チュートリアル: Workday からの Microsoft Entra へのユーザー プロビジョニング

このチュートリアルの目的は、Workday のワーカー データを Microsoft Entra ID にプロビジョニングするために実行する必要がある手順を示すことです。

Note

Workday からプロビジョニングするユーザーがオンプレミスの AD アカウントを必要としないクラウド専用のユーザーである場合は、このチュートリアルを使用してください。 ユーザーがオンプレミスの AD アカウントのみを必要とする、または AD と Microsoft Entra アカウントの両方を必要とする場合は、Workday から Active Directory へのユーザー プロビジョニングの構成に関するチュートリアルを参照してください。

次のビデオでは、Workday とのプロビジョニング統合を計画するときに必要な手順の簡単な概要について説明します。

概要

ユーザー アカウントをプロビジョニングするために、Microsoft Entra ユーザー プロビジョニング サービスを Workday Human Resources API と統合します。 Microsoft Entra のユーザー プロビジョニング サービスでサポートされている Workday ユーザー プロビジョニング ワークフローは、次の人事管理および ID ライフサイクル管理シナリオを自動化します。

• 新しい従業員の雇用 - Workday に新しい従業員が追加されると、Microsoft Entra ID と、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションでユーザー アカウントが自動的に作成され、メール アドレスが Workday に書き戻されます。

• 従業員の属性とプロファイルの更新 - Workday で従業員レコード (名前、職名、マネージャーなど) が更新されると、Microsoft Entra ID と、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションでユーザー アカウントが自動的に更新されます。

• 従業員の退職 - Workday で従業員が退職状態になると、Microsoft Entra ID と、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションでユーザー アカウントが自動的に無効になります。

• 従業員の再雇用 - Workday で従業員が再雇用されると、Microsoft Entra ID と、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションに以前のアカウントが (設定に応じて) 自動的に再アクティブ化または再プロビジョニングされます。

このユーザー プロビジョニング ソリューションが最適な場合

この Workday から Microsoft Entra へのユーザー プロビジョニング ソリューションは、次の場合に最適です。

• Workday ユーザー プロビジョニング用に事前に構築されたクラウドベースのソリューションを求めている組織

• Workday から Microsoft Entra ID への直接ユーザー プロビジョニングを必要とする組織

• Workday から取得したデータを使用してユーザーをプロビジョニングする必要がある組織

• 電子メールに Microsoft 365 を使用している組織

ソリューションのアーキテクチャ

このセクションでは、クラウド専用のユーザーに向けた、エンド ツー エンドのユーザー プロビジョニング ソリューションのアーキテクチャについて説明します。 2 つの関連するフローがあります。

• 権限がある人事データのフロー - Workday から Microsoft Entra ID へ: このフローでは、最初に社員イベント (新規雇用、異動、退職など) が Workday で発生し、イベント データはその後、Microsoft Entra ID に移動します。 イベントによっては、Microsoft Entra ID での作成、更新、有効化、無効化の操作に至る可能性があります。

• 書き戻しフロー – オンプレミスの Active Directory から Workday へ: Active Directory でアカウントの作成が完了すると、Microsoft Entra Connectt を介して Microsoft Entra ID と同期され、メール、ユーザー名、電話番号などの情報を Workday に書き戻すことができます。

  

エンド ツー エンドのユーザー データ フロー

1. HR チームは、Workday Employee Central で雇用者トランザクション (現職者/異動者/退職者または新規雇用/異動/退職) を実行します。
2. Microsoft Entra プロビジョニング サービスは、Workday EC からの、スケジュールされた ID の同期を実行し、オンプレミスの Active Directory との同期のために処理する必要がある変更を識別します。
3. Microsoft Entra ID プロビジョニング サービスは、変更を特定し、Microsoft Entra ID のユーザーに対して作成、更新、有効化、無効化の操作を呼び出します。
4. Workday Writeback アプリが構成されている場合は、メール、ユーザー名、電話番号などの属性が Microsoft Entra ID から取得されます。
5. Microsoft Entra プロビジョニング サービスによって、メール、ユーザー名、および電話番号が Workday に設定されます。

デプロイの計画

Workday から Microsoft Entra ID へのクラウド人事駆動型のユーザー プロビジョニングを構成するには、次のようなさまざまな側面をカバーするかなりの計画が必要です。

