자습서: 자동 사용자 프로비저닝을 위한 Workday 구성

이 자습서에서는 작업자 프로필을 Workday에서 온-프레미스 AD(Active Directory)로 프로비저닝하기 위해 수행해야 하는 단계를 보여 줍니다.

참고 항목

Workday에서 프로비저닝하도록 하려는 사용자에게 온-프레미스 AD 계정과 Microsoft Entra 계정이 필요한 경우 이 자습서를 사용합니다.

• Workday의 사용자에게 Microsoft Entra 계정(클라우드 전용 사용자)만 필요한 경우 Workday에서 Microsoft Entra ID로 사용자 프로비저닝 구성 자습서를 참조하세요.
• Microsoft Entra ID에서 Workday로 특성(예: 이메일 주소, 사용자 이름 및 전화 번호) 쓰기 저장을 구성하려면 Workday 쓰기 저장 구성 자습서를 참조하세요.

다음 비디오에서는 Workday와의 프로비전 통합을 계획할 때 관련된 단계를 간략하게 설명합니다.

개요

Microsoft Entra 사용자 프로비전 서비스는 사용자 계정을 프로비전하기 위해 Workday 인적 자원 API와 통합됩니다. Microsoft Entra 사용자 프로비전 서비스에서 지원하는 Workday 사용자 프로비전 워크플로를 사용하면 다음과 같은 인적 자원 및 ID 수명 주기 관리 시나리오를 자동화할 수 있습니다.

• 새 직원 고용 - 새 직원이 Workday에 추가되면 사용자 계정이 Active Directory, Microsoft Entra ID 및 선택적으로 Microsoft 365 및 Microsoft Entra ID에서 지원하는 다른 SaaS 애플리케이션에서 자동으로 만들어지고, IT 관리형 연락처 정보가 Workday에 쓰기 저장됩니다.

• 직원 특성 및 프로필 업데이트 - Workday에서 직원 레코드(예: 이름, 직함 또는 관리자)가 업데이트되면 해당 사용자 계정이 Active Directory, Microsoft Entra ID 및 선택적으로 Microsoft Entra ID에서 지원되는 Microsoft 365 및 기타 SaaS 애플리케이션에서 자동으로 업데이트됩니다.

• 직원 해임 - 직원이 Workday에서 해임되면 Active Directory, Microsoft Entra ID 그리고 선택적으로 Microsoft 365 및 Microsoft Entra ID에서 지원하는 기타 SaaS 애플리케이션에서 해당 사용자 계정을 자동으로 사용하지 않도록 설정됩니다.

• 직원 다시 채용 - 직원이 Workday에서 다시 채용되면 Active Directory, Microsoft Entra ID 그리고 선택적으로 Microsoft 365 및 Microsoft Entra ID에서 지원하는 기타 SaaS 애플리케이션에서 기본 설정에 따라 해당 직원의 이전 계정을 자동으로 다시 활성화하거나 다시 프로비저닝할 수 있습니다.

새로운 기능

이 섹션에서는 향상된 최신 Workday 통합 기능에 대해 설명합니다. 포괄적인 업데이트, 계획된 변경 내용 및 보관 목록의 경우 Microsoft Entra ID의 새로운 기능을 방문 하세요.

• 2020년 10월 - Workday에 대한 주문형 프로비전 사용:주문형 프로비전을 사용하여, 이제 Workday에서 특정 사용자 프로필에 대한 엔드투엔드 프로비전을 테스트하여 특성 매핑 및 식 논리를 확인할 수 있습니다.

• 2020년 5월 - Workday에 전화 번호 쓰기 저장 기능: 이제 이메일 및 사용자 이름 외에도 이제 회사 전화 번호와 휴대폰 번호를 Microsoft Entra ID에서 Workday로 쓰기 저장할 수 있습니다. 자세한 내용은 쓰기 저장 앱 자습서를 참조하세요.

• 2020년 4월 - 최신 버전의 WWS(Workday Web Services) API 지원: Workday는 매년 3월과 9월에 두 번 비즈니스 목표와 변화하는 인력 수요를 충족하는 데 도움이 되는 다양한 기능의 업데이트를 제공합니다. Workday에서 제공하는 새로운 기능을 따라가기 위해 연결 URL에서 사용할 WWS API 버전을 직접 지정할 수 있습니다. Workday API 버전을 지정하는 방법에 대한 자세한 내용은 Workday 연결 구성 섹션을 참조하세요.

이 사용자 프로비전 솔루션에 가장 적합한 사용자

이 Workday 사용자 프로비저닝 솔루션은 다음과 같은 경우에 가장 적합합니다.

• Workday 사용자 프로비전에 미리 작성된 클라우드 기반 솔루션을 원하는 조직

• Workday에서 Active Directory 또는 Microsoft Entra ID로 직접 사용자 프로비전이 필요한 조직

• Workday HCM 모듈에서 가져온 데이터를 사용하여 사용자를 프로비전해야 하는 조직(Get_Workers 참조)

• Workday HCM 모듈에서 검색된 변경 내용에 따라 하나 이상의 Active Directory 포리스트, Do기본 및 OU에 동기화하도록 사용자를 조인, 이동 및 남겨야 하는 조직(Get_Workers 참조)

• Microsoft 365를 이메일에 사용하는 조직

솔루션 아키텍처

이 섹션에서는 일반적인 하이브리드 환경을 위한 엔드투엔드 사용자 프로비전 솔루션 아키텍처에 대해 설명합니다. 두 가지의 관련된 흐름이 있습니다.

• 신뢰할 수 있는 HR 데이터 흐름 – Workday에서 온-프레미스 Active Directory: 이 흐름에서는 클라우드 Workday HR 테넌트에서 신입 사원, 이전, 종료와 같은 작업자 이벤트가 먼저 발생한 다음, 이벤트 데이터가 Microsoft Entra ID 및 프로비전 에이전트를 통해 온-프레미스 Active Directory 흐릅니다. 이벤트에 따라 AD에서 만들기/업데이트/사용/사용 안 함 작업이 이루어질 수 있습니다.
• 쓰기 저장 흐름 - 온-프레미스 Active Directory에서 Workday로: Active Directory에서 계정 만들기가 완료되면 Microsoft Entra Connect를 통해 Microsoft Entra ID와 동기화되고 메일, 사용자 이름 및 전화번호와 같은 정보가 Workday에 쓰기 저장될 수 있습니다.

엔드투엔드 사용자 데이터 흐름

1. HR 팀은 Workday HCM에서 작업자 트랜잭션(참가자/이동자/이탈자 또는 신규 고용/전근/종료)을 수행합니다.
2. Microsoft Entra 프로비전 서비스는 Workday HR에서 예약된 ID 동기화를 실행하고 온-프레미스 Active Directory와의 동기화를 위해 처리해야 하는 변경 내용을 식별합니다.
3. Microsoft Entra 프로비전 서비스는 AD 계정 만들기/업데이트/사용/사용 안 함 작업이 포함된 요청 페이로드를 사용하여 온-프레미스 Microsoft Entra Connect 프로비전 에이전트를 호출합니다.
4. Microsoft Entra Connect 프로비전 에이전트는 서비스 계정을 사용하여 AD 계정 데이터를 추가/업데이트합니다.
5. Microsoft Entra Connect / AD Sync 엔진이 AD에서 업데이트를 끌어오기 위해 델타 동기화를 실행합니다.
6. Active Directory 업데이트는 Microsoft Entra ID와 동기화됩니다.
7. Workday 쓰기 저장 앱이 구성되면 이메일, 사용자 이름 및 전화 번호와 같은 특성을 Workday에 쓰기 저장합니다.

배포 계획

Workday에서 Active Directory로 사용자 프로비저닝을 수행하도록 구성하려면 다음과 같은 다양한 측면이 포함된 상당한 계획이 필요합니다.

• Microsoft Entra Connect 프로비전 에이전트 설정
• 배포할 AD 사용자 프로비저닝 앱에 대한 Workday 수
• 정확히 일치하는 식별자, 특성 매핑, 변환 및 범위 지정 필터 선택

포괄적인 지침 및 추천 모범 사례는 클라우드 HR 배포 계획을 참조하세요.

Workday에서 통합 시스템 사용자 구성

모든 Workday 프로비전 커넥터의 일반적인 요구 사항으로, 해당 커넥터는 Workday Human Resources API에 연결하는 Workday 통합 시스템 사용자의 자격 증명을 요구합니다. 이 섹션에서는 Workday에서 통합 시스템 사용자를 만드는 방법을 설명하고 다음 섹션을 포함합니다.

• 통합 시스템 사용자 만들기
• 통합 보안 그룹 만들기
• 도메인 보안 정책 권한 구성
• 비즈니스 프로세스 보안 정책 권한 구성
• 보안 정책 변경 사항 활성화

참고 항목

이 절차를 무시하고 대신 Workday 관리자 계정을 시스템 통합 계정으로 사용할 수 있습니다. 이 방법이 데모에서는 제대로 작동할 수 있지만 프로덕션 배포에는 권장하지 않습니다.

통합 시스템 사용자 만들기

통합 시스템 사용자를 만들려면

1. Administrator 계정을 사용하여 Workday 테넌트에 로그인합니다. Workday 애플리케이션의 검색 상자에서 사용자 만들기를 입력하고 통합 시스템 사용자 만들기를 클릭합니다.

   

2. 새 통합 시스템 사용자에 대한 사용자 이름과 암호를 입력하여 통합 시스템 사용자 만들기 작업을 완료합니다.

