Zelfstudie: Workday configureren voor automatisch inrichten van gebruikers

  • Artikel

Het doel van deze zelfstudie is het weergeven van de stappen die u moet uitvoeren om profielen van werknemers van Workday in te richten in on-premises Active Directory (AD).

Notitie

Gebruik deze zelfstudie als de gebruikers die u wilt inrichten vanuit Workday een on-premises AD-account en een Microsoft Entra-account nodig hebben.

In de volgende video vindt u een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met Workday.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met de Workday Human Resources-API om gebruikersaccounts in te richten. De werkstromen voor gebruikersinrichting van Workday die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers, maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

Nieuwe functies

In dit gedeelte vindt u informatie over recente verbeteringen van de integratie van Workday. Ga naar de pagina Wat is er nieuw in Microsoft Entra ID voor een lijst met uitgebreide updates, geplande wijzigingen en archieven?

  • Okt 2020 - Inrichting op aanvraag ingeschakeld voor Workday: Met inrichting op aanvraag kunt u nu end-to-end-inrichting testen voor een specifiek gebruikersprofiel in Workday om uw kenmerktoewijzing en expressielogica te controleren.

  • Mei 2020 - Mogelijkheid om telefoonnummers terug te schrijven naar Workday: naast e-mail en gebruikersnaam kunt u nu het telefoonnummer en mobiele telefoonnummer van Microsoft Entra-id terugschrijven naar Workday. Raadpleeg voor meer informatie de zelfstudie over de Writeback-app.

  • April 2020 - Ondersteuning voor de nieuwste versie van de WWS-API (Workday Web Services): Twee keer per jaar in maart en september biedt Workday uitgebreide updates die u helpen uw bedrijfsdoelen te bereiken en de personeelsbehoeften te veranderen. Om altijd gebruik te maken van de nieuwe functies van Workday, kunt u nu rechtstreeks in de verbindings-URL de API-versie van WWS opgeven die u wilt gebruiken. Meer informatie over het opgeven van de versie van de Workday-API vindt u in het gedeelte over het configureren van Workday-connectiviteit.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze oplossing voor het inrichten van gebruikers van Workday is het meest geschikt voor:

  • Organisaties die behoefte hebben aan een vooraf ontwikkelde, cloudoplossing voor het inrichten van gebruikers met Workday

  • Organisaties die directe inrichting van gebruikers van Workday naar Active Directory of Microsoft Entra-id vereisen

  • Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit de HCM-module van Workday (zie Get_Workers)

  • Organisaties die vereisen dat gebruikers die nieuw zijn, verhuizen of vertrekken worden gesynchroniseerd met een of meer Active Directory-forests, -domeinen en OE’s op basis van wijzigingsinformatie die is gedetecteerd in de HCM-module van Workday (zie Get_Workers)

  • Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur van de oplossing

In deze sectie wordt de end-to-end-architectuur beschreven voor het inrichten van gebruikers voor gangbare hybride omgevingen. Er zijn twee gerelateerde stromen:

  • Gezaghebbende HR-gegevensstroom: van Workday naar on-premises Active Directory: In deze stroom worden werkrolgebeurtenissen (zoals nieuwe medewerkers, overdrachten, beëindigingen) eerst uitgevoerd in de hr-tenant van Workday in de cloud, waarna de gebeurtenisgegevens via Microsoft Entra-id en de inrichtingsagent naar on-premises Active Directory stromen. Afhankelijk van de gebeurtenis, kan dit bewerkingen voor maken/bijwerken/inschakelen/uitschakelen tot gevolg hebben in AD.
  • Writeback-stroom: van on-premises Active Directory naar Workday: zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Verbinding maken en kunnen gegevens, zoals e-mail, gebruikersnaam en telefoonnummer, worden teruggeschreven naar Workday.

Overview

Gegevensstroom van end-to-end-gebruikers

  1. Het HR-team voert transacties voor werkrollen (nieuwe werknemers/overgeplaatste werknemers/werknemers die uit dienst treden, of nieuwe dienstverbanden/overplaatsingen/beëindiging van dienstverbanden) uit in Workday HCM.
  2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit Workday HR uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
  3. De Microsoft Entra-inrichtingsservice roept de on-premises Microsoft Entra-Verbinding maken Inrichtingsagent aan met een nettolading van een aanvraag met bewerkingen voor maken/bijwerken/inschakelen/uitschakelen van AD-account.
  4. De Microsoft Entra Verbinding maken Provisioning Agent maakt gebruik van een serviceaccount om AD-accountgegevens toe te voegen/bij te werken.
  5. De Microsoft Entra-Verbinding maken/AD Sync-engine voert deltasynchronisatie uit om updates in AD op te halen.
  6. De Active Directory-updates worden gesynchroniseerd met De Microsoft Entra-id.
  7. Als de app Workday Writeback is geconfigureerd, worden kenmerken zoals e-mailadres, gebruikersnaam en telefoonnummer teruggeschreven naar Workday.

Uw implementatie plannen

Het configureren van het inrichten van gebruikers van Workday in Active Directory vereist een degelijke planning waarbij rekening moet worden gehouden met verschillende aspecten, zoals:

  • Installatie van de Microsoft Entra Verbinding maken inrichtingsagent
  • Aantal te implementeren apps voor het inrichten van Workday-gebruikers in AD
  • De juiste overeenkomende id, kenmerktoewijzing, transformatie en bereikfilters selecteren

Raadpleeg het implementatieplan voor HR-gegevens vanuit de cloud voor uitgebreide richtlijnen en best practices.

Integratiesysteemgebruiker configureren in Workday

Een vereiste die geldt voor alle inrichtingsconnectors van Workday is dat ze referenties nodig hebben van een integratiesysteemgebruiker van Workday om verbinding te maken met de API van Workday Human Resources. In dit gedeelte wordt beschreven hoe u een integratiesysteemgebruiker maakt in Workday. De volgende onderwerpen komen aan bod:

Notitie

U kunt deze procedure overslaan en in plaats daarvan een globale beheerdersaccount van Workday gebruiken als het systeemintegratieaccount. Dit werkt waarschijnlijk prima voor demonstratiedoeleinden, maar wordt afgeraden voor implementaties in productieomgevingen.

Een integratiesysteemgebruiker maken

U kunt als volgt een integratiesysteemgebruiker maken:

  1. Meld u met een beheerdersaccount aan bij uw Workday-tenant. Typ in de Workday Application de tekst 'create user' in het zoekvak en klik vervolgens op Create Integration System User.

    Create user

  2. Voer de taak Create Integration System User uit door een gebruikersnaam en wachtwoord op te geven voor de nieuwe integratiesysteemgebruiker.

    • Laat de optie Require New Password at Next Sign In uitgeschakeld, aangezien deze gebruiker programmatisch wordt aangemeld.
    • Laat Session Timeout Minutes op de standaardwaarde 0 staan, zodat de sessie van de gebruiker niet voortijdig wordt beëindigd.
    • Selecteer de optie Do Not Allow UI Sessions om een extra beveiligingslaag in te schakelen wordt geboden om te voorkomen dat een gebruiker met het wachtwoord van het integratiesysteem zich kan aanmelden bij Workday.

    Create Integration System User

Een integratiebeveiligingsgroep maken

In deze stap maakt u een onbeperkte of beperkte beveiligingsgroep voor het integratiesysteem in Workday en wijst u de integratiesysteemgebruiker die in de vorige stap is gemaakt, toe aan deze groep.

Een beveiligingsgroep maken:

  1. Typ 'create security group' in het zoekvak en klik vervolgens op Create Security Group.

    Screenshot that shows

  2. Voltooi de taak Create Security Group.

    • Er zijn twee typen beveiligingsgroepen in Workday:

      • Niet-getraind: alle leden van de beveiligingsgroep hebben toegang tot alle gegevensexemplaren die worden beveiligd door de beveiligingsgroep.
      • Beperkt: alle leden van de beveiligingsgroep hebben contextuele toegang tot een subset van gegevensexemplaren (rijen) waartoe de beveiligingsgroep toegang heeft.

    • Overleg met uw integratiepartner voor Workday om het juiste type beveiligingsgroep te selecteren voor de integratie.

    • Als u weet welk type groep u moet gebruiken, selecteert u Integration System Security Group (Unconstrained) of Integration System Security Group (Constrained) in de vervolgkeuzelijst Type of Tenanted Security Group.

