Konfigurieren von Workday für die automatische Benutzerbereitstellung mit Microsoft Entra-ID

Das Ziel dieses Artikels besteht darin, die Schritte anzuzeigen, die Sie ausführen müssen, um Arbeitsprofile von Workday in lokales Active Directory (AD) bereitzustellen.

Das folgende Video bietet einen kurzen Überblick über die Schritte, die bei der Planung der Bereitstellungsintegration mit Workday erforderlich sind.

Überblick

Der Microsoft Entra-Benutzerbereitstellungsdienst ist in die Workday Human Resources-API integriert, um Benutzerkonten bereitzustellen. Die vom Microsoft Entra-Benutzerbereitstellungsdienst unterstützten Workday-Workflows zur Benutzerbereitstellung ermöglichen die Automatisierung der folgenden Szenarien für das Personalwesen und Identity Lifecycle Management:

• Einstellung neuer Mitarbeiter – Wenn ein neuer Mitarbeiter zu Workday hinzugefügt wird, wird automatisch ein Benutzerkonto in Active Directory, Microsoft Entra ID und optional Microsoft 365 und anderen SaaS-Anwendungen erstellt, die von Microsoft Entra ID unterstützt werden, mit Rückschreiben von IT-verwalteten Kontaktinformationen an Workday.

• Mitarbeiterattribute und Profilaktualisierungen – Wenn ein Mitarbeiterdatensatz in Workday aktualisiert wird (z. B. name, Titel oder Vorgesetzter), wird sein Benutzerkonto automatisch in Active Directory, Microsoft Entra ID und optional Microsoft 365 und anderen SaaS-Anwendungen aktualisiert, die von Microsoft Entra ID unterstützt werden.

• Kündigungen von Mitarbeitern – Wenn ein Mitarbeiter in Workday beendet wird, wird sein Benutzerkonto automatisch in Active Directory, Microsoft Entra ID und optional Microsoft 365 und anderen SaaS-Anwendungen deaktiviert, die von Microsoft Entra ID unterstützt werden.

• Wiedereinstellungen von Mitarbeitern – Wenn ein Mitarbeiter in Workday neu eingestellt wird, kann sein altes Konto automatisch reaktiviert oder erneut bereitgestellt werden (je nach Ihren Vorlieben) in Active Directory, Microsoft Entra ID und optional in Microsoft 365 sowie anderen SaaS-Anwendungen, die von Microsoft Entra ID unterstützt werden.

Neuerungen

In diesem Abschnitt werden die neuesten Verbesserungen in Bezug auf die Workday-Integration beschrieben. Eine Liste der umfassenden Updates, geplanten Änderungen und Archive finden Sie unter What's new in Microsoft Entra ID?

• Okt 2020 – Aktivierte Bereitstellung bei Bedarf für Workday: Mithilfe der On-Demand-Bereitstellung können Sie jetzt die End-to-End-Bereitstellung für ein bestimmtes Benutzerprofil in Workday testen, um Ihre Attributzuordnung und Ausdruckslogik zu überprüfen.

• Mai 2020 – Möglichkeit zum Zurückschreiben von Telefonnummern in Workday: Zusätzlich zu E-Mail und Benutzername können Sie jetzt geschäftliche Telefonnummer und Mobiltelefonnummer von Microsoft Entra ID auf Workday zurückschreiben. Weitere Informationen finden Sie in der Writeback-App-Anleitung.

• April 2020 – Unterstützung für die neueste Version der Workday Web Services (WWS)-API: Zweimal im März und September bietet Workday funktionsreiche Updates, die Ihnen helfen, Ihre Geschäftsziele zu erfüllen und die Mitarbeiteranforderungen zu ändern. Damit Sie bei den neuen Features von Workday auf dem Laufenden bleiben, können Sie direkt die WWS-API-Version angeben, die Sie in der Verbindungs-URL nutzen möchten. Ausführliche Informationen zum Angeben der Workday-API-Version finden Sie im Abschnitt zum Konfigurieren der Workday-Konnektivität.

Für wen ist diese Benutzerbereitstellungslösung am besten geeignet?