   • 이 사용자가 프로그래밍 방식으로 로그온하고 있으므로 다음 로그인 시 새 암호 필요 옵션을 사용하지 검사.
   • 세션 제한 시간(분)을 기본값인 0으로 유지하면 사용자의 세션 시간이 조기에 초과되지 않습니다.
   • 통합 시스템 암호가 있는 사용자가 Workday에 로그인하지 못하게 하는 추가 보안 계층을 제공하기 때문에 UI 세션 허용 안 함 옵션을 선택합니다.

   

통합 보안 그룹 만들기

이 단계에서는 Workday에서 제한되지 않거나 제한된 통합 시스템 보안 그룹을 만들고 이전 단계에서 만든 통합 시스템 사용자를 이 그룹에 할당합니다.

보안 그룹을 만들려면

1. 검색 상자에 보안 그룹 만들기를 입력하고 보안 그룹 만들기를 클릭합니다.

   

2. 보안 그룹 만들기 작업을 완료합니다.

   • Workday에 있는 두 가지 유형의 보안 그룹은 다음과 같습니다.

     • 제한 없음: 보안 그룹의 모든 구성원이 보안 그룹으로 보호되는 모든 데이터 인스턴스에 액세스할 수 있습니다.
     • 제한됨: 모든 보안 그룹 구성원에게 보안 그룹이 액세스할 수 있는 데이터 인스턴스(행) 하위 세트의 컨텍스트 액세스 권한이 있습니다.

   • 통합에 적합한 보안 그룹 유형을 선택하려면 Workday 통합 파트너에게 문의하세요.

   • 그룹 유형을 알고 있으면 드롭다운에서 통합 시스템 보안 그룹(비제한형) 또는 통합 시스템 보안 그룹(제한형)을 선택합니다.

     

3. 보안 그룹 만들기에 성공하면 보안 그룹에 구성원을 할당할 수 있는 페이지가 표시됩니다. 이전 단계에서 만든 새 통합 시스템 사용자를 이 보안 그룹에 추가합니다. 제한된 보안 그룹을 사용하는 경우 적절한 조직 범위를 선택해야 합니다.

   

도메인 보안 정책 권한 구성

이 단계에서는 작업자 데이터에 대한 do기본 보안 정책 권한을 보안 그룹에 부여합니다.

도메인 보안 정책 권한을 구성하려면

1. 검색 상자에서 보안 그룹 멤버 자격 및 액세스를 입력하고 보고서 링크를 클릭합니다.

   

2. 이전 단계에서 만든 보안 그룹을 찾아 선택합니다.

   

3. 그룹 이름 옆에 있는 줄임표(...)를 클릭하고 메뉴에서 보안 그룹 > 보안 그룹에 대한 도메인 권한 유지를 선택합니다.

   

4. 통합 권한에서 다음 도메인을 Put 액세스를 허용하는 도메인 보안 정책 목록에 추가합니다.

   • 외부 계정 프로비저닝
   • 작업자 데이터: 공용 작업자 보고서
   • 사용자 데이터: 회사 연락처 정보(Microsoft Entra ID에서 Workday로 연락처 데이터를 쓰기 저장하려는 경우 필요)
   • Workday 계정(Microsoft Entra ID에서 Workday로 사용자 이름/UPN을 쓰기 저장하려는 경우 필요)

5. 통합 권한에서 다음 도메인을 Get 액세스를 허용하는 도메인 보안 정책 목록에 추가합니다.

   • 작업자 데이터: 작업자
   • 작업자 데이터: 모든 직위
   • 작업자 데이터: 현재 직원 충원 정보
   • 작업자 데이터: 작업자 프로필 직함
   • 작업자 데이터: 정규 작업자(선택 사항 - 프로비전을 위해 작업자 자격 데이터를 검색하려면 이 옵션을 추가)
   • 작업자 데이터: 기술 및 경험(선택 사항 - 프로비전을 위해 작업자 기술 데이터를 검색하려면 이 옵션을 추가)

6. 위의 단계를 완료하면 아래와 같이 사용 권한 화면이 표시됩니다.

   

7. 확인을 클릭하고 다음 화면에서 완료하여 구성을 완료합니다.

비즈니스 프로세스 보안 정책 권한 구성

이 단계에서는 보안 그룹에 대한 작업자 데이터에 “비즈니스 프로세스 보안” 정책 권한을 부여합니다.

참고 항목

이 단계는 Workday 쓰기 저장 앱 커넥터를 설정하는 경우에만 필요합니다.

비즈니스 프로세스 보안 정책 권한을 구성하려면

1. 검색 상자에 비즈니스 프로세스 정책을 입력한 다음, 비즈니스 프로세스 보안 정책 편집 작업 링크를 클릭합니다.

   

2. 비즈니스 프로세스 유형 텍스트 상자에서 연락처를 검색하고 회사 연락처 변경 비즈니스 프로세스를 선택하고 확인을 클릭합니다.

   

3. 비즈니스 프로세스 보안 정책 편집 페이지에서 회사 연락처 정보 변경(웹 서비스) 섹션으로 스크롤합니다.

4. 새 통합 시스템 보안 그룹을 선택하여 웹 서비스 요청을 시작할 수 있는 보안 그룹 목록에 추가합니다.

   

5. 완료를 클릭합니다.

보안 정책 변경 사항 활성화

보안 정책 변경 사항을 활성화하려면

1. 검색 상자에 활성화를 입력하고 보류 중인 보안 정책 변경 내용 활성화 링크를 클릭합니다.

   

2. 감사 목적에 대한 메모를 입력하고 확인을 클릭하여 보류 중인 보안 정책 변경 내용의 활성화 태스크를 시작합니다.

3. 다음 화면에서 확인 확인란을 선택하여 태스크를 완료한 다음 확인을 클릭합니다.

   

프로비저닝 에이전트 설치 필수 구성 요소

다음 섹션으로 진행하기 전에 에이전트 설치 필수 구성 요소 프로비저닝을 검토합니다.

Workday에서 Active Directory로 사용자 프로비전 구성

이 섹션에서는 Workday에서 통합 범위 안의 각 Active Directory 도메인으로 사용자 계정을 프로비전하는 단계를 제공합니다.

• 프로비저닝 커넥터 앱을 추가하고 Provisioning Agent 다운로드
• 온-프레미스 프로비전 에이전트 설치 및 구성
• Workday 및 Active Directory에 대한 연결 구성
• 특성 매핑 구성
• 사용자 프로비저닝 사용 및 시작

1부: 프로비전 커넥터 앱을 추가하고 프로비전 에이전트 다운로드

Workday에서 Active Directory로의 프로비전을 구성하려면:

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>엔터프라이즈 애플리케이션>새 애플리케이션으로 이동합니다.

3. Workday에서 Active Directory로 사용자 프로비저닝을 검색하고, 갤러리에서 해당 앱을 추가합니다.

4. 앱이 추가되고 앱 세부 정보 화면이 표시되면 프로비저닝을 선택합니다.

5. 프로비저닝모드를 자동으로 변경합니다.

6. 표시된 정보 배너를 클릭하여 Provisioning Agent를 다운로드합니다.

   

2부: 온-프레미스 프로비전 에이전트 설치 및 구성

Active Directory 온-프레미스에 프로비저닝하려면 원하는 Active Directory 도메인에 대한 네트워크 액세스 권한이 있는 도메인 조인 서버에 프로비저닝 에이전트를 설치해야 합니다.

다운로드한 에이전트 설치 관리자를 서버 호스트로 전송하고 설치 에이전트 섹션에 나열된 단계에 따라 에이전트 구성을 완료합니다.

3부: 프로비전 앱에서 Workday 및 Active Directory에 대한 연결 구성

이 단계에서는 Workday 및 Active Directory와의 연결을 설정합니다.

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>엔터프라이즈 애플리케이션>1부에서 만든 Workday to Active Directory 사용자 프로비저닝 앱으로 이동합니다.

3. 다음과 같이 관리자 자격 증명 섹션을 완료합니다.

   • Workday 사용자 이름 – 테넌트 도메인 이름이 추가된 Workday 통합 시스템 계정의 사용자 이름을 입력합니다. username@tenant_name과 비슷합니다.

   • Workday 암호 – Workday 통합 시스템 계정의 암호를 입력합니다.

   • Workday Web Services API URL – 테넌트의 Workday 웹 서비스 엔드포인트에 대한 URL을 입력합니다. URL은 커넥터에서 사용하는 Workday Web Services API의 버전을 결정합니다.

     URL 형식	사용되는 WWS API 버전	XPATH 변경 필요
     https://####.workday.com/ccx/service/tenantName	v21.1	아니요
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	아니요
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	예

     참고 항목

     버전 정보가 URL에 지정되지 않으면 앱에서 WWS(Workday Web Services) v21.1을 사용하며 앱과 함께 제공되는 기본 XPATH API 식을 변경할 필요가 없습니다. 특정 WWS API 버전을 사용하려면 URL에서 버전 번호를 지정합니다.
     예: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     WWS API v30.0 이상을 사용하는 경우 프로비저닝 작업을 설정하기 전에 구성 관리 및 Workday 특성 참조 섹션을 참조하여 특성 매핑 -> 고급 옵션 -> Workday 특성 목록 편집 아래에서 XPATH API 식을 업데이트하세요.

   • Active Directory 포리스트 - 에이전트에 등록된 Active Directory 도메인의 “이름”입니다. 드롭다운에서 프로비전을 위한 대상 도메인을 선택합니다. 이 값은 일반적으로 contoso.com 형태의 문자열입니다.

