Hoe Microsoft Entra-inrichting kan worden geïntegreerd met Workday
De Microsoft Entra-inrichtingsservice voor gebruikers kan worden geïntegreerd met Workday HCM om de identiteitslevenscyclus van gebruikers te beheren. Microsoft Entra ID biedt drie vooraf gedefinieerde integraties:
- Gebruikersinrichting van Workday naar on-premises Active Directory
- Gebruikersinrichting van Workday naar Microsoft Entra
- Workday Writeback
In dit artikel wordt uitgelegd hoe de integratie werkt en hoe u het inrichtingsgedrag voor verschillende HR-scenario's kunt aanpassen.
Connectiviteit tot stand brengen
Toegang tot Microsoft Entra-eindpunten voor De Workday-API beperken
De Microsoft Entra-inrichtingsservice maakt gebruik van basisverificatie om verbinding te maken met De API-eindpunten van Workday Web Services.
Als u de connectiviteit tussen de Microsoft Entra-inrichtingsservice en Workday verder wilt beveiligen, kunt u de toegang beperken zodat de aangewezen integratiesysteemgebruiker alleen toegang heeft tot de Workday-API's van toegestane IP-bereiken van Microsoft Entra. Neem contact op met uw Workday-beheerder om de volgende configuratie in uw Workday-tenant te voltooien.
- Download de nieuwste IP-bereiken voor de openbare Azure-cloud.
- Open het bestand en zoek naar de Microsoft Entra-id van de tag
- Kopieer alle IP-adresbereiken die worden vermeld in de element addressPrefixes en gebruik het bereik om uw IP-adreslijst te maken.
- Meld u aan bij de Workday-beheerportal.
- Open de taak IP-bereiken onderhouden om een nieuw IP-bereik voor Azure-datacenters te maken. Geef de IP-bereiken (met CIDR-notatie) op als een door komma's gescheiden lijst.
- Open de taak Verificatiebeleid beheren om een nieuw verificatiebeleid te maken. Gebruik in het verificatiebeleid de acceptatielijst voor verificatie om het IP-bereik van Microsoft Entra en de beveiligingsgroep op te geven die toegang vanaf dit IP-bereik is toegestaan. De wijzigingen opslaan.
- Open de taak Alle in behandeling zijnde wijzigingen in verificatiebeleid activeren om wijzigingen te bevestigen.
Toegang tot werkgegevens in Workday beperken met behulp van beperkte beveiligingsgroepen
De standaardstappen voor het configureren van de gebruiker van het Workday-integratiesysteem verleent toegang om alle gebruikers in uw Workday-tenant op te halen. In bepaalde integratiescenario's kunt u de toegang beperken. Bijvoorbeeld: retourneer alleen gebruikers in bepaalde toezichthoudende organisaties vanuit de Get_Workers API-aanroep.
U kunt de toegang beperken door samen te werken met uw Workday-beheerder en beperkte beveiligingsgroepen voor integratiesystemen te configureren. Zie de Workday-community (toegang tot de Workday-community vereist voor dit artikel) voor meer informatie over Workday.
Deze strategie voor het beperken van de toegang met behulp van beperkte ISSG (Integration System Security Groups) is handig in de volgende scenario's:
- Gefaseerd implementatiescenario: u hebt een grote Workday-tenant en bent van plan een gefaseerde implementatie van Workday uit te voeren voor geautomatiseerde inrichting van Microsoft Entra ID. In dit scenario raden we u aan beperkte ISSG zodanig te configureren dat alleen binnen het bereik van Microsoft Entra ID's bereikfilters worden gebruikt, in plaats van gebruikers die zich niet binnen het bereik van de huidige fase bevinden, te configureren.
- Scenario met meerdere inrichtingstaken: u hebt een grote Workday-tenant en meerdere AD-domeinen die elk een andere bedrijfseenheid/afdeling/bedrijf ondersteunen. Ter ondersteuning van deze topologie wilt u meerdere workday-taken uitvoeren naar Microsoft Entra-inrichtingstaken met elke job die een specifieke set werknemers inricht. In dit scenario raden we u aan om beperkte ISSG te configureren in plaats van de bereikfilters van Microsoft Entra ID te gebruiken om werkrolgegevens uit te sluiten, zodat alleen de relevante werkrolgegevens zichtbaar zijn voor Microsoft Entra-id.
