Руководство по Настройка Workday для автоматической подготовки пользователей

Цель этого учебника — показать, как подготавливать профили работников из Workday в локальной службе Azure Active Directory (AD).

Примечание

Используйте этот учебник, если пользователям, которых требуется подготовить из Workday, требуется локальная учетная запись AD и учетная запись Azure AD.

Обзор

Для подготовки учетных записей пользователей служба подготовки пользователей Azure Active Directory интегрируется с API отдела кадров Workday. Рабочие процессы подготовки пользователей Workday, поддерживаемые службой подготовки пользователей Azure AD, позволяют автоматизировать следующие сценарии работы отдела кадров и управления жизненным циклом удостоверений.

  • Наем новых сотрудников. При добавлении нового сотрудника в Workday в Active Directory, Azure Active Directory и при необходимости в Microsoft 365, а также в других приложениях SaaS, поддерживаемых Azure AD автоматически создается учетная запись пользователя с обратной записью в Workday контактных данных, которыми управляет ИТ-служба.

  • Обновления атрибута и профиля сотрудника. При обновлении записи сотрудника в Workday (например, имени, должности или руководителя) его учетная запись пользователя будет автоматически обновлена в Active Directory, Azure Active Directory и при необходимости в Microsoft 365 и других приложениях SaaS, поддерживаемых Azure AD.

  • Увольнения сотрудников. При увольнении сотрудника в Workday его учетная запись пользователя будет автоматически отключена в Active Directory, Azure Active Directory и при необходимости в Microsoft 365 и других приложениях SaaS, поддерживаемых Azure AD.

  • Повторные наймы сотрудников. При повторном поступлении сотрудника на работу в Workday его старая учетная запись может быть автоматически активирована повторно или повторно подготовлена (в зависимости от вашего желания) в Active Directory, Azure Active Directory и при необходимости в Microsoft 365 и других приложениях SaaS, поддерживаемых Azure AD.

Новые возможности

В этом разделе записаны последние улучшения интеграции с Workday. Список комплексных обновлений, запланированных изменений и архивов см. на странице Новые возможности Azure Active Directory.

  • Октябрь 2020 года: для Workday реализована подготовка по требованию. Теперь, используя подготовку по требованию, вы можете полностью протестировать подготовку для определенного профиля пользователя в Workday, чтобы проверить логику выражений и сопоставления атрибутов.

  • Май 2020 г. Возможность обратной записи номеров телефона в Workday. Помимо адреса электронной почты и имени пользователя, теперь можно выполнить обратную запись номера рабочего и мобильного телефона из Azure AD в Workday. Дополнительные сведения см. в учебнике по приложению для обратной записи.

  • Апрель 2020 г. Поддержка последней версии API-интерфейса Workday Web Services (WWS). Дважды в год (в марте и сентябре) Workday выпускает обновления, предоставляющие множество новых возможностей, которые помогут вам достичь своих бизнес-целей с учетом изменения потребности в сотрудниках. Чтобы воспользоваться преимуществами этих новых возможностей, предоставляемыми Workday, вы теперь можете непосредственно указать версию API-интерфейса WWS, которую вы хотите использовать в URL-адресе подключения. Дополнительные сведения о том, как указать версию API-интерфейса Workday, см. в разделе о настройке подключения к Workday.

Кому это решение подготовки пользователей подходит лучше всего?

Это решение подготовки пользователей в Workday идеально подходит для:

  • организаций, которым необходимо готовое облачное решение для подготовки пользователей в Workday;

  • организаций, которым требуется прямая подготовка пользователей из Workday в Active Directory или Azure Active Directory;

  • организаций, которым требуется подготавливать пользователей с помощью данных, полученных из модуля HCM Workday (см. раздел об операции Get_Workers);

  • организаций, которым необходимо синхронизировать процессы присоединения, перемещения и удаления пользователей с одним или несколькими лесами Active Directory, доменами и подразделениями на основе только данных изменений, обнаруженных в модуле HCM Workday (см. раздел об операции Get_Workers);

  • организаций, использующих Microsoft 365 для электронной почты.

Архитектура решения

В этом разделе описывается архитектура полноценного решения для подготовки пользователей в распространенных гибридных средах. Имеется два связанных потока:

  • Полномочный поток данных отдела кадров Workday в локальную службу Active Directory. В этом потоке связанные с работниками события (например, наем, перевод и увольнение) сначала происходят в облачном клиенте отдела кадров Workday, а затем данные событий передаются в локальную службу Active Directory через Azure AD и агент подготовки. В зависимости от события, это может приводить к операциям создания, обновления, включения или отключения в AD.
  • Поток обратной записи — из Windows Server Active Directory в Workday. По завершении создания учетной записи в Active Directory она синхронизируется с Azure AD через Azure AD Connect, а такие сведения, как электронная почта, имя пользователя и номер телефона можно записать обратно в Workday.

Обзор

Полноценный поток данных пользователей

  1. Команда отдела кадров выполняет транзакции с работниками (присоединение, перемещение и удаление или найм, перевод и увольнение) в Workday HCM.
  2. Служба подготовки Azure AD выполняет плановую синхронизацию удостоверений из Workday HR и определяет изменения, которые требуется обработать для синхронизации с локальной службой Active Directory.
  3. Служба подготовки Azure AD вызывает локальный агент подготовки Azure AD Connect, включив операции создания, обновления, включения или отключения учетных записей AD в полезные данные запроса.
  4. Агент подготовки Azure AD Connect использует учетную запись службы для добавления или обновления данных учетной записи AD.
  5. Модуль Azure AD Connect/AD Sync выполняет разностную синхронизацию, чтобы получить обновления в AD.
  6. Обновления Active Directory синхронизируются с Azure Active Directory.
  7. Если приложение обратной записи Workday настроено, оно выполняет обратную запись таких атрибутов, как адрес электронной почты, имя пользователя и номер телефона, в Workday.

Планирование развертывания

Для настройки подготовки пользователей из Workday в Azure AD требуется основательное планирование, охватывающее различные аспекты, в числе которых:

  • настройка агента подготовки Azure AD Connect;
  • количество развертываемых приложений подготовки пользователей из Workday в AD;
  • правильный выбор сопоставляемого идентификатора, сопоставления атрибутов, преобразования и фильтров области действия.

Подробные инструкции см. в плане развертывания облачных служб управления персоналом.

Настройка пользователя системы интеграции в Workday

Общее требование всех соединителей подготовки Workday состоит в том, что для подключения к API отдела кадров Workday необходимы учетные данные для пользователя системы интеграции Workday. В следующих разделах описывается создание пользователя системы интеграции в Workday:

Примечание

Эту процедуру можно обойти и использовать учетную запись глобального администратора Workday в качестве учетной записи системной интеграции. Такой вариант подойдет для демонстраций, но не рекомендуется для рабочих развертываний.

Создание пользователя системы интеграции

Создание пользователя системы интеграции:

  1. Войдите в клиент Workday с помощью учетной записи администратора. В области Workday Application введите в поле поиска "create user", а затем щелкните ссылку Create Integration System User (Создать пользователя системы интеграции).

    Создание пользователя

  2. Завершите задачу Создание пользователя системы интеграции , указав имя пользователя и пароль для нового пользователя системы интеграции.

    • Не устанавливайте флажок Require New Password at Next Sign In (Запросить новый пароль при следующем входе), так как этот пользователь будет осуществлять вход в систему программными средствами.
    • Для параметра Session Timeout Minutes (Время ожидания сеанса в минутах) оставьте значение по умолчанию 0, что позволит сеансам пользователя не завершаться раньше времени.
    • Выберите параметр Do Not Allow UI Sessions (Не разрешать сеансы пользовательского интерфейса), так как он предоставляет пользователю пароль системы интеграции при входе в Workday.

    Создать пользователя системы интеграции

Создание группы безопасности интеграции

На этом этапе вы создадите неограниченную или ограниченную группу безопасности системы интеграции в Workday и назначите этой группе систему интеграции, созданную пользователем на предыдущем этапе.

