsoft Azure AD Connect Provisioning Agent (Agente di provisioning Microsoft Azure AD Connect)Look for the version corresponding to the entry Microsoft Azure AD Connect Provisioning Agent

    Portale di Azure

Microsoft esegue automaticamente il push degli aggiornamenti dell'agente di provisioning?Does Microsoft automatically push Provisioning Agent updates?

Sì, Microsoft esegue automaticamente gli aggiornamenti dell'agente di provisioning.Yes, Microsoft automatically updates the provisioning agent. È possibile disabilitare gli aggiornamenti automatici arrestando il servizio di Windows Microsoft Azure AD Connect Agent Updater (Updater agente Microsoft Azure AD Connect)You can disable automatic updates by stopping the Windows service Microsoft Azure AD Connect Agent Updater.

È possibile installare l'agente di provisioning nello stesso server in cui è in esecuzione AAD Connect?Can I install the Provisioning Agent on the same server running AAD Connect?

Sì, è possibile installare l'agente di provisioning nello stesso server in cui è in esecuzione AAD Connect.Yes, you can install the Provisioning Agent on the same server that runs AAD Connect.

Al momento della configurazione, l'agente di provisioning richiede le credenziali di amministratore di Azure AD.At the time of configuration the Provisioning Agent prompts for Azure AD admin credentials. L'agente archivia le credenziali in locale nel server?Does the Agent store the credentials locally on the server?

Al momento della configurazione, l'agente di provisioning richiede le credenziali di amministratore di Azure AD solo per la connessione al tenant di Azure AD.During configuration, the Provisioning Agent prompts for Azure AD admin credentials only to connect to your Azure AD tenant. L'agente non archivia le credenziali in locale nel server.It does not store the credentials locally on the server. Tuttavia mantiene le credenziali usate per connettersi al dominio locale di Active Directory in un insieme di credenziali delle password di Windows locale.However it does retain the credentials used to connect to the on-premises Active Directory domain in a local Windows password vault.

Come si configura l'agente di provisioning in modo da usare un server proxy per la comunicazione HTTP in uscita?How do I configure the Provisioning Agent to use a proxy server for outbound HTTP communication?

L'agente di provisioning supporta l'utilizzo di proxy in uscita.The Provisioning Agent supports use of outbound proxy. È possibile configurarlo modificando il file di configurazione dell'agente c:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Aggiungere le righe seguenti, verso la fine del file appena prima del tag di chiusura </configuration>.You can configure it by editing the agent config file C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Add the following lines into it, towards the end of the file just before the closing </configuration> tag. Sostituire le variabili [server proxy] e [proxy-port] con il nome del server proxy e i valori della porta.Replace the variables [proxy-server] and [proxy-port] with your proxy server name and port values.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Come garantire che l'agente di provisioning sia in grado di comunicare con il tenant di Azure AD e che nessun firewall blocchi le porte richieste dall'agente?How do I ensure that the Provisioning Agent is able to communicate with the Azure AD tenant and no firewalls are blocking ports required by the agent?

È anche possibile controllare se tutte le porte necessarie sono aperte aprendo lo strumento di test delle porte del connettore dalla rete locale.You can also check whether you have all the required ports open by opening the Connector Ports Test Tool from your on premises network. La presenza di più segni di spunta verdi indica una maggiore resilienza.More green checkmarks means greater resiliency.

Per assicurarsi che lo strumento fornisca i risultati corretti, accertarsi di:To make sure the tool gives you the right results, be sure to:

  • Aprire lo strumento in un browser dal server in cui è installato l'agente di provisioning.Open the tool on a browser from the server where you have installed the Provisioning Agent.
  • Assicurarsi che qualsiasi proxy o firewall applicabile all'agente di provisioning venga applicato anche a questa pagina.Ensure that any proxies or firewalls applicable to your Provisioning Agent are also applied to this page. Questa operazione può essere eseguita in Internet Explorer passando a Impostazioni-> Opzioni Internet-> connessioni-> impostazioni LAN.This can be done in Internet Explorer by going to Settings -> Internet Options -> Connections -> LAN Settings. In questa pagina viene visualizzato il campo "Usa un server di proxy per la rete LAN".On this page, you see the field "Use a Proxy Server for your LAN". Selezionare questa casella e inserire l'indirizzo del proxy nel campo "Indirizzo".Select this box, and put the proxy address into the "Address" field.

Un agente di provisioning può essere configurato per effettuare il provisioning di più domini di Active Directory?Can one Provisioning Agent be configured to provision multiple AD domains?

Sì, un agente di provisioning può essere configurato per gestire più domini di AD purché l'agente comunichi con i controller di dominio corrispondenti.Yes, one Provisioning Agent can be configured to handle multiple AD domains as long as the agent has line of sight to the respective domain controllers. Microsoft consiglia di configurare un gruppo di 3 agenti di provisioning che gestiscono lo stesso set di domini di Active Directory per garantire la disponibilità elevata e fornire supporto in caso di failover.Microsoft recommends setting up a group of 3 provisioning agents serving the same set of AD domains to ensure high availability and provide fail over support.

Come annullare la registrazione del dominio associato all'agente di provisioning?How do I de-register the domain associated with my Provisioning Agent?

  • Recuperare l'ID tenant del tenant di Azure AD dal portale di Azure.From the Azure portal, get the tenant ID of your Azure AD tenant.

  • Accedere al server Windows in cui è in esecuzione l'agente di provisioning.Sign in to the Windows server running the Provisioning Agent.

  • Aprire PowerShell come amministratore di Windows.Open PowerShell as Windows Administrator.

  • Passare alla directory contenente gli script di registrazione ed eseguire i comandi seguenti sostituendo il parametro [ID tenant ] con il valore dell'ID tenant.Change to the directory containing the registration scripts and run the following commands replacing the [tenant ID] parameter with the value of your tenant ID.

    cd “C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder”
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\AppProxyPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • Nell'elenco di agenti che vengono visualizzati: copiare il valore del campo "id" dalla risorsa la cui proprietà resourceName è uguale al nome di dominio Active Directory.From the list of agents that appear – copy the value of the "id" field from that resource whose resourceName equals to your AD domain name.

  • Incollare il valore ID in questo comando ed eseguire il comando in PowerShell.Paste the ID value into this command and execute the command in PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • Avviare la configurazione guidata dell'agente.Rerun the Agent configuration wizard.

  • Tutti gli altri agenti assegnati precedentemente a questo dominio dovranno essere riconfigurati.Any other agents, that were previously assigned to this domain will need to be reconfigured.

Come si disinstalla l'agente di provisioning?How do I uninstall the Provisioning Agent?

  • Accedere al server Windows in cui è installato l'agente di provisioning.Sign in to the Windows server where the Provisioning Agent is installed.
  • Passare al menu Pannello di controllo -> Disinstalla o modifica programmaGo to Control Panel -> Uninstall or Change a Program menu
  • Disinstallare i programmi seguenti:Uninstall the following programs:
    • Microsoft Azure AD Connect Provisioning AgentMicrosoft Azure AD Connect Provisioning Agent
    • Microsoft Azure AD Connect Agent UpdaterMicrosoft Azure AD Connect Agent Updater
    • Microsoft Azure AD Connect Provisioning Agent PackageMicrosoft Azure AD Connect Provisioning Agent Package

Domande relative al mapping attributi e alla configurazione da Workday ad Active DirectoryWorkday to AD attribute mapping and configuration questions

Come eseguire il backup o esportare una copia di lavoro del mapping attributi di provisioning e schema di Workday?How do I back up or export a working copy of my Workday Provisioning Attribute Mapping and Schema?