• 一致する ID の決定
• 属性マッピング
• 属性の変換
• スコープ フィルター

これらのトピックに関する包括的なガイドラインについては、クラウド人事デプロイ計画に関するページを参照してください。

Workday の統合システム ユーザーの構成

Workday 統合システム ユーザー アカウントとワーカー データを取得するためのアクセス許可の作成については、統合システム ユーザーの構成に関するセクションを参照してください。

Workday から Microsoft Entra ID へのユーザー プロビジョニングを構成する

以下のセクションでは、クラウドのみのデプロイで Workday から Microsoft Entra ID へのユーザー プロビジョニングを構成する手順について説明します。

• Microsoft Entra プロビジョニング コネクタ アプリケーションの追加と Workday への接続の作成
• Workday と Microsoft Entra の属性マッピングを構成する
• ユーザー プロビジョニングの有効化と起動

パート 1: Microsoft Entra プロビジョニング コネクタ アプリケーションの追加と Workday への接続の作成

クラウド専用ユーザーの Workday から Microsoft Entra へのプロビジョニングを構成するには、次のようにします。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。

3. [Workday to Microsoft Entra user Provisioning] (Workday から Microsoft Entra へのユーザー プロビジョニング) を探し、ギャラリーからそのアプリを追加します。

4. アプリが追加され、アプリの詳細画面が表示されたら、 [プロビジョニング] を選択します。

5. [プロビジョニングモード]を [自動] に変更します。

6. 以下のように [管理者の資格情報] セクションを完了します。

   • Workday ユーザー名 – Workday 統合システム アカウントのユーザー名にテナント ドメイン名を追加して入力します。 このようになります。username@contoso4

   • Workday パスワード - Workday 統合システム アカウントのパスワードを入力します

   • Workday Web Services API URL - テナントの Workday Web サービス エンドポイントへの URL を入力します。 URL によって、コネクタで使用される Workday Web Services API のバージョンが決まります。

     URL 形式	使用される WWS API のバージョン	XPATH の変更が必要
     https://####.workday.com/ccx/service/tenantName	v21.1	いいえ
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	いいえ
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	はい

     注意

     URL にバージョン情報が指定されていない場合、アプリでは Workday Web Services (WWS) v21.1 が使用され、アプリに付属している既定の XPATH API 式の変更は必要ありません。 特定の WWS API バージョンを使用するには、URL の中にバージョン番号を指定します
     例: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     WWS API v30.0 以降を使用する場合は、プロビジョニング ジョブを有効にする前に、「構成の管理」セクションおよび Workday 属性のリファレンスを参照して、[属性マッピング] -> [詳細オプション] -> [Workday の属性リストの編集] の下にある [XPATH API 式] を更新してください。

   • メール通知 - メール アドレスを入力し、[send email if failure occurs](失敗した場合にメールを送信する) チェックボックスをオンにします。

   • [接続のテスト] ボタンをクリックします。

   • 接続テストが成功した場合、上部の [保存] ボタンをクリックします。 失敗した場合は、Workday URL と資格情報が Workday で有効であることを再度確認します。

パート 2: Workday と Microsoft Entra の属性マッピングを構成する

このセクションでは、クラウド専用のユーザーについて、ユーザー データが Workday から Microsoft Entra ID に移動する方法を構成します。

1. [マッピング] の [プロビジョニング] タブで、[Synchronize Workers to Microsoft Entra ID] (Workers を Microsoft Entra ID に同期する) をクリックします。

2. [ソース オブジェクト スコープ] フィールドでは、属性ベースのフィルター セットを定義して、Microsoft Entra ID へのプロビジョニングの対象にする Workday のユーザー セットを選択できます。 既定のスコープは、"Workday のすべてのユーザー" です。 フィルターの例:

   • 例: 1000000 から 2000000 までの Worker ID を持つユーザーにスコープを設定

     • 属性:WorkerID

     • 演算子:REGEX Match

     • 値:(1[0-9][0-9][0-9][0-9][0-9][0-9])