Создание группы безопасности:

  1. Введите в поле поиска текст "создать группу безопасности", а затем щелкните Создать группу безопасности.

    Снимок экрана, на котором показано поле поиска с текстом "create security group" (создать группу безопасности) и надпись Create Security Group — Task (Создать группу безопасности — задача) в результатах поиска.

  2. Завершите задачу создания группы безопасности.

    • Есть два типа групп безопасности в Workday:

      • Без ограничений. Все участники группы безопасности могут получить доступ ко всем экземплярам данных, защищенным группой безопасности.
      • С ограничениями. Все участники группы безопасности имеют контекстный доступ к подмножеству экземпляров данных (строк), к которым группа безопасности может получить доступ.
    • Обратитесь к партнеру по интеграции Workday, чтобы выбрать подходящий тип группы безопасности для интеграции.

    • Зная тип группы, выберите Integration System Security Group (Unconstrained) (Группа безопасности системы интеграции без ограничений) или Integration System Security Group (Сonstrained) (Группа безопасности системы интеграции с ограничениями) в раскрывающемся списке Type of Tenanted Security Group (Тип клиентской группы безопасности).

      Изменить группу безопасности

Настройка разрешений политики безопасности домена

На этом этапе вы предоставите группе безопасности разрешения политики "безопасности домена" для данных рабочей роли.

Настройка разрешений политики безопасности домена:

  1. Введите в поле поиска членство в группе безопасности и доступ к ней и щелкните ссылку на отчет.

    Поиск по запросу "членство в группе безопасности"

  2. Найдите и выберите группу безопасности, созданную на предыдущем шаге.

    Выбор группы безопасности

  3. Щелкните многоточие (...) рядом с именем группы и выберите в меню пункт Security Group > Maintain Domain Permissions for Security Group (Группа безопасности > Сохранить разрешения домена для группы безопасности).

    Выберите пункт Maintain Domain Permissions for Security Group (Сохранить разрешения домена для группы безопасности)

  4. В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Put access (Политики безопасности домена, разрешающие доступ для запросов Put).

    • External Account Provisioning (Подготовка внешних учетных записей)
    • Worker Data: Public Worker Reports (Данные о работниках: общедоступные отчеты о работниках)
    • Person Data: Work Contact Information (Данные о сотрудниках: рабочие контактные данные) — требуется, если вы планируете выполнять обратную запись контактных данных из Azure AD в Workday;
    • Workday Accounts (Учетные записи Workday) — требуется, если вы планируете выполнять обратную запись имени пользователя или участника-пользователя из Azure AD в Workday.
  5. В разделе Integration Permissions (Разрешения интеграции) добавьте следующие домены в список Domain Security Policies permitting Get access (Политики безопасности домена, разрешающие доступ для запросов Get).

    • Worker Data: рабочие роли
    • Worker Data: All Positions (Данные о работниках: все должности)
    • Worker Data: Current Staffing Information (Данные о работниках: сведения о текущем персонале)
    • Worker Data: Business Title on Worker Profile (Данные о работниках: рабочая должность в профиле работника)
    • Worker Data: Qualified Workers (Данные о работниках: квалифицированные работники) — необязательный домен, который можно добавить, чтобы получить данные о квалификации работников для подготовки;
    • Worker Data: Skills and Experience (Данные о работниках: навыки и опыт) — необязательный домен, который можно добавить, чтобы получить данные о навыках работников для подготовки.
  6. После выполнения указанных выше действий появится экран с разрешениями, как показано ниже:

    Все разрешения безопасности для домена

  7. Чтобы завершить настройку, щелкните OK и Done (Готово) на следующем экране.

Настройка разрешений политики безопасности для бизнес-процессов

На этом этапе вы предоставите группе безопасности разрешения политики безопасности бизнес-процессов для данных рабочей роли.

Примечание

Этот шаг необходим только для настройки соединителя приложения Workday Writeback.

Настройка разрешений политики безопасности для бизнес-процессов:

  1. Введите Business Process Policy в поле поиска и выберите задачу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов).

    Снимок экрана, на котором показано поле поиска с текстом "Business Process Policy" (Политика бизнес-процессов) и выбран элемент Edit Business Process Security Policy Task (Изменение политики безопасности бизнес-процессов).

  2. В текстовом поле Тип бизнес-процесса выполните поиск по запросу Контакт, выберите бизнес-процесс Work Contact Change (Изменение рабочего контакта) и нажмите кнопку ОК.

    Снимок экрана, на котором показана страница Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов), на которой в меню Business Process Type (Тип бизнес-процесса) выбран пункт Work Contact Change (Изменение рабочего контакта).

  3. Прокрутите страницу Edit Business Process Security Policy (Изменение политики безопасности бизнес-процессов) до раздела Change Work Contact Information (Web Service) (Изменение рабочих контактных данных — веб-служба).

  4. Выберите новую группу безопасности системы интеграции и добавьте ее в список групп безопасности, которая может инициировать запрос к веб-службам.

    Политики безопасности бизнес-процессов

  5. Нажмите кнопку Готово.

Активация изменений политики безопасности

Активация изменений политики безопасности:

  1. Введите "активировать" в поле поиска и затем нажмите ссылку Активировать ожидающие изменения политики безопасности.

    Активировать

  2. Начните выполнять задачу активации ожидающих изменений политики безопасности: введите комментарий для проведения аудита и нажмите кнопку ОК.

  3. Завершите задачу на следующем экране, установив флажок Confirm (Подтверждаю) и нажав кнопку ОК.

    Активировать ожидающие изменения безопасности

Предварительные требования для установки агента подготовки

Прежде чем переходить к следующему разделу, изучите предварительные требования для установки агента подготовки.

Настройка подготовки пользователей из Workday в Active Directory

В этом разделе описаны шаги для подготовки учетных записей пользователей из Workday в каждом домене Active Directory в области интеграции.

Часть 1. Добавление приложения соединителя подготовки и скачивание агента подготовки

Настройка подготовки Workday в Active Directory.

  1. Перейдите к https://portal.azure.com.

  2. На портале Azure найдите и выберите Azure Active Directory.

  3. Щелкните Корпоративные приложения, а затем — Все приложения.

  4. Выберите Добавить приложение и выберите категорию Все.

  5. Выполните поиск по условию Подготовка пользователей Workday в Active Directory и добавьте это приложение из коллекции.

  6. После добавления приложения и отображения экрана сведений о приложении выберите Подготовка.

  7. Для параметра Режим подготовки к работе выберите значение Автоматически.

  8. Щелкните информационный баннер, чтобы скачать агент подготовки.

    Скачать агент

Часть 2. Установка и настройка локальных агентов подготовки

Чтобы подготовить локальную службу Active Directory, необходимо установить агент подготовки на присоединенном к домену сервере с сетевым доступом к нужным доменам Active Directory.

Перенесите скачанный установщик агента на узел сервера и следуйте инструкциям из раздела об установке агента, чтобы завершить настройку агента.

Часть 3. В приложении подготовки настройте подключения к Workday и Active Directory

На этом шаге мы устанавливаем подключение с Workday и Active Directory на портале Azure.

  1. На портале Azure вернитесь в приложение подготовки пользователей Active Directory в Workday, созданное в части 1.

  2. В разделе Учетные данные администратора заполните поля следующим образом.

    • Имя пользователя Workday — введите имя пользователя учетной записи системы интеграции Workday с указанием имени домена клиента. Это должно выглядеть примерно так: имя_пользователя@имя_клиента.

    • Пароль Workday — введите пароль учетной записи системы интеграции Workday.

    • URL-адрес API веб-служб Workday — введите URL-адрес конечной точки веб-служб Workday для вашего клиента. URL-адрес определяет версию API веб-служб Workday, используемую соединителем.