È possibile usare l'API Microsoft Graph per esportare la configurazione del provisioning utenti di Workday.You can use Microsoft Graph API to export your Workday User Provisioning configuration. Vedere i passaggi descritti nella sezione Exporting and Importing your Workday User Provisioning Attribute Mapping configuration (Esportare e importare la configurazione del mapping attributi di provisioning utenti di Workday) per informazioni dettagliate.Refer to the steps in the section Exporting and Importing your Workday User Provisioning Attribute Mapping configuration for details.

Avere attributi personalizzati in Workday e Azure Active Directory.I have custom attributes in Workday and Active Directory. Come si configura il corretto funzionamento con gli attributi personalizzati della soluzione?How do I configure the solution to work with my custom attributes?

La soluzione supporta gli attributi personalizzati di Workday e Active Directory.The solution supports custom Workday and Active Directory attributes. Per aggiungere attributi personalizzati allo schema di mapping, aprire il pannello Attribute Mapping (Mapping degli attributi) e scorrere verso il basso per espandere la sezione Show advanced options (Mostra opzioni avanzate).To add your custom attributes to the mapping schema, open the Attribute Mapping blade and scroll down to expand the section Show advanced options.

Modifica elenco attributi

Per aggiungere gli attributi di Workday personalizzati, selezionare l'opzione Edit attribute list for Workday (Modifica elenco attributi per Workday); per aggiungere attributi AD personalizzati, selezionare l'opzione Edit attribute list for On Premises Active Directory (Modifica elenco attributi per Active Directory locale).To add your custom Workday attributes, select the option Edit attribute list for Workday and to add your custom AD attributes, select the option Edit attribute list for On Premises Active Directory.

Vedere anche la pagina relativa allaSee also:

Come si configura la soluzione per aggiornare solo gli attributi in Active Directory in base ai cambiamenti di Workday per non creare nuovi account Active Directory?How do I configure the solution to only update attributes in AD based on Workday changes and not create any new AD accounts?

Questa configurazione può essere ottenuta impostando Azioni oggetto di destinazione nel pannello Mapping degli attributi come illustrato di seguito:This configuration can be achieved by setting the Target Object Actions in the Attribute Mappings blade as shown below:

Aggiorna azione

Selezionare la casella di controllo "Update" (Aggiorna) solo per le operazioni di aggiornamento da Workday ad Active Directory.Select the checkbox "Update" for only update operations to flow from Workday to AD.

È possibile effettuare il provisioning delle foto dell'utente da Workday ad Active Directory?Can I provision user's photo from Workday to Active Directory?

La soluzione attualmente non supporta l'impostazione di attributi binari come thumbnailPhoto e jpegPhoto in Active Directory.The solution currently does not support setting binary attributes such as thumbnailPhoto and jpegPhoto in Active Directory.

  • Passare al pannello "Provisioning" dell'app di provisioning Workday.Go the "Provisioning" blade of your Workday Provisioning App.

  • Fare clic sui mapping degli attributiClick on the Attribute Mappings

  • In Mapping selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza ruoli di lavoro Workday in Active Directory locale) o Synchronize Workers to Azure AD (Sincronizza ruoli di lavoro Workday in Azure AD).Under Mappings, select Synchronize Workday Workers to On Premises Active Directory (or Synchronize Workday Workers to Azure AD).

  • Nella pagina dei mapping degli attributi, scorrere verso il basso e selezionare la casella "Show Advanced Options" (Mostra opzioni avanzate).On the Attribute Mappings page, scroll down and check the box "Show Advanced Options". Selezionare Edit attribute list for Workday (Modifica elenco attributi per Workday)Click on Edit attribute list for Workday

  • Nel pannello visualizzato, individuare l'attributo "Mobile" e fare clic sulla riga in modo che sia possibile modificare l'espressione API GDPR per dispositivi mobiliIn the blade that opens up, locate the "Mobile" attribute and click on the row so you can edit the API Expression Mobile GDPR

  • Sostituire l'espressione API con la nuova espressione seguente, che recupera il numero del cellulare di lavoro solo se "Public Usage Flag" (Flag di utilizzo pubblico) è impostato su "True" in Workday.Replace the API Expression with the following new expression, which retrieves the work mobile number only if the "Public Usage Flag" is set to "True" in Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • Salvare l'elenco attributi.Save the Attribute List.

  • Salvare il mapping attributi.Save the Attribute Mapping.

  • Cancellare lo stato corrente e riavviare la sincronizzazione completa.Clear current state and restart the full sync.

Come si formattano i nomi visualizzati in AD in base agli attributi di reparto, paese o città e come si gestiscono le variazioni di area?How do I format display names in AD based on the user’s department/country/city attributes and handle regional variances?

Si tratta di un requisito comune per configurare l'attributo DisplayName in Active Directory in modo che fornisca anche informazioni sul reparto e il paese dell'utente.It is a common requirement to configure the displayName attribute in AD so that it also provides information about the user's department and country/region. Ad esempio, se John Smith lavora nel reparto Marketing negli Stati Uniti, è consigliabile che il suo displayName compaia come Smith, John (Marketing-US) .For e.g. if John Smith works in the Marketing Department in US, you might want his displayName to show up as Smith, John (Marketing-US).

Di seguito viene illustrato come è possibile gestire tali requisiti per la costruzione di CN o DisplayName per includere attributi quali azienda, business unit, città o paese/area geografica.Here is how you can handle such requirements for constructing CN or displayName to include attributes such as company, business unit, city, or country/region.

  • Ogni attributo di Workday viene recuperato usando un'espressione XPATH API sottostante che può essere configurata in Attribute Mapping -> Advanced Section -> Edit attribute list for Workday (Mapping degli attributi -> sezione Avanzate -> Modifica elenco attributi per Workday).Each Workday attribute is retrieved using an underlying XPATH API expression, which is configurable in Attribute Mapping -> Advanced Section -> Edit attribute list for Workday. Ecco l'espressione XPATH API predefinita per Workday PreferredFirstName, PreferredLastName, Company (Azienda) e attributi SupervisoryOrganization.Here is the default XPATH API expression for Workday PreferredFirstName, PreferredLastName, Company and SupervisoryOrganization attributes.

    Attributo di WorkdayWorkday Attribute Espressione API XPATHAPI XPATH Expression
    PreferredFirstNamePreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastNamePreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    SocietàCompany wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptorwd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganizationSupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Confermare assieme al proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday.Confirm with your Workday team that the API expression above is valid for your Workday tenant configuration. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).If necessary, you can edit them as described in the section Customizing the list of Workday user attributes.

  • Analogamente, le informazioni relative al paese presenti in Workday vengono recuperate usando l'XPATH seguente: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_ReferenceSimilarly the country information present in Workday is retrieved using the following XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    Sono disponibili 5 attributi relativi al paese che sono disponibili nella sezione dell'elenco attributi di Workday.There are 5 country-related attributes that are available in the Workday attribute list section.