Workday-testverbindingsquery
Als u de connectiviteit met Workday wilt testen, verzendt Microsoft Entra ID de volgende Get_Workers Workday-webserviceaanvraag.
<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
<p1:Exclude_Employees>true</p1:Exclude_Employees>
<p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
<p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>1</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
</p1:Response_Group>
</Get_Workers_Request>
Hoe volledige synchronisatie werkt
Volledige synchronisatie in de context van inrichting op basis van Workday verwijst naar het proces voor het ophalen van alle identiteiten uit Workday en het bepalen welke inrichtingsregels moeten worden toegepast op elk werkobject. Volledige synchronisatie vindt plaats wanneer u inrichting voor de eerste keer inschakelt en ook wanneer u het inrichten opnieuw start vanuit het Microsoft Entra-beheercentrum of met Graph API's.
Microsoft Entra-id verzendt de volgende Get_Workers Workday-webservicesaanvraag om werkrolgegevens op te halen. De query zoekt het Workday-transactielogboek op voor alle effectieve werkrolvermeldingen vanaf de tijd die overeenkomt met de volledige synchronisatieuitvoering.
<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Type_References>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
</p1:Transaction_Type_Reference>
<p1:Transaction_Type_Reference>
<p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
</p1:Transaction_Type_Reference>
</p1:Transaction_Type_References>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Het knooppunt Response_Group wordt gebruikt om op te geven welke werkrollen uit Workday moeten worden opgehaald. Raadpleeg de documentatie van workday Get_Workers API voor een beschrijving van elke vlag in het Response_Group knooppunt.
Bepaalde vlagwaarden die zijn opgegeven in het knooppunt Response_Group worden berekend op basis van de kenmerken die zijn geconfigureerd in de inrichtingstoepassing workday Microsoft Entra. Raadpleeg de sectie over ondersteunde entiteiten voor de criteria die worden gebruikt om de vlagwaarden in te stellen.
Het Get_Workers antwoord van Workday voor de bovenstaande query bevat het aantal werkrolrecords en het aantal pagina's.
<wd:Response_Results>
<wd:Total_Results>509</wd:Total_Results>
<wd:Total_Pages>17</wd:Total_Pages>
<wd:Page_Results>30</wd:Page_Results>
<wd:Page>1</wd:Page>
</wd:Response_Results>
Als u de volgende pagina van de resultatenset wilt ophalen, geeft de volgende Get_Workers query het paginanummer op als parameter in de Response_Filter.
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
<p1:Page>2</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
Microsoft Entra-inrichtingsservice verwerkt elke pagina en doorloopt alle effectieve werknemers tijdens volledige synchronisatie. Voor elke werkrolvermelding die is geïmporteerd uit Workday:
- De XPATH-expressie wordt toegepast om kenmerkwaarden op te halen uit Workday.
- De kenmerktoewijzing en overeenkomende regels worden toegepast en
- De service bepaalt welke bewerking moet worden uitgevoerd in het doel (Microsoft Entra-id/Active Directory).
Zodra de verwerking is voltooid, wordt het tijdstempel dat is gekoppeld aan het begin van de volledige synchronisatie als watermerk opgeslagen. Dit watermerk fungeert als uitgangspunt voor de incrementele synchronisatiecyclus.
Hoe incrementele synchronisatie werkt
Na volledige synchronisatie onderhoudt de Microsoft Entra-inrichtingsservice LastExecutionTimestamp deze om deltaquery's te maken om incrementele wijzigingen op te halen. Tijdens incrementele synchronisatie verzendt Microsoft Entra-id de volgende typen query's naar Workday:
- Query uitvoeren op handmatige updates
- Query uitvoeren op effectieve updates en beëindigingen
- Query uitvoeren op toekomstige medewerkers
Query uitvoeren op handmatige updates
De volgende Get_Workers query's aanvragen voor handmatige updates die zijn uitgevoerd tussen de laatste uitvoering en de huidige uitvoeringstijd.