Diese Workday-Benutzerbereitstellungslösung eignet sich ideal für:

• Organisationen, die eine vorgefertigte, cloudbasierte Lösung für die Workday-Benutzerbereitstellung verwenden möchten

• Organisationen, bei denen Benutzer direkt aus Workday in Active Directory oder Microsoft Entra ID bereitgestellt werden müssen

• Organisationen, die erfordern, dass Benutzer mithilfe von Daten bereitgestellt werden, die aus dem Workday HCM-Modul abgerufen werden (siehe Get_Workers)

• Organisationen, die es erfordern, dass eintretende, verschiebende und austretende Benutzer sich basierend auf einer ausschließlich im Workday-HCM-Modul erkannten Änderung mit einem oder mehreren Active Directory-Wäldern, Domänen und OUs synchronisieren (siehe Get_Workers).

• Organisationen, die Microsoft 365 für E-Mails verwenden

Lösungsarchitektur

In diesem Abschnitt wird die Lösungsarchitektur der End-to-End-Benutzerbereitstellung für häufige Hybridumgebungen beschrieben. Es gibt zwei zugehörige Flows:

• Autoritativer HR-Datenfluss – von Workday zu lokalem Active Directory: In diesem Fluss treten Arbeitsereignisse wie Neueinstellungen, Übertragungen, Kündigungen zuerst im Cloud Workday HR-Mandanten auf und dann fließen die Ereignisdaten über die Microsoft Entra-ID und den Bereitstellungs-Agent in das lokale Active Directory. Abhängig vom Ereignis kann dies dann in Active Directory zu Erstellungs-, Aktualisierungs-, Aktivierungs- oder Deaktivierungsvorgängen führen.
• Rückschreibfluss – von lokalem Active Directory zu Arbeitstag: Sobald die Kontoerstellung in Active Directory abgeschlossen ist, wird sie mit Microsoft Entra ID über Microsoft Entra Connect synchronisiert, und Informationen wie E-Mail, Benutzername und Telefonnummer können zurück in Workday geschrieben werden.

End-to-End-Benutzerdatenfluss

1. Das Team der Personalabteilung führt Mitarbeitertransaktionen (Einstellungen/Wechsel/Kündigungen) in Workday HCM aus.
2. Der Microsoft Entra-Bereitstellungsdienst führt geplante Synchronisierungen von Identitäten aus Workday HR aus und ermittelt Änderungen, die für eine Synchronisierung mit dem lokalen Active Directory verarbeitet werden müssen.
3. Der Microsoft Entra-Bereitstellungsdienst ruft den lokalen Microsoft Entra Connect-Bereitstellungs-Agent mit einer Anforderungsnutzlast auf, die die Erstellungs-, Aktualisierungs-, Aktivierungs- oder Deaktivierungsvorgänge für das AD-Konto enthält.
4. Die Microsoft Entra Connect-/AAD Sync-Engine führt eine Deltasynchronisierung aus, um Updates in Active Directory zu pullen.
5. Die Microsoft Entra Connect-/AAD Sync-Engine führt eine Deltasynchronisierung aus, um Updates in Active Directory zu pullen.
6. Die Active Directory-Updates werden mit Microsoft Entra ID synchronisiert.
7. Wenn die Workday Writeback-App konfiguriert ist, werden Attribute wie E-Mail, Benutzername und Telefonnummer in Workday zurückgeschrieben.

Planen der Bereitstellung

Für die Konfiguration der Benutzerbereitstellung von Workday zu Active Directory ist eine umfassende Planung erforderlich, bei der die folgenden unterschiedlichen Aspekte berücksichtigt werden:

• Einrichten des Microsoft Entra Connect-Bereitstellungs-Agents
• Anzahl von Apps, die für die Benutzerbereitstellung von Workday zu AD bereitgestellt werden müssen
• Richtige Auswahl von passendem Bezeichner, Attributzuordnung, Transformation und Bereichsfiltern

Im Cloud HR-Bereitstellungsplan finden Sie umfassende Richtlinien und empfohlene bewährte Methoden.

Konfigurieren eines Integrationssystembenutzers in Workday

Eine häufige Anforderung aller Workday-Bereitstellungsconnectors ist, dass sie die Anmeldeinformationen eines Workday-Integrationssystembenutzers benötigen, um sich mit der Workday Human Resources-API zu verbinden. In diesem Abschnitt wird das Erstellen eines Integrationssystembenutzers in Workday beschrieben. Hier finden Sie folgende Themen:

• Erstellen eines Integrationssystemsbenutzers
• Erstellen einer Integrationssicherheitsgruppe
• Konfigurieren von Domänensicherheitsrichtlinienberechtigungen
• Konfigurieren der Berechtigungen für Sicherheitsrichtlinien von Geschäftsprozessen
• Aktivieren von Sicherheitsrichtlinienänderungen

Erstellen eines Integrationssystembenutzers

So erstellen Sie einen Integrationssystembenutzer:

1. Melden Sie sich mithilfe eines Administratorkontos bei Ihrem Workday-Mandanten an. Geben Sie in der Workday-Anwendung "Benutzer erstellen" in das Suchfeld ein, und klicken Sie dann auf " Integrationssystembenutzer erstellen".