    Attributo di WorkdayWorkday Attribute Espressione API XPATHAPI XPATH Expression
    CountryReferenceCountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendlyCountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumericCountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetterCountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReferenceCountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Verificare con il proprio team Workday che l'espressione API precedente sia valida per la configurazione del tenant di Workday.Confirm with your Workday team that the API expressions above are valid for your Workday tenant configuration. Se necessario, è possibile modificarle come descritto nella sezione Customizing the list of Workday user attributes (Personalizzazione dell'elenco di attributi utente di Workday).If necessary, you can edit them as described in the section Customizing the list of Workday user attributes.

  • Per compilare l'espressione di mapping degli attributi corretta, identificare l'attributo della giornata lavorativa "autorevolmente" che rappresenta il nome, il cognome, il paese/area geografica e il reparto dell'utente.To build the right attribute mapping expression, identify which Workday attribute “authoritatively” represents the user’s first name, last name, country/region and department. Si supponga che gli attributi siano rispettivamente PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter e SupervisoryOrganization.Let’s say the attributes are PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter and SupervisoryOrganization respectively. È possibile usare questo attributo per compilare un'espressione per l'attributo di Active Directory displayName come indicato di seguito per ottenere un nome visualizzato, come Smith, John (Marketing-US) .You can use this to build an expression for the AD displayName attribute as follows to get a display name like Smith, John (Marketing-US).

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    Dopo aver creato l'espressione corretta, modificare la tabella di mapping degli attributi e modificare il mapping degli attributi displayName, come illustrato di seguito: Mapping di DisplayNameOnce you have the right expression, edit the Attribute Mappings table and modify the displayName attribute mapping as shown below: DisplayName Mapping

  • Ampliando l'esempio precedente, si consideri l'ipotesi di convertire i nomi di città provenienti da Workday in valori a sintassi abbreviata e usarli per creare nomi visualizzati, come Smith, John (CHI) oppure Doe, Jane (NYC) , allora questo risultato può essere ottenuto usando un'espressione Switch con l'attributo Workday Municipality come variabile determinante.Extending the above example, let's say you would like to convert city names coming from Workday into shorthand values and then use it to build display names such as Smith, John (CHI) or Doe, Jane (NYC), then this result can be achieved using a Switch expression with the Workday Municipality attribute as the determinant variable.

    Switch
    (
     [Municipality],
     Join(", ", [PreferredLastName], [PreferredFirstName]),  
          "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
          "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
          "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    Vedere anche la pagina relativa allaSee also:

Come è possibile usare SelectUniqueValue per generare valori univoci per l'attributo samAccountName?How can I use SelectUniqueValue to generate unique values for samAccountName attribute?

Si consideri l'ipotesi di generare valori univoci per l'attributo samAccountName mediante una combinazione degli attributi FirstName e LastName da Workday.Let's say you want to generate unique values for samAccountName attribute using a combination of FirstName and LastName attributes from Workday. Di seguito un'espressione che è possibile iniziare con:Given below is an expression that you can start with:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Come funziona l'espressione sopra indicata: Se l'utente John Smith tenta di generare JSmith ma JSmith esiste già, l'espressione genera JoSmith, e se presente anche questa, viene generato JohSmith.How the above expression works: If the user is John Smith, it first tries to generate JSmith, if JSmith already exists, then it generates JoSmith, if that exists, it generates JohSmith. L'espressione assicura anche che il valore generato soddisfi il limite di lunghezza e le limitazioni di caratteri speciali associati a samAccountName.The expression also ensures that the value generated meets the length restriction and special characters restriction associated with samAccountName.

Vedere anche la pagina relativa allaSee also:

Come rimuovere i caratteri con segno diacritico e convertirli in caratteri alfabetici italiani?How do I remove characters with diacritics and convert them into normal English alphabets?

Usare la funzione NormalizeDiacritics per rimuovere i caratteri speciali nel nome e cognome dell'utente durante la creazione di un indirizzo di posta elettronica o valore CN per l'utente.Use the function NormalizeDiacritics to remove special characters in first name and last name of the user, while constructing the email address or CN value for the user.

Suggerimenti per la risoluzione dei problemiTroubleshooting tips

Questa sezione fornisce linee guida specifiche su come risolvere i problemi relativi al provisioning con l'integrazione di Workday usando i log di controllo di Azure AD e i log del Visualizzatore eventi di Windows Server.This section provides specific guidance on how to troubleshoot provisioning issues with your Workday integration using the Azure AD Audit Logs and Windows Server Event Viewer logs. Si basa sui passaggi di risoluzione dei problemi generici e concetti acquisiti nell'Esercitazione: Creazione di report sul provisioning automatico degli account utenteIt builds on top of the generic troubleshooting steps and concepts captured in the Tutorial: Reporting on automatic user account provisioning

Questa sezione contiene gli aspetti della risoluzione problemi seguenti:This section covers the following aspects of troubleshooting:

Configurazione di Visualizzatore eventi di Windows per la risoluzione dei problemi dell'agenteSetting up Windows Event Viewer for agent troubleshooting

  • Accedere al computer Windows Server in cui viene distribuito l'agente di provisioningSign in to the Windows Server machine where the Provisioning Agent is deployed

  • Aprire l'app desktop Visualizzatore eventi di Windows Server.Open Windows Server Event Viewer desktop app.

  • Selezionare Registri di Windows > Applicazione.Select Windows Logs > Application.

  • Usare l'opzione Filter Current Log… (Filtra log corrente...)Use the Filter Current Log… per visualizzare tutti gli eventi registrati in AAD. Connect.ProvisioningAgent ed escludere gli eventi con ID evento "5", specificando il filtro "-5", come illustrato di seguito.option to view all events logged under the source AAD.Connect.ProvisioningAgent and exclude events with Event ID "5", by specifying the filter "-5" as shown below.

    Visualizzatore eventi di Windows))

  • Fare clic su OK e ordinare la visualizzazione dei risultati dalla colonna di data e ora.Click OK and sort the result view by Date and Time column.

Configurazione dei log di controllo del portale di Azure per la risoluzione dei problemi di servizioSetting up Azure portal Audit Logs for service troubleshooting

  • Avviare il portale di Azure e passare alla sezione Audit logs (Log di controllo) dell'applicazione di provisioning Workday, come descritto in precedenza in questa esercitazione.Launch the Azure portal, and navigate to the Audit logs section of your Workday provisioning application.

  • Usare il pulsante Columns (Colonne)nella pagina dei log di controllo per mostrare nella visualizzazione solo le colonne seguenti: data, attività, stato, motivo dello stato.Use the Columns button on the Audit Logs page to display only the following columns in the view (Date, Activity, Status, Status Reason). Questa configurazione permette di concentrare l'attenzione solo sui dati rilevanti per la risoluzione dei problemi.This configuration ensures that you focus only on data that is relevant for troubleshooting.

    Colonne log di controllo

  • Usare i parametri di query Destinazione e Intervallo di date per filtrare la visualizzazione.Use the Target and Date Range query parameters to filter the view.