<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
<p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Query uitvoeren op effectieve updates en beëindigingen
De volgende Get_Workers query's aanvragen voor effectieve updates die zijn uitgevoerd tussen de laatste uitvoering en de huidige uitvoeringstijd.
<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_Criteria>
<p1:Transaction_Log_Criteria_Data>
<p1:Transaction_Date_Range_Data>
<p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
<p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
</p1:Transaction_Date_Range_Data>
</p1:Transaction_Log_Criteria_Data>
</p1:Request_Criteria>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
<p1:Page>1</p1:Page>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Query uitvoeren op toekomstige medewerkers
Als een van de bovenstaande query's een toekomstige huurfunctie retourneert, wordt de volgende Get_Workers aanvraag gebruikt om informatie op te halen over een toekomstige nieuwe medewerker. Het WID-kenmerk van de nieuwe huur wordt gebruikt om de zoekactie uit te voeren en de ingangsdatum is ingesteld op de datum en tijd van de huur.
Notitie
Toekomstige medewerkers in Workday hebben het veld Actief ingesteld op '0' en wordt gewijzigd in '1' op de huurdatum. De connector op basis van ontwerpquery's voor toekomstige gegevens die van kracht zijn op de datum van inhuren en daarom wordt het werknemersprofiel voor toekomstige medewerkers altijd opgehaald met het veld Actief ingesteld op '1'. Hiermee kunt u het Microsoft Entra-profiel voor toekomstige medewerkers vooraf instellen met de juiste informatie vooraf ingevuld. Als u het inschakelen van het Microsoft Entra-account voor toekomstige medewerkers wilt uitstellen, gebruikt u de transformatiefunctie DateDiff.
<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
<p1:Request_References>
<p1:Worker_Reference>
<p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
</p1:Worker_Reference>
</p1:Request_References>
<p1:Response_Filter>
<p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
<p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
<p1:Count>30</p1:Count>
</p1:Response_Filter>
<p1:Response_Group>
<p1:Include_Reference>1</p1:Include_Reference>
<p1:Include_Personal_Information>1</p1:Include_Personal_Information>
<p1:Include_Employment_Information>1</p1:Include_Employment_Information>
<p1:Include_Organizations>1</p1:Include_Organizations>
<p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
<p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
<p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
<p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
<p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
<p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
<p1:Exclude_Regions>1</p1:Exclude_Regions>
<p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
<p1:Exclude_Funds>1</p1:Exclude_Funds>
<p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
<p1:Exclude_Grants>1</p1:Exclude_Grants>
<p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
<p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
<p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
<p1:Exclude_Programs>1</p1:Exclude_Programs>
<p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
<p1:Exclude_Gifts>1</p1:Exclude_Gifts>
<p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
<p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
<p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
</p1:Response_Group>
</Get_Workers_Request>
Kenmerken van werkrolgegevens ophalen
De Get_Workers-API kan verschillende gegevenssets retourneren die zijn gekoppeld aan een werkrol. Afhankelijk van de XPATH API-expressies die zijn geconfigureerd in het inrichtingsschema, bepaalt Microsoft Entra-inrichtingsservice welke gegevenssets moeten worden opgehaald uit Workday. De Response_Group vlaggen worden daarom ingesteld in de Get_Workers aanvraag.