      Формат URL-адреса Используемая версия API WWS Требуются изменения XPATH
      https://####.workday.com/ccx/service/tenantName версия 21.1 Нет
      https://####.workday.com/ccx/service/tenantName/Human_Resources версия 21.1 Нет
      https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# версия ##.# Да

      Примечание

      Если в URL-адресе не указаны сведения о версии, приложение использует веб-службы Workday (WWS) версии 21.1 и не требуется вносить никаких изменений в выражения API XPATH по умолчанию, поставляемые с приложением. Чтобы использовать конкретную версию API WWS, укажите номер версии в URL-адресе.
      Например, https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0.

      Если вы используете API WWS версии 30.0 и более поздней, прежде чем включать задание подготовки, обновите выражения API XPATH в разделе Сопоставление атрибутов > Дополнительные параметры > Изменить список атрибутов для Workday в соответствии с разделами Управление конфигурацией и Описание атрибутов Workday.

    • Лес Active Directory — имя домена Active Directory, зарегистрированное в агенте. В раскрывающемся списке выберите целевой домен для подготовки. Как правило, это строка вида: contoso.com.

    • Контейнер Active Directory — выберите различающееся имя контейнера, в котором агент должен по умолчанию создавать учетные записи пользователей. Пример OU=Standard Users,OU=Users,DC=contoso,DC=test

      Примечание

      Этот параметр используется только при создании учетных записей, если в сопоставлениях атрибутов не настроен атрибут parentDistinguishedName. Этот параметр не используется для операций обновления и поиска пользователей. Областью действия операции поиска является все дочернее дерево домена.

    • Адрес электронной почты для уведомлений — введите адрес электронной почты и установите флажок "send email if failure occurs" (Отправлять по электронной почте в случае сбоя).

      Примечание

      Служба подготовки Azure AD отправляет уведомление по электронной почте, если задание подготовки переходит в состояние Карантин.

    • Нажмите кнопку Проверить подключение. Если проверка подключения выполнена успешно, нажмите кнопку Сохранить в верхней части. В случае неудачи убедитесь, что учетные данные Workday и AD, заданные в настройках агента, действительны.

      Снимок экрана, на котором показана страница "Подготовка" с введенными учетными данными.

    • После успешного сохранения учетных данных в разделе Сопоставления отобразится сопоставление по умолчанию Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory).

Часть 4. Настройка сопоставлений атрибутов

В этом разделе вы настроите потоки данных пользователя из Workday в Active Directory.

  1. На вкладке "Подготовка" в разделе Сопоставления щелкните Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory).

  2. В поле Область исходного объекта можно выбрать, какие наборы пользователей в Workday должны учитываться при подготовке в AD, определив набор фильтров на основе атрибутов. Область по умолчанию — "все пользователи в Workday". Примеры фильтров

    • Пример Охват пользователей с идентификаторами рабочих ролей в диапазоне от 1000000 до 2000000 (не включая 2000000)

      • Атрибут: WorkerID.

      • Оператор: REGEX MATCH.

      • Значение: (1[0–9][0–9][0–9][0–9][0–9][0–9]).

    • Пример Только сотрудники, а не временные работники.

      • Атрибут: EmployeeID

      • Оператор: IS NOT NULL.

    Совет

    При первой настройке приложения подготовки необходимо проверить сопоставления атрибутов и выражения, чтобы получить желаемый результат. Корпорация Майкрософт рекомендует использовать фильтры области действия в разделе Область исходного объекта и подготовку по требованию для проверки сопоставлений с несколькими тестовыми пользователями из Workday. После проверки работоспособности сопоставлений можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

    Внимание!

    Поведение по умолчанию обработчика подготовки заключается в том, чтобы отключить или удалить неподходящих пользователей. Это может быть нежелательно в случае интеграции Workday с AD. Сведения о том, как переопределить такое поведение по умолчанию, см. в статье Пропустить удаление учетных записей неподходящих пользователей.

  3. В поле Действия с целевыми объектами можно в глобальном масштабе отфильтровать, какие действия доступны для выполнения в Active Directory. Самыми распространенными являются создание и обновление.

  4. В разделе Сопоставление атрибутов можно определить, как отдельные атрибуты Workday сопоставляются с атрибутами Active Directory.

  5. Щелкните существующее сопоставление атрибута, чтобы его обновить, или Добавить новое сопоставление в нижней части экрана, чтобы добавить новые сопоставления. Отдельное сопоставление атрибутов поддерживает следующие свойства:

    • Тип сопоставления

      • Прямой — записывает значение атрибута Workday без изменений в атрибут AD.

      • Константа — записывает статическое постоянное строковое значение в атрибут AD.

      • Выражение — позволяет записывать пользовательское значение в атрибут AD на основании одного или нескольких атрибутов Workday. Дополнительные сведения см. в статье о выражениях.

    • Исходный атрибут — атрибут пользователя из Workday. Если нужный вам атрибут отсутствует, см. раздел Настройка списка атрибутов пользователя Workday.

    • Значение по умолчанию — необязательно. Если исходный атрибут имеет пустое значение, сопоставление запишет это значение. В наиболее распространенной конфигурации это поле остается пустым.

    • Целевой атрибут — атрибут пользователя в Active Directory.

    • Сопоставление объектов с помощью этого атрибута — должно ли это сопоставление использоваться для уникальной идентификации пользователей между Workday и Active Directory. Как правило, значение задается в поле ИД работника для Workday, который обычно сопоставляется с одним из атрибутов ИД сотрудника в Active Directory.

    • Приоритет сопоставления — возможность указания нескольких атрибутов сопоставления. При указании нескольких атрибутов сопоставления они вычисляются в порядке, заданном в этом поле. Как только соответствие найдено, дальнейшие атрибуты сопоставления не вычисляются.

    • Применить это сопоставление

      • Всегда — применить это сопоставление как при создании, так и при обновлении пользователей

      • Только при создании — применить это сопоставление только при создании пользователей

  6. Чтобы сохранить сопоставления, щелкните Сохранить в верхней части раздела "Сопоставление атрибутов".

    Снимок экрана, на котором показана страница "Сопоставление атрибутов" (Параметры) с выбранным действием "Сохранить".

Ниже приведено несколько примеров сопоставлений атрибутов между Workday и Active Directory с некоторыми общими выражениями.

  • Выражение, которое сопоставляется с атрибутом parentDistinguishedName, используется для подготовки пользователей для разных подразделений на основе одного или нескольких исходных атрибутов Workday. В этом примере пользователи помещаются в разные подразделения в зависимости от города, в котором они находятся.

  • Атрибут userPrincipalName в Active Directory создается с использованием функции дедупликации SelectUniqueValue, которая проверяет наличие созданного значения в целевом домене AD и задает его только в том случае, если оно уникально.

  • Документацию о написании выражений см. здесь. В этот раздел входят примеры, демонстрирующие удаление специальных символов.

АТРИБУТ WORKDAY АТРИБУТ ACTIVE DIRECTORY ИДЕНТИФИКАТОР СОПОСТАВЛЕНИЯ? СОЗДАНИЕ ИЛИ ОБНОВЛЕНИЕ
WorkerID EmployeeID Да Записывается только при создании
PreferredNameData cn Записывается только при создании
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com")) userPrincipalName Записывается только при создании
Replace(Mid(Replace(\[UserID\], , "(\[\\\\/\\\\\\\\\\\\\[\\\\\]\\\\:\\\\;\\\\\|\\\\=\\\\,\\\\+\\\\\*\\\\?\\\\<\\\\>\])", , "", , ), 1, 20), , "([\\\\.)\*\$](file:///\\.)*$)", , "", , ) sAMAccountName Записывается только при создании
Switch([Active], , "0", "True", "1", "False") accountDisabled Создание и обновление
FirstName givenName Создание и обновление
LastName sn Создание и обновление
PreferredNameData displayName Создание и обновление
Company company Создание и обновление
SupervisoryOrganization department Создание и обновление
ManagerReference manager Создание и обновление
BusinessTitle title Создание и обновление
AddressLineData streetAddress Создание и обновление
Municipality l Создание и обновление
CountryReferenceTwoLetter co Создание и обновление
CountryReferenceTwoLetter с Создание и обновление
CountryRegionReference st Создание и обновление
WorkSpaceReference physicalDeliveryOfficeName Создание и обновление
PostalCode postalCode Создание и обновление
PrimaryWorkTelephone TelephoneNumber Создание и обновление
Fax facsimileTelephoneNumber Создание и обновление
Mobile mobile Создание и обновление
LocalReference preferredLanguage Создание и обновление
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com") parentDistinguishedName Создание и обновление

Завершив настройку сопоставления атрибутов, можно протестировать подготовку по требованию для одного пользователя, а затем включить и запустить службу подготовки пользователей.