    • Impostare il parametro di query Destinazione all' "ID ruolo di lavoro" o "ID dipendente" dell'oggetto di lavoro di Workday.Set the Target query parameter to the "Worker ID" or "Employee ID" of the Workday worker object.
    • Impostare Date Range (Intervallo di date) per un periodo di tempo appropriato ad analizzare errori o problemi con il provisioning.Set the Date Range to an appropriate time period over which you want to investigate for errors or issues with the provisioning.

    Filtri dei log di controllo

Riconoscimento di log per operazioni di creazione per l'account utente di ADUnderstanding logs for AD User Account create operations

Quando viene rilevata una nuova assunzione in Workday (si supponga con ID dipendente 21023), il servizio di provisioning di Azure AD tenta di creare un nuovo account utente di AD per il ruolo di lavoro e crea nel processo 4 record di log di controllo come descritto di seguito:When a new hire in Workday is detected (let's say with Employee ID 21023), the Azure AD provisioning service attempts to create a new AD user account for the worker and in the process creates 4 audit log records as described below:

Log di controllo Creazione operazioniAudit log create ops

Quando si fa clic su uno dei record relativi a log di controllo, verrà visualizzata la pagina Activity Details (Dettagli attività).When you click on any of the audit log records, the Activity Details page opens up. Ecco ciò che mostra la pagina Activity Details (Dettagli attività) per ogni tipo di record di log.Here is what the Activity Details page displays for each log record type.

  • Record di importazione Workday: in questo record di log vengono visualizzate le informazioni sul ruolo di lavoro recuperate da Workday.Workday Import record: This log record displays the worker information fetched from Workday. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday.Use information in the Additional Details section of the log record to troubleshoot issues with fetching data from Workday. Di seguito viene illustrato un record di esempio è illustrato insieme a riferimenti sull'interpretazione di ogni campo.An example record is shown below along with pointers on how to interpret each field.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • Record di importazione AD: questo record di log consente di visualizzare le informazioni dell'account recuperate da AD.AD Import record: This log record displays information of the account fetched from AD. Poiché durante la creazione iniziale dell'utente non esiste un account AD, Activity Status Reason (Motivo dello stato attività) indicherà che non è stato trovato alcun account con il valore dell'attributo ID corrispondente in Active Directory.As during initial user creation there is no AD account, the Activity Status Reason will indicate that no account with the Matching ID attribute value was found in Active Directory. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con il recupero dei dati da Workday.Use information in the Additional Details section of the log record to troubleshoot issues with fetching data from Workday. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.An example record is shown below along with pointers on how to interpret each field.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object was not found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    Per trovare i record di log dell'agente di provisioning corrispondente a questa operazione di importazione di Active Directory, aprire il log del Visualizzatore eventi di Windows e usare il menu opzioni Find… (Trova...)To find Provisioning Agent log records corresponding to this AD import operation, open the Windows Event Viewer logs and use the Find… per trovare le voci di log che contengono il valore dell'attributo ID corrispondente o il valore dell'attributo Joining Property (Proprietà di abbinamento) (in questo caso 21023).menu option to find log entries containing the Matching ID/Joining Property attribute value (in this case 21023).

    Trova

    Cercare la voce con Event ID = 9, che fornirà il filtro di ricerca LDAP usato dall'agente per recuperare l'account AD.Look for the entry with Event ID = 9, which will provide you the LDAP search filter used by the agent to retrieve the AD account. È possibile verificare se questo è il filtro di ricerca corretto per recuperare le voci univoche dell'utente.You can verify if this is the right search filter to retrieve unique user entries.

    Ricerca LDAP

    Il record che lo segue immediatamente con Event ID = 2 acquisisce il risultato dell'operazione di ricerca e comunica se ha prodotto risultati.The record that immediately follows it with Event ID = 2 captures the result of the search operation and if it returned any results.

    Risultati LDAP

  • Record dell'azione della regola di sincronizzazione: questo record di log mostra i risultati delle regole di mapping di attributo e configura i filtri di ambito insieme all'azione di provisioning che verrà eseguita per elaborare l'evento in ingresso di Workday.Synchronization rule action record: This log record displays the results of the attribute mapping rules and configured scoping filters along with the provisioning action that will be taken to process the incoming Workday event. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'azione di sincronizzazione.Use information in the Additional Details section of the log record to troubleshoot issues with the synchronization action. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.An example record is shown below along with pointers on how to interpret each field.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object will be added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    Se si verificano problemi con le espressioni di mapping di attributi o i dati in ingresso di Workday presentano problemi (ad esempio: valori vuoti oppure null per gli attributi obbligatori), sarà possibile osservare un errore in questa fase con il codice di errore che ne fornisce i dettagli.If there are issues with your attribute mapping expressions or the incoming Workday data has issues (for example: empty or null value for required attributes), then you will observe a failure at this stage with the ErrorCode providing details of the failure.

  • Record di esportazione AD: questo record di log consente di visualizzare il risultato dell'operazione di creazione dell'account AD insieme ai valori di attributo che sono stati impostati nel processo.AD Export record: This log record displays the result of AD account creation operation along with the attribute values that were set in the process. Usare le informazioni nella sezione del record del log Additional Details (Altri dettagli) per risolvere i problemi con l'operazione di creazione account.Use information in the Additional Details section of the log record to troubleshoot issues with the account create operation. Di seguito viene illustrato un record di esempio insieme a riferimenti sull'interpretazione di ogni campo.An example record is shown below along with pointers on how to interpret each field. Nella sezione "Additional Details" (Dettagli aggiuntivi), "EventName" è impostato su "EntryExportAdd", "JoiningProperty" è impostata sul valore dell'attributo ID di abbinamento, "SourceAnchor" è impostato su WorkdayID (WID) associato al record e "TargetAnchor" è impostato sul valore dell'attributo AD "ObjectGuid" dell'utente appena creato.In the “Additional Details” section, the “EventName” is set to “EntryExportAdd”, the “JoiningProperty” is set to the value of the Matching ID attribute, the “SourceAnchor” is set to the WorkdayID (WID) associated with the record and the “TargetAnchor” is set to the value of the AD “ObjectGuid” attribute of the newly created user.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object will be created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
    

    Per trovare i record di log dell'agente di provisioning corrispondente a questa operazione di importazione di AD, aprire il log del Visualizzatore eventi di Windows e usare il menu opzioni Find… (Trova...)To find Provisioning Agent log records corresponding to this AD export operation, open the Windows Event Viewer logs and use the Find… per trovare le voci di log che contengono il valore dell'attributo ID corrispondente o il valore dell'attributo Joining Property (Proprietà di abbinamento) (in questo caso 21023).menu option to find log entries containing the Matching ID/Joining Property attribute value (in this case 21023).

    Cercare un record HTTP POST corrispondente al timestamp dell'operazione di esportazione con Event ID = 2.Look for a HTTP POST record corresponding to the timestamp of the export operation with Event ID = 2. Questo record contiene i valori di attributo inviati dal servizio di provisioning all'agente di provisioning.This record will contain the attribute values sent by the provisioning service to the provisioning agent.