   

2. Führen Sie die Aufgabe "Integrationssystem-Benutzer erstellen " aus, indem Sie einen Benutzernamen und ein Kennwort für einen neuen Integrationssystembenutzer angeben.

   • Lassen Sie die Option " Neues Kennwort bei nächster Anmeldung anfordern " deaktiviert, da sich dieser Benutzer programmgesteuert anmeldet.
   • Belassen Sie die Sitzungstimeout-Minuten bei ihrem Standardwert von 0, damit die Sitzungen des Benutzers nicht vorzeitig ablaufen.
   • Wählen Sie die Option " Ui-Sitzungen nicht zulassen" aus, da sie eine zusätzliche Sicherheitsebene bietet, die verhindert, dass sich ein Benutzer mit dem Kennwort des Integrationssystems bei Workday anmeldet.

   

Erstellen einer Integrationssicherheitsgruppe

In diesem Schritt erstellen Sie eine uneingeschränkte oder eingeschränkte Sicherheitsgruppe für das Integrationssystem in Workday und ordnen den Integrationssystembenutzer, den Sie im vorherigen Schritt erstellt haben, dieser Gruppe zu.

So erstellen Sie eine Sicherheitsgruppe:

1. Geben Sie im Suchfeld "Sicherheitsgruppe erstellen" ein, und klicken Sie dann auf "Sicherheitsgruppe erstellen".

   

2. Führen Sie die Aufgabe "Sicherheitsgruppe erstellen" aus.

   • In Workday gibt es zwei Typen von Sicherheitsgruppen:

     • Ungezwungen: Alle Mitglieder der Sicherheitsgruppe können auf alle Dateninstanzen zugreifen, die durch die Sicherheitsgruppe gesichert sind.
     • Eingeschränkt: Alle Sicherheitsgruppenmitglieder haben kontextbezogenen Zugriff auf eine Teilmenge von Dateninstanzen (Zeilen), auf die die Sicherheitsgruppe zugreifen kann.

   • Bitte wenden Sie sich an Ihren Workday-Integrationspartner, um den geeigneten Sicherheitsgruppentyp für die Integration auszuwählen.

   • Sobald Sie den Gruppentyp kennen, wählen Sie in der Dropdown-Liste "Typ der mandantenbezogenen Sicherheitsgruppe" die Option Integrationssystem-Sicherheitsgruppe (Unbeschränkt) oder Integrationssystem-Sicherheitsgruppe (Eingeschränkt) aus.

     

3. Nach dem Erstellen der Sicherheitsgruppe wird eine Seite angezeigt, auf der Sie der Sicherheitsgruppe Mitglieder zuweisen können. Fügen Sie den im vorherigen Schritt erstellten neuen Benutzer des Integrationssystems zu dieser Sicherheitsgruppe hinzu. Wenn Sie eine eingeschränkte Sicherheitsgruppe verwenden, müssen Sie den entsprechenden Organisationsbereich auswählen.

   

Konfigurieren der Berechtigungen der Domänensicherheitsrichtlinie

In diesem Schritt erteilen Sie der Sicherheitsgruppe Berechtigungen der Domänensicherheitsrichtlinie für die Arbeitsdaten.

So konfigurieren Sie Domänensicherheitsrichtlinienberechtigungen:

1. Geben Sie die Sicherheitsgruppenmitgliedschaft und den Zugriff in das Suchfeld ein, und klicken Sie auf den Berichtlink.

   

2. Suchen Sie nach der Sicherheitsgruppe, die Sie im vorherigen Schritt erstellt haben, und wählen Sie sie aus.

   

3. Klicken Sie auf die Auslassungspunkte (...) neben dem Gruppennamen, und wählen Sie im Menü die Option "Sicherheitsgruppe > Verwalten von Domänenberechtigungen für Sicherheitsgruppe" aus.