   • Active Directory 컨테이너 - 에이전트가 기본적으로 사용자 계정을 만드는 컨테이너 DN을 입력합니다. 예: OU=Standard Users,OU=Users,DC=contoso,DC=test

     참고 항목

     이 설정은 parentDistinguishedName 특성이 특성 매핑에 구성되지 않은 경우에만 사용자 계정 생성에 사용됩니다. 이 설정은 사용자 검색 또는 업데이트 작업에는 사용되지 않습니다. 전체 도메인 하위 트리는 검색 작업의 범위에 속합니다.

   • 알림 메일 – 이메일 주소를 입력하고 "오류가 발생하면 이메일 보내기" 확인란을 선택합니다.

     참고 항목

     Microsoft Entra 프로비전 서비스는 프로비전 작업이 격리 상태가 되면 이메일 알림을 보냅니다.

   • 연결 테스트 단추를 클릭합니다. 연결 테스트가 성공하면 맨 위에서 저장 단추를 클릭합니다. 실패한 경우 에이전트 설치 시 구성된 Workday 자격 증명과 AD 자격 증명이 유효한지 재차 확인하세요.

     

   • 자격 증명이 성공적으로 저장되면 매핑 섹션에 Workday 작업자를 온-프레미스 Active Directory에 동기화하는 기본 매핑 이 표시됩니다.

4부: 특성 매핑 구성

이 섹션에서는 사용자 데이터가 Workday에서 Active Directory로 흐르는 방식을 구성합니다.

1. 매핑 아래 [프로비전] 탭에서 Synchronize Workday Workers to On Premises Active Directory(온-프레미스 Active Directory에 Workday 작업자 동기화)를 클릭합니다.

2. 원본 개체 범위 필드에서 특성 기반 필터 집합을 정의하여 AD 프로비전 범위에 포함할 Workday 사용자 집합을 선택할 수 있습니다. 기본 범위는 "Workday의 모든 사용자"입니다. 예제 필터:

   • 예: 작업자 ID가 1000000~2000000(2000000 제외) 사이인 사용자를 범위에 포함

     • 특성: WorkerID

     • 연산자: REGEX Match

     • 값: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • 예: 정규직 직원만 포함하고 비정규직 직원은 포함하지 않음

     • 특성: EmployeeID

     • 연산자: IS NOT NULL

   팁

   프로비전 앱을 처음으로 구성할 때 특성 매핑 및 식을 테스트하고 확인하여 원하는 결과를 제공하는지 확인해야 합니다. Microsoft는 원본 개체 범위 및 주문형 프로비저닝에서 범위 지정 필터를 사용하여 Workday의 몇몇 테스트 사용자로 매핑을 테스트할 것을 권장합니다. 매핑이 작동하는지 확인한 후에는 필터를 제거하거나 점진적으로 더 많은 사용자를 포함하도록 해당 필터를 점진적으로 확장할 수 있습니다.

   주의

   프로비저닝 엔진의 기본 동작은 범위를 벗어나는 사용자를 사용하지 않도록 설정/삭제하는 것입니다. 이는 Workday-AD 통합 환경에서 적합하지 않을 수 있습니다. 이 기본 동작을 재정의하려면 범위를 벗어난 사용자 계정 삭제 건너뛰기 문서를 참조하세요.

3. 대상 개체 작업 필드에서 Active Directory에서 수행할 작업을 전역적으로 필터링할 수 있습니다. 만들기 및 업데이트가 가장 일반적입니다.

4. 특성 매핑 섹션에서 개별 Workday 특성이 Active Directory 특성에 매핑되는 방식을 정의할 수 있습니다.

5. 기존 특성 매핑을 클릭하여 업데이트하거나 화면 맨 아래에서 새 매핑 추가를 클릭하여 새 매핑을 추가합니다. 개별 특성 매핑은 다음 속성을 지원합니다.

   • 매핑 유형

     • 직접 – Workday 특성 값을 변경하지 않고 AD 특성에 씁니다.

     • 상수 - AD 특성에 고정적인 상수 문자열 값을 씁니다.

     • 식 – 하나 이상의 Workday 특성에 따라 AD 특성에 사용자 지정 값을 쓸 수 있습니다. 자세한 내용은 식에 대한 이 문서를 참조하세요.

   • 원본 특성 - Workday의 사용자 특성입니다. 원하는 특성이 없는 경우 Workday 사용자 특성 목록 사용자 지정을 참조하세요.

   • 기본값 – 선택 사항입니다. 원본 특성에 빈 값이 있으면 매핑에서 이 값을 대신 씁니다. 이 값을 비워두는 것이 가장 일반적인 구성입니다.

   • 대상 특성 – Active Directory의 사용자 특성입니다.

   • 이 특성을 사용하여 개체 일치 – Workday와 Active Directory 간에 사용자를 고유하게 식별하는 데 이 매핑을 사용할지 여부를 나타냅니다. 이 값은 일반적으로 Active Directory의 직원 ID 특성 중 하나에 매핑되는 Workday의 작업자 ID 필드에서 설정됩니다.

   • 일치 우선 순위 – 여러 일치 특성을 설정할 수 있습니다. 일치 특성이 여러 개 있으면 이 필드에 정의된 순서대로 평가됩니다. 일치 항목이 발견되는 즉시 더 이상 일치 특성을 평가하지 않습니다.

   • 이 매핑 적용

     • 항상 – 사용자 만들기 및 업데이트 작업 시 이 매핑을 적용합니다.

     • 만들기 작업 시에만 - 사용자 만들기 작업 시에만 이 매핑을 적용합니다.

6. 매핑을 저장하려면 특성 매핑 섹션 맨 위에서 저장을 클릭합니다.

   

아래는 몇 가지 일반적인 식을 사용한 Workday와 Active Directory 간의 특성 매핑을 보여주는 예입니다.

• parentDistinguishedName 특성에 매핑되는 식을 사용하여 하나 이상의 Workday 원본 특성에 따라 다른 OU에 사용자를 프로비전할 수 있습니다. 이 예제에서는 도시에 따라 사용자를 다른 OU에 배치합니다.

• Active Directory의 userPrincipalName 특성은 대상 AD 도메인에 생성된 값이 있는지 확인하고 고유한 경우에만 해당 값을 설정하는 중복 제거 함수 SelectUniqueValue를 사용하여 생성됩니다.

• 식 작성에 대한 설명서는 여기에 있습니다. 이 섹션에는 특수 문자를 제거하는 방법에 대한 예제가 포함되어 있습니다.

WORKDAY 특성	ACTIVE DIRECTORY 특성	ID 일치 여부	만들기/업데이트
WorkerID	EmployeeID	예	만들기 작업 시에만 기록
PreferredNameData	cn		만들기 작업 시에만 기록
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com"))	userPrincipalName		만들기 작업 시에만 기록
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )	sAMAccountName		만들기 작업 시에만 기록
Switch([Active], , "0", "True", "1", "False")	accountDisabled		만들기 + 업데이트
FirstName	givenName		만들기 + 업데이트
LastName	sn		만들기 + 업데이트
PreferredNameData	displayName		만들기 + 업데이트
회사	company		만들기 + 업데이트
SupervisoryOrganization	department		만들기 + 업데이트
ManagerReference	관리자		만들기 + 업데이트
BusinessTitle	title		만들기 + 업데이트
AddressLineData	streetAddress		만들기 + 업데이트
Municipality	l		만들기 + 업데이트
CountryReferenceTwoLetter	CO		만들기 + 업데이트
CountryReferenceTwoLetter	c		만들기 + 업데이트
CountryRegionReference	st		만들기 + 업데이트
WorkSpaceReference	physicalDeliveryOfficeName		만들기 + 업데이트
PostalCode	postalCode		만들기 + 업데이트
PrimaryWorkTelephone	telephoneNumber		만들기 + 업데이트
팩스	facsimileTelephoneNumber		만들기 + 업데이트
모바일	mobile		만들기 + 업데이트
LocalReference	preferredLanguage		만들기 + 업데이트
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")	parentDistinguishedName		만들기 + 업데이트

속성 매핑 구성이 완료되면 주문형 프로비저닝을 사용하여 단일 사용자에 대한 프로비저닝을 테스트한 다음, 사용자 프로비저닝 서비스를 사용하고 시작할 수 있습니다.

사용자 프로비저닝 사용 및 시작

Workday 프로비저닝 앱 구성이 완료되고 주문형 프로비저닝을 사용하는 단일 사용자에 대한 프로비저닝을 확인하면 프로비저닝 서비스를 설정할 수 있습니다.

팁

기본적으로 프로비저닝 서비스를 켜면 범위의 모든 사용자에 대한 프로비저닝 작업을 시작합니다. 매핑 오류 또는 Workday 데이터 문제가 있는 경우 프로비전 작업이 실패하고 격리 상태로 전환될 수 있습니다. 이를 방지하기 위한 모범 사례로서 원본 개체 범위 필터를 구성하고 모든 사용자의 전체 동기화를 시작하기 전에 온디멘드 프로비저닝을 사용하는 몇몇 테스트 사용자로 특성 매핑을 테스트하는 것이 좋습니다. 매핑이 작동하고 원하는 결과를 제공하는지 확인한 후에는 필터를 제거하거나 점진적으로 더 많은 사용자를 포함하도록 해당 필터를 점진적으로 확장할 수 있습니다.

1. 프로비저닝 블레이드로 이동하고 프로비저닝 시작을 클릭합니다.

2. 이 작업은 초기 동기화를 시작하며 Workday 테넌트에 있는 사용자 수에 따라 가변적인 시간이 걸릴 수 있습니다. 진행률 표시줄을 확인하여 동기화 주기의 진행 상황을 추적할 수 있습니다.