    Aggiungere SCIMSCIM Add

    Immediatamente dopo l'evento precedente, deve essere presente un altro evento che acquisisce la risposta dell'operazione di creazione account AD.Immediately following the above event, there should be another event that captures the response of the create AD account operation. Questo evento restituisce il nuovo objectGuid creato in AD e lo imposta come attributo TargetAnchor nel servizio di provisioning.This event returns the new objectGuid created in AD and it is set as the TargetAnchor attribute in the provisioning service.

    Aggiungere SCIMSCIM Add

Riconoscimento di log per operazioni di aggiornamento managerUnderstanding logs for manager update operations

L'attributo manager è un attributo di riferimento in AD.The manager attribute is a reference attribute in AD. Il servizio di provisioning non imposta l'attributo manager durante l'operazione di creazione dell'utente.The provisioning service does not set the manager attribute as part of the user creation operation. Piuttosto l'attributo manager viene impostato come parte di un'operazione di aggiornamento dopo la creazione di account di AD per l'utente.Rather the manager attribute is set as part of an update operation after AD account is created for the user. Estendendo l'esempio precedente, si supponga che una nuova assunzione con ID dipendente "21451" venga attivata in Workday e che il manager del nuovo assunto (21023) abbia già un account AD.Expanding the example above, let’s say a new hire with Employee ID "21451" is activated in Workday and the new hire’s manager (21023) already has an AD account. In questo scenario, la ricerca del log di controllo per l'utente 21451 mostra 5 voci.In this scenario, searching the Audit logs for user 21451 shows up 5 entries.

Aggiornamento gestioneManager Update

I primi 4 record sono come quelli descritti come parte della creazione dell'utente.The first 4 records are like the ones we explored as part of the user create operation. Il 5° record è l'esportazione associata aggiornamento dell'attributo manager.The 5th record is the export associated with manager attribute update. Il record del log mostra il risultato dell'operazione di aggiornamento manager dell'account AD, che viene eseguita usando l'attributo manager objectGuid.The log record displays the result of AD account manager update operation, which is performed using the manager’s objectGuid attribute.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Risoluzione degli errori più comuniResolving commonly encountered errors

Questa sezione illustra gli errori più comuni riscontrati con il provisioning utenti Workday e la relativa risoluzione.This section covers commonly seen errors with Workday user provisioning and how to resolve it. Le macchine virtuali sono raggruppate come indicato di seguito:The errors are grouped as follows:

Errori agente di provisioningProvisioning agent errors

# Scenario di erroreError Scenario Possibili causeProbable Causes Risoluzione consigliataRecommended Resolution
1.1. Errore durante l'installazione dell'agente di provisioning con messaggio di errore: Service 'Microsoft Azure AD Connect Provisioning Agent' (AADConnectProvisioningAgent) failed to start. Verify that you have sufficient privileges to start the system. Impossibile avviare il servizio "Microsoft Azure AD Connect Provisioning Agent" (AADConnectProvisioningAgent). Verificare di disporre di privilegi sufficienti per l'arresto dei servizi di sistema.Error installing the provisioning agent with error message: Service 'Microsoft Azure AD Connect Provisioning Agent' (AADConnectProvisioningAgent) failed to start. Verify that you have sufficient privileges to start the system. Questo errore viene in genere visualizzato se si sta provando a installare l'agente di provisioning in un controller di dominio e il criterio di gruppo impedisce l'avvio del servizio.This error usually shows up if you are trying to install the provisioning agent on a domain controller and group policy prevents the service from starting. Viene visualizzato anche se si dispone di una versione precedente dell'agente in esecuzione e non è stato disinstallato prima di avviare una nuova installazione.It is also seen if you have a previous version of the agent running and you have not uninstalled it before starting a new installation. Installare l'agente di provisioning in un server non DC.Install the provisioning agent on a non-DC server. Assicurarsi che le versioni precedenti dell'agente vengano disinstallate prima di installare il nuovo agente.Ensure that previous versions of the agent are uninstalled before installing the new agent.
2.2. Il servizio Windows "Microsoft Azure AD Connect Provisioning Agent" è in stato di avvio e non passa allo stato di esecuzione.The Windows Service 'Microsoft Azure AD Connect Provisioning Agent' is in Starting state and does not switch to Running state. Come parte dell'installazione, la procedura guidata dell'agente crea un account locale (NT Service\AADConnectProvisioningAgent) nel server che corrisponde all'account di accesso usato per l'avvio del servizio.As part of the installation, the agent wizard creates a local account (NT Service\AADConnectProvisioningAgent) on the server and this is the Log On account used for starting the service. Questo errore si verifica se un criterio di sicurezza nel server Windows impedisce agli account locali di eseguire i servizi.If a security policy on your Windows server prevents local accounts from running the services, you will encounter this error. Aprire la console dei servizi.Open the Services console. Fare clic con il pulsante destro del mouse su "Microsoft Azure AD Connect Provisioning Agent" (Agente di provisioning di Microsoft Azure Active Directory Connect) e specificare l'account dell'amministratore di dominio nella scheda di accesso per eseguire il servizio.Right click on the Windows Service 'Microsoft Azure AD Connect Provisioning Agent' and in the Log On tab specify the account of a domain administrator to run the service. Riavviare il servizio.Restart the service.
3.3. Quando si configura l'agente di provisioning con il dominio di AD nel passaggio Connect Active Directory (Connetti Active Directory), la procedura guidata richiede troppo tempo a caricare lo schema di AD infine raggiunge il timeout.When configuring the provisioning agent with your AD domain in the step Connect Active Directory, the wizard takes a long time trying to load the AD schema and eventually times out. Questo errore in genere viene visualizzato se la procedura guidata non riesce a contattare il server di controller di dominio AD a causa di problemi relativi al firewall.This error usually shows up if the wizard is unable to contact the AD domain controller server due to firewall issues. Nella schermata di procedura guidata Connect Active Directory (Connetti Active Directory), pur fornendo le credenziali per il dominio AD, è presente un'opzione chiamata Select domain controller priority (Seleziona la priorità del controller di dominio).On the Connect Active Directory wizard screen, while providing the credentials for your AD domain, there is an option called Select domain controller priority. Usare questa opzione per selezionare un controller di dominio che sia presente nello stesso sito dell'agente del server e assicurarsi che non siano presenti regole firewall che bloccano la comunicazione.Use this option to select a domain controller that is in the same site as the agent server and ensure that there are no firewall rules blocking the communication.

Errori di connettivitàConnectivity errors

Se il servizio di provisioning non è in grado di connettersi a Workday o Active Directory, ciò potrebbe causare lo stato di quarantena del provisioning stesso.If the provisioning service is unable to connect to Workday or Active Directory, it could cause the provisioning to go into a quarantined state. Usare la tabella seguente per risolvere i problemi di connettività.Use the table below to troubleshoot connectivity issues.