De tabel bevat richtlijnen voor toewijzingsconfiguratie die moet worden gebruikt om een specifieke gegevensset op te halen.
| # | Workday-entiteit | Standaard opgenomen | XPATH-patroon dat moet worden opgegeven in de toewijzing voor het ophalen van niet-standaardentiteiten |
|---|---|---|---|
| 1 | Personal Data |
Ja | wd:Worker_Data/wd:Personal_Data |
| 2 | Employment Data |
Ja | wd:Worker_Data/wd:Employment_Data |
| 3 | Additional Job Data |
Ja | wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0] |
| 4 | Organization Data |
Ja | wd:Worker_Data/wd:Organization_Data |
| 5 | Management Chain Data |
Ja | wd:Worker_Data/wd:Management_Chain_Data |
| 6 | Supervisory Organization |
Ja | SUPERVISORY |
| 7 | Company |
Ja | COMPANY |
| 8 | Business Unit |
Nee | BUSINESS_UNIT |
| 9 | Business Unit Hierarchy |
Nee | BUSINESS_UNIT_HIERARCHY |
| 10 | Company Hierarchy |
Nee | COMPANY_HIERARCHY |
| 11 | Cost Center |
Nee | COST_CENTER |
| 12 | Cost Center Hierarchy |
Nee | COST_CENTER_HIERARCHY |
| 13 | Fund |
Nee | FUND |
| 14 | Fund Hierarchy |
Nee | FUND_HIERARCHY |
| 15 | Gift |
Nee | GIFT |
| 16 | Gift Hierarchy |
Nee | GIFT_HIERARCHY |
| 17 | Grant |
Nee | GRANT |
| 18 | Grant Hierarchy |
Nee | GRANT_HIERARCHY |
| 19 | Business Site Hierarchy |
Nee | BUSINESS_SITE_HIERARCHY |
| 20 | Matrix Organization |
Nee | MATRIX |
| 21 | Pay Group |
Nee | PAY_GROUP |
| 22 | Programs |
Nee | PROGRAMS |
| 23 | Program Hierarchy |
Nee | PROGRAM_HIERARCHY |
| 24 | Region |
Nee | REGION_HIERARCHY |
| 25 | Location Hierarchy |
Nee | LOCATION_HIERARCHY |
| 26 | Account Provisioning Data |
Nee | wd:Worker_Data/wd:Account_Provisioning_Data |
| 27 | Background Check Data |
Nee | wd:Worker_Data/wd:Background_Check_Data |
| 28 | Benefit Eligibility Data |
Nee | wd:Worker_Data/wd:Benefit_Eligibility_Data |
| 29 | Benefit Enrollment Data |
Nee | wd:Worker_Data/wd:Benefit_Enrollment_Data |
| 30 | Career Data |
Nee | wd:Worker_Data/wd:Career_Data |
| 31 | Compensation Data |
Nee | wd:Worker_Data/wd:Compensation_Data |
| 32 | Contingent Worker Tax Authority Data |
Nee | wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data |
| 33 | Development Item Data |
Nee | wd:Worker_Data/wd:Development_Item_Data |
| 34 | Employee Contracts Data |
Nee | wd:Worker_Data/wd:Employee_Contracts_Data |
| 35 | Employee Review Data |
Nee | wd:Worker_Data/wd:Employee_Review_Data |
| 36 | Feedback Received Data |
Nee | wd:Worker_Data/wd:Feedback_Received_Data |
| 37 | Worker Goal Data |
Nee | wd:Worker_Data/wd:Worker_Goal_Data |
| 38 | Photo Data |
Nee | wd:Worker_Data/wd:Photo_Data |
| 39 | Qualification Data |
Nee | wd:Worker_Data/wd:Qualification_Data |
| 40 | Related Persons Data |
Nee | wd:Worker_Data/wd:Related_Persons_Data |
| 41 | Role Data |
Nee | wd:Worker_Data/wd:Role_Data |
| 42 | Skill Data |
Nee | wd:Worker_Data/wd:Skill_Data |
| 43 | Succession Profile Data |
Nee | wd:Worker_Data/wd:Succession_Profile_Data |
| 44 | Talent Assessment Data |
Nee | wd:Worker_Data/wd:Talent_Assessment_Data |
| 45 | User Account Data |
Nee | wd:Worker_Data/wd:User_Account_Data |
| 46 | Worker Document Data |
Nr. | wd:Worker_Data/wd:Worker_Document_Data |
Notitie
Elke Workday-entiteit die in de tabel wordt vermeld, wordt beveiligd door een domeinbeveiligingsbeleid in Workday. Als u geen kenmerk kunt ophalen dat is gekoppeld aan de entiteit nadat u het juiste XPATH hebt ingesteld, neemt u contact op met uw Workday-beheerder om ervoor te zorgen dat het juiste domeinbeveiligingsbeleid is geconfigureerd voor de integratiesysteemgebruiker die is gekoppeld aan de inrichtings-app. Als u bijvoorbeeld vaardigheidsgegevens wilt ophalen, is Toegang krijgen vereist voor de werkrolgegevens van het Workday-domein: vaardigheden en ervaring.