      CreateSecurity Group

  3. Als de beveiligingsgroep is gemaakt, ziet u een pagina waar u leden kunt toewijzen aan de groep. Voeg hier de nieuwe integratiesysteemgebruiker toe die in de vorige stap is gemaakt. Als u een beveiligingsgroep van het type Constrained groep gebruikt, moet u ook het juiste organisatiebereik selecteren.

    Edit Security Group

Machtigingen voor domeinbeveiligingsbeleid configureren

In deze stap verleent u aan de beveiligingsgroep machtigingen voor domeinbeveiligingsbeleid voor de gegevens van werknemers.

Machtigingen voor domeinbeveiligingsbeleid configureren:

  1. Voer Beveiligingsgroeplidmaatschap en -toegang in het zoekvak in en klik op de koppeling naar het rapport.

    Search Security Group Membership

  2. Zoek en selecteer de beveiligingsgroep die in de vorige stap is gemaakt.

    Select Security Group

  3. Klik op het beletselteken (...) naast de groepsnaam en selecteer in het menu de optie Domeinmachtigingen voor beveiligingsgroep > onderhouden voor beveiligingsgroep

    Select Maintain Domain Permissions

  4. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Put-toegang

    • External Account Provisioning
    • Werkrolgegevens: Rapporten van openbare werknemers
    • Persoonsgegevens: Contactgegevens voor werk (vereist als u van plan bent om contactgegevens van Microsoft Entra ID naar Workday terug te schrijven)
    • Workday-accounts (vereist als u van plan bent om gebruikersnaam/UPN van Microsoft Entra ID naar Workday terug te schrijven)

  5. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Get-toegang

    • Werkrolgegevens: Werknemers
    • Werkrolgegevens: alle posities
    • Werkrolgegevens: Huidige personeelsinformatie
    • Werkrolgegevens: Bedrijfstitel voor werkprofiel
    • Werkrolgegevens: Gekwalificeerde werknemers (optioneel: voeg dit toe om werkrolkwalificatiegegevens voor inrichting op te halen)
    • Werkrolgegevens: vaardigheden en ervaring (optioneel: voeg dit toe om gegevens over werkvaardigheden op te halen voor inrichting)

  6. Nadat de bovenstaande stappen zijn voltooid, wordt het scherm machtigingen weergegeven zoals hieronder:

    All Domain Security Permissions

  7. Klik op OK en Gereed op het volgende scherm om de configuratie te voltooien.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren

In deze stap verleent u aan de beveiligingsgroep machtigingen voor beveiligingsbeleid voor bedrijfsprocessen voor de gegevens van werknemers.

Notitie

Deze stap is alleen vereist voor het instellen van de connector voor de Writeback-app van Workday.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren:

  1. Typ business process policy in het zoekvak en klik vervolgens op de link Edit Business Process Security Policy - Task.

    Screenshot that shows

  2. Zoek in het tekstvak Business Process Type naar Contact, selecteer het bedrijfsproces Work Contact Change en klik op OK.

    Screenshot that shows the

  3. Scrol op de pagina Edit Business Process Security Policy naar de sectie Change Work Contact Information (Web Service).

  4. Selecteer de nieuwe beveiligingsgroep voor het integratiesysteem en voeg deze toe aan de lijst met beveiligingsgroepen die de aanvraag bij webservices kunnen initiëren.

    Business Process Security Policies

  5. Klik op Done.

Wijzigingen in beveiligingsbeleid activeren

Wijzigingen in beveiligingsbeleid activeren:

  1. Typ 'activate' in het zoekvak en klik vervolgens op de link Activate Pending Security Policy Changes.

    Activate

  2. Start de taak Activate Pending Security Policy Changes door een opmerking in te voeren voor controledoeleinden en klik vervolgens op OK.

  3. Voltooi de taak op het volgende scherm door het selectievakje Confirm in te schakelen en klik vervolgens op OK.

    Activate Pending Security

Installatievereisten voor inrichtingsagent

Raadpleeg de installatievereisten voor de inrichtingsagent voordat u naar het volgende gedeelte gaat.

Inrichting van gebruikers van Workday bij Active Directory configureren

In deze sectie vindt u de stappen voor het inrichten van gebruikersaccounts van Workday in de Active Directory-domeinen binnen het bereik van uw integratie.

Deel 1: De app voor de inrichtingsconnector toevoegen en de inrichtingsagent downloaden

Workday to Active Directory User Provisioning configureren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.

  3. Zoek Workday to Active Directory User Provisioning en voeg die app toe vanuit de galerie.

  4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

  5. Wijzig de inrichtingsmodus in Automatisch.

  6. Klik op de informatiebanner die wordt weergegeven om de inrichtingsagent te downloaden.

    Download Agent

Deel 2: On-premises inrichtingsagent(en) installeren en configureren

Als u gebruikers wilt inrichten bij on-premises Active Directory, moet de inrichtingsagent zijn geïnstalleerd op een server met netwerktoegang tot de gewenste Active Directory-domeinen.

Plaats het installatieprogramma van de gedownloade agent op de serverhost en volg de stappen die zijn vermeld in het gedeelte Agent installeren om de configuratie van de agent te voltooien.

Deel 3: Configureer in de inrichtings-app de connectiviteit met Workday en Active Directory

In deze stap maken we verbinding met Workday en Active Directory.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>> workday naar active directory-app voor het inrichten van gebruikers die in deel 1 zijn gemaakt.

  3. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

    • Gebruikersnaam voor Workday: Voer de gebruikersnaam van het account voor het Workday-integratiesysteem in, waarbij de domeinnaam van de tenant is toegevoegd. Het ziet er ongeveer als volgt uit: username@tenant_name

    • Wachtwoord voor Workday: voer het wachtwoord van het account voor het Workday-integratiesysteem in

    • API-URL van Workday-webservices: Geef de URL naar het eindpunt van Workday-webservices voor uw tenant op. De URL bepaalt de versie van de Workday-webservices-API die door de connector wordt gebruikt.

      URL-indeling Gebruikte versie van WWS-API XPATH-wijzigingen vereist
      https://####.workday.com/ccx/service/tenantName v21.1 Nee
      https://####.workday.com/ccx/service/tenantName/Human_Resources v21.1 Nee
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# v##.# Ja

      Notitie

      Als er geen versiegegevens zijn opgegeven in de URL, gebruikt de app Workday-webservices (WWS) v21.1. Er zijn dan geen wijzigingen vereist voor de standaard API-expressies van XPATH die worden geleverd bij de app. Als u een specifieke WWS API-versie wilt gebruiken, geeft u versienummer op in de URL
      Voorbeeld: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

      Als u een WWS API v30.0+ gebruikt voordat u de inrichtingstaak inschakelt, werkt u de XPATH API-expressies bij onder Kenmerktoewijzing -> Geavanceerde opties -> Kenmerkenlijst bewerken voor Workday die verwijst naar de sectie Uw configuratie- en Workday-kenmerkverwijzing beheren.

    • Active Directory-forest: De 'naam' van uw Active Directory domein, zoals dit is geregistreerd bij de agent. Gebruik de vervolgkeuzelijst om het doeldomein te selecteren waarbij u gebruikers wilt inrichten. Deze waarde bestaat meestal uit een tekenreeks zoals contoso.com

    • Active Directory-container: Voer de DN in van de container waarin de agent standaard gebruikersaccounts moet maken. Voorbeeld: OU=Standard Users,OU=Users,DC=contoso,DC=test

      Notitie

      Deze instelling is alleen beschikbaar voor het maken van gebruikersaccounts als het kenmerk parentDistinguishedName niet is geconfigureerd in de kenmerktoewijzingen. Deze instelling wordt niet gebruikt voor het zoeken of bijwerken van gebruikers. De onderliggende domeinstructuur valt volledig binnen het bereik van de zoekbewerking.

    • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

      Notitie

      De Microsoft Entra-inrichtingsservice verzendt een e-mailmelding als de inrichtingstaak in quarantaine gaat.

    • Klik op de knop Verbinding testen. Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de test mislukt, controleert u of de Workday-referenties en de AD-referenties die zijn geconfigureerd voor de installatie van de agent geldig zijn.

      Screenshot that shows the

    • Als de referenties zijn opgeslagen, wordt in het gedeelte Toewijzingen de standaardtoewijzing Workday-gebruikers synchroniseren met on-premises Active Directory weergegeven.

