Zelfstudie: Gebruikersinrichting van Workday configureren voor Microsoft Entra

Het doel van deze zelfstudie is om de stappen weer te geven die u moet uitvoeren om werkrolgegevens van Workday in te richten in Microsoft Entra-id.

Notitie

Gebruik deze zelfstudie als de gebruikers die u wilt inrichten van Workday alleen cloudgebruikers zijn die geen on-premises AD-account nodig hebben. Als de gebruikers alleen een on-premises AD-account of zowel een AD- als een Microsoft Entra-account nodig hebben, raadpleegt u de zelfstudie over het configureren van Workday voor Active Directory-gebruikersinrichting .

In de volgende video vindt u een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met Workday.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met de Workday Human Resources-API om gebruikersaccounts in te richten. De werkstromen voor gebruikersinrichting van Workday die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers, maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

• Nieuwe werknemers inhuren: wanneer een nieuwe werknemer wordt toegevoegd aan Workday, wordt automatisch een gebruikersaccount gemaakt in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID, met write-back van het e-mailadres naar Workday.

• Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in Workday (zoals hun naam, titel of manager), wordt hun gebruikersaccount automatisch bijgewerkt met microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in Workday, wordt hun gebruikersaccount automatisch uitgeschakeld in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Werknemers opnieuw in dienst : wanneer een werknemer opnieuw wordt ingehuurd in Workday, kan hun oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht (afhankelijk van uw voorkeur) naar Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze oplossing voor het inrichten van gebruikers van Workday naar Microsoft Entra is ideaal voor:

• Organisaties die behoefte hebben aan een vooraf ontwikkelde, cloudoplossing voor het inrichten van gebruikers met Workday

• Organisaties die directe inrichting van gebruikers van Workday naar Microsoft Entra-id vereisen

• Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen door Workday

• Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur voor de oplossing

In deze sectie wordt de end-to-end-architectuur voor het inrichten van gebruikers voor cloudgebruikers beschreven. Er zijn twee gerelateerde stromen:

• Gezaghebbende HR-gegevensstroom: van Workday naar Microsoft Entra-id: In deze stroom worden werkrolgebeurtenissen (zoals nieuwe medewerkers, overdrachten, beëindigingen) eerst uitgevoerd in Workday en vervolgens stromen de gebeurtenisgegevens naar Microsoft Entra-id. Afhankelijk van de gebeurtenis kan dit leiden tot het maken/bijwerken/inschakelen/uitschakelen van bewerkingen in Microsoft Entra-id.

• Writeback-stroom: van on-premises Active Directory naar Workday: zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Verbinding maken en kunnen gegevens, zoals e-mail, gebruikersnaam en telefoonnummer, worden teruggeschreven naar Workday.

  

Gegevensstroom van end-to-end-gebruikers

1. Het HR-team voert transacties voor werkrollen (nieuwe werknemers/overgeplaatste werknemers/werknemers die uit dienst treden, of nieuwe dienstverbanden/overplaatsingen/beëindiging van dienstverbanden) uit in Workday Employee Central
2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit Workday EC uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
3. De Microsoft Entra-inrichtingsservice bepaalt de wijziging en roept de bewerking create/update/enable/disable aan voor de gebruiker in Microsoft Entra ID.
4. Als de Workday Writeback-app is geconfigureerd, worden kenmerken opgehaald, zoals e-mail, gebruikersnaam en telefoonnummer van Microsoft Entra-id.
5. De Microsoft Entra-inrichtingsservice stelt e-mail, gebruikersnaam en telefoonnummer in Workday in.

Uw implementatie plannen

Voor het configureren van het inrichten van cloud-HR-gebruikers van Workday naar Microsoft Entra-id is een aanzienlijke planning vereist voor verschillende aspecten, zoals:

• De overeenkomende id bepalen
• Kenmerktoewijzing
• Kenmerktransformatie
• Bereikfilters

Raadpleeg het Implementatieplan voor Cloud HR voor uitgebreide richtlijnen rond deze onderwerpen.

Integratiesysteemgebruiker configureren in Workday

Raadpleeg de sectie Gebruikers van een integratiesysteem configureren voor het maken van een gebruikersaccount voor een Workday-integratiesysteem met machtigingen voor het ophalen van gegevens van werknemergegevens.

Gebruikersinrichting configureren van Workday naar Microsoft Entra-id

In de volgende secties worden de stappen beschreven voor het configureren van gebruikersinrichting van Workday naar Microsoft Entra ID voor implementaties in de cloud.

• De microsoft Entra-inrichtingsconnector-app toevoegen en de verbinding met Workday maken
• Kenmerktoewijzingen van Workday en Microsoft Entra configureren
• Gebruikersinrichting inschakelen en starten

Deel 1: De microsoft Entra-inrichtingsconnector-app toevoegen en de verbinding met Workday maken

Workday configureren voor Microsoft Entra-inrichting voor gebruikers in de cloud:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.

3. Zoek naar het inrichten van gebruikers van Workday naar Microsoft Entra en voeg die app toe vanuit de galerie.

4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

5. Wijzig de inrichtingsmodus in Automatisch.

6. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

   • Gebruikersnaam voor Workday: Voer de gebruikersnaam van het account voor het Workday-integratiesysteem in, waarbij de domeinnaam van de tenant is toegevoegd. Moet er ongeveer als volgt uitzien: username@contoso4

   • Wachtwoord voor Workday: voer het wachtwoord van het account voor het Workday-integratiesysteem in

   • API-URL van Workday-webservices: Geef de URL naar het eindpunt van Workday-webservices voor uw tenant op. De URL bepaalt de versie van de Workday-webservices-API die door de connector wordt gebruikt.