   

4. Fügen Sie unter "Integrationsberechtigungen" die folgenden Domänen zur Liste " Domänensicherheitsrichtlinien" hinzu, die den Zugriff auf "Put" zulassen

   • Bereitstellung externer Benutzerkonten
   • Arbeitsdaten: Öffentliche Mitarbeiterberichte
   • Personendaten: Arbeitskontaktinformationen (erforderlich, wenn Sie kontaktdaten von Microsoft Entra ID in Workday zurückschreiben möchten)
   • Workday-Konten (erforderlich, wenn Sie planen, den Benutzernamen/UPN von Microsoft Entra ID in Workday zurückzuschreiben)

5. Fügen Sie unter "Integrationsberechtigungen" die folgenden Domänen zur Liste der Domänensicherheitsrichtlinien hinzu, die Zugriff gewähren

   • Arbeitsdaten: Mitarbeiter
   • Arbeitsdaten: Alle Positionen
   • Mitarbeiterdaten: Aktuelle Mitarbeiterinformationen
   • Mitarbeiterdaten: Berufsbezeichnung im Mitarbeiterprofil
   • Arbeitsdaten: Qualifizierte Mitarbeiter (Optional – Fügen Sie diese hinzu, um Arbeitsqualifizierungsdaten für die Bereitstellung abzurufen)
   • Arbeitsdaten: Fähigkeiten und Erfahrungen (Optional – Fügen Sie diese hinzu, um Arbeitskompetenzdaten für die Bereitstellung abzurufen)

6. Nachdem Sie die obigen Schritte ausgeführt haben, wird der Bildschirm mit den Berechtigungen wie folgt angezeigt:

   

7. Klicken Sie auf "OK" und " Fertig " auf dem nächsten Bildschirm, um die Konfiguration abzuschließen.

Konfigurieren von Sicherheitsrichtlinienberechtigungen für Geschäftsprozesse

In diesem Schritt gewähren Sie der Sicherheitsgruppe Berechtigungen der Sicherheitsrichtlinien für Geschäftsprozesse für die Mitarbeiterdaten.

So konfigurieren Sie die Berechtigungen der Sicherheitsrichtlinie für Geschäftsprozesse:

1. Geben Sie die Geschäftsprozessrichtlinie in das Suchfeld ein, und klicken Sie dann auf den Link " Geschäftsprozesssicherheitsrichtlinie bearbeiten ".

   

2. Suchen Sie im Textfeld " Geschäftsprozesstyp " nach "Kontakt ", und wählen Sie "Geschäftsprozess ändern " aus, und klicken Sie auf "OK".

   

3. Scrollen Sie auf der Seite " Geschäftsprozesssicherheitsrichtlinie bearbeiten " zum Abschnitt " Arbeitskontaktinformationen ändern" (Webdienst ).

4. Wählen Sie die neue Sicherheitsgruppe des Integrationssystems aus, und fügen Sie sie der Liste der Sicherheitsgruppen hinzu, die Anforderungen an Webdienste initiieren können.

   

5. Klicken Sie auf "Fertig".

Aktivieren von Sicherheitsrichtlinienänderungen

So aktivieren Sie Sicherheitsrichtlinienänderungen:

1. Geben Sie die Aktivierung in das Suchfeld ein, und klicken Sie dann auf den Link "Ausstehende Sicherheitsrichtlinienänderungen aktivieren".

   

2. Beginnen Sie mit der Aufgabe "Ausstehende Sicherheitsrichtlinienänderungen aktivieren", indem Sie einen Kommentar zu Überwachungszwecken eingeben und dann auf "OK" klicken.

3. Schließen Sie die Aufgabe auf dem nächsten Bildschirm ab, indem Sie das Kontrollkästchen "Bestätigen" aktivieren und dann auf "OK" klicken.

   

Voraussetzungen für die Installation des Bereitstellungs-Agents

Überprüfen Sie die Voraussetzungen für die Bereitstellungs-Agent-Installation , bevor Sie mit dem nächsten Abschnitt fortfahren.

Konfiguration der Benutzerbereitstellung aus Workday in Active Directory

Dieser Abschnitt enthält die Schritte zum Konfigurieren der Bereitstellung von Benutzerkonten aus Workday in jeder Active Directory-Domäne im Geltungsbereich Ihrer Integration.