Deel 4: Kenmerktoewijzingen configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van Workday naar Active Directory.

  1. Klik op het tabblad Inrichten onder Toewijzingen op Workday-werknemers synchroniseren met on-premises Active Directory.

  2. In het veld Bereik van bronobject kunt u selecteren voor welke sets van gebruikers de inrichting naar AD moet worden uitgevoerd. Dit doet u door een set van op kenmerken gebaseerde filters te definiëren. Het standaardbereik is 'alle gebruikers in Workday'. Voorbeelden van filters:

    • Voorbeeld: Bereik voor gebruikers met werkrol-id's tussen 1000000 en 2000000 (exclusief 2000000)

      • Kenmerk: WorkerID

      • Operator: REGEX-overeenkomst

      • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

    • Voorbeeld: Alleen werknemers en niet afhankelijke werknemers

      • Kenmerk: EmployeeID

      • Operator: IS NIET NULL

    Tip

    Wanneer u de inrichtings-app voor de eerste keer configureert, moet u de kenmerktoewijzingen en expressies testen en controleren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft raadt het gebruik van bereikfilters onder Bereik van bronobject en inrichting op aanvraag aan om uw toewijzingen te testen met een paar testgebruikers van Workday. Wanneer u hebt gecontroleerd of de toewijzingen werken, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

    Let op

    Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw integratie van Workday en AD. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.

  3. In het veld Acties voor doelobject kunt u globaal filteren op welke acties er worden uitgevoerd in Active Directory. Maken en Bijwerken worden het meest gebruikt.

  4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van Workday worden toegewezen aan kenmerken van Active Directory.

  5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

    • Toewijzingstype

      • Direct: de waarde van het Workday-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

      • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

      • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer Workday-kenmerken. Zie voor meer informatie dit artikel over expressies.

    • Bronkenmerk: het gebruikerskenmerk uit Workday. Als het kenmerk dat u zoekt niet aanwezig is, raadpleegt u De lijst met gebruikerskenmerken voor Workday aanpassen.

    • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, wordt in plaats daarvan deze waarde weggeschreven door de toewijzing. De meest voorkomende configuratie is om dit leeg te laten.

    • Doelkenmerk: het gebruikerskenmerk in Active Directory.

    • Objecten koppelen met dit kenmerk: geeft aan of deze toewijzing moet worden gebruikt om gebruikers uniek te identificeren tussen Workday en Active Directory. Deze waarde wordt meestal ingesteld op het veld Worker ID voor Workday. Dit veld wordt doorgaans toegewezen aan een van de kenmerken Werknemer-id in Active Directory.

    • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

    • Deze toewijzing toepassen

      • Altijd: u kunt deze toewijzing toepassen bij het maken en bijwerken van gebruikers

      • Alleen tijdens het maken van een object: u kunt deze toewijzing alleen toepassen bij het maken van gebruikers

  6. Als u uw toewijzingen wilt opslaan, klikt u op Opslaan bovenaan de sectie 'Kenmerktoewijzing'.

    Screenshot that shows the

Hieronder ziet u enkele voorbeelden van kenmerktoewijzingen tussen Workday en Active Directory, met enkele algemene expressies

  • De expressie die is gekoppeld aan het kenmerk parentDistinguishedName wordt gebruikt om een gebruiker in te richten bij verschillende organisatie-eenheden op basis van een of meer bronkenmerken van Workday. In dit voorbeeld worden gebruikers in verschillende organisatie-eenheden geplaatst op basis van de plaats waarin ze zich bevinden.

  • Het kenmerk userPrincipalName in Active Directory wordt gegenereerd met behulp van de functie voor deduplicatie SelectUniqueValue. Deze functie controleert of er een gegenereerde waarde in het doel-AD-domein aanwezig. De waarde wordt alleen ingesteld als deze uniek is.

  • Hier vindt u documentatie over het schrijven van expressies. In dit gedeelte vindt u voorbeelden van het verwijderen van speciale tekens.

WORKDAY-KENMERK ACTIVE DIRECTORY-KENMERK OVEREENKOMENDE ID? MAKEN/BIJWERKEN
WorkerID EmployeeID Ja Alleen weggeschreven bij maken
PreferredNameData cn Alleen weggeschreven bij maken
SelectUniqueValue( Join("@", Join(".", [Voornaam], [Achternaam]), "contoso.com"), Join("@", Join(".", Mid([Voornaam], 1, 1), [Achternaam]), "contoso.com"), Join("@", Join(".", Mid([Voornaam], 1, 2), [Achternaam]), "contoso.com")) userPrincipalName Alleen weggeschreven bij maken
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ) sAMAccountName Alleen weggeschreven bij maken
Switch([Actief], "0", "True", "1", "False") accountDisabled Maken en bijwerken
FirstName givenName Maken en bijwerken
LastName sn Maken en bijwerken
PreferredNameData displayName Maken en bijwerken
Bedrijf bedrijf Maken en bijwerken
SupervisoryOrganization afdeling Maken en bijwerken
ManagerReference manager Maken en bijwerken
BusinessTitle title Maken en bijwerken
AddressLineData streetAddress Maken en bijwerken
Municipality l Maken en bijwerken
CountryReferenceTwoLetter co Maken en bijwerken
CountryReferenceTwoLetter c Maken en bijwerken
CountryRegionReference St Maken en bijwerken
WorkSpaceReference physicalDeliveryOfficeName Maken en bijwerken
PostalCode postalCode Maken en bijwerken
PrimaryWorkTelephone telephoneNumber Maken en bijwerken
Fax facsimileTelephoneNumber Maken en bijwerken
Mobiel mobiele apparaten Maken en bijwerken
LocalReference preferredLanguage Maken en bijwerken
Switch([Gemeente], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Maken en bijwerken

Nadat de configuratie van de kenmerktoewijzing is voltooid, kunt u de inrichting testen voor een enkele gebruiker met inrichting on demand en vervolgens kunt u de gebruikersinrichtingsservice inschakelen en starten.

Gebruikersinrichting inschakelen en starten

Zodra de configuraties van de Workday-inrichtingsapp zijn voltooid en u de inrichting hebt gecontroleerd voor één gebruiker met inrichting op aanvraag, kunt u de inrichtingsservice inschakelen.

Tip

Wanneer u de inrichtingsservice inschakelt, worden er standaard inrichtingsbewerkingen gestart voor alle gebruikers binnen het bereik. Als er fouten zijn opgetreden in de toewijzing of er problemen zijn met Workday-gegevens, kan de inrichtingstaak mislukken en in de quarantaine-status gaan. Om dit te voorkomen, raden we u als best practice aan om het filter Bereik van bronobject te configureren en uw kenmerktoewijzingen te testen met enkele testgebruikers met inrichting on demand voordat u de volledige synchronisatie voor alle gebruikers start. Wanneer u hebt gecontroleerd of de toewijzingen werken en de gewenste resultaten opleveren, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

  1. Ga naar de Blade Inrichten en klik op Inrichting starten.

  2. De eerste synchronisatie wordt nu gestart. Deze kan een wisselend aantal uren duren, afhankelijk van het aantal gebruikers in de Workday-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

  3. Ga naar het tabblad Auditlogboeken in Azure Portal om te zien welke acties de inrichtingsservice heeft uitgevoerd. In de auditlogboeken worden alle afzonderlijke synchronisatiegebeurtenissen weergegeven die door de inrichtingsservice zijn uitgevoerd, bijvoorbeeld welke gebruikers zijn ingelezen vanuit SuccessFactors en vervolgens zijn toegevoegd aan of bijgewerkt in Active Directory. Raadpleeg de sectie Tips voor probleemoplossing voor informatie over het controleren van de auditlogboeken en het oplossen van inrichtingsfouten.

  4. Zodra de eerste synchronisatie is voltooid, wordt er een rapport met een overzicht van de controle weergegeven op het tabblad Inrichten, zoals u hieronder kunt zien.

    Provisioning progress bar

Veelgestelde vragen (FAQ)

Vragen over mogelijkheden van oplossing

Hoe stelt de oplossing het wachtwoord in voor een nieuw gebruikersaccount in Active Directory als een nieuwe werknemer wordt verwerkt vanuit Workday?