3. 언제든지 Microsoft Entra 관리 센터의 프로비전 탭을 검사 프로비전 서비스에서 수행한 작업을 확인합니다. 프로비저닝 로그에는 프로비전 서비스에서 수행하는 모든 개별 동기화 이벤트(예: Workday에서 읽은 후 Active Directory에 추가 또는 업데이트되는 사용자)가 나열됩니다. 프로비저닝 로그를 검토하고 프로비저닝 오류를 수정하는 방법에 대한 지침은 문제 해결 섹션을 참조하세요.

4. 초기 동기화가 완료되면 아래와 같이 프로비전 탭에 감사 요약 보고서를 작성합니다.

   

FAQ(질문과 대답)

• 솔루션 기능 질문

  • Workday에서 신규 채용자를 처리할 때 솔루션에서 Active Directory에서 새 사용자 계정의 암호를 어떻게 설정하나요?
  • 솔루션에서 프로비전 작업이 완료된 후 메일 알림 보내기를 지원하나요?
  • 솔루션에서는 Microsoft Entra 클라우드 또는 프로비전 에이전트 계층에서 Workday 사용자 프로필을 캐시하나요?
  • 솔루션에서 온-프레미스 AD 그룹을 사용자에게 할당할 수 있나요?
  • 솔루션에서 Workday 작업자 프로필을 쿼리 및 업데이트하는 데 사용하는 Workday API는 무엇인가요?
  • 두 Microsoft Entra 테넌트를 사용하여 Workday HCM 테넌트를 구성할 수 있나요?
  • Workday 및 Microsoft Entra 통합에 관련된 개선 사항을 제안하거나 새로운 기능을 요청하려면 어떻게 할까요?

• 프로비전 에이전트 질문

  • 프로비전 에이전트의 GA 버전은 무엇인가요?
  • 내 프로비전 에이전트의 버전을 어떻게 알 수 있나요?
  • Microsoft에서 프로비전 에이전트 업데이트를 자동으로 푸시하나요?
  • Microsoft Entra Connect를 실행하는 동일한 서버에 Provisioning Agent를 설치할 수 있나요?
  • 아웃바운드 HTTP 통신에 프록시 서버를 사용하도록 프로비전 에이전트를 구성하려면 어떻게 할까요?
  • 프로비전 에이전트가 Microsoft Entra 테넌트와 통신할 수 있고 에이전트에 필요한 포트를 차단하는 방화벽이 없는지 확인하려면 어떻게 할까요?
  • 내 프로비전 에이전트와 연결된 도메인의 등록을 해제하려면 어떻게 할까요?
  • 프로비전 에이전트를 제거하려면 어떻게 할까요?

• Workday-AD 특성 매핑 및 구성 질문

  • 내 Workday 프로비전 특성 매핑 및 스키마의 작업 복사본을 백업하거나 내보내려면 어떻게 할까요?
  • Workday 및 Active Directory에 사용자 지정 특성이 있습니다. 사용자 지정 특성을 사용하도록 솔루션을 구성하려면 어떻게 할까요?
  • 사용자의 사진을 Workday에서 Active Directory로 프로비전할 수 있나요?
  • 공개 사용을 위해 사용자 동의에 따라 Workday에서 휴대폰 번호를 동기화하려면 어떻게 할까요?
  • 사용자의 부서/국가/시/도 특성에 따라 AD에서 표시 이름의 서식을 지정하고 지역별 차이를 처리하려면 어떻게 해야 할까요?
  • SelectUniqueValue를 사용하여 samAccountName 특성의 고유 값을 생성하려면 어떻게 할까요?
  • 분음 부호가 있는 문자를 제거하고 일반 영어 알파벳으로 변환하려면 어떻게 할까요?

솔루션 기능 질문

Workday에서 신규 채용자를 처리할 때 솔루션에서 Active Directory에서 새 사용자 계정의 암호를 어떻게 설정하나요?

온-프레미스 프로비전 에이전트는 새 AD 계정을 만드는 요청을 받으면 AD 서버에서 정의한 암호 복잡성 요구 사항을 충족하도록 설계된 복잡한 임의 암호를 자동으로 생성하고 사용자 개체에서 이 암호를 설정합니다. 이 암호는 아무 위치에도 기록되지 않습니다.

솔루션에서 프로비전 작업이 완료된 후 메일 알림 보내기를 지원하나요?

아니요. 프로비전 작업을 완료한 후 메일 알림 보내기는 현재 릴리스에서 지원되지 않습니다.

솔루션에서는 Microsoft Entra 클라우드 또는 프로비전 에이전트 계층에서 Workday 사용자 프로필을 캐시하나요?

아니요, 솔루션은 사용자 프로필의 캐시를 기본 않습니다. Microsoft Entra 프로비전 서비스는 단순히 Workday에서 데이터를 읽고 대상 Active Directory 또는 Microsoft Entra ID에 쓰는 데이터 프로세서로 사용됩니다. 사용자 개인 정보 및 데이터 보존에 대한 자세한 내용은 개인 데이터 관리 섹션을 참조하세요.

솔루션에서 온-프레미스 AD 그룹을 사용자에게 할당할 수 있나요?

이 기능은 현재 지원되지 않습니다. 권장되는 해결 방법은 로그 데이터를 프로비전하기 위해 Microsoft Graph API 엔드포인트를 쿼리하고 이를 사용하여 그룹 할당과 같은 시나리오를 트리거하는 PowerShell 스크립트를 배포하는 것입니다. 이 PowerShell 스크립트는 작업 스케줄러에 연결되고 프로비전 에이전트를 실행하는 동일한 상자에 배포될 수 있습니다.

솔루션에서 Workday 작업자 프로필을 쿼리 및 업데이트하는 데 사용하는 Workday API는 무엇인가요?

현재 솔루션에서는 다음 Workday API를 사용합니다.

• 관리자 자격 증명 섹션에서 사용된 Workday Web Services API URL 형식에 따라 Get_Workers에 사용되는 API 버전이 달라집니다.

  • URL 형식이 https://####.workday.com/ccx/service/tenantName이면 API v21.1이 사용됩니다.
  • URL 형식이 https://####.workday.com/ccx/service/tenantName/Human_Resources인 경우 API v21.1이 사용됩니다.
  • URL 형식이 https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#이면 지정된 API 버전이 사용됩니다. (예: v34.0이 지정된 경우 해당 버전이 사용됩니다.)

• Workday 이메일 쓰기 저장 기능은 Change_Work_Contact_Information(v30.0)을 사용합니다.

• Workday 사용자 이름 쓰기 저장 기능은 Update_Workday_Account(v31.2)를 사용합니다.

두 Microsoft Entra 테넌트를 사용하여 Workday HCM 테넌트를 구성할 수 있나요?

예. 이 구성은 지원됩니다. 이 시나리오를 구성하는 개략적인 단계는 다음과 같습니다.

• 프로비전 에이전트 #1을 배포하고 Microsoft Entra 테넌트 #1에 등록합니다.
• 프로비전 에이전트 #2를 배포하고 Microsoft Entra 테넌트 #2에 등록합니다.
• 각 프로비저닝 에이전트가 관리하는 "자식 do기본s"에 따라 do기본를 사용하여 각 에이전트를 구성합니다. 하나의 에이전트가 여러 도메인을 처리할 수 있습니다.
• Microsoft Entra 관리 센터에서 각 테넌트에서 Workday to AD 사용자 프로비저닝 앱을 설정하고 각 do기본s로 구성합니다.

Workday 및 Microsoft Entra 통합에 관련된 개선 사항을 제안하거나 새로운 기능을 요청하려면 어떻게 할까요?

사용자 의견은 향후 릴리스 및 개선 사항의 방향을 설정하는 데 도움이 되므로 매우 중요합니다. 의견이 있으시면 언제든 보내주세요. Microsoft Entra ID 사용자 의견 포럼에서 아이디어나 개선 사항 제안을 제출하실 것을 권장합니다. Workday 통합에 관련된 특정 사용자 의견을 보려면 ‘SaaS 애플리케이션’ 범주를 선택하고 Workday 키워드로 검색하여 Workday와 관련된 기존 사용자 의견을 찾습니다.

새로운 아이디어를 제안할 경우 다른 사용자가 유사한 기능을 이미 제안했는지 확인하세요. 이 경우 기능 또는 개선 사항 요청을 추천할 수 있습니다. 특정 사용 사례에 대한 설명을 남기면 아이디어에 대한 지원을 표시하고 기능도 유용하게 사용할 수 있는 방법을 보여 줄 수 있습니다.

프로비전 에이전트 질문

프로비전 에이전트의 GA 버전은 무엇인가요?

최신 GA 버전의 프로비전 에이전트는 Microsoft Entra Connect 프로비전 에이전트: 버전 릴리스 기록을 참조하세요.

내 프로비전 에이전트의 버전을 어떻게 알 수 있나요?

• Provisioning Agent가 설치된 Windows Server에 로그인합니다.

• 제어판 ->프로그램 제거 또는 변경 메뉴로 이동합니다.

• Microsoft Entra Connect 프로비전 에이전트 항목에 해당하는 버전 찾기

  

Microsoft에서 프로비전 에이전트 업데이트를 자동으로 푸시하나요?

예. Microsoft Entra Connect 에이전트 업데이트 프로그램 Windows 서비스를 시작하여 실행하는 경우 Microsoft에서 프로비전 에이전트를 자동으로 업데이트합니다.

Microsoft Entra Connect를 실행하는 동일한 서버에 Provisioning Agent를 설치할 수 있나요?