• Fügen Sie die Bereitstellungsconnector-App hinzu und laden Sie den Bereitstellungs-Agent herunter
• Installieren und Konfigurieren der lokalen Bereitstellungs-Agent(en)
• Konfigurieren der Konnektivität mit Workday und Active Directory
• Konfigurieren von Attributzuordnungen
• Aktivieren und Starten der Benutzerbereitstellung

Teil 1: Hinzufügen der Bereitstellungsconnector-App und Herunterladen des Bereitstellungs-Agents

So konfigurieren Sie Workday für die Active Directory-Bereitstellung:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.

3. Suchen Sie nach Workday zur Active Directory-Benutzerbereitstellung, und fügen Sie diese App aus dem Katalog hinzu.

4. Nachdem die App hinzugefügt wurde und der Bildschirm mit den App-Details angezeigt wird, wählen Sie "Bereitstellung" aus.

5. Ändern Sie den Bereitstellungsmodus in "Automatisch".

6. Klicken Sie auf das angezeigte Informationsbanner, um den Bereitstellungs-Agent herunterzuladen.

   

Teil 2: Installieren und Konfigurieren der lokalen Bereitstellungs-Agents

Um Active Directory lokal bereitzustellen, muss der Bereitstellungs-Agent auf einem in die Domäne eingebundenen Server installiert werden, der über Netzwerkzugriff auf die gewünschten Active Directory-Domänen verfügt.

Übertragen Sie das heruntergeladene Agent-Installationsprogramm auf den Serverhost, und führen Sie die im Abschnitt "Agent installieren" aufgeführten Schritte aus, um die Agent-Konfiguration abzuschließen.

Teil 3: Konfigurieren der Konnektivität zwischen Workday und Active Directory in der Bereitstellungs-App

In diesem Schritt stellen Sie Konnektivität zwischen Workday und Active Directory her.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps> Workday zur Active Directory-Benutzerbereitstellungs-App, die in Teil 1 erstellt wurde.

3. Füllen Sie den Abschnitt " Administratoranmeldeinformationen " wie folgt aus:

   • Workday Username – Geben Sie den Benutzernamen des Workday-Integrationssystemkontos ein, wobei der Domänenname des Mandanten angefügt wurde. Es sollte etwa wie folgt aussehen: username@tenant_name

   • Kennwort für Arbeitstage – Geben Sie das Kennwort des Workday-Integrationssystemkontos ein.

   • Workday-Webdienst-API-URL – Geben Sie die URL zum Workday-Webdienstendpunkt für Ihren Mandanten ein. Die URL bestimmt die Version der Workday Web Services-API, die vom Connector verwendet wird.

     URL-Format	Verwendete WWS-API-Version	Erforderliche XPath-Änderungen
     https://####.workday.com/ccx/service/tenantName	v21.1	Nein
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Nein
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##. #	Ja

     Hinweis

     Wenn in der URL keine Versionsinformationen angegeben sind, wird Workday Web Services (WWS) v21.1 von der App genutzt, und es müssen keine Änderungen an den XPath-API-Standardausdrücken der App vorgenommen werden. Geben Sie die Versionsnummer in der URL an, wenn Sie eine bestimmte WWS-API-Version verwenden möchten.
     Beispiel: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Wenn Sie eine WWS-API v30.0+ verwenden, bevor Sie den Bereitstellungsauftrag aktivieren, aktualisieren Sie die XPATH-API-Ausdrücke unter Attributzuordnung –> Erweiterte Optionen –> Attributliste bearbeiten für Workday , die sich auf den Abschnitt "Verwalten Ihrer Konfiguration und Workday-Attributreferenz" bezieht.

   • Active Directory-Gesamtstruktur – Der "Name" Ihrer Active Directory-Domäne, wie sie beim Agent registriert ist. Wählen Sie über die Dropdownliste die Zieldomäne für die Bereitstellung aus. Dieser Wert ist in der Regel eine Zeichenfolge wie : contoso.com

   • Active Directory-Container – Geben Sie den Container-DN ein, in dem der Agent standardmäßig Benutzerkonten erstellen soll. Beispiel: OU=Standardbenutzer,OU=Benutzer,DC=contoso,DC=test

     Hinweis

     Diese Einstellung kommt nur bei der Erstellung von Benutzerkonten zum Einsatz, wenn das Attribut parentDistinguishedName nicht in den Attributzuordnungen konfiguriert ist. Diese Einstellung wird nicht für die Benutzersuche oder Updatevorgänge verwendet. Der Suchvorgang schließt die gesamte Domänenteilstruktur ein.