Wanneer de on-premises inrichtingsagent een aanvraag krijgt voor het maken van een nieuw AD-account, wordt er automatisch een complex willekeurig wachtwoord gegenereerd dat voldoet aan de vereisten voor wachtwoordcomplexiteit die zijn gedefinieerd door de AD-server en wordt dit wachtwoord ingesteld voor het gebruikersobject. Dit wachtwoord wordt nergens vastgelegd.

Biedt de oplossing ondersteuning voor het verzenden van e-mailmeldingen als de inrichtingsbewerkingen zijn voltooid?

Nee, het verzenden van e-mailmeldingen na het voltooien van inrichtingsbewerkingen wordt niet ondersteund in de huidige release.

Slaat de oplossing Workday-gebruikersprofielen in de Microsoft Entra-cloud of in de inrichtingsagentlaag op?

Nee, in de oplossing wordt geen cache met gebruikersprofielen bijgehouden. De Microsoft Entra-inrichtingsservice fungeert gewoon als een gegevensverwerker, het lezen van gegevens uit Workday en het schrijven naar de doel-Active Directory of Microsoft Entra-id. Zie de sectie Persoonlijke gegevens beheren voor informatie over de privacy van gebruikers en het bewaren van gegevens.

Ondersteunt de oplossing de toewijzing van on-premises AD-groepen aan de gebruiker?

Deze functionaliteit wordt momenteel niet ondersteund. De aanbevolen tijdelijke oplossing is om een PowerShell-script te implementeren waarmee het API-eindpunt van Microsoft Graph wordt bevraagd voor gegevens uit het auditlogboek en om die te gebruiken om scenario's zoals groepstoewijzing te activeren. Dit PowerShell-script kan worden gekoppeld aan een taakplanner en worden geïmplementeerd op dezelfde computer als die waarop de inrichtingsagent wordt uitgevoerd.

Welke Workday-API's gebruikt de oplossing voor het opvragen en bijwerken van werknemersprofielen in Workday?

De oplossing maakt momenteel gebruik van de volgende Workday-API's:

  • De notatie van de Workday Web Services API-URL die wordt gebruikt in de sectie Admin Credentials bepaalt de API-versie die wordt gebruikt voor Get_Workers:

    • Als de URL-indeling is, https://####.workday.com/ccx/service/tenantName wordt API v21.1 gebruikt.
    • Als de URL-indeling is: https://####.workday.com/ccx/service/tenantName/Human_Resources , wordt API v21.1 gebruikt
    • Als de URL-indeling: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# is, wordt de opgegeven API-versie gebruikt. (Voorbeeld: als v34.0 is opgegeven, wordt die versie gebruikt.)

  • De functie voor write-back van e-mailadressen van Workday maakt gebruik van Change_Work_Contact_Information (v 30.0)

  • De functie voor write-back van gebruikersnamen van Workday namen maakt gebruik van Update_Workday_Account (v 31.2)

Kan ik mijn Workday HCM-tenant configureren met twee Microsoft Entra-tenants?

Ja, deze configuratie wordt ondersteund. Dit zijn de algemene stappen voor het configureren van dit scenario:

  • Implementeer de inrichtingsagent #1 en registreer deze bij Microsoft Entra-tenant #1.
  • Implementeer de inrichtingsagent #2 en registreer deze bij Microsoft Entra-tenant 2.
  • Op basis van de onderliggende domeinen die elke inrichtingsagent gaat beheren, configureert u elke agent met een of meer domeinen. Eén agent kan meerdere domeinen beheren.
  • Stel in Azure Portal de app Workday to AD User Provisioning in voor elke tenant en configureer deze met de respectieve domeinen.

Uw feedback is zeer belangrijk omdat deze ons helpt de richting te bepalen voor toekomstige releases en verbeteringen. We verwelkomen alle feedback en moedigen u aan uw idee of verbeteringssuggesties in te dienen op het feedbackforum van Microsoft Entra ID. Voor specifieke feedback met betrekking tot de Workday-integratie selecteert u de categorie SaaS Applications en zoekt u met het trefwoord Workday om bestaande feedback te vinden over Workday.

UserVoice SaaS Apps

UserVoice Workday

Als u een nieuw idee wilt voorstellen, kijk dan eerst of niet iemand anders al een vergelijkbare functie heeft voorgesteld. In dat geval kunt u stemmen op die aanvraag voor een nieuwe functie of verbetering. U kunt ook een opmerking over uw specifieke toepassing achterlaten om te omschrijven waarom u het idee ondersteunt en waarom de functie ook waardevol voor u is.

Vragen over inrichtingsagent

Wat is de GA-versie van de inrichtingsagent?

Raadpleeg Microsoft Entra Verbinding maken Inrichtingsagent: Versiereleasegeschiedenis voor de nieuwste GA-versie van de inrichtingsagent.

Hoe kan ik zien welke versie van de inrichtingsagent ik heb?

  • Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.

  • Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen

  • Zoek de versie die overeenkomt met de vermelding Microsoft Entra Verbinding maken Inrichtingsagent

    Azure portal

Worden updates van de inrichtingsagent automatisch gepusht door Microsoft?

Ja, Microsoft werkt de inrichtingsagent automatisch bij als de Windows-service Microsoft Entra Verbinding maken Agent Updater actief is.

Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Verbinding maken wordt uitgevoerd?

Ja, u kunt de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Verbinding maken wordt uitgevoerd.

Op het moment van configuratie vraagt de inrichtingsagent om beheerdersreferenties van Microsoft Entra. Worden deze referenties lokaal opgeslagen op de server door de agent?

Tijdens de configuratie vraagt de inrichtingsagent alleen om beheerdersreferenties van Microsoft Entra om verbinding te maken met uw Microsoft Entra-tenant. De referenties worden niet lokaal opgeslagen op de server. De referenties die worden gebruikt om verbinding te maken met het on-premises Active Directory-domein worden wel opgeslagen in een lokale Windows-wachtwoordkluis.

Hoe kan ik de inrichtingsagent configureren voor het gebruik van een proxyserver voor uitgaande HTTP-communicatie?

De inrichtingsagent ondersteunt het gebruik van een uitgaande proxy. U kunt dit configureren door het configuratiebestand C:\Program Files\Microsoft Azure AD te bewerken Verbinding maken Inrichtingsagent\AAD Verbinding makenProvisioningAgent.exe.config. Voeg de volgende regels toe aan het einde van het bestand vlak voor de afsluitende </configuration> tag. Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die door de agent zijn vereist?

U kunt ook controleren of alle vereiste poorten open zijn.

Kan één inrichtingsagent worden geconfigureerd voor het inrichten van meerdere AD-domeinen?

Ja, een inrichtingsagent kan worden geconfigureerd voor het verwerken van meerdere AD-domeinen, op voorwaarde dat de agent contact heeft met de betreffende domeincontrollers. Microsoft adviseert om een groep van drie inrichtingsagenten in te stellen voor dezelfde set AD-domeinen om zo een hoge beschikbaarheid te garanderen en ondersteuning voor failover te bieden.

Hoe kan ik de registratie opheffen van het domein dat is gekoppeld aan mijn inrichtingsagent?

*, haal de tenant-id van uw Microsoft Entra-tenant op.

  • Meld u aan bij de Windows-server waarop de inrichtingsagent wordt uitgevoerd.

  • Open PowerShell als Windows-beheerder.

  • Ga naar de map met de registratiescripts en voer de volgende opdrachten uit om de parameter [tenant-id] te vervangen door de waarde van uw tenant-id.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
Get-PublishedResources -TenantId "[tenant ID]"

  • Er verschijnt een lijst met agenten. Kopieer uit deze lijst de waarde van het veld id van de resource waarvan de waarde voor resourceName gelijk is aan de naam van uw AD-domein.

  • Plak de waarde in deze opdracht en voer de opdracht uit in PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

  • Voer de configuratiewizard voor de agent opnieuw uit.

  • Alle andere agenten die eerder aan dit domein waren toegewezen, moeten opnieuw worden geconfigureerd.

Hoe kan ik de inrichtingsagent verwijderen?

  • Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
  • Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen
  • Verwijder de volgende programma's:
    • Microsoft Entra Verbinding maken Inrichtingsagent
    • Microsoft Entra Verbinding maken Agent Updater
    • Microsoft Entra Verbinding maken Inrichtingsagentpakket

Vragen over het koppelen van kenmerken van Workday en AD en over de configuratie

Hoe kan ik een back-up maken van een werkkopie met de toewijzingen en het schema van inrichtingskenmerken van Workday of hoe kan ik die exporteren?

