Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con WorkdayTutorial: Azure Active Directory single sign-on (SSO) integration with Workday

Questa esercitazione descrive come integrare Workday con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate Workday with Azure Active Directory (Azure AD). Integrando Workday con Azure AD è possibile:When you integrate Workday with Azure AD, you can:

  • Controllare in Azure AD chi può accedere a Workday.Control in Azure AD who has access to Workday.
  • Abilitare gli utenti per l'accesso automatico a Workday con gli account Azure AD personali.Enable your users to be automatically signed-in to Workday with their Azure AD accounts.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni in Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.
  • Una sottoscrizione di Workday abilitata per l'accesso Single Sign-On.Workday single sign-on (SSO) enabled subscription.

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment. Workday supporta l'accesso Single Sign-On avviato da provider di servizi.Workday supports SP initiated SSO.

Per configurare l'integrazione di Workday in Azure AD, è necessario aggiungere Workday dalla raccolta al proprio elenco di app SaaS gestite.To configure the integration of Workday into Azure AD, you need to add Workday from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Navigate to Enterprise Applications and then select All Applications.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add new application, select New application.
  5. Nella sezione Aggiungi dalla raccolta digitare Workday nella casella di ricerca.In the Add from the gallery section, type Workday in the search box.
  6. Selezionare Workday nel pannello dei risultati e quindi aggiungere l'app.Select Workday from results panel and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

Configurare e testare l'accesso Single Sign-On di Azure AD per WorkdayConfigure and test Azure AD single sign-on for Workday

Configurare e testare l'accesso Single Sign-On di Azure AD con Workday usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with Workday using a test user called B.Simon. Per il corretto funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Workday.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Workday.

Per configurare e testare l'accesso Single Sign-On di Azure AD con Workday, completare le procedure di base seguenti:To configure and test Azure AD SSO with Workday, complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD per consentire agli utenti di usare questa funzionalità.Configure Azure AD SSO to enable your users to use this feature.
    1. Creare un utente di test di Azure AD per testare l'accesso Single Sign-On di Azure AD con l'utente B. Simon.Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Assegnare l'utente di test di Azure AD per consentire a B.Simon di usare l'accesso Single Sign-On di Azure AD.Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. Configurare Workday per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure Workday to configure the SSO settings on application side.
    1. Creare l'utente di test di Workday per avere una controparte di B.Simon in Workday collegata alla rappresentazione dell'utente in Azure AD.Create Workday test user to have a counterpart of B.Simon in Workday that is linked to the Azure AD representation of user.
  3. Testare l'accesso Single Sign-On per verificare se la configurazione funziona.Test SSO to verify whether the configuration works.

Configurare l'accesso SSO di Azure ADConfigure Azure AD SSO

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione Workday del portale di Azure trovare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the Workday application integration page, find the Manage section and select Single sign-on.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a Single sign-on method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Modificare la configurazione SAML di base

  4. Nella pagina Configurazione SAML di base immettere i valori per i campi seguenti:On the Basic SAML Configuration page, enter the values for the following fields:

    a.a. Nella casella di testo URL accesso digitare un URL nel formato seguente: https://impl.workday.com/<tenant>/login-saml2.flexIn the Sign-on URL text box, type a URL using the following pattern: https://impl.workday.com/<tenant>/login-saml2.flex

    b.b. Nella casella di testo Identificatore digitare un URL nel formato seguente: http://www.workday.comIn the Identifier text box, type a URL using the following pattern: http://www.workday.com

    c.c. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://impl.workday.com/<tenant>/login-saml.htmldIn the Reply URL text box, type a URL using the following pattern: https://impl.workday.com/<tenant>/login-saml.htmld

    Nota

    Poiché questi non sono i valori reali,These values are not the real. è necessario aggiornarli con l'URL di accesso e l'URL di risposta effettivi.Update these values with the actual Sign-on URL and Reply URL. L'URL di risposta deve avere un sottodominio, ad esempio www, wd2, wd3, wd3-impl, wd5, wd5-impl.Your reply URL must have a subdomain for example: www, wd2, wd3, wd3-impl, wd5, wd5-impl). L'uso di qualcosa di simile a http://www.myworkday.com funziona, ma http://myworkday.com non funziona.Using something like http://www.myworkday.com works but http://myworkday.com does not. Per ottenere tali valori, contattare il team di supporto clienti di Workday.Contact Workday Client support team to get these values. È anche possibile fare riferimento ai modelli mostrati nella sezione Configurazione SAML di base del portale di Azure.You can also refer to the patterns shown in the Basic SAML Configuration section in the Azure portal.