   • 例:正規従業員ではなく、臨時社員のみ

     • 属性:ContingentID

     • 演算子:IS NOT NULL

3. [対象オブジェクトのアクション] フィールドでは、Microsoft Entra ID で実行されるアクションをグローバルにフィルター処理できます。 作成と更新が最も一般的です。

4. [属性マッピング] セクションでは、個別の Workday 属性を Active Directory の属性にマッピングする方法を定義できます。

5. 既存の属性マッピングをクリックして更新するか、または画面の下部にある [新しいマッピングの追加] をクリックして、新しいマッピングを追加します。 個々の属性マッピングは、次のプロパティをサポートしています。

   • マッピングの種類

     • ダイレクト - 変更なしで Workday 属性の値を AD 属性に書き込みます

     • 定数 - 静的な定数文字列の値を AD 属性に書き込みます

     • 式 – 1 つ以上の Workday 属性に基づいて、AD 属性にカスタム値を書き込むことができます。 詳細については、式に関するこの記事を参照してください。

   • ソース属性 - Workday のユーザー属性。 探している属性が存在しない場合は、「Workday のユーザー属性リストをカスタマイズする」を参照してください。

   • 既定値 – 省略可能。 ソース属性に空の値がある場合、マッピングではこの値が代わりに書き込まれます。 最も一般的な構成では、これを空白のままにします。

   • ターゲット属性 – Microsoft Entra ID のユーザー属性。

   • この属性を使用してオブジェクトを照合する - この属性を使用して、Workday と Microsoft Entra ID 間でユーザーを一意に識別するかどうかを示します。 この値は、通常、Workday の Worker ID フィールドで設定され、一般的に Microsoft Entra ID の従業員 ID 属性 (新規) または拡張属性にマッピングされます。

   • 照合の優先順位 - 一致させる属性を複数設定できます。 複数の場合は、このフィールドで定義された順序で評価されます。 1 件でも一致が見つかると、一致する属性の評価はそれ以上行われません。

   • このマッピングを適用する

     • 常に - このマッピングをユーザーの作成と更新の両方のアクションに適用します

     • 作成中のみ - このマッピングをユーザーの作成アクションのみに適用します

6. マッピングを保存するには、[属性マッピング] セクションの上部にある [保存] をクリックします。

ユーザー プロビジョニングの有効化と起動

Workday プロビジョニング アプリの構成が完了したら、プロビジョニング サービスを有効にすることができます。

ヒント

既定では、プロビジョニング サービスを有効にすると、スコープ内のすべてのユーザーに対してプロビジョニング操作が開始されます。 マッピングのエラーまたは Workday データの問題がある場合、プロビジョニング ジョブが失敗し、検疫状態になる可能性があります。 これを避けるために、ベスト プラクティスとして、すべてのユーザーの完全同期を開始する前に、[ソース オブジェクト スコープ] フィルターを構成し、少数のテスト ユーザーで属性マッピングをテストすることをお勧めします。 マッピングが機能し、目的の結果が得られていることを確認したら、フィルターを削除するか、徐々に拡張してより多くのユーザーを含めることができます。

1. [プロビジョニング] タブで、 [プロビジョニングの状態] を [ON] に設定します。

2. [保存] をクリックします。

3. この操作により初期同期が開始されます。これに要する時間は Workday テナントのユーザー数に応じて変わります。 進行状況バーをチェックして、同期サイクルの進行状況を追跡できます。

4. 好きなときに、Azure Portal の [監査ログ] タブをチェックして、プロビジョニング サービスで実行されたアクションを確認します。 監査ログには、Workday から読み込まれたユーザーや、その後 Microsoft Entra ID に追加または更新されたユーザーなど、プロビジョニング サービスによって実行された個々の同期イベントがすべて表示されます。

5. 最初の同期が完了すると、次に示すように、 [プロビジョニング] タブに監査概要レポートが書き込まれます。

   

次のステップ

• Microsoft Entra ID と Workday の統合シナリオと Web サービス呼び出しについて
• 受信プロビジョニングのサポートされている Workday 属性に関する詳細情報
• Workday Writeback の構成方法を確認する
• プロビジョニング アクティビティのログの確認方法およびレポートの取得方法
• Workday と Microsoft Entra ID との間でシングル サインオンを構成する方法について
• プロビジョニング構成をエクスポートおよびインポートする方法を学習する