   • Benachrichtigungs-E-Mail – Geben Sie Ihre E-Mail-Adresse ein, und aktivieren Sie das Kontrollkästchen "E-Mail senden, wenn ein Fehler auftritt".

     Hinweis

     Der Microsoft Entra-Bereitstellungsdienst sendet E-Mail-Benachrichtigungen, wenn der Bereitstellungsauftrag in einen Quarantänezustand wechselt.

   • Klicken Sie auf die Schaltfläche " Verbindung testen" . Wenn der Verbindungstest erfolgreich ist, klicken Sie oben auf die Schaltfläche " Speichern ". Überprüfen Sie bei einem Fehler, ob die Workday-Anmeldeinformationen und die AD-Anmeldeinformationen, die beim Einrichten des Agents angegeben wurden, gültig sind.

   • Nachdem die Anmeldeinformationen erfolgreich gespeichert wurden, zeigt der Abschnitt "Zuordnungen" den Standardabgleich "Workday-Beschäftigte mit dem lokalen Active Directory synchronisieren" an.

Teil 4: Konfigurieren von Attributzuordnungen

In diesem Abschnitt konfigurieren Sie den Fluss von Benutzerdaten aus Workday in Active Directory.

1. Klicken Sie auf der Registerkarte "Bereitstellung" unter Zuordnungen auf Workday Workers mit lokalem Active Directory synchronisieren.

2. Im Feld " Quellobjektbereich " können Sie auswählen, welche Benutzergruppen in Workday im Bereich der Bereitstellung für AD stehen sollen, indem Sie einen Satz attributbasierter Filter definieren. Der Standardbereich ist „Alle Benutzer in Workday“. Beispielfilter:

   • Beispiel: Auswählen der Benutzer mit Worker-IDs von 1000000 bis 2000000 (außer 2000000)

     • Attribut: WorkerID

     • Operator: REGEX.VERGLEICH

     • Wert: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Beispiel: Nur Mitarbeiter und keine vorübergehend Beschäftigten

     • Attribut: EmployeeID

     • Operator: ist nicht NULL

   Tipp

   Wenn Sie die Bereitstellungs-App zum ersten Mal konfigurieren, müssen Sie die Attributzuordnungen und Ausdrücke testen und überprüfen, um sicherzustellen, dass Sie damit das gewünschte Ergebnis erzielen. Microsoft empfiehlt die Verwendung von Bereichsfiltern unter " Quellobjektbereich " und "On-Demand-Bereitstellung ", um Ihre Zuordnungen mit einigen Testbenutzern von Workday zu testen. Sobald Sie sich vergewissert haben, dass die Zuordnungen funktionieren, können Sie den Filter entweder entfernen oder schrittweise erweitern, um mehr Benutzer einzubinden.

   Achtung

   Beim Standardverhalten des Bereitstellungsmoduls werden Benutzer deaktiviert/gelöscht, die sich außerhalb des gültigen Bereichs befinden. Dies ist bei Ihrer Integration von Workday in AD möglicherweise nicht wünschenswert. Wenn Sie dieses Standardverhalten außer Kraft setzen möchten, lesen Sie den Artikel "Löschen von Benutzerkonten überspringen", die außerhalb des Gültigkeitsbereichs verlaufen.

3. Im Feld "Zielobjektaktionen " können Sie global filtern, welche Aktionen in Active Directory ausgeführt werden. Erstellen und Aktualisieren werden am häufigsten verwendet.

4. Im Abschnitt "Attributzuordnungen " können Sie definieren, wie einzelne Workday-Attribute Active Directory-Attributen zugeordnet werden.

5. Klicken Sie auf eine vorhandene Attributzuordnung, um sie zu aktualisieren, oder klicken Sie unten auf dem Bildschirm auf " Neue Zuordnung hinzufügen ", um neue Zuordnungen hinzuzufügen. Eine einzelne Attributzuordnung unterstützt die folgenden Eigenschaften:

   • Zuordnungstyp

     • Direct – Schreibt den Wert des Workday-Attributs in das AD-Attribut ohne Änderungen.

     • Konstant - Schreiben eines statischen, konstanten Zeichenfolgenwerts in das AD-Attribut

     • Ausdruck – Ermöglicht es Ihnen, einen benutzerdefinierten Wert in das AD-Attribut zu schreiben, basierend auf einem oder mehreren Workday-Attributen. Weitere Informationen finden Sie in diesem Artikel zu Ausdrücken.