U kunt Microsoft Graph API gebruiken voor het exporteren van de configuratie van Workday to AD User Provisioning. Raadpleeg de stappen in de sectie Uw configuratie exporteren en importeren voor meer informatie.

Ik heb aangepaste kenmerken in Workday en Active Directory. Hoe kan ik de oplossing configureren voor gebruik van deze aangepaste kenmerken?

De oplossing ondersteunt aangepaste kenmerken voor Workday en Active Directory. Als u aangepaste kenmerken wilt toevoegen aan het toewijzingsschema, opent u de blade Kenmerktoewijzing en scrolt u omlaag om de sectie Geavanceerde opties weergeven uit te vouwen.

Edit Attribute List

Als u uw aangepaste Workday-kenmerken wilt toevoegen, selecteert u de optie Kenmerkenlijst bewerken voor Workday. Om de aangepaste AD-kenmerken toe te voegen, selecteert u de optie Kenmerkenlijst bewerken voor On-premises Active Directory.

Zie ook:

Hoe kan ik de oplossing zodanig configureren dat kenmerken in AD alleen worden bijgewerkt op basis van wijzigingen in Workday en er geen nieuwe AD-accounts worden gemaakt?

Deze configuratie kan worden bereikt door Acties voor doelobject op de blade Kenmerktoewijzingen als volgt in te stellen:

Update action

Schakel het selectievakje Bijwerken in als alleen bewerkingen voor bijwerken moeten worden overgebracht van Workday naar AD.

Kan ik de foto van gebruikers in Workday gebruiken in Active Directory?

De oplossing biedt momenteel geen ondersteuning voor het instellen van binaire kenmerken zoals thumbnailPhoto en jpegPhoto in Active Directory.

  • Ga naar de blade Inrichten van de app voor het inrichten van Workday.

  • Klik op Kenmerktoewijzingen.

  • Selecteer Onder Toewijzingen de optie Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra-id).

  • Scrol op de pagina Kenmerktoewijzingen omlaag en schakel het selectievakje Geavanceerde opties weergeven in. Klik op Kenmerkenlijst bewerken voor Workday.

  • Zoek op de blade die wordt geopend het kenmerk 'Mobiel' en klik op de rij, zodat u de API-expressie kunt bewerkenMobile GDPR

  • Vervang de API-expressie door de volgende nieuwe expressie, waarmee het zakelijke mobiele nummer alleen wordt opgehaald als de vlag Public Usage in Workday is ingesteld op True.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

  • Sla de kenmerkenlijst op.

  • Sla de kenmerktoewijzing op.

  • Wis de huidige status en start de volledige synchronisatie opnieuw.

Hoe kan ik weergavenamen opmaken in AD op basis van de kenmerken van gebruikers voor afdeling/land/plaats en hoe kan ik regionale afwijkingen afhandelen?

Het is een algemene vereiste om het kenmerk displayName te configureren in AD, zodat het ook informatie geeft over de afdeling en het land of de regio van de gebruiker. Als John Smith bijvoorbeeld in de Afdeling Marketing in de VS werkt, wilt u misschien dat zijn displayName wordt weergegeven als Smith, John (Marketing-US).

Hieronder leest u hoe u aan dergelijke vereisten kunt voldoen door ervoor te zorgen dat CN of displayName kenmerken bevat zoals bedrijf, bedrijfseenheid, plaats of land/regio.

  • Elk Workday-kenmerk wordt opgehaald met behulp van een onderliggende XPATH API-expressie, die kan worden geconfigureerd in kenmerktoewijzing -> Geavanceerde sectie -> Kenmerkenlijst bewerken voor Workday. Dit is de standaard XPATH API-expressie voor de Workday-kenmerken PreferredFirstName, PreferredLastName, Company en SupervisoryOrganization.

    Workday-kenmerk API XPATH-expressie
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Bedrijf wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Neem contact op met uw Workday-team om te bevestigen dat de API-expressie hierboven geldig is voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

  • Op een vergelijkbare manier worden de land- of regiogegevens die aanwezig zijn in Workday opgehaald met behulp van de volgende XPATH-expressie: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

    In de sectie met Workday-kenmerken zijn vijf land- en regiospecifieke kenmerken beschikbaar.

    Workday-kenmerk API XPATH-expressie
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Neem contact op met uw Workday-team om te bevestigen dat de API-expressies hierboven geldig zijn voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

  • Als u de juiste expressie voor het toewijzen van kenmerken wilt maken, stelt u vast welk Workday-kenmerk 'gezaghebbend' is voor de voornaam, achternaam, het land of de regio en de afdeling van de gebruiker. Stel dat de kenmerken respectievelijk PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter en SupervisoryOrganization zijn. U kunt deze informatie als volgt gebruiken om een expressie te maken voor het AD-kenmerk displayName om een weergavenaam zoals Smith, John (Marketing-US) te produceren.

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

    Nadat u de juiste expressie hebt, bewerkt u de tabel Kenmerktoewijzingen en wijzigt u de kenmerktoewijzing displayName , zoals hieronder wordt weergegeven: DisplayName Mapping

  • Als we het bovenstaande voorbeeld uitbreiden, bijvoorbeeld om plaatsnamen uit Workday om te zetten in drie hoofdletters en deze vervolgens te gebruiken om weergavenamen te genereren zoals Smith, John (CHI) of Doe, Jane (NYC), kan dit resultaat worden bereikt met behulp van een Switch-expressie met het Workday-kenmerk Municipality als de determinante variabele.

    Switch
(
  [Municipality],
  Join(", ", [PreferredLastName], [PreferredFirstName]),  
       "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
       "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
       "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
)

    Zie ook:

Hoe kan ik SelectUniqueValue gebruiken om unieke waarden te genereren voor het kenmerk samAccountName?

Stel dat u unieke waarden wilt genereren voor het kenmerk samAccountName aan de hand van een combinatie van de kenmerken FirstName en LastName uit Workday. Hieronder ziet u een expressie die u als uitgangspunt kunt nemen:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Hoe de bovenstaande expressie werkt: Als de gebruiker John Smith is, probeert deze eerst JSmith te genereren, als JSmith al bestaat, wordt JoSmith gegenereerd, als dat bestaat, wordt JohSmith gegenereerd. De expressie zorgt er ook voor dat de gegenereerde waarde voldoet aan de lengtebeperking en de beperking voor speciale tekens die zijn gekoppeld aan samAccountName.

Zie ook:

Hoe kan ik tekens met diakritische tekens verwijderen en deze converteren naar gewone tekens?

Gebruik de functie NormalizeDiacritics om speciale tekens te verwijderen uit de voor- en achternaam van de gebruiker bij het samenstellen van het e-mailadres of de CN-waarde voor de gebruiker.

Tips voor probleemoplossing

Deze sectie bevat specifieke richtlijnen voor het oplossen van inrichtingsproblemen met uw Workday-integratie met behulp van de Microsoft Entra-auditlogboeken en Windows Server-Logboeken-logboeken. Het bouwt voort op de algemene stappen en concepten die zijn vastgelegd in de zelfstudie: Rapportage over automatische inrichting van gebruikersaccounts

In deze sectie worden de volgende aspecten van het oplossen van problemen behandeld:

Inrichtingsagent configureren voor het verzenden van Logboeken

  1. Aanmelden bij de Windows-server waarop de inrichtingsagent is geïmplementeerd

  2. Stop de service Microsoft Entra Verbinding maken Provisioning Agent.

  3. Maak een kopie van het oorspronkelijke configuratiebestand: C:\Program Files\Microsoft Azure AD Verbinding maken Provisioning Agent\AAD Verbinding makenProvisioningAgent.exe.config.

  4. Vervang het bestaande gedeelte <system.diagnostics> door het volgende.

    • De listener-config etw verzendt berichten naar de Logboeken
    • De listener-config textWriterListener verzendt traceringsberichten naar het bestand ProvAgentTrace.log. Verwijder de opmerking bij de regels met betrekking tot textWriterListener alleen voor geavanceerde probleemoplossing.
      <system.diagnostics>
      <sources>
      <source name="AAD Connect Provisioning Agent">
          <listeners>
          <add name="console"/>
          <add name="etw"/>
          <!-- <add name="textWriterListener"/> -->
          </listeners>
      </source>
      </sources>
      <sharedListeners>
      <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
      <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
          <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
      </add>
      <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
      </sharedListeners>
  </system.diagnostics>

  5. Start de service Microsoft Entra Verbinding maken Provisioning Agent.

Windows Logboeken instellen voor het oplossen van problemen met agenten

  1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïmplementeerd.