Hier volgen enkele voorbeelden van hoe u de Workday-integratie kunt uitbreiden om te voldoen aan specifieke vereisten.
Voorbeeld 1: Kostenplaats- en betalingsgroepsgegevens ophalen
Stel dat u de volgende gegevenssets uit Workday wilt ophalen en deze wilt gebruiken in uw inrichtingsregels:
- Kostenplaats
- Kostenplaatshiërarchie
- Groep betalen
De bovenstaande gegevenssets zijn niet standaard opgenomen. Ga als volgt te werk om deze gegevenssets op te halen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Selecteer de gebruikersinrichtingstoepassing van Workday naar Active Directory/Microsoft Entra.
Selecteer Inrichting.
Bewerk de toewijzingen en open de lijst met kenmerken van Workday in de geavanceerde sectie.
Voeg de volgende kenmerkendefinities toe en markeer ze als Vereist. Deze kenmerken zijn niet toegewezen aan een kenmerk in Active Directory of Microsoft Entra-id. Ze fungeren als signalen voor de connector om informatie over kostenplaats, kostenplaatshiërarchie en betaalgroep op te halen.
Kenmerknaam XPATH API-expressie CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text() PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text() Zodra de gegevensset Kostenplaats en Betalengroep beschikbaar is in het Get_Workers antwoord, kunt u de XPATH-waarden gebruiken om de naam van de kostenplaats, de kostenplaatscode en de betaalgroep op te halen.
Kenmerknaam XPATH API-expressie CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text() CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text() PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()
Voorbeeld 2: Kwalificatie- en vaardighedengegevens ophalen
Stel dat u certificeringen wilt ophalen die zijn gekoppeld aan een gebruiker. Deze informatie is beschikbaar als onderdeel van de set Kwalificatiegegevens . Gebruik het volgende XPATH om deze gegevensset op te halen als onderdeel van het Get_Workers-antwoord :
wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()
Voorbeeld 3: Inrichtingsgroeptoewijzingen ophalen
Stel dat u inrichtingsgroepen wilt ophalen die zijn toegewezen aan een werkrol. Deze informatie is beschikbaar als onderdeel van de set accountinrichtingsgegevens . Gebruik het volgende XPATH om deze gegevens op te halen als onderdeel van het Get_Workers-antwoord :
wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()
Verschillende HR-scenario's verwerken
In deze sectie wordt beschreven hoe u de inrichtings-app kunt aanpassen voor de volgende HR-scenario's:
- Ondersteuning voor werkrolconversies
- Internationale taaktoewijzingen en secundaire taakgegevens ophalen
Ondersteuning voor werkrolconversies
In deze sectie wordt de ondersteuning van de Microsoft Entra-inrichtingsservice beschreven voor scenario's wanneer een werknemer wordt omgezet van fulltime werknemer (FTE) naar CW (CW) of omgekeerd. Afhankelijk van de manier waarop werkrolconversies in Workday worden verwerkt, kunnen er verschillende implementatieaspecten worden overwogen.