# Scenario di erroreError Scenario Possibili causeProbable Causes Risoluzione consigliataRecommended Resolution
1.1. Quando si fa clic su Test Connection (Connessione di test), viene visualizzato il messaggio di errore: There was an error connecting to Active Directory. Please ensure that the on-premises Provisioning Agent is running and it is configured with the correct Active Directory domain. (Errore di connessione ad Active Directory. Accertarsi che l'agente di provisioning locale sia in esecuzione e che sia configurato con il dominio Active Directory corretto.)When you click on Test Connection, you get the error message: There was an error connecting to Active Directory. Please ensure that the on-premises Provisioning Agent is running and it is configured with the correct Active Directory domain. Questo errore in genere viene visualizzato se l'agente di provisioning non è in esecuzione o se è presente un firewall che blocca la comunicazione tra Azure AD e l'agente di provisioning.This error usually shows up if the provisioning agent is not running or there is a firewall blocking communication between Azure AD and the provisioning agent. È inoltre possibile visualizzare questo errore, se il dominio non è configurato nella procedura guidata dell'agente.You may also see this error, if the domain is not configured in the Agent Wizard. Aprire la console dei servizi nel server di Windows per verificare che l'agente sia in esecuzione.Open the Services console on the Windows server to confirm that the agent is running. Aprire la configurazione guidata dell'agente di provisioning e verificare che il dominio corretto sia stato registrato con l'agente.Open the provisioning agent wizard and confirm that the right domain is registered with the agent.
2.2. Il processo di provisioning entra in stato di quarantena nei fine settimana (ven-sab) e si ottiene una notifica di posta elettronica che segnala la presenza di un errore con la sincronizzazione.The provisioning job goes into quarantine state over the weekends (Fri-Sat) and we get an email notification that there is an error with the synchronization. Una delle cause più comuni di questo errore è il tempo di inattività pianificato di Workday.One of the common causes for this error is the planned Workday downtime. Se si usa un tenant di implementazione di Workday, tenere presente che Workday ha pianificato i tempi di inattività per i suoi tenant di implementazione durante i fine settimana (in genere da venerdì sera a sabato mattina) e, in tale periodo, l'app di provisioning Workday potrebbe passare alla stato di quarantena perché non in grado di connettersi a Workday.If you are using a Workday implementation tenant, please note that Workday has scheduled down time for its implementation tenants over weekends (usually from Friday evening to Saturday morning) and during that period the Workday provisioning apps may go into quarantine state as it is not able to connect to Workday. Ritorna allo stato normale quando il tenant di implementazione di Workday torna online.It gets back to normal state once the Workday implementation tenant is back online. In rari casi, è inoltre possibile visualizzare questo errore se la password utente del sistema di integrazione viene modificata a causa di un aggiornamento del tenant o se l'account è bloccato o scaduto.In rare cases, you may also see this error, if the password of the Integration System User changed due to tenant refresh or if the account is in locked or expired state. Verificare con il proprio amministratore o partner di integrazione Workday per capire quando Workday pianifica i tempi di inattività per ignorare i messaggi di avviso durante il periodo di inattività e confermare la disponibilità una volta che l'istanza Workday è di nuovo online.Check with your Workday administrator or integration partner to see when Workday schedules downtime to ignore alert messages during the downtime period and confirm availability once Workday instance is back online.

Errori di creazione account utente ADAD user account creation errors

# Scenario di erroreError Scenario Possibili causeProbable Causes Risoluzione consigliataRecommended Resolution
1.1. Errori nelle operazioni di esportazione nel log di controllo con il messaggio Errore: OperationsError-SvcErr: Errore dell'operazione. Non è stato configurato alcun riferimento superiore per il servizio directory. Il servizio directory non è quindi in grado di generare riferimenti a oggetti che si trovano all'esterno di questa foresta.Export operation failures in the audit log with the message Error: OperationsError-SvcErr: An operation error occurred. No superior reference has been configured for the directory service. The directory service is therefore unable to issue referrals to objects outside this forest. Questo errore viene in genere visualizzato se l'unità organizzativa Contenitore di Active Directory non è impostata correttamente o se si verificano problemi con l'espressione di mapping usata per parentDistinguishedName.This error usually shows up if the Active Directory Container OU is not set correctly or if there are issues with the Expression Mapping used for parentDistinguishedName. Controllare il parametro unità organizzativa Contenitore Active Directory per errori di digitazione.Check the Active Directory Container OU parameter for typos. Se si usa parentDistinguishedName nel mapping attributi, assicurarsi che esegue sempre la valutazione in un contenitore noto all'interno del dominio di AD.If you are using parentDistinguishedName in the attribute mapping ensure that it always evaluates to a known container within the AD domain. Verificare gli eventi di esportazione nei log di controllo per visualizzare il valore generato.Check the Export event in the audit logs to see the generated value.
2.2. Errori nelle operazioni di esportazione nel log di controllo con il codice di errore: SystemForCrossDomainIdentityManagementBadResponse e il messaggio di Errore: ConstraintViolation-AtrErr: Un valore nella richiesta non è valido. Un valore per l'attributo è al di fuori dell'intervallo di valori consentito. \nError Details: CONSTRAINT_ATT_TYPE - company.Export operation failures in the audit log with error code: SystemForCrossDomainIdentityManagementBadResponse and message Error: ConstraintViolation-AtrErr: A value in the request is invalid. A value for the attribute was not in the acceptable range of values. \nError Details: CONSTRAINT_ATT_TYPE - company. Mentre questo errore è specifico per l'attributo company (azienda) questo errore può verificarsi per gli altri attributi, ad esempio CN anche.While this error is specific to the company attribute, you may see this error for other attributes like CN as well. Questo errore viene visualizzato a causa di un vincolo dello schema AD applicato.This error appears due to AD enforced schema constraint. Per impostazione predefinita, come gli attributi società e CN in AD presentano un limite massimo di 64 caratteri.By default, the attributes like company and CN in AD have an upper limit of 64 characters. Se il valore proveniente da Workday conta più di 64 caratteri, verrà visualizzato il messaggio di errore.If the value coming from Workday is more than 64 characters, then you will see this error message. Verificare l'evento di esportazione nei log di controllo per visualizzare il valore per l'attributo riportato nel messaggio di errore.Check the Export event in the audit logs to see the value for the attribute reported in the error message. Prendere in considerazione il troncamento di valore proveniente da Workday tramite la funzioneMid o modificare i mapping di un attributo di AD che non ha vincoli di lunghezza simili.Consider truncating the value coming from Workday using the Mid function or changing the mappings to an AD attribute that does not have similar length constraints.

Errori di aggiornamento account utente Active DirectoryAD user account update errors

Durante il processo di aggiornamento dell'account utente di AD, il servizio di provisioning legge le informazioni da Workday e AD, esegue le regole di mapping degli attributi e determina se debba essere applicata una modifica.During the AD user account update process, the provisioning service reads information from both Workday and AD, runs the attribute mapping rules and determines if any change needs to take effect. Di conseguenza si attiva un evento di aggiornamento.Accordingly an update event is triggered. Se in uno di questi passaggi viene rilevato un errore, viene registrato nei log di controllo.If any of these steps encounters a failure, it is logged in the audit logs. Usare la tabella seguente per risolvere i problemi di aggiornamento.Use the table below to troubleshoot common update errors.