예. Microsoft Entra Connect를 실행하는 동일한 서버에 Provisioning Agent를 설치할 수 있습니다.

구성할 때 프로비전 에이전트가 Microsoft Entra 관리자 자격 증명을 요구하는 메시지를 표시합니다. 에이전트가 자격 증명을 서버에 로컬로 저장하나요?

구성 중에 프로비전 에이전트는 Microsoft Entra 테넌트에 연결하기 위해서만 Microsoft Entra 관리자 자격 증명을 요구하는 메시지를 표시합니다. 자격 증명은 서버에 로컬로 저장되지 않습니다. 그러나 ‘온-프레미스 Active Directory 도메인’에 연결하는 데 사용되는 자격 증명을 로컬 Windows 암호 자격 증명 모음에 보존합니다.

아웃바운드 HTTP 통신에 프록시 서버를 사용하도록 프로비전 에이전트를 구성하려면 어떻게 할까요?

프로비전 에이전트는 아웃바운드 프록시 사용을 지원합니다. 에이전트 구성 파일 C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config를 편집하여 에이전트를 구성할 수 있습니다. 해당 구성 파일의 끝 쪽으로 닫는 </configuration> 태그 바로 앞에 다음 줄을 추가합니다. [proxy-server] 및 [proxy-port] 변수를 프록시 서버 이름 및 포트 값으로 바꿉니다.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

프로비전 에이전트가 Microsoft Entra 테넌트와 통신할 수 있고 에이전트에 필요한 포트를 차단하는 방화벽이 없는지 확인하려면 어떻게 할까요?

필요한 모든 포트가 열려 있는지 확인할 수도 있습니다.

단일 프로비전 에이전트가 여러 AD 도메인을 프로비전하도록 구성할 수 있나요?

예. 에이전트가 각 도메인 컨트롤러를 확인할 수 있는 경우 단일 프로비전 에이전트가 여러 AD 도메인을 처리하도록 구성할 수 있습니다. Microsoft는 고가용성을 보장하고 장애 조치(failover) 지원을 제공하기 위해 동일한 AD do기본 세트를 제공하는 3개의 프로비저닝 에이전트 그룹을 설정하는 것이 좋습니다.

내 프로비전 에이전트와 연결된 도메인의 등록을 해제하려면 어떻게 할까요?

*, Microsoft Entra 테넌트의 테넌트 ID를 가져옵니다.

• Provisioning Agent를 실행하는 Windows Server에 로그인합니다.

• Windows 관리자 권한으로 PowerShell을 엽니다.

• 등록 스크립트를 포함하는 디렉터리로 변경하고 다음 명령을 실행하여 [tenant ID] 매개 변수를 테넌트 ID 값으로 바꿉니다.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• 표시되는 에이전트 목록에서 resourceName이 AD 도메인 이름과 같은 해당 리소스의 id 필드 값을 복사합니다.

• ID 값을 이 명령에 붙여넣고 PowerShell에서 실행합니다.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• 에이전트 구성 마법사를 다시 실행합니다.

• 이전에 할당된 다른 에이전트는 기본 다시 구성해야 합니다.

프로비전 에이전트를 제거하려면 어떻게 할까요?

• Provisioning Agent가 설치된 Windows Server에 로그인합니다.
• 제어판 ->프로그램 제거 또는 변경 메뉴로 이동합니다.
• 다음 프로그램을 제거합니다.
  • Microsoft Entra Connect 프로비전 에이전트
  • Microsoft Entra Connect 에이전트 업데이터
  • Microsoft Entra Connect 프로비전 에이전트 패키지

Workday-AD 특성 매핑 및 구성 질문

내 Workday 프로비전 특성 매핑 및 스키마의 작업 복사본을 백업하거나 내보내려면 어떻게 할까요?

Microsoft Graph API를 사용하여 Workday 사용자 프로비저닝 구성을 내보낼 수 있습니다. 자세한 내용은 Workday 사용자 프로비저닝 특성 매핑 구성 내보내기 및 가져오기 섹션의 단계를 참조하세요.

Workday 및 Active Directory에 사용자 지정 특성이 있습니다. 사용자 지정 특성을 사용하도록 솔루션을 구성하려면 어떻게 할까요?

솔루션은 사용자 지정 Workday 및 Active Directory 특성을 지원합니다. 매핑 스키마에 사용자 지정 특성을 추가하려면 특성 매핑 블레이드를 열고 아래로 스크롤하여 고급 옵션 표시 섹션을 확장합니다.

사용자 지정 Workday 특성을 추가하려면 ‘Workday의 특성 목록 편집’ 옵션을 선택하고, 사용자 지정 AD 특성을 추가하려면 ‘온-프레미스 Active Directory의 특성 목록 편집’ 옵션을 선택합니다.

참고 항목:

• Workday 사용자 특성 목록 사용자 지정

Workday 변경 사항에 따라 AD의 특성만 업데이트하고 새 AD 계정을 만들지 않도록 솔루션을 구성하려면 어떻게 할까요?

다음과 같이 특성 매핑 블레이드에서 대상 개체 작업을 설정하여 이 구성을 수행할 수 있습니다.

업데이트 작업만 Workday에서 AD로 흐르도록 “업데이트” 확인란을 선택합니다.

사용자의 사진을 Workday에서 Active Directory로 프로비전할 수 있나요?

솔루션은 현재 Active Directory에서 thumbnailPhoto 및 jpegPhoto와 같은 이진 특성 설정을 지원하지 않습니다.

공개 사용을 위해 사용자 동의에 따라 Workday에서 휴대폰 번호를 동기화하려면 어떻게 할까요?

• Workday 프로비전 앱의 “프로비전” 블레이드로 이동합니다.

• 특성 매핑을 클릭합니다.

• 매핑 아래에서 온-프레미스 Active Directory에 Workday 작업자 동기화 또는 Microsoft Entra ID에 Workday 작업자 동기화를 선택합니다.

• 특성 매핑 페이지에서 아래로 스크롤하여 “고급 옵션 표시” 상자를 선택합니다. Workday의 특성 목록 편집을 클릭합니다.

• 열리는 블레이드에서 “Mobile” 특성을 찾고 행을 클릭하여 API 식을 편집할 수 있습니다.

• API 식을 다음 새 식으로 바꿉니다. 이 식은 Workday에서 “공개 사용 플래그”가 “True”로 설정된 경우에만 회사 휴대폰 번호를 검색합니다.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• 특성 목록을 저장합니다.

• 특성 매핑을 저장합니다.

• 현재 상태를 지우고 전체 동기화를 다시 시작합니다.

사용자의 부서/국가/시/도 특성에 따라 AD에서 표시 이름의 서식을 지정하고 지역별 차이를 처리하려면 어떻게 해야 할까요?

사용자의 부서 및 국가/지역에 대한 정보도 제공하도록 AD에서 displayName 특성을 구성하는 것은 일반적인 요구 사항입니다. 예를 들어 John Smith가 미국의 마케팅 부서에서 일하는 경우 displayName을 Smith, John(Marketing-US)으로 표시할 수 있습니다.

회사, 사업부, 도시 또는 국가/지역과 같은 특성을 포함하도록 CN 또는 displayName을 생성하기 위해 해당 요구 사항을 처리하는 방법은 다음과 같습니다.

• 각 Workday 속성은 특성 매핑 -> 고급 섹션 -> Workday의 속성 목록 편집에서 구성할 수 있는 기본 XPATH API 표현식을 사용하여 검색됩니다. Workday PreferredFirstName, PreferredLastName, Company 및 SupervisoryOrganization 특성의 기본 XPATH API 식은 다음과 같습니다.

  Workday 특성	API XPATH 식
  PreferredFirstName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  PreferredLastName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  회사	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  SupervisoryOrganization	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  위의 API 식이 Workday 테넌트 구성에 유효한지 Workday 팀에 문의하세요. 필요한 경우 Workday 사용자 특성 목록 사용자 지정 섹션의 설명대로 편집할 수 있습니다.

• 마찬가지로, Workday에 있는 국가/지역 정보는 다음 XPATH를 사용하여 검색합니다. wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  Workday 특성 목록 섹션에서 사용할 수 있는 5개의 국가/지역 관련 특성이 있습니다.

  Workday 특성	API XPATH 식
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  위의 API 식이 Workday 테넌트 구성에 유효한지 Workday 팀에 문의하세요. 필요한 경우 Workday 사용자 특성 목록 사용자 지정 섹션의 설명대로 편집할 수 있습니다.

• 적절한 특성 매핑 식을 빌드하려면 사용자의 이름, 성, 국가/지역 및 부서를 "정식으로" 나타내는 Workday 특성을 식별합니다. 특성이 각각 PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter 및 SupervisoryOrganization이라고 가정하겠습니다. 이 특성을 사용하여 Smith, John(Marketing-US)과 같은 표시 이름을 가져오는 AD displayName 특성 식을 다음과 같이 빌드할 수 있습니다.

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  적절한 식을 빌드한 후 Attribute Mappings 테이블을 편집하고 displayName 특성 매핑을 다음과 같이 수정합니다.

• 위의 예제를 확장하여 Workday에서 가져온 도시 이름을 약어 값으로 변환한 다음, 이 값을 사용하여 Smith, John(CHI) 또는 Doe, Jane(NYC)과 같은 표시 이름을 빌드한다고 가정하겠습니다. 이러한 결과는 Workday Municipality 특성이 결정자 변수로 포함된 Switch 식을 사용하여 얻을 수 있습니다.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  참고 항목:

  • Switch 함수 구문
  • Join 함수 구문
  • Append 함수 구문

SelectUniqueValue를 사용하여 samAccountName 특성의 고유 값을 생성하려면 어떻게 할까요?