     URL-indeling	Gebruikte versie van WWS-API	XPATH-wijzigingen vereist
     https://####.workday.com/ccx/service/tenantName	v21.1	Nee
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Nee
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Ja

     Notitie

     Als er geen versiegegevens zijn opgegeven in de URL, gebruikt de app Workday-webservices (WWS) v21.1. Er zijn dan geen wijzigingen vereist voor de standaard API-expressies van XPATH die worden geleverd bij de app. Als u een specifieke WWS API-versie wilt gebruiken, geeft u versienummer op in de URL
     Voorbeeld: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Als u een WWS API v30.0+ gebruikt voordat u de inrichtingstaak inschakelt, werkt u de XPATH API-expressies bij onder Kenmerktoewijzing -> Geavanceerde opties -> Kenmerkenlijst bewerken voor Workday die verwijst naar de sectie Uw configuratie- en Workday-kenmerkverwijzing beheren.

   • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

   • Klik op de knop Verbinding testen.

   • Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de verbindingstest mislukt, controleert u of de Workday-URL en -referenties geldig zijn in Workday.

Deel 2: Kenmerktoewijzingen voor Workday en Microsoft Entra configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van Workday naar Microsoft Entra ID voor gebruikers in de cloud.

1. Klik op het tabblad Inrichten onder Toewijzingen op Werknemers synchroniseren met Microsoft Entra-id.

2. In het veld Bereik van bronobject kunt u selecteren welke sets gebruikers in Workday binnen het bereik van inrichting voor Microsoft Entra-id moeten vallen door een set op kenmerken gebaseerde filters te definiëren. Het standaardbereik is 'alle gebruikers in Workday'. Voorbeelden van filters:

   • Voorbeeld: Bereik voor gebruikers met werkrol-id's tussen 1000000 en 2000000

     • Kenmerk: WorkerID

     • Operator: REGEX-overeenkomst

     • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Voorbeeld: Alleen tijdelijke werknemers en niet gewone werknemers

     • Kenmerk: ContingentID

     • Operator: IS NIET NULL

3. In het veld Doelobjectacties kunt u globaal filteren welke acties worden uitgevoerd op Microsoft Entra-id. Maken en Bijwerken worden het meest gebruikt.

4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van Workday worden toegewezen aan kenmerken van Active Directory.

5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

   • Toewijzingstype

     • Direct: de waarde van het Workday-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

     • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

     • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer Workday-kenmerken. Zie voor meer informatie dit artikel over expressies.

   • Bronkenmerk: het gebruikerskenmerk uit Workday. Als het kenmerk dat u zoekt niet aanwezig is, raadpleegt u De lijst met gebruikerskenmerken voor Workday aanpassen.

   • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, wordt in plaats daarvan deze waarde weggeschreven door de toewijzing. De meest voorkomende configuratie is om dit leeg te laten.

   • Doelkenmerk: het gebruikerskenmerk in Microsoft Entra-id.

   • Objecten vergelijken met dit kenmerk : of dit kenmerk al dan niet moet worden gebruikt om gebruikers uniek te identificeren tussen Workday en Microsoft Entra ID. Deze waarde wordt doorgaans ingesteld op het veld Werkrol-id voor Workday, dat doorgaans is toegewezen aan het kenmerk Werknemer-id (nieuw) of een extensiekenmerk in Microsoft Entra-id.

   • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

   • Deze toewijzing toepassen

     • Altijd: u kunt deze toewijzing toepassen bij het maken en bijwerken van gebruikers

     • Alleen tijdens het maken van een object: u kunt deze toewijzing alleen toepassen bij het maken van gebruikers

6. Als u uw toewijzingen wilt opslaan, klikt u op Opslaan bovenaan de sectie 'Kenmerktoewijzing'.

Gebruikersinrichting inschakelen en starten

Zodra de configuraties van de Workday-inrichtingsapp zijn voltooid, kunt u de inrichtingsservice inschakelen.

Fooi

Wanneer u de inrichtingsservice inschakelt, worden er standaard inrichtingsbewerkingen gestart voor alle gebruikers binnen het bereik. Als er fouten zijn opgetreden in de toewijzing of er problemen zijn met Workday-gegevens, kan de inrichtingstaak mislukken en in de quarantaine-status gaan. Om dit te voorkomen, raden we u als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

1. Stel op het tabblad Inrichten de optie Inrichtingsstatus in op Aan.

2. Klik op Opslaan.

3. De eerste synchronisatie wordt nu gestart. Deze kan een wisselend aantal uren duren, afhankelijk van het aantal gebruikers in de Workday-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

4. Ga naar het tabblad Auditlogboeken in Azure Portal om te zien welke acties de inrichtingsservice heeft uitgevoerd. In de auditlogboeken worden alle afzonderlijke synchronisatiegebeurtenissen weergegeven die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers worden gelezen uit Workday en vervolgens worden toegevoegd aan of bijgewerkt naar Microsoft Entra-id.

5. Zodra de eerste synchronisatie is voltooid, wordt er een rapport met een overzicht van de controle weergegeven op het tabblad Inrichten, zoals u hieronder kunt zien.

   

Volgende stappen

• Meer informatie over Microsoft Entra ID- en Workday-integratiescenario's en webservice-aanroepen
• Informatie over ondersteunde Workday-kenmerken voor inkomende inrichting
• Informatie over het configureren van Workday-write-back
• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit
• Ontdek hoe u eenmalige aanmelding configureert tussen Workday en Microsoft Entra ID
• Meer informatie over het exporteren en importeren van uw inrichtingsconfiguraties