# Scenario di erroreError Scenario Possibili causeProbable Causes Risoluzione consigliataRecommended Resolution
1.1. Errori di azione delle regole di sincronizzazione nel log di controllo con il messaggioEventName = EntrySynchronizationError ed ErrorCode = EndpointUnavailable.Synchronization rule action failures in the audit log with the message EventName = EntrySynchronizationError and ErrorCode = EndpointUnavailable. Questo errore viene visualizzato se il servizio di provisioning non riesce a recuperare i dati del profilo utente da Active Directory a causa di un errore di elaborazione rilevato dagli agenti di provisioning locali.This error shows up if the provisioning service is unable to retrieve user profile data from Active Directory due to a processing error encountered by the on-premises provisioning agent. Verificare nei log del Visualizzatore eventi dell'agente di provisioning per gli eventi di errore che indicano problemi con l'operazione di lettura (Filtra per ID evento n. 2).Check the Provisioning Agent Event Viewer logs for error events that indicate issues with the read operation (Filter by Event ID #2).
2.2. L'attributo manager in AD non viene aggiornato per determinati utenti in AD.The manager attribute in AD does not get updated for certain users in AD. La causa più probabile di questo errore è l'uso di regole di ambito e se il responsabile dell'utente non fa parte dell'ambito.The most likely cause of this error is if you are using scoping rules and the user's manager is not part of the scope. È anche possibile riscontrare questo problema se l'attributo ID corrispondente del manager (ad esempio EmployeeID) non viene trovato nella destinazione di dominio AD o non è impostato sul valore corretto.You may also run into this issue if the manager's matching ID attribute (e.g. EmployeeID) is not found in the target AD domain or not set to the correct value. Esaminare il filtro di ambito e aggiungere l'utente manager nell'ambito.Review the scoping filter and add the manager user in scope. Controllare il profilo manager in AD per assicurarsi che vi sia un valore per l'attributo ID corrispondente.Check the manager's profile in AD to make sure that there is a value for the matching ID attribute.

Gestire la configurazioneManaging your configuration

Questa sezione descrive come è possibile estendere, personalizzare e gestire ulteriormente la configurazione del provisioning utenti basato su Workday.This section describes how you can further extend, customize and manage your Workday-driven user provisioning configuration. Include gli argomenti seguenti:It covers the following topics:

Personalizzazione dell'elenco di attributi utente di WorkdayCustomizing the list of Workday user attributes

Le app di provisioning di Workday per Active Directory e Azure AD includono entrambe un elenco predefinito di attributi utente di Workday tra cui scegliere.The Workday provisioning apps for Active Directory and Azure AD both include a default list of Workday user attributes you can select from. Questi elenchi tuttavia non sono esaustivi.However, these lists are not comprehensive. Workday supporta molte centinaia di attributi utente possibili, che possono essere standard o univoci per il tenant di Workday.Workday supports many hundreds of possible user attributes, which can either be standard or unique to your Workday tenant.

Il servizio di provisioning di Azure AD consente di personalizzare l'elenco o un attributo di Workday per includere tutti gli attributi esposti nell'operazione Get_Workers dell'API Human Resources.The Azure AD provisioning service supports the ability to customize your list or Workday attribute to include any attributes exposed in the Get_Workers operation of the Human Resources API.

A tale scopo, è necessario usare Workday Studio per estrarre le espressioni XPath che rappresentano gli attributi che si vuole usare e quindi aggiungerli alla configurazione del provisioning usando l'editor di attributi avanzato nel portale di Azure.To do this change, you must use Workday Studio to extract the XPath expressions that represent the attributes you wish to use, and then add them to your provisioning configuration using the advanced attribute editor in the Azure portal.

Per recuperare un'espressione XPath per un attributo utente di Workday:To retrieve an XPath expression for a Workday user attribute:

  1. Scaricare e installare Workday Studio.Download and install Workday Studio. Per accedere al programma di installazione, è necessario un account della community di Workday.You will need a Workday community account to access the installer.

  2. Scaricare il file WDSL Human_Resources Workday dall'URL seguente: https://community.workday.com/sites/default/files/file-hosting/productionapi/Human_Resources/v21.1/Human_Resources.wsdlDownload the Workday Human_Resources WSDL file from this URL: https://community.workday.com/sites/default/files/file-hosting/productionapi/Human_Resources/v21.1/Human_Resources.wsdl

  3. Avviare Workday Studio.Launch Workday Studio.

  4. Sulla barra dei comandi selezionare l'opzione Workday > Test Web Service in Tester (Workday > Testa servizio Web nel tester).From the command bar, select the Workday > Test Web Service in Tester option.

  5. Selezionare External (Esterno) e quindi selezionare il file Human_Resources WSDL scaricato al passaggio 2.Select External, and select the Human_Resources WSDL file you downloaded in step 2.

    Workday Studio

  6. Impostare il campo Location (Percorso) su https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, ma sostituendo "IMPL-CC" con il tipo di istanza effettivo e "TENANT" con il vero nome del tenant.Set the Location field to https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, but replacing "IMPL-CC" with your actual instance type, and "TENANT" with your real tenant name.

  7. Impostare Operation (Operazione) su Get_WorkersSet Operation to Get_Workers

  8. Fare clic sul piccolo collegamento configure (configura) sotto i riquadri relativi a richiesta e risposta per impostare le credenziali di Workday.Click the small configure link below the Request/Response panes to set your Workday credentials. Selezionare Authentication (Autenticazione) e quindi immettere nome utente e password per l'account di sistema di integrazione di Workday.Check Authentication, and then enter the user name and password for your Workday integration system account. Assicurarsi di formattare il nome utente come tenant nome@e lasciare selezionata l'opzione WS-Security UsernameToken .Be sure to format the user name as name@tenant, and leave the WS-Security UsernameToken option selected.

    Workday Studio

  9. Selezionare OK.Select OK.

  10. Nel riquadro Request (Richiesta) incollare il codice XML sottostante e impostare Employee_ID sull'ID del dipendente di un utente reale nel tenant di Workday.In the Request pane, paste in the XML below and set Employee_ID to the employee ID of a real user in your Workday tenant. Selezionare un utente per il quale l'attributo da estrarre sia popolato.Select a user that has the attribute populated that you wish to extract.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. Fare clic su Send Request (Invia richiesta) (freccia verde) per eseguire il comando.Click the Send Request (green arrow) to execute the command. Se il comando ha esito positivo, la risposta verrà visualizzata nel riquadro Response (Risposta).If successful, the response should appear in the Response pane. Controllare la risposta per assicurarsi che contenga i dati dell'ID utente immesso e non un errore.Check the response to ensure it has the data of the user ID you entered, and not an error.

  12. In caso di esito positivo, copiare il codice XML dal riquadro Response (Risposta) e salvarlo come file XML.If successful, copy the XML from the Response pane and save it as an XML file.

  13. Sulla barra dei comandi di Workday Studio selezionare File > Open File (File > Apri file) e aprire il file XML salvato.In the command bar of Workday Studio, select File > Open File... and open the XML file you saved. Questa azione permetterà l'apertura del file nell'editor XML di Workday Studio.This action will open the file in the Workday Studio XML editor.

    Workday Studio

  14. Nell'albero di file, spostarsi attraverso /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker per ritrovare i dati dell'utente.In the file tree, navigate through /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker to find your user's data.

  15. In wd: Worker trovare l'attributo da aggiungere e selezionarlo.Under wd: Worker, find the attribute that you wish to add, and select it.