   • Quellattribute – Das Benutzer-Attribut von Workday. Wenn das gesuchte Attribut nicht vorhanden ist, lesen Sie das Anpassen der Liste der Workday-Benutzerattribute.

   • Standardwert – Optional. Wenn das Quellattribut einen leeren Wert aufweist, wird von der Zuordnung stattdessen dieser Wert geschrieben. Die meisten Konfigurationen sehen vor, dieses Feld leer zu lassen.

   • Target-Attribut – Das Benutzer-Attribut in Active Directory.

   • Objekte mit diesem Attribut abgleichen – Ob dieser Abgleich verwendet werden soll, um Benutzer zwischen Workday und Active Directory eindeutig zu identifizieren. Dieser Wert wird meist auf das Feld „Worker-ID“ für Workday festgelegt, das in der Regel den „Mitarbeiter-ID“-Attributen in Active Directory zugeordnet wird.

   • Rangfolgenvergleich – Es können mehrere übereinstimmende Attribute festgelegt werden. Falls mehrere vorhanden sind, werden sie entsprechend der in diesem Feld festgelegten Reihenfolge ausgewertet. Sobald eine Übereinstimmung gefunden wird, werden keine weiteren Attribute für den Abgleich mehr ausgewertet.

   • Diese Zuordnung anwenden

     • Immer – Wenden Sie diese Zuordnung sowohl bei der Benutzererstellung als auch bei Aktualisierungsaktionen an.

     • Nur während der Erstellung – Diese Zuordnung nur auf Benutzererstellungsaktionen anwenden

6. Um Ihre Zuordnungen zu speichern, klicken Sie oben im Abschnitt Attribute-Mapping auf "Speichern ".

   

Nachstehend finden Sie einige Beispiele für Attributzuordnungen zwischen Workday und Active Directory sowie einige häufig verwendete Ausdrücke.

• Der Ausdruck, der dem parentDistinguishedName-Attribut entspricht, wird verwendet, um einen Benutzer basierend auf einem oder mehreren Workday-Quellattributen unterschiedlichen OUs zuzuweisen. In diesem Beispiel werden Benutzer und Benutzerinnen basierend auf dem Ort, an dem sie sich befinden, in verschiedenen Organisationseinheiten platziert.

• Das Attribut "userPrincipalName " in Active Directory wird mithilfe der Deduplizierungsfunktion SelectUniqueValue generiert, die das Vorhandensein eines generierten Werts in der Ad-Zieldomäne überprüft und nur dann festlegt, wenn es eindeutig ist.

• Hier finden Sie Dokumentation zum Schreiben von Ausdrücken. Dieser Abschnitt enthält auch Beispiele zum Entfernen von Sonderzeichen.

Nach Abschluss der Attributzuordnungskonfiguration können Sie die Bereitstellung für einen einzelnen Benutzer mithilfe der On-Demand-Bereitstellung testen und dann den Benutzerbereitstellungsdienst aktivieren und starten.

Aktivieren und Starten der Benutzerbereitstellung

Nachdem die Konfigurationen der Workday-Bereitstellungs-App abgeschlossen wurden und Sie die Bereitstellung für einen einzelnen Benutzer mit On-Demand-Bereitstellung überprüft haben, können Sie den Bereitstellungsdienst aktivieren.

1. Wechseln Sie zum Blatt "Bereitstellung" , und klicken Sie auf " Bereitstellung starten".

2. Dieser Vorgang startet die erste Synchronisierung, die abhängig von der Anzahl der Benutzer im Workday-Mandanten eine variable Anzahl von Stunden dauern kann. Sie können die Statusanzeige überprüfen, um den Fortschritt des Synchronisierungszyklus zu verfolgen.

3. Überprüfen Sie jederzeit die Registerkarte "Bereitstellung " im Microsoft Entra Admin Center, um zu sehen, welche Aktionen der Bereitstellungsdienst ausgeführt hat. Die Bereitstellungsprotokolle enthalten alle einzelnen Synchronisierungsereignisse des Bereitstellungsdiensts – beispielsweise, welche Benutzer in Workday gelesen und anschließend Active Directory hinzugefügt oder dort aktualisiert wurden. Im Abschnitt „Problembehandlung“ finden Sie Anweisungen, wie Sie die Bereitstellungsprotokolle überprüfen und Bereitstellungsfehler beheben können.