Workday에서 FirstName 및 LastName 특성을 함께 사용하여 samAccountName 특성의 고유 값을 생성한다고 가정하겠습니다. 시작할 수 있는 식은 다음과 같습니다.

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

위 식의 작동 방식: 사용자가 John Smith면 먼저 JSmith를 생성하려고 합니다. JSmith가 이미 있으면 JoSmith를 생성하고, JoSmith가 있으면 JohSmith를 생성합니다. 이 식을 사용하면 생성된 값이 samAccountName과 연결된 길이 제한 및 특수 문자 제한도 충족할 수 있습니다.

참고 항목:

• Mid 함수 구문
• Replace 함수 구문
• SelectUniqueValue 함수 구문

분음 부호가 있는 문자를 제거하고 일반 영어 알파벳으로 변환하려면 어떻게 할까요?

사용자의 메일 주소 또는 CN 값을 생성하는 동안 NormalizeDiacritics 함수를 사용하여 사용자의 이름 및 성에서 특수 문자를 제거합니다.

문제 해결 팁

이 섹션에서는 Microsoft Entra 프로비저닝 로그 및 Windows Server 이벤트 뷰어 로그를 사용하여 Workday 통합과 관련된 프로비저닝 문제를 해결하는 방법에 대한 구체적인 지침을 제공합니다. 자습서: 자동 사용자 계정 프로비전에 대한 보고에서 캡처한 일반적인 문제 해결 단계 및 개념을 기반으로 합니다.

이 섹션에서는 문제 해결의 다음 측면을 다룹니다.

• 이벤트 뷰어 로그를 내보내도록 프로비저닝 에이전트 구성
• 에이전트 문제 해결을 위한 Windows 이벤트 뷰어 설정
• 서비스 문제 해결을 위해 Microsoft Entra 관리 센터 프로비저닝 로그 설정
• AD 사용자 계정 생성 작업에 대한 로그 이해
• 관리자 업데이트 작업에 대한 로그 이해
• 일반적으로 발생하는 오류 해결

이벤트 뷰어 로그를 내보내도록 프로비저닝 에이전트 구성

1. 프로비저닝 에이전트가 배포된 Windows Server 머신에 로그인

2. Microsoft Entra Connect 프로비전 에이전트 서비스를 중지합니다.

3. 원래 구성 파일의 복사본 만들기: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

4. 기존 <system.diagnostics> 섹션을 다음으로 바꿉니다.

   • 수신기 구성 etw는 EventViewer 로그에 메시지를 내보냅니다.
   • 수신기 구성 textWriterListener는 ProvAgentTrace.log 파일에 추적 메시지를 보냅니다. 고급 문제 해결을 위해서만 textWriterListener와 관련된 줄의 주석 처리를 제거합니다.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Microsoft Entra Connect 프로비전 에이전트 서비스를 시작합니다.

에이전트 문제 해결을 위한 Windows 이벤트 뷰어 설정

1. Provisioning Agent가 배포된 Windows Server 머신에 로그인

2. Windows Server 이벤트 뷰어 데스크톱 앱을 엽니다.

3. Windows 로그 > 애플리케이션을 선택합니다.

4. 아래 그림과 같이 현재 로그 필터링... 옵션을 사용하여 원본 Microsoft Entra Connect 프로비전 에이전트에서 기록된 모든 이벤트를 보고 필터 "-5"를 지정하여 이벤트 ID가 "5"인 이벤트를 제외합니다.

   참고 항목

   이벤트 ID 5는 에이전트 부트스트랩 메시지를 Microsoft Entra 클라우드 서비스로 캡처하므로 로그 파일을 분석하는 동안 필터링합니다.

   

5. 확인을 클릭하고 날짜 및 시간 열을 기준으로 결과 보기를 정렬합니다.

서비스 문제 해결을 위해 Microsoft Entra 관리 센터 프로비저닝 로그 설정

1. Microsoft Entra 관리 센터를 시작하고 Workday 프로비전 애플리케이션의 프로비전 섹션으로 이동합니다.

2. 프로비전 로그 페이지의 열 단추를 사용하여 보기에 다음 열만 표시합니다(날짜, 활동, 상태, 상태 이유). 이 구성은 문제 해결에 관련된 데이터에만 초점을 맞추도록 합니다.

   

3. 대상 및 날짜 범위 쿼리 매개 변수를 사용하여 보기를 필터링합니다.

   • 대상 쿼리 매개 변수를 Workday 작업자 개체의 “작업자 ID” 또는 “직원 ID”로 설정합니다.
   • 프로비저닝 관련 오류 또는 문제를 조사하려는 적절한 기간으로 날짜 범위를 설정합니다.

   

AD 사용자 계정 생성 작업에 대한 로그 이해

Workday의 신입 사원이 검색되면(직원 ID 21023으로 가정해 봅시다) Microsoft Entra 프로비전 서비스는 작업자에 대한 새 AD 사용자 계정을 만들려고 시도하고 프로세스에서 아래 설명된 대로 4개의 프로비저닝 로그 레코드를 만듭니다.

프로비전 로그 레코드를 클릭하면 활동 세부 정보 페이지가 열립니다. 각 로그 레코드 유형에 대해 활동 세부 정보 페이지에 표시되는 내용은 다음과 같습니다.

• Workday 가져오기 레코드: 이 로그 레코드는 Workday에서 페치된 작업자 정보를 표시합니다. 로그 레코드의 ‘추가 세부 정보’ 섹션에 있는 정보를 사용하여 Workday의 데이터 페치 관련 문제를 해결합니다. 각 필드를 해석하는 방법에 대한 예제 레코드가 다음과 같이 포인터와 함께 표시됩니다.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• AD 가져오기 레코드: 이 로그 레코드는 AD에서 페치된 계정의 정보를 표시합니다. 초기 사용자를 만드는 동안 AD 계정이 없으므로 활동 상태 이유는 Active Directory에서 일치하는 ID 특성 값을 가진 계정이 없음을 나타냅니다. 로그 레코드의 ‘추가 세부 정보’ 섹션에 있는 정보를 사용하여 Workday의 데이터 페치 관련 문제를 해결합니다. 각 필드를 해석하는 방법에 대한 예제 레코드가 다음과 같이 포인터와 함께 표시됩니다.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object was not found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  이 AD 가져오기 작업에 해당하는 Provisioning Agent 로그 레코드를 찾으려면 Windows 이벤트 뷰어 로그를 열고 찾기… 메뉴 옵션을 사용하여 일치하는 ID/결합 속성 특성 값(이 경우 21023)이 포함된 로그 항목을 찾습니다.

  

  에이전트가 AD 계정을 검색하는 데 사용하는 LDAP 검색 필터를 제공하는 이벤트 ID = 9가 포함된 항목을 찾습니다. 이 필터가 고유한 사용자 항목을 검색할 적합한 검색 필터인지 확인할 수 있습니다.

  

  해당 항목 바로 뒤에 나오는 Event ID = 2인 레코드는 검색 작업의 결과와 함께 해당 항목이 결과를 반환했는지 여부를 캡처합니다.

  

• 동기화 규칙 작업 레코드: 이 로그 레코드는 들어오는 Workday 이벤트를 처리하기 위해 수행되는 프로비저닝 작업과 함께 특성 매핑 규칙 및 구성된 범위 지정 필터의 결과를 표시합니다. 로그 레코드의 ‘추가 세부 정보’ 섹션에 있는 정보를 사용하여 동기화 작업 관련 문제를 해결합니다. 각 필드를 해석하는 방법에 대한 예제 레코드가 다음과 같이 포인터와 함께 표시됩니다.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object is added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  특성 매핑 식에 문제가 있거나 들어오는 Workday 데이터에 문제가 있는 경우(예: 필수 특성에 대한 빈 값 또는 null 값) 오류에 대한 세부 정보를 제공하는 ErrorCode와 함께 이 단계에서 오류가 발생합니다.

• AD 내보내기 레코드: 이 로그 레코드는 프로세스에서 설정된 특성 값과 함께 AD 계정 만들기 작업의 결과를 표시합니다. 로그 레코드의 ‘추가 세부 정보’ 섹션에 있는 정보를 사용하여 계정 생성 작업 관련 문제를 해결합니다. 각 필드를 해석하는 방법에 대한 예제 레코드가 다음과 같이 포인터와 함께 표시됩니다. "추가 세부 정보" 섹션에서 "EventName"은 "EntryExportAdd"로 설정되고, "JoiningProperty"는 일치하는 ID 특성 값으로 설정되며, "SourceAnchor"는 레코드와 연결된 WID(WorkdayID)로 설정되고, "TargetAnchor"는 새로 만들어진 사용자의 AD "ObjectGuid" 특성 값으로 설정됩니다.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object is created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
  

  이 AD 내보내기 작업에 해당하는 Provisioning Agent 로그 레코드를 찾으려면 Windows 이벤트 뷰어 로그를 열고 찾기… 메뉴 옵션에서 일치하는 ID/결합 속성 특성 값(이 경우 21023)이 포함된 로그 항목을 찾습니다.

  이벤트 ID = 2를 사용하여 내보내기 작업의 타임스탬프에 해당하는 HTTP POST 레코드를 찾습니다. 이 레코드에는 프로비저닝 서비스에서 프로비저닝 에이전트로 보낸 특성 값이 포함됩니다.