  16. Copiare l'espressione XPath per l'attributo selezionato dal campo Document Path (Percorso documento).Copy the XPath expression for your selected attribute out of the Document Path field.

  17. Rimuovere il prefisso /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ dall'espressione copiata.Remove the /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ prefix from the copied expression.

  18. Se l'ultimo elemento dell'espressione copiata è un nodo (esempio: "/ wd: Birth_Date"), accodare /text () alla fine dell'espressione.If the last item in the copied expression is a node (example: "/wd: Birth_Date"), then append /text() at the end of the expression. Ciò non è necessario se l'ultimo elemento è un attributo (ad esempio: "/@wd: type").This is not necessary if the last item is an attribute (example: "/@wd: type").

  19. Il risultato dovrebbe essere simile a wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text().The result should be something like wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Questo è il valore che verrà copiato nel portale di Azure.This value is what you will copy into the Azure portal.

Per aggiungere l'attributo utente Workday personalizzato alla configurazione del provisioning:To add your custom Workday user attribute to your provisioning configuration:

  1. Avviare il portale di Azure e passare alla sezione Provisioning dell'applicazione di provisioning di Workday, come descritto in precedenza in questa esercitazione.Launch the Azure portal, and navigate to the Provisioning section of your Workday provisioning application, as described earlier in this tutorial.

  2. Impostare Stato del provisioning su No e selezionare Salva.Set Provisioning Status to Off, and select Save. In questo modo, le modifiche verranno applicate solo quando si è pronti.This step will help ensure your changes will take effect only when you are ready.

  3. In Mapping selezionare Synchronize Workday Workers to On Premises Active Directory (Sincronizza ruoli di lavoro Workday in Active Directory locale) o Synchronize Workers to Azure AD (Sincronizza ruoli di lavoro Workday in Azure AD).Under Mappings, select Synchronize Workday Workers to On Premises Active Directory (or Synchronize Workday Workers to Azure AD).

  4. Scorrere fino alla parte inferiore della schermata successiva e selezionare Mostra opzioni avanzate.Scroll to the bottom of the next screen, and select Show advanced options.

  5. Selezionare Modifica elenco attributi per Workday.Select Edit attribute list for Workday.

    Workday Studio

  6. Scorrere fino alla fine dell'elenco di attributi, dove si trovano i campi di input.Scroll to the bottom of the attribute list to where the input fields are.

  7. Per Nome immettere un nome visualizzato per l'attributo.For Name, enter a display name for your attribute.

  8. Per Tipo selezionare il tipo appropriato per l'attributo (il più comune è String).For Type, select type that appropriately corresponds to your attribute (String is most common).

  9. Per Espressione API immettere l'espressione XPath copiata da Workday Studio.For API Expression, enter the XPath expression you copied from Workday Studio. Esempio: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()Example: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Selezionare Aggiungi attributo.Select Add Attribute.

    Workday Studio

  11. Selezionare Salva sopra e quindi nella finestra di dialogo.Select Save above, and then Yes to the dialog. Chiudere la schermata Mapping attributi, se è ancora aperta.Close the Attribute-Mapping screen if it is still open.

  12. Tornando alla scheda Provisioning selezionare di nuovo Synchronize Workers to On Premises Active Directory (Sincronizza ruoli di lavoro Workday in Active Directory locale) o di nuovo Synchronize Workers to Azure AD (Sincronizza ruoli di lavoro Workday in Azure AD).Back on the main Provisioning tab, select Synchronize Workday Workers to On Premises Active Directory (or Synchronize Workers to Azure AD) again.

  13. Selezionare Aggiungi nuovo mapping.Select Add new mapping.

  14. Il nuovo attributo dovrebbe ora essere visualizzato nell'elenco Attributo di origine.Your new attribute should now appear in the Source attribute list.

  15. Aggiungere un mapping per il nuovo attributo in base alle esigenze.Add a mapping for your new attribute as desired.

  16. Al termine, ricordarsi di impostare Stato del provisioning di nuovo su e salvare.When finished, remember to set Provisioning Status back to On and save.

Esportare e importare la configurazioneExporting and importing your configuration

Vedere l'articolo esportazione e importazione della configurazione di provisioningRefer to the article Exporting and importing provisioning configuration

Gestione dei dati personaliManaging personal data

La soluzione di provisioning di Workday per Active Directory richiede l'installazione di un agente di provisioning in un server locale Windows. Questo agente crea i log nel registro eventi di Windows che può contenere informazioni personali a seconda dei mapping degli attributi da Workday in agli attributi mapping di AD.The Workday provisioning solution for Active Directory requires a provisioning agent to be installed on an on-premises Windows server, and this agent creates logs in the Windows Event log which may contain personal data depending on your Workday to AD attribute mappings. Per conformità agli obblighi di privacy degli utenti, è possibile garantire che nessun dato venga conservato nei registri eventi oltre le 48 ore impostando un'attività pianificata di Windows per eliminare il log eventi.To comply with user privacy obligations, you can ensure that no data is retained in the Event logs beyond 48 hours by setting up a Windows scheduled task to clear the event log.

Il servizio di provisioning di Azure AD rientra nella categoria di elaboratore dati della classificazione del GDPR.The Azure AD provisioning service falls into the data processor category of GDPR classification. In quanto pipeline di elaborazione dati, Azure AD Connect Health fornisce servizi di elaborazione dati ai principali partner e utenti finali.As a data processor pipeline, the service provides data processing services to key partners and end consumers. Il servizio di provisioning di Azure AD non genera dati utente e non ha alcun controllo indipendente su quali dati personali vengono raccolti e su come vengono usati.Azure AD provisioning service does not generate user data and has no independent control over what personal data is collected and how it is used. Il recupero, l'aggregazione, l'analisi e la creazione di report dei dati nel servizio di provisioning di Azure AD si basano sui dati aziendali esistenti.Data retrieval, aggregation, analysis, and reporting in Azure AD provisioning service are based on existing enterprise data.

Nota

Se si è interessati a visualizzare o eliminare dati personali, vedere le linee guida di Microsoft nel sito Richieste del soggetto dei dati per l'RGPD in Azure.If you’re interested in viewing or deleting personal data, please review Microsoft's guidance in the Windows Data Subject Requests for the GDPR site. Per informazioni generali sul regolamento GDPR, vedere la sezione di Service Trust Portal dedicata al GDPR.If you’re looking for general information about GDPR, see the GDPR section of the Service Trust portal.

Per quanto riguarda la conservazione dei dati, il servizio di provisioning di Azure AD non genera report, non esegue analisi o fornisce informazioni dettagliate oltre i 30 giorni.With respect to data retention, the Azure AD provisioning service does not generate reports, perform analytics, or provide insights beyond 30 days. Di conseguenza, il servizio di provisioning di Azure AD non archivia, elabora o conserva i dati oltre i 30 giorni.Therefore, Azure AD provisioning service does not store, process, or retain any data beyond 30 days. Ciò è conforme al GDPR, all'Informativa sulla privacy Microsoft e ai criteri di conservazione dei dati di Azure AD.This design is compliant with the GDPR regulations, Microsoft privacy compliance regulations, and Azure AD data retention policies.

Passaggi successiviNext steps