Включение и запуск подготовки пользователей

Завершив настройку приложения подготовки Workday и проверив подготовку по требованию для одного пользователя, можно включить службу подготовки на портале Azure.

Совет

По умолчанию при включении службы подготовки она инициализирует операции подготовки для всех пользователей в области. При наличии ошибок в сопоставлении или проблем с данными Workday задание подготовки может завершиться ошибкой и перейти в состояние карантина. Чтобы избежать этого, рекомендуем настроить фильтр Область исходного объекта и протестировать сопоставления атрибутов с несколькими тестовыми пользователями с помощью подготовки по требованию перед запуском полной синхронизации всех пользователей. После проверки работоспособности сопоставлений и получения желаемых результатов можно либо удалить фильтр, либо постепенно расширять его, добавляя больше пользователей.

  1. Перейдите в колонку Подготовка и щелкните Начать подготовку.

  2. Будет запущена начальная синхронизация, которая может длиться переменное число часов в зависимости от количества пользователей в клиенте Workday. Ход выполнения цикла синхронизации можно проверить на индикаторе выполнения для отслеживания.

  3. В любой момент можно проверить вкладку Журналы аудита на портале Azure, чтобы узнать, какие действия выполнила служба подготовки. В журналах аудита перечислены все отдельные события синхронизации, выполняемые службой подготовки, например, какие пользователи считываются из Workday и впоследствии будут добавлены или обновлены в Active Directory. Инструкции по просмотру журналов аудита и исправлению ошибок подготовки см. в разделе об устранении неполадок.

  4. После завершения первичной синхронизации на вкладке Подготовка будет создан сводный отчет аудита, как показано ниже.

    Индикатор выполнения подготовки

Вопросы и ответы

Вопросы о возможностях решения

Как решение устанавливает пароль для новой учетной записи пользователя в Active Directory при обработке найма нового сотрудника из Workday?

Когда локальный агент подготовки получает запрос на создание новой учетной записи AD, он автоматически создает сложный случайный пароль, соответствующий требованиям сложности, определенным сервером AD, и устанавливает его для объекта пользователя. Этот пароль нигде не регистрируется.

Поддерживает ли решение отправку уведомлений по электронной почте после завершения подготовки?

Нет, отправка уведомлений по электронной почте после завершения операций подготовки в текущем выпуске не поддерживается.

Решение кэширует профили пользователей Workday в облаке Azure AD или на уровне подготовки агента?

Нет, решение не поддерживает кэширование профилей пользователей. Служба подготовки Azure AD просто действует как обработчик данных, считывая данные из Workday и записывая их в целевую службу Active Directory или Azure AD. Дополнительные сведения о конфиденциальности пользователей и хранении данных см. в разделе Управление персональными данными.

Поддерживает ли решение назначение локальных групп AD пользователю?

Сейчас такая возможность не поддерживается. Рекомендуется развернуть сценарий PowerShell, запрашивающий конечную точку API Microsoft Graph для получения данных журнала аудита, и использовать его для запуска сценариев, таких как назначение групп. Этот сценарий PowerShell можно присоединить к планировщику задач и развернуть в том же окне, где запущен агент подготовки.

Какие API-интерфейсы Workday решение использует для запроса и обновления профилей работников Workday?

В настоящее время решение использует следующие API Workday:

  • В разделе Учетные данные администратора используется формат URL-адреса API WWS, который определяет версию API, используемую для Get_Workers.

    • Если URL-адрес имеет формат "https://####.workday.com/ccx/service/tenantName", то используется API версии 21.1.
    • Если URL-адрес имеет формат "https://####.workday.com/ccx/service/tenantName/Human_Resources", то используется API версии 21.1.
    • Если URL-адрес имеет формат "https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#", то используется указанная версия API. (Например, если указана версия 34.0, тогда используется она.)
  • Функция обратной записи электронной почты Workday использует Change_Work_Contact_Information (версии 30.0).

  • Функция обратной записи имени пользователя Workday использует Update_Workday_Account (версии 31.2).

Можно ли настроить клиент Workday HCM с двумя клиентами Azure AD?

Да, эта конфигурация поддерживается. Ниже приведены основные действия, необходимые для настройки такого сценария.

  • Разверните агент подготовки 1 и зарегистрируйте его в клиенте Azure AD 1.
  • Разверните агент подготовки 2 и зарегистрируйте его в клиенте Azure AD 2.
  • На основе "дочерних доменов", которыми будет управлять каждый агент подготовки, настройте домены для каждого агента. Один агент может обрабатывать несколько доменов.
  • На портале Azure настройте приложение для подготовки пользователей из Workday в AD в каждом клиенте и настройте для него соответствующие домены.

Мы очень ценим ваши отзывы, так как они помогают нам задать направление для будущих выпусков и улучшений. Мы приветствуем все отзывы и рекомендуем вам отправлять свои идеи или предложения по улучшению на форуме отзывов Azure AD. Чтобы просмотреть конкретные идеи, связанные с интеграцией Workday, выберите категорию Приложения SaaS и выполните поиск по ключевому слову Workday, чтобы найти существующие идеи и предложения по Workday.

Приложения UserVoice SaaS

UserVoice Workday

Когда предлагаете новую идею, проверьте, не предложил ли кто-то еще аналогичную функцию. В этом случае вы можете проголосовать за возможность или запрос на усовершенствование. Вы также можете оставить комментарий относительно вашего варианта использования, чтобы поддержать идею и продемонстрировать, чем эта функция будет ценна для вас.

Вопросы по работе агента подготовки

Какая версия агента подготовки является общедоступной?

Последняя общедоступная версия агента подготовки указана в статье Агент подготовки Azure AD Connect: журнал выпусков версий.

Как узнать версию моего агента подготовки?

  • Войдите на сервер Windows, где установлен агент подготовки.

  • Перейдите в меню Панель управления -> Uninstall or Change a Program (Удаление или изменение программ).

  • Найдите версию, соответствующую записи агента подготовки Microsoft Azure AD Connect.

    Портал Azure

Автоматически ли корпорация Майкрософт отправляет обновления агента подготовки?

Да, если средство обновления Microsoft Azure AD Connect службы Windows запущено и работает, корпорация Майкрософт обновляет агент подготовки автоматически.

Можно ли установить агент подготовки на том же сервере, на котором выполняется Azure AD Connect?

Да, агент подготовки можно установить на том же сервере, на котором выполняется Azure AD Connect.

Во время настройки агент подготовки запрашивает учетные данные администратора Azure AD. Агент хранит учетные данные локально на сервере?

Во время настройки агент подготовки запрашивает учетные данные администратора Azure AD только для подключения к клиенту Azure AD. Агент не хранит учетные данные локально на сервере. Однако он хранит учетные данные, используемые для подключения к локальному домену Active Directory, в локальном хранилище паролей Windows.

Как настроить агент подготовки для использования прокси-сервера исходящих HTTP-подключений?

Агент подготовки поддерживает использование исходящего прокси-сервера. Это можно настроить, изменив файл конфигурации агента C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Добавьте в него следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>. Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Как убедиться, что агент подготовки может взаимодействовать с клиентом Azure AD и никакие брандмауэры не блокируют порты, необходимые агенту?

Можно также проверить, открыты ли все необходимые порты.

Можно ли настроить один агент подготовки для подготовки нескольких доменов AD?

Да, один агент подготовки можно настроить для обработки нескольких доменов AD, если он может напрямую подключаться к соответствующим контроллерам домена. Корпорация Майкрософт рекомендует создать группу из 3 агентов подготовки, обслуживающих один и тот же набор доменов AD, чтобы обеспечить высокую доступность и поддержку при отработке отказа.