  5. L'applicazione Workday prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi token SAML.Your Workday application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. La schermata seguente illustra l'elenco degli attributi predefiniti in cui nameidentifier è associato a user.userprincipalname.The following screenshot shows the list of default attributes, where as nameidentifier is mapped with user.userprincipalname. L'applicazione Workday prevede che nameidentifier sia mappato a user.mail, UPN e così via. Di conseguenza è necessario modificare il mapping degli attributi facendo clic sull'icona Modifica.Workday application expects nameidentifier to be mapped with user.mail, UPN, etc., so you need to edit the attribute mapping by clicking on Edit icon and change the attribute mapping.

    image

    Nota

    Qui abbiamo mappato l'ID del nome con UPN (user.userprincipalname) come valore predefinito.Here we have mapped the Name ID with UPN (user.userprincipalname) as default. Per il corretto funzionamento dell'accesso Single Sign-On, è necessario mappare l'ID del nome con l'ID utente effettivo nell'account Workday (indirizzo di posta elettronica, UPN e così via).You need to map the Name ID with actual User ID in your Workday account (your email, UPN, etc.) for successful working of SSO.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML, trovare Certificato (Base64) e selezionare Scarica per scaricare il certificato e salvarlo nel computer in uso.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Certificate (Base64) and select Download to download the certificate and save it on your computer.

    Collegamento di download del certificato

  7. Per modificare le opzioni di Firma in base alle esigenze, fare clic sul pulsante Modifica per aprire la finestra di dialogo Certificato di firma SAML.To modify the Signing options as per your requirement, click Edit button to open SAML Signing Certificate dialog.

    image

    image

    a.a. In Opzione di firma selezionare Firma asserzione e risposta SAML.Select Sign SAML response and assertion for Signing Option.

    b.b. Fare clic su Save (Salva).Click Save

  8. Nella sezione Configura Workday copiare gli URL appropriati in base alle esigenze.On the Set up Workday section, copy the appropriate URL(s) based on your requirement.

    Copiare gli URL di configurazione

Creare un utente di test di Azure ADCreate an Azure AD test user

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Fare clic su Create(Crea).Click Create.

Assegnare l'utente di test di Azure ADAssign the Azure AD test user

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a Workday.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to Workday.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco di applicazioni selezionare Workday.In the applications list, select Workday.

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog.

    Collegamento Aggiungi utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.In the Add Assignment dialog, click the Assign button.

Configurare WorkdayConfigure Workday

  1. In un'altra finestra del Web browser accedere al sito aziendale di Workday come amministratore.In a different web browser window, sign in to your Workday company site as an administrator.

  2. Nella casella di ricerca in alto a sinistra della home page eseguire una ricerca di Edit Tenant Setup - Security (Modifica configurazione tenant - Sicurezza).In the Search box search with the name Edit Tenant Setup – Security on the top left side of the home page.

    Edit Tenant SecurityEdit Tenant Security

  3. Nella sezione Redirection URLs seguire questa procedura:In the Redirection URLs section, perform the following steps:

    Redirection URLsRedirection URLs

    a.a. Fare clic su Aggiungi riga.Click Add Row.

    b.b. Nelle caselle di testo Login Redirect URL (URL di reindirizzamento dell'accesso), Timeout Redirect URL (URL di reindirizzamento per il timeout) e Mobile Redirect URL (URL di reindirizzamento dispositivi mobili) incollare il valore di URL di accesso copiato dalla sezione Configura Workday del portale di Azure.In the Login Redirect URL, Timeout Redirect URL and Mobile Redirect URL textbox, paste the Login URL which you have copied from the Set up Workday section of Azure portal.

    c.c. Nelle caselle di testo Logout Redirect URL (URL di reindirizzamento disconnessione) incollare il valore di URL di disconnessione copiato dalla sezione Configura Workday del portale di Azure.In the Logout Redirect URL textbox, paste the Logout URL which you have copied from the Set up Workday section of Azure portal.

    d.d. Nella casella di testo Used for Environments (Usato per gli ambienti) selezionare il nome dell'ambiente.In Used for Environments textbox, select the environment name.

    Nota

    Il valore dell'attributo Environment è collegato al valore dell'URL del tenant:The value of the Environment attribute is tied to the value of the tenant URL:
    -Se il nome di dominio dell'URL tenant di Workday inizia con impl (ad esempio https://impl.workday.com/<tenant>/login-saml2.flex), l'attributo Environment deve essere impostato su Implementation.-If the domain name of the Workday tenant URL starts with impl for example: https://impl.workday.com/<tenant>/login-saml2.flex), the Environment attribute must be set to Implementation.
    -Se il nome di dominio inizia con altro, è necessario contattare il team di supporto clienti di Workday per ottenere il valore Environment corrispondente.-If the domain name starts with something else, you need to contact Workday Client support team to get the matching Environment value.

  4. Nella sezione SAML Setup seguire questa procedura:In the SAML Setup section, perform the following steps:

    Configurazione SAMLSAML Setup

    a.a. Selezionare Enable SAML authentication.Select Enable SAML Authentication.

    b.b. Fare clic su Aggiungi riga.Click Add Row.