  

  위의 이벤트 바로 뒤에는 AD 계정 만들기 작업의 응답을 캡처하는 또 다른 이벤트가 있어야 합니다. 이 이벤트는 AD에 만들어진 새 objectGuid를 반환하고 프로비전 서비스의 TargetAnchor 특성으로 설정됩니다.

  

관리자 업데이트 작업에 대한 로그 이해

관리자 특성은 AD의 참조 특성입니다. 프로비전 서비스는 사용자 만들기 작업의 일부로 관리자 특성을 설정하지 않습니다. 오히려 관리자 특성은 해당 사용자의 AD 계정이 만들어진 후 ‘업데이트’ 작업의 일부로 설정됩니다. 위의 예제를 확장하여 직원 ID가 "21451"인 신규 채용자가 Workday에서 활성화되고 신규 채용자의 관리자(21023)에게 이미 AD 계정이 있다고 가정하겠습니다. 이 시나리오에서는 사용자 21451에 대한 프로비저닝 로그를 검색하면 5개의 항목이 표시됩니다.

처음 네 개의 레코드는 사용자 생성 작업의 일부로 검색한 것과 비슷합니다. 5번째 레코드는 관리자 특성 업데이트와 연결된 내보내기입니다. 로그 레코드는 관리자의 objectGuid 특성을 사용하여 수행되는 AD 계정 관리자 업데이트 작업의 결과를 표시합니다.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

일반적으로 발생하는 오류 해결

이 섹션에서는 Workday 사용자 프로비저닝에서 일반적으로 나타나는 오류 및 해결 방법을 다룹니다. 오류는 다음과 같이 그룹화됩니다.

• 프로비전 에이전트 오류
• 연결 오류
• AD 사용자 계정 만들기 오류
• AD 사용자 계정 업데이트 오류

프로비전 에이전트 오류

#	오류 시나리오	가능한 원인	권장 해결 방법
1.	다음 오류 메시지와 함께 프로비전 에이전트를 설치하는 중 오류가 발생했습니다. 서비스 ‘Microsoft Entra Connect 프로비전 에이전트’(AADConnectProvisioningAgent)를 시작하지 못했습니다. 시스템을 시작할 권한이 있는지 확인하세요.	이 오류는 일반적으로 도메인 컨트롤러에 프로비전 에이전트를 설치할 때 그룹 정책이 서비스 시작을 차단하는 경우 나타납니다. 이전 버전의 에이전트가 실행 중이고 새 설치를 시작하기 전에 해당 에이전트를 제거하지 않은 경우에도 나타납니다.	DC가 아닌 서버에 프로비전 에이전트를 설치합니다. 새 에이전트를 설치하기 전에 이전 버전의 에이전트가 제거되었는지 확인합니다.
2.	Windows 서비스 'Microsoft Entra 커넥트 Provisioning Agent'는 시작 상태이며 실행 중 상태로 전환되지 않습니다.	설치 과정에서 에이전트 마법사는 서버에 로컬 계정(NT Service\AADConnectProvisioningAgent)을 만듭니다. 이 계정은 서비스를 시작하는 데 사용되는 로그온 계정입니다. Windows 서버의 보안 정책으로 인해 로컬 계정이 서비스를 실행하지 못하는 경우 이 오류가 발생합니다.	‘서비스 콘솔’을 엽니다. Windows 서비스 ‘Microsoft Entra Connect 프로비전 에이전트’를 마우스 오른쪽 단추로 클릭하고 로그온 탭에서 서비스를 실행할 도메인 관리자의 계정을 지정합니다. 서비스를 다시 시작합니다.
3.	‘Active Directory 연결’ 단계에서 AD 도메인을 사용하여 프로비전 에이전트를 구성할 때 마법사는 AD 스키마를 로드하는 데 시간이 오래 걸리고 결국 시간이 초과됩니다.	일반적으로 이 오류는 방화벽 문제로 인해 마법사가 AD 도메인 컨트롤러 서버에 연결할 수 없는 경우에 나타납니다.	‘Active Directory 연결’ 마법사 화면에서 AD 도메인의 자격 증명을 제공하는 동안 ‘도메인 컨트롤러 우선 순위 선택’ 옵션이 제공됩니다. 이 옵션을 사용하여 에이전트 서버와 동일한 사이트에 있는 도메인 컨트롤러를 선택하고 통신을 차단하는 방화벽 규칙이 없는지 확인합니다.

연결 오류

프로비전 서비스가 Workday 또는 Active Directory에 연결할 수 없으면 프로비전이 격리 상태로 전환될 수 있습니다. 아래 표를 사용하여 연결 문제를 해결합니다.

#	오류 시나리오	가능한 원인	권장 해결 방법
1.	연결 테스트를 클릭하면 오류 메시지 표시: Active Directory에 연결하는 중 오류가 발생했습니다. 온-프레미스 프로비전 에이전트가 실행 중이고 올바른 Active Directory 도메인으로 구성되었는지 확인하세요.’	일반적으로 이 오류는 프로비전 에이전트가 실행되고 있지 않거나 Microsoft Entra ID와 프로비전 에이전트 사이의 통신을 차단하는 방화벽이 있는 경우 나타납니다. 도메인이 에이전트 마법사에 구성되지 않은 경우에도 이 오류가 표시될 수 있습니다.	Windows Server에서 ‘서비스’ 콘솔을 열어 에이전트가 실행 중인지 확인합니다. 프로비전 에이전트 마법사를 열고 적합한 도메인이 에이전트에 등록되었는지 확인합니다.
2.	프로비전 작업이 주말(금-토) 동안 격리 상태로 전환되고 동기화 관련 오류가 있다는 메일 알림을 받게 됩니다.	이 오류의 일반적인 원인 중 하나는 계획된 Workday 가동 중지 시간입니다. Workday 구현 테넌트를 사용하는 경우 Workday에는 주말(보통 금요일 저녁부터 토요일 아침까지) 동안 구현 테넌트의 가동 중지 시간이 예약되고 해당 기간에는 Workday 프로비전 앱이 격리 상태로 전환되어 Workday에 연결할 수 없다는 점에 유의하세요. Workday 구현 테넌트가 다시 온라인 상태가 되면 정상 상태로 돌아갑니다. 드문 경우지만 통합 시스템 사용자의 암호가 테넌트 새로 고침으로 인해 변경된 경우 또는 계정이 잠김 또는 만료됨 상태인 경우에도 이 오류가 표시될 수 있습니다.	Workday 관리자 또는 통합 파트너에게 문의하여 Workday에서 가동 중지 시간 동안 경고 메시지를 무시하는 가동 중지 시간이 언제 예약되는지 확인하고 Workday 인스턴스가 다시 온라인 상태가 된 후 가용성을 확인합니다.

AD 사용자 계정 만들기 오류

#	오류 시나리오	가능한 원인	권장 해결 방법
1.	프로비저닝 로그 의 내보내기 작업 오류: OperationsError-SvcErr: 작업 오류가 발생했습니다. 디렉터리 서비스에 대한 우수한 참조가 구성되지 않았습니다. 따라서 디렉터리 서비스는 이 포리스트 외부의 개체에 대한 조회를 발급할 수 없습니다.	일반적으로 이 오류는 Active Directory Container OU가 제대로 설정되지 않은 경우 또는 parentDistinguishedName에 사용되는 식 매핑 관련 문제가 있는 경우에 발생합니다.	‘Active Directory Container’ OU 매개 변수에 오타가 있는지 확인합니다. 특성 매핑에서 parentDistinguishedName을 사용하는 경우 항상 AD 도메인 내에서 알려진 컨테이너로 평가되는지 확인합니다. 프로비저닝 로그에서 Export 이벤트를 확인하여 생성된 값을 확인합니다.
2.	SystemForCrossDo기본IdentityManagementBadResponse 및 메시지 오류: ConstraintViolation-AtrErr: 요청의 값이 잘못되었습니다. 특성의 값이 허용되는 값 범위에 있지 않았습니다. \nError 세부 정보: CONSTRAINT_ATT_TYPE - 회사.	이 오류는 company 특성과 관련되지만, CN과 같은 다른 특성의 경우에도 이 오류가 표시될 수 있습니다. 이 오류는 AD 강제 적용 스키마 제약 조건으로 인해 발생합니다. 기본적으로 AD의 company 및 CN 같은 특성에는 최대 64자를 사용할 수 있습니다. Workday에서 가져오는 값이 64자를 초과하는 경우 이 오류 메시지가 표시됩니다.	프로비전 로그에서 Export 이벤트를 확인하여 오류 메시지에 보고된 특성의 값을 확인합니다. Mid 함수를 사용하여 Workday에서 들어오는 값을 잘리거나 길이 제약 조건이 비슷한 AD 특성으로 매핑을 변경하는 것이 좋습니다.

AD 사용자 계정 업데이트 오류

AD 사용자 계정 업데이트 프로세스 중에 프로비전 서비스는 Workday 및 AD에서 정보를 읽고, 특성 매핑 규칙을 실행하고, 변경 사항을 적용해야 하는지 여부를 결정합니다. 이에 따라 업데이트 이벤트가 트리거됩니다. 이러한 단계 중 오류가 발생하면 프로비저닝 로그에 기록됩니다. 아래 표를 사용하여 일반적인 업데이트 오류를 해결합니다.