Как отменить регистрацию домена, связанного с агентом подготовки?

  • На портале Azure получите идентификатор клиента Azure AD.

  • Войдите на сервер Windows, где запущен агент подготовки.

  • Откройте PowerShell от имени администратора Windows.

  • Перейдите в каталог, содержащий сценарии регистрации, и выполните следующие команды, заменив параметр [tenant ID] значением вашего идентификатора клиента.

    cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\AppProxyPSModule.psd1"
    Get-PublishedResources -TenantId "[tenant ID]"
    
  • В появившемся списке агентов скопируйте значение поля id из ресурса, в котором resourceName соответствует вашему доменному имени AD.

  • Вставьте значение идентификатора в эту команду и выполните ее в PowerShell.

    Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
    
  • Повторно запустите мастер настройки агента.

  • Любые другие агенты, которые ранее были назначены этому домену, необходимо будет перенастроить.

Как удалить агент подготовки?

  • Войдите на сервер Windows, где установлен агент подготовки.
  • Перейдите в меню Панель управления -> Uninstall or Change a Program (Удаление или изменение программ).
  • Удалите следующие программы:
    • агент подготовки Microsoft Azure AD Connect;
    • Microsoft Azure AD Connect Agent Updater;
    • пакет агента подготовки Microsoft Azure AD Connect.

Вопросы по конфигурации и сопоставлению атрибутов Workday и AD

Как создать резервную копию или экспортировать рабочую копию сопоставления атрибутов подготовки Workday и схемы?

С помощью API Microsoft Graph можно экспортировать конфигурацию подготовки пользователей Workday. Дополнительные сведения см. в разделе Экспорт и импорт конфигурации.

У меня есть настраиваемые атрибуты в Workday и Active Directory. Как настроить решение для работы с настраиваемыми атрибутами?

Решение поддерживает настраиваемые атрибуты Workday и Active Directory. Чтобы добавить такие атрибуты в схему сопоставления, откройте колонку Сопоставление атрибутов и прокрутите вниз, чтобы развернуть раздел Показать дополнительные параметры.

Изменение списка атрибутов

Чтобы добавить настраиваемые атрибуты Workday, щелкните параметр Edit attribute list for Workday (Изменить список атрибутов для Workday), а чтобы добавить настраиваемые атрибуты AD — параметр Edit attribute list for On Premises Active Directory (Изменить список атрибутов для локальной службы Active Directory).

См. также

Как настроить решение так, чтобы обновлять только атрибуты в AD с учетом изменений Workday и не создавать новые учетные записи AD?

Это можно сделать, выбрав параметр Действия с целевыми объектами в колонке Сопоставления атрибутов, как показано ниже:

Операция обновления

Установите флажок "Обновить", чтобы принимать только операции обновления из Workday в AD.

Можно ли подготовить фотографию пользователя из Workday в Active Directory?

В настоящее время решение не поддерживает установку двоичных атрибутов, таких как thumbnailPhoto и jpegPhoto, в Active Directory.

  • Перейдите в колонку "Подготовка" в приложении подготовки Workday.

  • Щелкните "Сопоставления атрибутов".

  • В разделе Сопоставления выберите Synchronize Workday Workers to On Premises Active Directory (Синхронизировать сотрудников Workday с локальной средой Active Directory) или Synchronize Workday Workers to Azure AD (Синхронизировать сотрудников Workday с Azure AD).

  • На странице сопоставления атрибутов прокрутите экран вниз и установите флажок "Показать дополнительные параметры". Щелкните Edit attribute list for Workday (Изменить список атрибутов для Workday).

  • В открывшейся колонке найдите атрибут Mobile и щелкните строку, чтобы отредактировать Выражение API Mobile GDPR (GDPR для мобильных номеров).

  • Замените выражение API следующим новым выражением, которое извлекает номер рабочего мобильного телефона только в том случае, если для параметра публичного использования установлено значение True в Workday.

     wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
    
  • Сохраните список атрибутов.

  • Сохраните сопоставление атрибутов.

  • Очистите текущее состояние и перезапустите полную синхронизацию.

Как форматировать отображаемые имена в AD на основе атрибутов отдела, страны и города пользователя и обрабатывать региональные различия?

Часто требуется настроить атрибут displayName в AD так, чтобы в нем также предоставлялась информация о подразделении и стране пользователя. Например, если Иван Воронков работает в отделе маркетинга в США, можно настроить так, чтобы его значение displayName отображалось как Воронков, Иван (Маркетинг-Россия) .

Вот как можно обработать такие требования, чтобы создаваемые записи CN или displayName содержали такие атрибуты, как компания, подразделение, город или страна/регион.

  • Каждый атрибут Workday извлекается с помощью базового выражения XPath API, которое настраивается в меню Сопоставление атрибутов -> раздел Advanced (Дополнительно) -> Edit attribute list for Workday (Изменить список атрибутов для Workday) . Ниже приведено выражение XPath API по умолчанию для атрибутов Workday PreferredFirstName, PreferredLastName, Company и SupervisoryOrganization.

    Атрибут Workday Выражение XPath API
    PreferredFirstName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
    PreferredLastName wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
    Company wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
    SupervisoryOrganization wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

    Согласуйте с командой Workday, допустимо ли приведенное выше выражение API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.

  • Аналогичным образом информация о стране или регионе, присутствующая в Workday, извлекается с помощью следующего выражения XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference.

    В разделе списка атрибутов Workday доступны 5 атрибутов, связанных со страной или регионом.

    Атрибут Workday Выражение XPath API
    CountryReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
    CountryReferenceFriendly wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
    CountryReferenceNumeric wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
    CountryReferenceTwoLetter wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
    CountryRegionReference wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

    Согласуйте с командой Workday, допустимы ли приведенные выше выражения API для конфигурации клиента Workday. При необходимости эти выражения можно отредактировать, как описано в разделе Настройка списка атрибутов пользователя Workday.

  • Чтобы создать правильное выражение сопоставления атрибутов, определите, какой атрибут Workday "авторитетно" представляет имя, фамилию, страну или регион и отдел пользователя. Предположим, у нас есть атрибуты PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter и SupervisoryOrganization соответственно. Их можно использовать, чтобы создать приведенное ниже выражение для атрибута AD displayName и получить отображаемое имя, например Воронков, Иван (Маркетинг-Россия) .

     Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
    

    Как только у вас будет правильное выражение, отредактируйте таблицу сопоставлений атрибутов и измените сопоставление атрибута displayName, как показано ниже. Сопоставление атрибута DisplayName

  • Расширим приведенный выше пример. Допустим, вы хотите преобразовать названия городов из Workday в сокращенные значения, а затем использовать их, чтобы создать отображаемые имена, например Воронков, Иван (MOS) или Сазанова, Мария (SPT) . Это можно сделать с использованием выражения оператора switch с атрибутом Workday Municipality в качестве определяющей переменной.

    Switch
    (
     [Municipality],
     Join(", ", [PreferredLastName], [PreferredFirstName]),  
          "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
          "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
          "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
    )
    

    См. также

Как использовать SelectUniqueValue для создания уникальных значений атрибута samAccountName?

Предположим, вы хотите создать уникальные значения для атрибута samAccountName, используя комбинацию атрибутов FirstName и LastName из Workday. Ниже приведено выражение, с которого можно начать:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Приведенное выше выражение работает следующим образом: Если пользователем является Иван Воронков, выражение сначала пытается создать IVoronkov. Если IVoronkov уже существует, то оно создает IvVoronkov. Если и это значение уже существует, создается IvaVoronkov. Выражение также проверяет, чтобы созданное значение соответствовало ограничениям длины и специальных знаков, связанных с samAccountName.

См. также

Как удалить символы с диакритическими знаками и преобразовать их в обычный английский алфавит?

Используйте функцию NormalizeDiacritics, чтобы удалить специальные символы в имени и фамилии пользователя при создании адреса электронной почты или значения CN для пользователя.