- Scenario 1: Backdated conversie van FTE naar CW of omgekeerd
- Scenario 2: Werknemer die vandaag als CW/FTE werkt, verandert vandaag in FTE/CW
- Scenario 3: Werkrol die als CW/FTE wordt gebruikt, wordt beëindigd, wordt opnieuw lid als FTE/CW na een aanzienlijke kloof
- Scenario 4: Toekomstige conversie, wanneer werkrol een actieve CW/FTE is
Scenario 1: Backdated conversie van FTE naar CW of omgekeerd
Uw HR-team kan om geldige zakelijke redenen een transactie voor werkrolconversie in Workday backdateren. Voorbeelden hiervan zijn salarisverwerking, budgetnaleving, wettelijke vereisten en voordelenbeheer. Hier volgt een voorbeeld om te illustreren hoe inrichting wordt verwerkt voor het scenario.
- Het is 15 januari 2023 en Jane Doe is werkzaam als tijdelijke werknemer. HR biedt Jane een fulltime positie.
- De voorwaarden van de contractwijziging van Jane vereisen een backdating van de transactie, zodat deze overeenkomt met het begin van de huidige maand. HR initieert op 15 januari 2023 een backdated worker-conversietransactie met ingangsdatum 1 januari 2023. Er zijn nu twee werkrollen in Workday voor Jane. Het CW-profiel is inactief, terwijl het FTE-profiel actief is.
- De Microsoft Entra-inrichtingsservice detecteert deze wijziging in het Workday-transactielogboek op 15 januari 2023. De service richt in de volgende synchronisatiecyclus automatisch kenmerken van het nieuwe FTE-profiel in.
- Er zijn geen wijzigingen vereist in de configuratie van de inrichtings-app om dit scenario af te handelen.
Scenario 2: Werknemer die vandaag als CW/FTE werkt, verandert vandaag in FTE/CW
Dit scenario is vergelijkbaar met het bovenstaande scenario, behalve dat HR in plaats van de backdating van de transactie een werkrolconversie uitvoert die onmiddellijk van kracht is. De Microsoft Entra-inrichtingsservice detecteert deze wijziging in het workday-transactielogboek. In de volgende synchronisatiecyclus richt de service automatisch alle bijbehorende kenmerken in met een actief FTE-profiel. Er zijn geen wijzigingen vereist in de configuratie van de inrichtings-app om dit scenario af te handelen.
Scenario 3: Werkrol die als CW/FTE wordt gebruikt, wordt beëindigd, wordt opnieuw lid als FTE/CW na een aanzienlijke kloof
Het is gebruikelijk dat werknemers als een tijdelijke werknemer aan het werk gaan bij een bedrijf, het bedrijf verlaten en zich vervolgens na enkele maanden opnieuw als fulltime werknemer aanmelden. Hier volgt een voorbeeld om te illustreren hoe inrichting wordt verwerkt voor dit scenario.
- Het is 1 januari 2023 en John Smith begint als tijdelijke werknemer. Omdat er geen AD-account is gekoppeld aan John's WorkerID (overeenkomend kenmerk), maakt de inrichtingsservice een nieuw AD-account en koppelt john's contingent worker WID (WorkdayID) aan het AD-account van John.
- John's contract eindigt op 31 januari 2023. In de inrichtingscyclus die na einde van de dag 31 januari wordt uitgevoerd, is het AD-account van John uitgeschakeld.
- John is van toepassing op een andere positie en besluit het bedrijf opnieuw aan te gaan als voltijdse werknemer vanaf 1 mei 2023. HR voert op 15 april 2023 de gegevens van John in als prehire werknemer. Er zijn nu twee werkprofielen in Workday voor John. Het CW-profiel is inactief, terwijl het FTE-profiel actief is. De twee records hebben dezelfde WorkerID , maar verschillende WID's.
- Op 15 april draagt de Microsoft Entra-inrichtingsservice tijdens de incrementele cyclus automatisch het eigendom van het AD-account over aan het actieve werkrolprofiel. In dit geval wordt het tijdelijke werkprofiel ontkoppeld van het AD-account en wordt een nieuwe koppeling tot stand gehouden tussen het actieve werknemersprofiel van John en het AD-account van John.
- Er zijn geen wijzigingen vereist in de configuratie van de inrichtings-app om dit scenario af te handelen.