  2. Open de bureaublad-app Windows Server Logboeken.

  3. Selecteer de Toepassing voor Windows-logboeken>.

  4. Gebruik de optie Huidig logboek filteren... om alle gebeurtenissen weer te geven die zijn geregistreerd onder de bron Microsoft Entra Verbinding maken Inrichtingsagent en gebeurtenissen uitsluiten met gebeurtenis-id '5', door het filter -5 op te geven, zoals hieronder wordt weergegeven.

    Notitie

    Gebeurtenis-id 5 legt bootstrap-berichten van agents vast aan de Microsoft Entra-cloudservice. Daarom filteren we deze tijdens het analyseren van de logboekbestanden.

    Windows Event Viewer

  5. Klik op OK en sorteer de resultaten op de kolom Datum en tijd.

Auditlogboeken in Azure Portal instellen voor het oplossen van problemen met services

  1. Start Azure Portalen ga naar het gedeelte Auditlogboeken van de toepassing voor het inrichten van Workday-gebruikers.

  2. Gebruik de knop Kolommen op de pagina Auditlogboeken om alleen de volgende kolommen op te nemen in de weergave (Datum, Activiteit, Status en Reden van de status). Deze configuratie zorgt ervoor dat u zich alleen kunt concentreren op gegevens die relevant zijn voor het oplossen van problemen.

    Audit log columns

  3. Gebruik de queryparameters Doel en Datumbereik om de weergave te filteren.

    • Stel de queryparameter Doel in op de werknemer-id ('Worker ID' of 'Employee ID') van het werknemersobject uit Workday.
    • Stel Datumbereik in op de periode die u wilt onderzoeken op fouten of problemen met de inrichting.

    Audit log filters

Informatie over logboeken over het maken van AD-gebruikersaccounts

Wanneer een nieuwe medewerker in Workday wordt gedetecteerd (bijvoorbeeld met werknemer-id 21023), probeert de Microsoft Entra-inrichtingsservice een nieuw AD-gebruikersaccount voor de werknemer te maken en worden in het proces vier auditlogboekrecords gemaakt, zoals hieronder wordt beschreven:

Audit log create ops

Wanneer u op een van de records in het auditlogboek klikt, wordt de pagina Activiteitdetails geopend. Voor elk type record in het logboek wordt het volgende weergegeven op de pagina Activiteitdetails.

  • Workday-importrecord : deze logboekrecord geeft de werkrolgegevens weer die zijn opgehaald uit Workday. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

  • AD-importrecord : deze logboekrecord geeft informatie weer van het account dat is opgehaald uit AD. Aangezien er bij het voor het eerst maken van de gebruiker nog geen AD-account bestaat, wordt er bij Reden van de status vermeldt dat er geen account met een overeenkomende id is gevonden in Active Directory. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
EventName : EntryImportObjectNotFound // Implies that object was not found in AD
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

    Als u logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-importbewerking, opent u de Logboeken van Windows Logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te zoeken die de kenmerkwaarde Overeenkomende id/Eigenschap koppelen bevatten (in dit geval 21023).

    Find

    Zoek de vermelding met Event ID = 9 om het LDAP-zoekfilter te zien dat door de agent wordt gebruikt om het AD-account op te halen. U kunt controleren of dit het juiste zoekfilter is om unieke gebruikersvermeldingen op te halen.

    LDAP Search

    De record direct daarna met Event ID = 2 bevat het resultaat van de zoekbewerking en of deze resultaten heeft opgeleverd.

    LDAP Results

  • Actierecord voor synchronisatieregels : deze logboekrecord bevat de resultaten van de kenmerktoewijzingsregels en geconfigureerde bereikfilters, samen met de inrichtingsactie die wordt uitgevoerd om de binnenkomende Workday-gebeurtenis te verwerken. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met de synchronisatie-actie. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
EventName : EntrySynchronizationAdd // Implies that the object will be added
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

    Als er problemen zijn met de expressies voor kenmerktoewijzing of met de binnenkomende Workday-gegevens (bijvoorbeeld een lege of null-waarde voor vereiste kenmerken), ziet u in deze fase een foutcode met details van de fout.

  • AD-exportrecord : Deze logboekrecord geeft het resultaat weer van de bewerking voor het maken van EEN AD-account, samen met de kenmerkwaarden die in het proces zijn ingesteld. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met de bewerking voor het maken van het account. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren. In de sectie Aanvullende details is 'EventName' ingesteld op 'EntryExportAdd', 'JoiningProperty' op de waarde van de overeenkomende id, 'SourceAnchor' is ingesteld op de WorkdayID (WID) die aan de record is gekoppeld en 'TargetAnchor' is ingesteld op de waarde van het AD-kenmerk ObjectGuid van de nieuwe gebruiker.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportAdd // Implies that object will be created
JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user

    Als u de logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-exportbewerking, opent u de Logboeken van Windows Logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te zoeken die de kenmerkwaarde Overeenkomende id/Eigenschap koppelen bevatten (in dit geval 21023).

    Zoek naar een HTTP POST-record die overeenkomt met de tijdstempel van de exportbewerking met gebeurtenis-id = 2. Deze record bevat de kenmerkwaarden die door de inrichtingsservice zijn verzonden naar de inrichtingsagent.

    Screenshot that shows the 'HTTP POST' record in the 'Provisioning Agent' log.

    Direct na de bovenstaande gebeurtenis moet een andere gebeurtenis staan, die de reactie bevat van de bewerking voor het maken van het AD-account. Deze gebeurtenis retourneert de nieuwe objectGuid die in AD is gemaakt en wordt ingesteld als het kenmerk TargetAnchor in de inrichtingsservice.

    Screenshot that shows the 'Provisioning Agent' log with the objectGuid created in AD highlighted.

Informatie over logboeken over het bijwerken van managers

Het kenmerk Manager is een verwijzingskenmerk in AD. Tijdens het maken van een gebruiker wordt het kenmerk Manager niet ingesteld door de inrichtingsservice. In plaats daarvan wordt het kenmerk Manager ingesteld als onderdeel van een bewerking update nadat het AD-account is gemaakt voor de gebruiker. Laten we het bovenstaande voorbeeld eens uitbreiden omdat er een nieuwe werknemer met de werknemer-id 21451 is geactiveerd in Workday. De manager van deze werknemer (21023) heeft al een AD-account. Als we in dit scenario de auditlogboeken doorzoeken op gebruiker 21451, zien we vijf vermeldingen.

Manager Update

De eerste vier records zijn vergelijkbaar met de records die we hebben besproken in de bewerking voor het maken van een gebruiker. De vijfde record is de export die is gekoppeld aan het bijwerken van het kenmerk Manager. De logboekrecord bevat het resultaat van de bewerking voor het bijwerken van het AD-account van de manager, die wordt uitgevoerd met behulp van het kenmerk objectGuid van de manager.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Veelvoorkomende fouten oplossen

In deze sectie besteden we aandacht aan fouten die vaak optreden bij het inrichten van gebruikers van Workday en hoe u die kunt oplossen. De fouten kunnen als volgt worden gegroepeerd:

Fouten met inrichtingsagent

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Fout bij het installeren van de inrichtingsagent met het foutbericht: Service 'Microsoft Entra Verbinding maken Provisioning Agent' (AAD Verbinding maken ProvisioningAgent) kan niet worden gestart. Controleer of u voldoende bevoegdheden hebt om het systeem te starten. Deze fout treedt meestal op als u probeert de inrichtingsagent te installeren op een domeincontroller en groepsbeleid voorkomt dat de service wordt gestart. De fout wordt ook weergegeven als er een eerdere versie van de agent wordt uitgevoerd en u deze niet hebt verwijderd voordat u een nieuwe installatie start. Installeer de inrichtingsagent op een computer die geen domeincontroller is. Zorg ervoor dat vorige versies van de agent zijn verwijderd voordat u de nieuwe agent installeert.
2. De Windows-service 'Microsoft Entra Verbinding maken Inrichtingsagent' heeft de beginstatus en schakelt niet over naar de status Actief. Als onderdeel van de installatie maakt de wizard Agent een lokaal account (NT Service\AAD Verbinding maken ProvisioningAgent) op de server. Dit is het aanmeldingsaccount dat wordt gebruikt voor het starten van de service. Als een beveiligingsbeleid op uw Windows-server niet toestaat dat lokale accounts de services uitvoeren, wordt deze fout weergegeven. Open de Services-console. Klik met de rechtermuisknop op de Windows-service 'Microsoft Entra Verbinding maken Provisioning Agent' en geef op het aanmeldingstabblad het account op van een domeinbeheerder om de service uit te voeren. Start de service opnieuw.
3. Tijdens het configureren van de inrichtingsagent met uw AD-domein, in de stap Verbinding maken met Active Directory, duurt het lang om het AD-schema te laden en treedt er uiteindelijk een time-out op. Deze fout komt meestal voor als de wizard geen contact kan maken met de controllerserver van het AD-domein door firewallproblemen. Wanneer u uw referenties voor uw AD-domein opgeeft, staat op het scherm Active Directory verbinden van de wizard de optie Prioriteit domeincontroller selecteren. Gebruik deze optie om een domeincontroller te selecteren die zich in dezelfde site als de server van de agent bevindt en zorg ervoor dat er geen firewallregels zijn die de communicatie blokkeren.

Connectiviteitsfouten

Als de inrichtingsservice geen verbinding kan maken met Workday of Active Directory, kan dit tot gevolg hebben dat het inrichtingsproces de status Quarantaine krijgt. Gebruik de onderstaande tabel om verbindingsproblemen op te lossen.

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Wanneer u op Test Verbinding maken ion klikt, wordt het foutbericht weergegeven: Er is een fout opgetreden bij het maken van verbinding met Active Directory. Zorg ervoor dat de on-premises inrichtingsagent wordt uitgevoerd en dat deze is geconfigureerd met het juiste Active Directory-domein. Deze fout wordt meestal weergegeven als de inrichtingsagent niet wordt uitgevoerd of als er een firewall is die de communicatie tussen Microsoft Entra ID en de inrichtingsagent blokkeert. Deze fout kan ook worden weergegeven als het domein niet is geconfigureerd in de wizard Agent. Open de console Services op de Windows-server om te controleren of de agent wordt uitgevoerd. Open de wizard voor de inrichtingsagent en controleer of het juiste domein wordt geregistreerd bij de agent.
2. De inrichtingstaak krijgt tijdens het weekend (vr-za) de status In quarantaine, en wanneer er een fout optreedt met de synchronisatie wordt er een e-mailmelding verzonden. Een veelvoorkomende oorzaak van deze fout is de geplande downtime voor Workday. Let op: Als u gebruikmaakt van een Workday-implementatietenant, wordt in het weekend downtime gepland voor de Workday-implementatietenants (meestal van vrijdagavond tot zaterdagochtend). Gedurende deze periode kan de Workday-app voor inrichting de status In quarantaine krijgen, omdat deze geen verbinding kan maken met Workday. De status wordt weer normaal zodra de Workday-implementatietenant weer online is. In zeldzame gevallen ziet u deze fout mogelijk ook als het wachtwoord van de integratiesysteemgebruiker is gewijzigd vanwege het vernieuwen van de tenant, of als het account is vergrendeld of de status Verlopen heeft. Neem contact op met de Workday-beheerder of integratiepartner voor informatie over de geplande downtime van Workday om de waarschuwingen tijdens deze periode te negeren en de beschikbaarheid te bevestigen zodra het Workday-exemplaar weer online is.

Fouten bij het maken van Azure AD-gebruikersaccount

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Mislukte exportbewerkingen in het auditlogboek met het bericht Fout: OperationsError-SvcErr: Er is een bewerkingsfout opgetreden. Er is geen superieure verwijzing geconfigureerd voor de adreslijstservice. De adreslijstservice kan daarom geen verwijzingen naar objecten buiten dit forest uitgeven. Deze fout treedt doorgaans op als de organisatie-eenheid van de Active Directory-container niet correct is ingesteld of als er problemen zijn met de gebruikte expressietoewijzing voor parentDistinguishedName. Controleer of de OU-parameter voor Active Directory-container geen typefouten bevat. Als u parentDistinguishedName gebruikt in de kenmerktoewijzing, zorg er dan voor dat het altijd resulteert in een bekende container binnen het AD-domein. Controleer Export event in het controlelogboek om de gegenereerde waarde te bekijken.
2. Mislukte exportbewerkingen in het auditlogboek met foutcode: SystemForCrossDomainIdentityManagementBadResponse en berichtFout : ConstraintViolation-AtrErr: een waarde in de aanvraag is ongeldig. Een waarde voor het kenmerk lag niet in het acceptabele bereik met waarden. \nFoutdetails: CONSTRAINT_ATT_TYPE - bedrijf. Hoewel deze fout specifiek is voor het kenmerk company, kan deze fout ook worden weergegeven voor andere kenmerken, zoals CN. Deze fout is het gevolg van een door AD afgedwongen schemabeperking. Standaard geldt voor kenmerken zoals company en CN in AD een maximum van 64 tekens. Als de waarde uit Workday langer is dan 64 tekens, wordt dit foutbericht weergegeven. Controleer de gebeurtenis Export in de auditlogboeken om de waarde te bekijken voor het kenmerk dat in het foutbericht wordt genoemd. U kunt de waarde die afkomstig is van Workday afkappen met behulp van de functie Mid of de toewijzingen wijzigen in een AD-kenmerk waarvoor geen lengtebeperkingen gelden.

Fouten bij het bijwerken van Azure AD-gebruikersaccount

Tijdens het bijwerken van AD-gebruikersaccounts haalt de inrichtingsservice gegevens op uit zowel Workday als AD, worden vervolgens de regels voor kenmerktoewijzing uitgevoerd en wordt ten slotte bepaald of er een wijziging moet worden doorgevoerd. Zo ja, wordt er een bijwerkgebeurtenis geactiveerd. Als tijdens een van deze stappen een fout optreedt, wordt deze vastgelegd in de auditlogboeken. Gebruik de onderstaande tabel om veelvoorkomende problemen met het bijwerken van accounts op te lossen.

# Foutscenario Mogelijke oorzaken Aanbevolen oplossing
1. Fouten met actie voor synchronisatieregel in het auditlogboek met het bericht EventName = EntrySynchronizationError en ErrorCode = EndpointUnavailable. Deze fout wordt weergegeven als de inrichtingsservice geen gebruikersprofielgegevens kan ophalen uit Active Directory vanwege een verwerkingsfout op de on-premises inrichtingsagent. Controleer de logboeken voor de inrichtingsagent op foutgebeurtenissen die duiden op problemen met de leesbewerking (filter op gebeurtenis-id 2).
2. Het kenmerk Manager in AD wordt niet bijgewerkt voor bepaalde gebruikers in AD. De meest waarschijnlijke oorzaak van deze fout is dat u bereikregels gebruikt en de manager van de gebruiker niet in het bereik valt. Dit probleem kan zich ook voordoen als de overeenkomende id van de manager (bijvoorbeeld EmployeeID) niet is gevonden in het doel-AD-domein of niet is ingesteld op de juiste waarde. Controleer het bereikfilter en voeg de manager van de gebruiker toe aan het bereik. Zorg ervoor dat het profiel van de manager in AD een waarde bevat voor de overeenkomende id.

Uw configuratie beheren

In deze sectie wordt beschreven hoe u een configuratie met door Workday aangestuurde gebruikersinrichting verder kunt uitbreiden, aanpassen en beheren. De volgende onderwerpen komen aan bod:

De lijst met gebruikerskenmerken van Workday aanpassen

De inrichtingsapps van Workday voor Active Directory en Microsoft Entra ID bevatten beide een standaardlijst met gebruikerskenmerken van Workday waaruit u kunt kiezen. Deze lijsten zijn echter niet volledig. Workday ondersteunt honderden mogelijke gebruikerskenmerken, die standaard of uniek kunnen zijn voor uw Workday-tenant.

De Microsoft Entra-inrichtingsservice ondersteunt de mogelijkheid om uw lijst- of Workday-kenmerk aan te passen zodat alle kenmerken worden opgenomen die beschikbaar zijn in de Get_Workers bewerking van de Human Resources-API.