Советы по устранению неполадок

В этом разделе приведены рекомендации по устранению неполадок подготовки, возникающих во время интеграции Workday, с помощью журналов аудита Azure AD и журналов средства просмотра событий Windows Server. Он основан на общих шагах по устранению неполадок и концепциях, описанных в статье Руководство по отчетам об автоматической подготовке учетных записей пользователей.

В этом разделе описываются следующие аспекты устранения неполадок:

Настройка агента подготовки для создания журналов компонента "Просмотр событий"

  1. Войдите на компьютер Windows Server, где развернут агент подготовки.

  2. Остановите службу агента подготовки Microsoft Azure AD Connect.

  3. Создайте копию файла исходной конфигурации: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

  4. Замените имеющийся раздел <system.diagnostics> указанным ниже.

    • Конфигурация прослушивателя etw отправляет сообщения в журналы EventViewer.
    • Конфигурация прослушивателя textWriterListener отправляет сообщения трассировки в файл ProvAgentTrace.log. Раскомментируйте только строки, относящиеся к textWriterListener, для расширенного устранения неполадок.
      <system.diagnostics>
          <sources>
          <source name="AAD Connect Provisioning Agent">
              <listeners>
              <add name="console"/>
              <add name="etw"/>
              <!-- <add name="textWriterListener"/> -->
              </listeners>
          </source>
          </sources>
          <sharedListeners>
          <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
          <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
              <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
          </add>
          <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
          </sharedListeners>
      </system.diagnostics>
    
    
  5. Запустите службу агента подготовки Microsoft Azure AD Connect.

Настройка средства просмотра событий Windows для устранения неполадок агента

  1. Войдите на компьютер Windows Server, где развернут агент подготовки.

  2. Откройте настольное приложение просмотра событий Windows Server.

  3. Выберите Журналы Windows > Приложение.

  4. Используйте параметр Фильтровать текущий журнал... , чтобы просмотреть все события, зарегистрированные в источнике Агент подготовки Azure AD Connect, и исключить события с идентификатором 5, указав фильтр "-5", как показано ниже.

    Примечание

    Событие с идентификатором 5 записывает сообщения начальной загрузки агента в облачную службу Azure AD, поэтому мы фильтруем его при анализе файлов журнала.

    Средство просмотра событий Windows

  5. Нажмите кнопку ОК и отсортируйте полученное представление по столбцу Дата и время.

Настройка журналов аудита на портале Azure для устранения неполадок службы

  1. Откройте портал Azure и перейдите к разделу Журналы аудита приложения подготовки Workday, как описано ранее в этом руководстве.

  2. Нажмите кнопку Столбцы на странице "Журналы аудита", чтобы отобразить в представлении только следующие столбцы ("Дата", "Действие", "Состояние", "Причина состояния"). Эта конфигурация гарантирует, что вы сосредоточитесь только на данных, которые имеют отношение к устранению неполадок.

    Столбцы журнала аудита

  3. Отфильтруйте представление, используя параметры запроса Целевой объект и Диапазон дат.

    • Задайте для параметра запроса Целевой объект значение "ИД работника" или "ИД сотрудника" объекта работника Workday.
    • Задайте для диапазона дат соответствующий период времени, за который необходимо проверить наличие ошибок или проблем с подготовкой.

    Фильтры журнала аудита

Общие сведения о журналах операций создания учетных записей пользователей AD

При обнаружении нового сотрудника в Workday (например, с идентификатором 21023) служба подготовки Azure AD пытается создать новую учетную запись пользователя AD для него и в процессе создает 4 записи журнала аудита, как описано ниже.

Операции создания журнала аудита

Если щелкнуть любую из записей журнала аудита, откроется страница Сведения о действии. Так будет выглядеть страница Сведения о действии для каждого типа записей журнала.

  • Запись импорта Workday: эта запись журнала отображает сведения о работнике, полученные из Workday. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

    ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
    
  • Запись импорта AD: эта запись журнала отображает информацию об учетной записи, извлеченной из AD. Так как при первоначальном создании пользователя учетная запись AD отсутствует, в столбцах причины, состояния и активности будет указано, что в Active Directory не найдена учетная запись с таким значением атрибута идентификатора сопоставления. Используйте информацию, приведенную в разделе Дополнительные сведения для записи журнала, чтобы устранить неполадки, связанные с извлечением данных из Workday. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

    ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
    EventName : EntryImportObjectNotFound // Implies that object was not found in AD
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    

    Чтобы найти записи журнала агента подготовки, соответствующие этой операции импорта AD, откройте журналы средства просмотра событий Windows и используйте параметр меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).

    Поиск

    Найдите запись с идентификатором события 9, которая предоставит вам фильтр поиска LDAP, используемый агентом для получения учетной записи AD. Вы можете проверить, является ли он подходящим фильтром поиска для получения уникальных записей пользователей.

    Поиск LDAP

    Запись, которая немедленно следует за ней (с идентификатором события 2), фиксирует результат операции поиска и возвращенные результаты.

    Результаты LDAP

  • Запись действия правила синхронизации: в этой записи журнала отображаются результаты правил сопоставления атрибутов и настроенные фильтры области действия, а также действия по подготовке, которые будут выполняться для обработки входящего события Workday. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с действием синхронизации. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле.

    ErrorCode : None // Use the error code captured here to troubleshoot sync issues
    EventName : EntrySynchronizationAdd // Implies that the object will be added
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    

    Если возникли проблемы с выражениями сопоставления атрибутов или со входящими данными Workday (например, пустое или нулевое значение для обязательных атрибутов), на этом этапе вы увидите сбой с кодом ошибки, содержащим сведения о ней.

  • Запись экспорта AD: в этой записи журнала отображается результат операции создания учетной записи AD, а также значения атрибутов, заданные в процессе. Используйте информацию, приведенную в разделе Дополнительные сведения записи журнала, чтобы устранить неполадки, связанные с операцией создания учетной записи. Ниже показан пример записи вместе с указателями того, как интерпретировать каждое поле. В разделе "Дополнительные сведения" для параметра EventName задано значение EntryExportAdd, для параметра JoiningProperty устанавливается значение атрибута идентификатора сопоставления, для параметра SourceAnchor — значение WorkdayID (WID), связанное с записью, а для параметра TargetAnchor — значение атрибута ObjectGuid AD созданного пользователя.

    ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
    EventName : EntryExportAdd // Implies that object will be created
    JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
    SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
    TargetAnchor : 83f0156c-3222-407e-939c-56677831d525 // set to the value of the AD "objectGuid" attribute of the new user
    

    Чтобы найти записи журнала агента подготовки, соответствующие этой операции экспорта AD, откройте журналы средства просмотра событий Windows и используйте параметр меню Найти... для поиска записей журнала, содержащих значение атрибута свойства или идентификатора сопоставления (в данном случае 21023).

    Найдите запись об HTTP-операции POST, соответствующую метке времени операции экспорта с идентификатором события 2. Эта запись будет содержать значения атрибутов, отправленные службой подготовки агенту подготовки.

    Снимок экрана, на котором показана запись &quot;HTTP POST&quot; в журнале агента подготовки.

    Сразу после указанного выше события должно быть другое событие, которое фиксирует ответ операции создания учетной записи AD. Это событие возвращает новый идентификатор objectGuid, созданный в AD, который задается как атрибут TargetAnchor в службе подготовки.

    Снимок экрана, на котором показан журнал агента подготовки с выделенным атрибутом objectGuid, созданным в Active Directory.

Общие сведения о журналах операций обновления руководителя

Атрибут руководителя является ссылочным атрибутом в AD. Служба подготовки не устанавливает атрибут руководителя как часть операции создания пользователя. Скорее, атрибут руководителя устанавливается как часть операции обновления после создания учетной записи AD для пользователя. Предположим, что новый сотрудник с идентификатором 21451 активирован в Workday, а у руководителя нового сотрудника (21023) уже есть учетная запись AD. В этом случае в результате поиска пользователя 21451 в журналах аудита отобразится 5 записей.