Scenario 4: Toekomstige conversie, wanneer werkrol een actieve CW/FTE is
Soms kan een werknemer al een actieve voorwaardelijke werknemer zijn, wanneer HR een toekomstige werkrolconversietransactie initieert. Hier volgt een voorbeeld om te illustreren hoe inrichting wordt verwerkt voor dit scenario en welke configuratiewijzigingen vereist zijn om dit scenario te ondersteunen.
Het is 1 januari 2023 en John Smith begint als tijdelijke werknemer. Omdat er geen AD-account is gekoppeld aan John's WorkerID (overeenkomend kenmerk), maakt de inrichtingsservice een nieuw AD-account en koppelt john's contingent worker WID (WorkdayID) aan het AD-account van John.
Op 15 januari initieert HR een transactie om John te converteren van voorwaardelijke werknemer naar fulltime werknemer met ingang van 1 februari 2023.
Aangezien microsoft Entra-inrichtingsservice automatisch toekomstige medewerkers verwerkt, verwerkt hij het nieuwe werknemersprofiel voor fulltime werknemers op 15 januari en werkt John's profiel in AD bij met fulltimewerkgegevens, ook al is hij nog steeds een tijdelijke werknemer.
Voer de volgende configuratiewijzigingen uit om dit gedrag te voorkomen en ervoor te zorgen dat de FTE-gegevens van John op 1 februari 2023 worden ingericht.
Configuratiewijzigingen
- Neem contact op met uw Workday-beheerder om een inrichtingsgroep met de naam Toekomstige conversies te maken.
- Implementeer logica in Workday om werknemers-/afhankelijke werkrollenrecords toe te voegen met toekomstige conversies naar deze inrichtingsgroep.
- Werk de Microsoft Entra-inrichtings-app bij om deze inrichtingsgroep te lezen. Raadpleeg de instructies hier voor het ophalen van de inrichtingsgroep
- Maak een bereikfilter in Microsoft Entra ID om werkprofielen uit te sluiten die deel uitmaken van deze inrichtingsgroep.
- Implementeer in Workday logica zodat wanneer de conversiedatum van kracht is, de relevante record van werknemers/afhankelijke werknemers uit de inrichtingsgroep in Workday wordt verwijderd.
- Met deze configuratie blijft de bestaande record voor werknemers/afhankelijke werknemers effectief en worden de inrichtingswijzigingen alleen op de dag van conversie doorgevoerd.
Notitie
Tijdens de eerste volledige synchronisatie ziet u mogelijk een gedrag waarbij de kenmerkwaarden die zijn gekoppeld aan de vorige inactieve werkprofielstroom naar het AD-account van geconverteerde werknemers. Dit is tijdelijk en naarmate de volledige synchronisatie vordert, wordt deze uiteindelijk overschreven door kenmerkwaarden uit het actieve werkrolprofiel. Zodra de volledige synchronisatie is voltooid en de inrichtingstaak een stabiele status heeft bereikt, kiest deze altijd het actieve werkrolprofiel tijdens incrementele synchronisatie.
Internationale taaktoewijzingen en secundaire taakgegevens ophalen
De Workday-connector haalt standaard kenmerken op die zijn gekoppeld aan de primaire taak van de werkrol. De connector biedt ook ondersteuning voor het ophalen Additional Job Data van taken die zijn gekoppeld aan internationale taaktoewijzingen of secundaire taken.
Gebruik de stappen om kenmerken op te halen die zijn gekoppeld aan internationale taaktoewijzingen:
- Stel de URL voor de Workday-verbinding in op basis van de Workday-webservice-API versie 30.0 of hoger. Stel daarom de juiste XPATH-waarden in uw Workday-inrichtings-app in.
- Gebruik de selector
@wd:Primary_Job=0op hetWorker_Job_Dataknooppunt om het juiste kenmerk op te halen.- Voorbeeld 1: Gebruik XPATH om op te halen
SecondaryBusinessTitlewd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text() - Voorbeeld 2: Gebruik XPATH om op te halen
SecondaryBusinessLocationwd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor
- Voorbeeld 1: Gebruik XPATH om op te halen