#	오류 시나리오	가능한 원인	권장 해결 방법
1.	EventName = EntrySynchronizationError 및 ErrorCode = EndpointUnavailable 메시지와 함께 프로비저닝 로그의 동기화 규칙 작업 실패	이 오류는 온-프레미스 프로비전 에이전트에서 발생한 처리 오류로 인해 프로비전 서비스가 Active Directory에서 사용자 프로필 데이터를 검색할 수 없는 경우 나타납니다.	프로비저닝 에이전트 이벤트 뷰어 로그에서 읽기 작업(이벤트 ID #2로 필터링) 관련 문제를 나타내는 오류 이벤트를 확인합니다.
2.	AD의 관리자 특성은 AD의 특정 사용자에 대해 업데이트되지 않습니다.	이 오류는 범위 지정 규칙을 사용 중이고 사용자의 관리자가 범위를 벗어나는 경우 발생할 가능성이 가장 큽니다. 관리자의 일치하는 ID 특성(예: EmployeeID)이 대상 AD 도메인에 없거나 올바른 값으로 설정되지 않은 경우에도 이 문제가 발생할 수 있습니다.	범위 지정 필터를 검토하고 범위에 관리자 사용자를 추가합니다. AD의 관리자 프로필을 확인하여 일치하는 ID 특성 값이 있는지 확인합니다.

구성 관리

이 섹션에서는 Workday 기반 사용자 프로비저닝 구성을 추가로 확장, 사용자 지정 및 관리하는 방법을 설명합니다. 다음 항목을 설명합니다.

• Workday 사용자 특성 목록 사용자 지정
• 구성 내보내기 및 가져오기

Workday 사용자 특성 목록 사용자 지정

Active Directory 및 Microsoft Entra ID 둘 다에 대한 Workday 프로비전 앱에는 선택할 수 있는 Workday사용자 특성의 기본 목록이 포함되어 있습니다. 그러나 이러한 목록은 포괄적이지 않습니다. Workday는 Workday 테넌트에 고유할 수 있는 수백 개의 가능한 사용자 특성을 지원합니다.

Microsoft Entra 프로비전 서비스는 인사 API의Get_Workers 작업에 노출되는 특성을 포함하도록 목록 또는 Workday 특성을 사용자 지정하는 기능을 지원합니다.

이와 같이 변경하려면 Workday Studio를 사용하여 사용하려는 특성을 나타내는 XPath 식을 추출한 다음, 고급 특성 편집기를 사용하여 프로비전 구성에 추가해야 합니다.

Workday 사용자 특성에 대한 XPath 식을 검색하려면

1. Workday Studio를 다운로드하고 설치합니다. 설치 관리자에 액세스하려면 Workday 커뮤니티 계정이 필요합니다.

2. Workday Web Services Directory에서 사용할 WWS API 버전과 관련된 Workday Human_Resources WSDL 파일을 다운로드합니다.

3. Workday Studio를 시작합니다.

4. 명령 모음에서 Workday > Tester에서 웹 서비스 테스트 옵션을 선택합니다.

5. 외부를 선택하고 2단계에서 다운로드한 Human_Resources WSDL 파일을 선택합니다.

   

6. "IMPL-CC"를 실제 인스턴스 유형으로, "TENANT"를 실제 테넌트 이름으로 바꾸어 위치 필드를 https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources로 설정합니다.

7. 작업을 Get_Workers로 설정합니다.

8. 요청/응답 창 아래의 작은 구성 링크를 클릭하여 Workday 자격 증명을 설정합니다. 인증을 선택하고 Workday 통합 시스템 계정의 사용자 이름 및 암호를 입력합니다. 사용자 이름 형식을 name@tenant로 지정하고 WS-Security UsernameToken 옵션을 선택된 상태로 둡니다.

9. 확인을 선택합니다.

10. 요청 창에서 아래의 XML을 붙여넣습니다. Employee_ID를 Workday 테넌트에 있는 실제 사용자의 직원 ID로 설정합니다. wd:version을 사용하려는 WWS 버전으로 설정합니다. 추출하려는 특성으로 채워진 사용자를 선택합니다.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. 요청 보내기(녹색 화살표)를 클릭하여 명령을 실행합니다. 성공한 경우, 응답 창에 응답이 표시됩니다. 응답에서 입력한 사용자 ID의 데이터를 확인하여 오류가 없는지 검토합니다.

12. 성공한 경우 응답 창의 XML을 복사한 후 XML 파일로 저장합니다.

13. Workday Studio의 명령 모음에서 파일 > 파일 열기...를 선택하고 저장한 XML 파일을 엽니다. 이 작업은 Workday Studio XML 편집기에서 파일을 엽니다.

    

14. 파일 트리에서 /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker를 탐색하여 사용자 데이터를 찾습니다.

15. wd:Worker 아래에서 추가하려는 특성을 찾은 후 선택합니다.

16. 문서 경로 필드에서 선택한 특성에 대한 XPath 식을 복사합니다.

17. 복사한 식에서 /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ 접두사를 제거합니다.

18. 복사한 식의 마지막 항목이 노드(예: “/wd:Birth_Date”)인 경우 식 끝에 /text()를 붙입니다. 마지막 항목이 특성(예: "/@wd: type")인 경우에는 이 작업이 필요하지 않습니다.

19. 결과는 wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()와 같아야 합니다. 이 값은 Microsoft Entra 관리 센터에 복사하고 입력하는 값입니다.

프로비저닝 구성에 사용자 지정 Workday 사용자 특성을 추가하려면

1. Microsoft Entra 관리 센터를 시작하고 이 자습서의 앞부분에서 설명한 대로 Workday 프로비전 애플리케이션의 프로비저닝 섹션으로 이동합니다.

2. 프로비전 상태를 해제로 설정하고 저장을 선택합니다. 이 단계는 준비가 된 경우에만 변경 내용이 적용되도록 하는 데 도움이 됩니다.

3. 매핑 아래에서 온-프레미스 Active Directory에 Workday 작업자 동기화 또는 Microsoft Entra ID에 Workday 작업자 동기화를 선택합니다.

4. 다음 화면 아래로 스크롤하여 고급 옵션 표시를 선택합니다.

5. Workday에 대한 특성 목록 편집을 선택합니다.

   

6. 특성 목록에서 입력 필드가 있는 맨 아래로 스크롤합니다.

7. 이름으로 해당 특성의 표시 이름을 입력합니다.

8. 형식에 대해 특성에 해당하는 형식(문자열이 가장 일반적임)을 선택합니다.

9. API 식에 대해 Workday Studio에서 복사한 XPath 식을 입력합니다. 예: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. 특성 추가를 선택합니다.

    

11. 위의 저장을 선택하고 대화 상자에서 예를 선택합니다. 특성 매핑 화면이 계속 열려 있으면 닫습니다.

12. 주 프로비전 탭으로 돌아가 온-프레미스 Active Directory에 Workday 작업자 동기화 또는 Microsoft Entra ID에 작업자 동기화를 선택합니다.

13. 새 매핑 추가를 선택합니다.

14. 이제 새 사용자 특성이 원본 특성 목록에 표시됩니다.

15. 필요에 따라 새 사용자 특성에 대한 매핑을 추가합니다.

16. 완료되면 프로비전 상태를 다시 설정으로 지정하고 저장합니다.

구성 내보내기 및 가져오기

프로비저닝 구성 내보내기 및 가져오기 문서를 참조하세요.

개인 데이터 관리

Active Directory용 Workday 프로비저닝 솔루션을 사용하려면 프로비저닝 에이전트를 온-프레미스 Windows Server에 설치해야 하고, 이 에이전트는 Workday-AD 특성 매핑에 따라 개인 데이터를 포함할 수 있는 Windows 이벤트 로그에 로그를 만듭니다. 사용자 개인 정보 관련 의무를 준수하기 위해 이벤트 로그를 지우는 Windows 예약 작업을 설정하여 48시간이 지난 데이터가 이벤트 로그에 보존되지 않도록 할 수 있습니다.

Microsoft Entra 프로비전 서비스는 GDPR 분류의 데이터 프로세서 범주에 속합니다. 이 서비스는 데이터 프로세서 파이프라인으로, 주요 파트너 및 최종 소비자에게 데이터 처리 서비스를 제공합니다. Microsoft Entra 프로비저닝 서비스는 사용자 데이터를 생성하지 않으며 수집되는 개인 데이터 및 사용 방법을 독립적으로 제어할 수 없습니다. Microsoft Entra 프로비전 서비스의 데이터 검색, 집계, 분석 및 보고는 기존 엔터프라이즈 데이터를 기반으로 합니다.

참고 항목

개인 데이터 보기 또는 삭제에 대한 자세한 내용은 GDPR에 대한 Windows 데이터 제목 요청 사이트에서 Microsoft의 지침을 검토하세요. GDPR에 대한 일반 정보는 Microsoft 보안 센터의 GDPR 섹션과 서비스 신뢰 포털의 GDPR 섹션을 참조하십시오.

데이터 보존과 관련하여 Microsoft Entra 프로비저닝 서비스는 보고서를 생성하거나, 분석을 수행하거나, 30일을 초과하는 인사이트를 제공하지 않습니다. 따라서 Microsoft Entra 프로비저닝 서비스는 30일을 초과하는 데이터를 저장, 처리 또는 유지하지 않습니다. 이 디자인은 GDPR 규정, Microsoft 개인 정보 보호 규정 및 Microsoft Entra 데이터 보존 정책을 준수합니다.

다음 단계

• Microsoft Entra ID와 Workday 통합 시나리오 및 웹 서비스 호출에 대해 자세히 알아보기
• 프로비저닝 작업에 대한 로그를 검토하고 보고서를 받아보는 방법을 알아봅니다.
• Workday와 Microsoft Entra ID 간에 Single Sign-On을 구성하는 방법 알아보기
• Workday 쓰기 저장을 구성하는 방법을 알아봅니다.
• Microsoft Graph API를 사용하여 프로비전 구성을 관리하는 방법 알아보기