  5. Nella sezione SAML Identity Providers (Provider di identità SAML) seguire questa procedura:In the SAML Identity Providers section, perform the following steps:

    SAML Identity ProvidersSAML Identity Providers

    a.a. Nella casella di testo Identity Provider Name (Nome provider di identità) digitare il nome del provider, ad esempio SPInitiatedSSO).In the Identity Provider Name textbox, type a provider name (for example: SPInitiatedSSO).

    b.b. Nella sezione Configurazione Workday del portale di Azure copiare il valore dell'identificatore Azure AD e incollarlo nella casella di testo Autorità di certificazione.In the Azure portal, on the Set up Workday section, copy the Azure AD Identifier value, and then paste it into the Issuer textbox.

    SAML Identity ProvidersSAML Identity Providers

    c.c. Nella sezione Configurazione Workday del portale di Azure copiare il valore dell'URL di disconnessione e incollarlo nella casella di testo URL di risposta disconnessione.In the Azure portal, on the Set up Workday section, copy the Logout URL value, and then paste it into the Logout Response URL textbox.

    d.d. Nella sezione Configurazione Workday del portale di Azure copiare il valore dell'URL di accesso e incollarlo nella casella di testo URL del servizio SSO IdP.In the Azure portal, on the Set up Workday section, copy the Login URL value, and then paste it into the IdP SSO Service URL textbox.

    e.e. Nella casella di testo Used for Environments (Usato per gli ambienti) selezionare il nome dell'ambiente.In Used for Environments textbox, select the environment name.

    f.f. Fare clic su Certificato di chiave pubblica del provider di identità e quindi su Crea.Click Identity Provider Public Key Certificate, and then click Create.

    CreareCreate

    g.g. Fare clic su Crea chiave pubblica x509.Click Create x509 Public Key.

    CreareCreate

  6. Nella sezione Visualizza chiave pubblica x509 eseguire la procedura seguente:In the View x509 Public Key section, perform the following steps:

    View x509 Public KeyView x509 Public Key

    a.a. Nella casella di testo Name (Nome) digitare un nome per il certificato, ad esempio PPE_SP).In the Name textbox, type a name for your certificate (for example: PPE_SP).

    b.b. Nella casella di testo Valid From digitare il valore dell'attributo di inizio validità del certificato.In the Valid From textbox, type the valid from attribute value of your certificate.

    c.c. Nella casella di testo Valid To digitare il valore dell'attributo di fine validità del certificato.In the Valid To textbox, type the valid to attribute value of your certificate.

    Nota

    Per individuare la data di inizio e di fine validità, fare doppio clic sul certificato scaricato.You can get the valid from date and the valid to date from the downloaded certificate by double-clicking it. Le date sono elencate nella scheda Details .The dates are listed under the Details tab.

    d.d. Aprire il certificato con codifica Base 64 nel Blocco note e quindi copiarne il contenuto.Open your base-64 encoded certificate in notepad, and then copy the content of it.

    e.e. Nella casella di testo Certificate incollare il valore copiato negli Appunti.In the Certificate textbox, paste the content of your clipboard.

    f.f. Fare clic su OK.Click OK.

  7. Eseguire la procedura seguente:Perform the following steps:

    SSO configurationSSO configuration

    a.a. Nella casella di testo Service Provider ID (ID provider di servizi) digitare http://www.workday.com .In the Service Provider ID textbox, type http://www.workday.com.

    b.b. Selezionare Do Not Deflate SP-initiated Authentication Request.Select Do Not Deflate SP-initiated Authentication Request.

    c.c. In Authentication Request Signature Method selezionare SHA256.As Authentication Request Signature Method, select SHA256.

    Authentication Request Signature MethodAuthentication Request Signature Method

    d.d. Fare clic su OK.Click OK.

    OKOK

    Nota

    Assicurarsi di aver configurato il single sign-on in modo corretto.Please ensure you set up single sign-on correctly. Nel caso in cui il single sign-on sia stato configurato in modo errato, potrebbe non essere possibile accedere all'applicazione con le proprie credenziali. In questo caso, Workday fornisce un backup dell’url del log-in da cui gli utenti possono accedere usando il normale nome utente e la password nel formato seguente: [Your Workday URL]/login.flex?redirect=nIn case you enable single sign-on with incorrect setup, you may not be able to enter the application with your credentials and get locked out. In this situation, Workday provides a backup log-in url where users can sign-in using their normal username and password in the following format:[Your Workday URL]/login.flex?redirect=n

Creare un utente di test di WorkdayCreate Workday test user

In questa sezione viene creato un utente di nome B.Simon in Workday.In this section, you create a user called B.Simon in Workday. Collaborare con il team di supporto clienti di Workday per aggiungere gli utenti nella piattaforma Workday.Work with Workday Client support team to add the users in the Workday platform. Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.Users must be created and activated before you use single sign-on.

Testare l'accesso SSOTest SSO

Quando si seleziona il riquadro di Workday nel pannello di accesso, si dovrebbe accedere automaticamente all'applicazione Workday per cui si è configurato l'accesso Single Sign-On.When you select the Workday tile in the Access Panel, you should be automatically signed in to the Workday for which you set up SSO. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.For more information about the Access Panel, see Introduction to the Access Panel.

Risorse aggiuntiveAdditional resources