Als u deze wijziging wilt uitvoeren, moet u Workday Studio gebruiken om de XPath-expressies te extraheren die de kenmerken vertegenwoordigen die u wilt gebruiken en deze vervolgens toe te voegen aan uw inrichtingsconfiguratie met behulp van de geavanceerde kenmerkeditor.

Een XPath-expressie ophalen voor een gebruikerskenmerk van Workday:

  1. Download en installeer Workday Studio. U hebt een account van de Workday Community nodig om toegang te krijgen tot het installatieprogramma.

  2. Download het WSDL-bestand Human_Resources van Workday dat specifiek is voor de WWS API-versie die u wilt gebruiken vanuit de Workday Web Services Directory

  3. Start Workday Studio.

  4. Selecteer in de opdrachtbalk de optie Workday > Test Web Service in Tester .

  5. Selecteer External en daarna het WSDL-bestand Human_Resources dat u hebt gedownload in stap 2.

    Screenshot that shows the

  6. Stel het veld Location in op https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, maar vervang "IMPL-CC" door het type instantie dat u gebruikt en "TENANT" door de echte naam van uw tenant.

  7. Stel Operation in op Get_Workers.

  8. Klik op de kleine link configure onder de deelvensters Request/Response om uw Workday-referenties in te stellen. Schakel Authentication in en voer vervolgens de gebruikersnaam en het wachtwoord in voor uw Workday-integratiesysteemaccount. Zorg ervoor dat u de gebruikersnaam opmaken als name@tenant en laat de optie WS-Security UsernameToken geselecteerd. Screenshot that shows the

  9. Selecteer OK.

  10. Plak in het deelvenster Request de onderstaande XML. Stel Employee_ID in op de werknemer-id van een echte gebruiker in uw Workday-tenant. Stel wd:version in voor de versie van WWS die u wilt gebruiken. Selecteer een gebruiker met het kenmerk dat u wilt ophalen.

    <?xml version="1.0" encoding="UTF-8"?>
<env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
  <env:Body>
    <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
      <wd:Request_References wd:Skip_Non_Existing_Instances="true">
        <wd:Worker_Reference>
          <wd:ID wd:type="Employee_ID">21008</wd:ID>
        </wd:Worker_Reference>
      </wd:Request_References>
      <wd:Response_Group>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
        <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
        <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
        <wd:Include_Organizations>true</wd:Include_Organizations>
        <wd:Include_Reference>true</wd:Include_Reference>
        <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
        <wd:Include_Photo>true</wd:Include_Photo>
        <wd:Include_User_Account>true</wd:Include_User_Account>
      <wd:Include_Roles>true</wd:Include_Roles>
      </wd:Response_Group>
    </wd:Get_Workers_Request>
  </env:Body>
</env:Envelope>

  11. Klik op Send Request (de groene pijl) om de opdracht uit te voeren. Als de opdracht lukt, wordt het antwoord weergegeven in het deelvenster Response. Controleer het antwoord om er zeker van te zijn dat het de gegevens bevat van de gebruikers-id die u hebt ingevoerd, en niet een fout.

  12. Als alles in orde is, kopieert u de XML uit het deelvenster Response en slaat u deze op als XML-bestand.

  13. Selecteer Bestand > openen in de opdrachtbalk van Workday Studio... en open het XML-bestand dat u hebt opgeslagen. Het bestand wordt nu geopend in de XML-editor van Workday Studio.

    Screenshot of an X M L file open in the

  14. Navigeer in de bestandsstructuur door /env: Envelop > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker om de gegevens van uw gebruiker te vinden.

  15. Zoek onder wd: Worker het kenmerk dat u wilt toevoegen en selecteer het.

  16. Kopieer de XPath-expressie voor het geselecteerde kenmerk in het veld Document Path.

  17. Verwijder het voorvoegsel /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ uit de gekopieerde expressie.

  18. Als het laatste item in de gekopieerde expressie een knooppunt is (bijvoorbeeld: '/wd: Birth_Date'), voegt u /text() toe aan het einde van de expressie. Dit is niet nodig als het laatste item een kenmerk is (bijvoorbeeld: '/@wd: type').

  19. Het resultaat moet er ongeveer uitzien als wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Dit is de waarde die u naar Azure Portal moet kopiëren.

Uw aangepaste Workday-gebruikerskenmerk toevoegen aan uw inrichtingsconfiguratie:

  1. Start Azure Portalen navigeer naar het gedeelte Inrichten van de inrichtingstoepassing voor Workday, zoals eerder in deze zelfstudie is beschreven.

  2. Stel Inrichtingsstatus in op Uiten selecteer Opslaan. Met deze stap zorgt u ervoor dat uw wijzigingen pas van kracht worden wanneer u klaar bent.

  3. Selecteer Onder Toewijzingen de optie Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra-id).

  4. Scrol naar de onderkant van het volgende scherm en selecteer Geavanceerde opties weergeven.

  5. Selecteer Kenmerkenlijst bewerken voor Workday.

    Screenshot that shows the

  6. Scrol naar de onderkant van de lijst met kenmerken waar de invoervelden zich bevinden.

  7. Geef bij Naam een weergavenaam op voor het kenmerk.

  8. Selecteer bij Type het type dat het beste overeenkomt met uw kenmerk (Tekenreeks is het meest gebruikelijke type).

  9. Geef bij API-expressie de XPath-expressie op die u hebt gekopieerd uit Workday Studio. Voorbeeld: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

  10. Selecteer Kenmerk toevoegen.

    Workday Studio

  11. Selecteer hierboven Opslaan en klik vervolgens op Ja in het dialoogvenster dat verschijnt. Sluit het scherm Kenmerktoewijzing als dit nog is geopend.

  12. Ga terug naar het hoofdtabblad Inrichten en selecteer Workday-werknemers opnieuw synchroniseren met on-premises Active Directory (of werkrollen synchroniseren met Microsoft Entra ID).

  13. Selecteer Nieuwe toewijzing toevoegen.

  14. Het nieuwe kenmerk moet nu in de lijst Bronkenmerk staan.

  15. Voeg desgewenst een toewijzing voor het nieuwe kenmerk toe.

  16. Als u klaar bent, moet u niet vergeten om Inrichtingsstatus weer op Aan in te stellen.

Uw configuratie exporteren en importeren

Raadpleeg voor meer informatie het artikel over het exporteren en importeren van de inrichtingsconfiguratie.

Persoonlijke gegevens beheren

De oplossing voor het inrichten van Workday-gebruikers in Active Directory vereist dat er een inrichtingsagent is geïnstalleerd op een on-premises Windows-server. Deze agent maakt logboeken in het Windows-gebeurtenislogboek die persoonlijke gegevens kunnen bevatten, afhankelijk van de kenmerktoewijzingen tussen Workday en AD. Om de privacyrechten van gebruikers na te leven, kunt u ervoor zorgen dat er niet langer dan 48 uur gegevens in de gebeurtenislogboeken worden bewaard door een geplande Windows-taak in te stellen waarmee het gebeurtenislogboek wordt gewist.

De Microsoft Entra-inrichtingsservice valt in de categorie gegevensverwerker van AVG-classificatie. Als een pijplijn voor het verwerken van gegevens, biedt de service voorzieningen voor gegevensverwerking aan belangrijke partners en eindgebruikers. Microsoft Entra-inrichtingsservice genereert geen gebruikersgegevens en heeft geen onafhankelijke controle over welke persoonsgegevens worden verzameld en hoe deze worden gebruikt. Het ophalen, samenvoegen, analyseren en rapporteren van gegevens in Microsoft Entra-inrichtingsservice is gebaseerd op bestaande bedrijfsgegevens.

Notitie

Voor informatie over het weergeven of verwijderen van persoonsgegevens, raadpleegt u de richtlijnen van Microsoft op de site Verzoek tot toegang tot persoonsgegevens met betrekking tot de AVG (Algemene Verordening Gegevensbescherming). Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.

Met betrekking tot het bewaren van gegevens genereert de Microsoft Entra-inrichtingsservice geen rapporten, voert analyses uit of biedt hij meer dan 30 dagen inzichten. Microsoft Entra-inrichtingsservice slaat daarom geen gegevens meer dan 30 dagen op, verwerkt of bewaart deze niet. Dit ontwerp voldoet aan de AVG-regelgeving, de privacynalevingsregels van Microsoft en het bewaarbeleid voor gegevens van Microsoft Entra.

Volgende stappen