Обновление руководителя

Первые 4 записи похожи на те, которые мы рассматривали в рамках операции создания пользователя. 5-я запись — это экспорт, связанный с обновлением атрибута руководителя. В записи журнала отображается результат операции обновления руководителя учетной записи AD, которая выполняется с использованием атрибута objectGuid руководителя.

// Modified Properties
Name : manager
New Value : "83f0156c-3222-407e-939c-56677831d525" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object will be created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Устранение распространенных ошибок

В этом разделе рассматриваются распространенные ошибки при подготовке пользователей Workday и способы их устранения. Ошибки разделены на следующие группы:

Ошибки подготовки агента

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Ошибка установки агента подготовки с таким сообщением: Service 'Microsoft Azure AD Connect Provisioning Agent' (AADConnectProvisioningAgent) failed to start (Не удалось запустить службу агента подготовки Microsoft Azure AD Connect (AADConnectProvisioningAgent)). Verify that you have sufficient privileges to start the system (Проверьте наличие необходимых прав на запуск системы). Эта ошибка обычно появляется при попытке установить агент подготовки на контроллере домена, а групповая политика запрещает запуск службы. Она также отображается, если у вас работает предыдущая версия агента и вы не удалили ее перед началом новой установки. Установите агент подготовки на сервере, отличном от сервера контроллера домена. Перед установкой нового агента убедитесь, что предыдущие версии агента удалены.
2. Служба Windows "Агент подготовки Microsoft Azure AD Connect" находится в состоянии Запускается и не переходит в состояние Выполняется. В ходе установки мастер агента создает локальную учетную запись (NT Service\AADConnectProvisioningAgent) на сервере, и эта учетная запись для входа в систему используется для запуска службы. Эта ошибка возникнет, если политика безопасности на сервере Windows запрещает локальным учетным записям запускать службы. Откройте консоль служб. Щелкните правой кнопкой мыши службу Windows "Агент подготовки Microsoft Azure AD Connect" и на вкладке входа укажите учетную запись администратора домена, которая будет использоваться для запуска службы. Перезапустите службу.
3. При настройке агента подготовки с доменом AD на шаге подключения Active Directory мастер долго загружает схему AD, но в конечном итоге время ожидания истекает. Эта ошибка обычно отображается, если мастеру не удается связаться с сервером контроллера домена AD из-за проблем брандмауэра. На шаге подключения Active Directory в мастере при вводе учетных данных домена AD есть параметр Select domain controller priority (Выбрать приоритет контроллеров домена). Используя этот параметр, выберите контроллер домена, который находится на том же сайте, что и сервер агента, и убедитесь в отсутствии правил брандмауэра, блокирующих связь.

Ошибки подключения.

Если службе подготовки не удается подключиться к Workday или Active Directory, подготовка может перейти в состояние карантина. В следующей таблице приведены сведения по устранению неполадок с подключением.

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Если щелкнуть Проверить соединение, появляется сообщение об ошибке: Произошла ошибка при подключении к Active Directory. Убедитесь, что локальный агент подготовки запущен и настроен с помощью правильного домена Active Directory. Эта ошибка обычно отображается, если агент подготовки не запущен или брандмауэр блокирует подключение между Azure AD и агентом подготовки. Эта ошибка также может появиться, если домен не настроен в мастере агента. Откройте консоль Службы на сервере Windows, чтобы убедиться, что агент запущен. Откройте мастер агента подготовки и убедитесь, что нужный домен зарегистрирован в агенте.
2. Задание подготовки переходит в состояние карантина в выходные дни (пятница и суббота), и мы получаем уведомление по электронной почте о том, что произошла ошибка синхронизации. Одной из распространенных причин этой ошибки является запланированный простой Workday. Если вы используете клиент реализации Workday, обратите внимание, что Workday запланировал для своих клиентов реализации простой на выходные дни (обычно с вечера пятницы до утра субботы). В течение этого периода приложения подготовки Workday могут перейти в состояние карантина, так как не могут подключиться к Workday. Задание возвращается в нормальное состояние, как только клиент реализации Workday возвращается в сеть. В редких случаях эта ошибка может также появиться, если пароль пользователя системы интеграции был изменен из-за обновления клиента или если учетная запись заблокирована либо истек срок ее действия. Обратитесь к администратору Workday или партнеру по интеграции, чтобы узнать, когда Workday планирует время простоя, чтобы игнорировать предупреждения в период простоя и подтвердить доступность после подключения экземпляра Workday.

Ошибки создания учетной записи пользователя AD

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Сбой операции экспорта в журнале аудита с сообщением Ошибка. OperationsError-SvcErr: An operation error occurred (Произошла ошибка операции). No superior reference has been configured for the directory service (Для службы каталогов не была настроена ссылка верхнего уровня). The directory service is therefore unable to issue referrals to objects outside this forest (Поэтому служба каталогов не может выдавать ссылки на объекты за пределами этого леса). Эта ошибка обычно появляется, если подразделение контейнера Active Directory установлено неправильно или есть проблемы с сопоставлением выражений, используемым для parentDistinguishedName. Проверьте параметр подразделения контейнера Active Directory на наличие опечаток. Если вы используете атрибут parentDistinguishedName в сопоставлении атрибутов, убедитесь, что он всегда соответствует известному контейнеру в домене AD. Проверьте событие экспорта в журналах аудита, чтобы увидеть созданное значение.
2. Сбой операции экспорта в журнале аудита с кодом ошибки SystemForCrossDomainIdentityManagementBadResponse и сообщением Ошибка. ConstraintViolation-AtrErr: A value in the request is invalid (Неправильное значение в запросе). A value for the attribute was not in the acceptable range of values. (Значение атрибута не входило в допустимый диапазон значений). \nСведения об ошибке: CONSTRAINT_ATT_TYPE - company. Хотя эта ошибка относится только к атрибуту company, она может возникнуть и для других атрибутов, таких как CN. Эта ошибка появляется из-за принудительного ограничения схемы AD. По умолчанию такие атрибуты, как company и CN в AD, имеют верхний предел длины в 64 знака. Если длина значения из Workday превышает 64 знака, вы увидите это сообщение об ошибке. Проверьте событие экспорта в журналах аудита, чтобы увидеть значение атрибута, указанное в сообщении об ошибке. Попробуйте обрезать значение, полученное из Workday, с помощью функции Mid, или изменить сопоставления на атрибут AD, который не имеет аналогичных ограничений длины.

Ошибки обновления учетной записи пользователя AD

В процессе обновления учетной записи пользователя AD служба подготовки считывает информацию из Workday и AD, запускает правила сопоставления атрибутов и определяет, нужно ли применить какое-либо изменение. Соответственно инициируется событие обновления. Если на каком-либо из этих шагов происходит сбой, он регистрируется в журналах аудита. В следующей таблице приведены сведения по устранению распространенных ошибок обновления.

# Сценарий ошибки Возможные причины Рекомендуемое решение
1. Сбой действия правила синхронизации в журнале аудита с сообщением EventName = EntrySynchronizationError и ErrorCode = EndpointUnavailable. Эта ошибка отображается, если служба сопоставления не может получить данные профиля пользователя из Active Directory из-за ошибки обработки, обнаруженной локальным агентом подготовки. Проверьте журналы средства просмотра событий агента подготовки на наличие ошибок, которые указывают на проблемы с операцией чтения (отфильтруйте по идентификатору события 2).
2. Атрибут руководителя в AD не обновляется для определенных пользователей в AD. Наиболее вероятная причина этой ошибки — использование правил области действия, где настроена область, в которую руководитель пользователя не входит. Вы также можете столкнуться с этой проблемой, если атрибут идентификатора сопоставления руководителя (например, EmployeeID) не найден в целевом домене AD или имеет неверное значение. Просмотрите фильтр области действия и добавьте руководителя в нужную область. Проверьте профиль руководителя в AD, чтобы убедиться в наличии значения для атрибута идентификатора сопоставления.

Управление конфигурацией

В этом разделе описывается, как вы можете дополнительно расширять и настраивать вашу конфигурацию подготовки пользователей на основе Workday, а также управлять ею. В нем рассматриваются следующие темы:

Настройка списка атрибутов пользователя Workday

Подготовка приложений Workday для Active Directory и Azure AD включает стандартный список атрибутов пользователей Workday, которые вы можете выбирать. Но эти списки не являются исчерпывающими. Приложение Workday поддерживает сотни пользовательских атрибутов, которые могут быть стандартными или уникальными для клиента Workday.

Служба подготовки Azure AD позволяет настроить список или атрибут Workday, чтобы включить все атрибуты, отображаемые в операции Get_Workers, в API Human Resources.

Чтобы сделать это, в Workday Studio извлеките выражения XPath, представляющие атрибуты, которые вы хотите использовать. Затем добавьте их в конфигурацию подготовки с помощью расширенного редактора атрибутов на портале Azure.

Чтобы получить выражение XPath для атрибута пользователя Workday, сделайте следующее:

  1. Скачайте и установите Workday Studio. Вам потребуется учетная запись сообщества Workday для доступа к установщику.

  2. Загрузите WSDL-файл Workday Human_Resources, подходящий для версии API WWS, которую вы планируете использовать из каталога веб-служб Workday.

  3. Запустите Workday Studio.

  4. На панели команд выберите Workday > Test Web Service (Workday > Тестировать веб-службу) в параметре Tester (Тестер) .

  5. Щелкните External (Внешний) и выберите WSDL-файл Human_Resources, скачанный на шаге 2.

    Снимок экрана, на котором показан файл "Human_Resources", открытый в Workday Studio.

  6. Задайте для поля Location (Расположение) значение https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources. Замените значение IMPL-CC фактическим типом экземпляра и значение TENANT (Клиент) реальным именем клиента.

  7. Задайте для параметра Operation значение Get_Workers.

  8. Щелкните ссылку configure (Настроить) под областями Request/Response (Запрос/Ответ), чтобы задать учетные данные Workday. Установите флажок Authentication (Аутентификация), а затем введите имя пользователя и пароль учетной записи системы интеграции Workday. Убедитесь, что имя пользователя отформатировано как "имя@клиент", и оставьте флажок возле параметра WS-Security UsernameToken. Снимок экрана, на котором показана вкладка Security (Безопасность) с заполненными полями Username (Имя пользователя) и Password (Пароль), и выбран параметр WS-Security Username Token.

  9. Щелкните ОК.

  10. В области Запрос вставьте XML-код, указанный ниже. Задайте для параметра Employee_ID идентификатор сотрудника реального пользователя в клиенте Workday. Задайте для параметра wd:version версию WWS, которую вы планируете использовать. Выберите пользователя, у которого заполнен атрибут, который вы хотите извлечь.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    
  11. Нажмите кнопку Send Request (Отправить запрос) (с зеленой стрелкой), чтобы выполнить команду. Если команда выполнена успешно, ответ должен отображаться в области Response (Ответ). Убедитесь, что ответ содержит данные идентификатора пользователя, которые вы ввели, и не содержит ошибок.

  12. Если команда выполнена успешно, скопируйте XML-код из области Response (Ответ) и сохраните его как XML-файл.

  13. В командной строке Workday Studio последовательно выберите File (Файл) > Open File (Открыть файл) и откройте только что сохраненный XML-файл. После этого в редакторе XML Workday Studio откроется файл.

    Снимок экрана редактора XML Workday Studio с открытым в нем XML-файлом.

  14. В дереве файлов перейдите к файлу /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker, чтобы найти данные пользователя.

  15. В разделе wd: Worker найдите атрибут, который нужно добавить и выберите его.

  16. Скопируйте выражение XPath для выбранного атрибута из поля Document Path (Путь к документу).

  17. Удалите префикс /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ из скопированного выражения.

  18. Если последний элемент в скопированном выражении является узлом (например, "/wd: Birth_Date"), тогда добавьте /text() в конце выражения. Это можно не делать, если последний элемент является атрибутом (например, "/@wd: type").

  19. Результат должен выглядеть приблизительно так: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Это значение нужно скопировать на портал Azure.

Чтобы добавить настраиваемый атрибут пользователя Workday в конфигурацию подготовки, сделайте следующее:

  1. Откройте портал Azure и перейдите к разделу "Подготовка" приложения подготовки Workday, как описано ранее в этом руководстве.

  2. Задайте для параметра Состояние подготовки значение Выкл. и нажмите кнопку Сохранить. После этих действий внесенные вами изменения вступят в силу, только когда вы закончите процедуру.

  3. В разделе Сопоставления выберите Synchronize Workday Workers to On Premises Active Directory (Синхронизировать сотрудников Workday с локальной средой Active Directory) или Synchronize Workday Workers to Azure AD (Синхронизировать сотрудников Workday с Azure AD).

  4. Прокрутите вниз до следующего экрана и выберите Показать расширенные параметры.

  5. Выберите ссылку Изменить список атрибутов для Workday.

    Снимок экрана, на котором показана страница Workday to Azure AD User Provisioning — Provisioning (Подготовка пользователей Workday в Azure AD) с выделенным действием "Изменить список атрибутов для Workday".

  6. Прокрутите страницу вниз до списка атрибутов, где находятся поля для заполнения.

  7. В поле Имя введите отображаемое имя для атрибута.

  8. В поле Тип выберите тип, соответствующий атрибуту (чаще всего это строка).

  9. В поле Выражение API введите выражение XPath, скопированное из Workday Studio. Например, wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text().

  10. Нажмите кнопку Добавить атрибут.

    Workday Studio

  11. Нажмите кнопку Сохранить выше, а затем — Да в диалоговом окне. Закройте экран сопоставления атрибутов, если он еще открыт.

  12. Вернитесь на вкладку Подготовка и снова выберите Synchronize Workday Workers to On Premises Active Directory (Синхронизировать работников Workday с локальной средой Active Directory) или Synchronize Workers to Azure AD (Синхронизировать сотрудников с Azure AD).

  13. Выберите Добавить новое сопоставление.

  14. Новый атрибут должен появиться в Атрибут источника.

  15. В случае необходимости добавьте сопоставление для нового атрибута.

  16. В конце не забудьте задать для параметра Состояние подготовки значение Вкл. и сохранить это изменение.

Экспорт и импорт конфигурации

См. статью Экспорт и импорт конфигурации подготовки

Управление персональными данными

Для решения подготовки Workday для Active Directory требуется, чтобы агент подготовки был установлен на локальном сервере Windows. Этот агент создает журналы в журнале событий Windows, который может содержать персональные данные в зависимости от сопоставления атрибутов Workday и AD. Чтобы обеспечить соблюдение обязательств по обеспечению конфиденциальности пользователей, можно настроить так, чтобы никакие данные не хранились в журналах событий более 48 часов, создав запланированную задачу Windows для очистки журнала событий.

Служба подготовки Azure AD относится к категории обработчиков данных по классификации Общего регламента по защите данных. В качестве конвейера обработчика данных Azure AD Connect Health предоставляет службы обработки данных ключевым партнерам и пользователям. Служба подготовки Azure AD не создает пользовательские данные и не может независимо управлять сбором каких-либо персональных данных и их использованием. Получение данных, агрегация, анализ и отчетность в службе подготовки Azure AD основаны на имеющихся данных организации.

Примечание

Дополнительные сведения о просмотре и удалении персональных данных см. в руководстве Майкрософт на сайте Запросы субъектов данных, определенные в GDPR, в отношении Windows. Общие сведения о GDPR см. в разделе, посвященном GDPR, в Центре управления безопасностью Майкрософт и на портале Service Trust Portal.

Что касается хранения данных, служба подготовки Azure AD не создает отчеты, не выполняет аналитику и не предоставляет аналитику более чем за 30 дней. Таким образом, в службе подготовки Azure AD не хранятся и не обрабатываются данные за период более 30 дней. Такой подход является совместимым с нормами GDPR, требованиями соответствия нормативам корпорации Майкрософт о конфиденциальности и политике хранения данных Azure AD.

Дальнейшие действия