4. Sobald die erste Synchronisierung abgeschlossen ist, schreibt sie einen Zusammenfassenden Überwachungsbericht auf der Registerkarte "Bereitstellung ", wie unten dargestellt.

   

Häufig gestellte Fragen (FAQ)

• Fragen zur Lösungsfähigkeit

  • Wie legt die Lösung beim Verarbeiten eines neuen Mitarbeiters von Workday das Kennwort für das neue Benutzerkonto in Active Directory fest?
  • Unterstützt die Lösung das Senden von E-Mail-Benachrichtigungen nach Abschluss der Bereitstellungsvorgänge?
  • Zwischenspeichert die Lösung Workday-Benutzerprofile in der Microsoft Entra-Cloud oder auf der Ebene des Bereitstellungsagents?
  • Unterstützt die Lösung das Zuweisen lokaler AD-Gruppen für den Benutzer?
  • Welche Workday-APIs verwendet die Lösung zum Abfragen und Aktualisieren von Workday-Arbeitsprofilen?
  • Kann ich meinen Workday HCM-Mandanten mit zwei Microsoft Entra-Mandanten konfigurieren?
  • Wie kann ich Verbesserungen vorschlagen oder neue Features im Zusammenhang mit workday und Microsoft Entra-Integration anfordern?

• Fragen zum Bereitstellungsagent

  • Was ist die GA-Version des Bereitstellungs-Agents?
  • Wie kann ich die Version meines Bereitstellungs-Agents kennen?
  • Aktualisiert Microsoft automatisch die Updates des Bereitstellungsagenten?
  • Kann ich den Bereitstellungs-Agent auf demselben Server installieren, auf dem Microsoft Entra Connect ausgeführt wird?
  • Wie kann ich den Bereitstellungs-Agent für die Verwendung eines Proxyservers für ausgehende HTTP-Kommunikation konfigurieren?
  • Wie kann ich sicherstellen, dass der Bereitstellungs-Agent mit dem Microsoft Entra-Mandanten kommunizieren kann und keine Firewalls Ports blockieren, die vom Agent benötigt werden?
  • Wie deregistriere ich die Domäne, die meinem Bereitstellungs-Agent zugeordnet ist?
  • Wie deinstalliere ich den Bereitstellungs-Agent?

• Fragen zur Zuordnung und Konfiguration von Workday- zu AD-Attributen

  • Wie kann ich eine Arbeitskopie meiner Workday-Bereitstellungsattributzuordnung und meines Schemas sichern oder exportieren?
  • Ich habe benutzerdefinierte Attribute in Workday und Active Directory. Wie konfiguriere ich die Lösung, damit diese mit meinen benutzerdefinierten Attributen arbeitet?
  • Kann ich das Foto des Benutzers von Workday in Active Directory bereitstellen?
  • Wie kann ich Mobiltelefonnummern von Workday basierend auf der Zustimmung des Benutzers für die öffentliche Nutzung synchronisieren?
  • Wie formatiere ich Anzeigenamen in AD basierend auf den Attributen abteilung/Land/Ort des Benutzers und behandeln regionale Varianzen?
  • Wie kann ich SelectUniqueValue verwenden, um eindeutige Werte für das samAccountName-Attribut zu generieren?
  • Wie entferne ich Zeichen mit diakritischen Zeichen und konvertiere sie in normale englische Buchstaben?

Fragen zur Lösungsfunktion

Wie legt die Lösung bei der Bearbeitung einer Neueinstellung aus Workday das Kennwort für das neue Benutzerkonto in Active Directory fest?

Wenn der lokale Bereitstellungs-Agent eine Anforderung zur Erstellung eines neuen AD-Kontos erhält, generiert er automatisch ein komplexes Zufallskennwort, das den vom AD-Server definierten Anforderungen an die Komplexität des Kennworts entspricht, und legt dieses auf das Benutzerobjekt fest. Dieses Kennwort wird nirgendwo protokolliert.

Unterstützt die Lösung das Senden von E-Mail-Benachrichtigungen nach Abschluss des Bereitstellungsvorgangs?

Nein, das Senden von E-Mail-Benachrichtigungen nach Abschluss der Bereitstellungsvorgänge wird in der aktuellen Version nicht unterstützt.

Speichert die Lösung Workday-Benutzerprofile in der Microsoft Entra Cloud oder auf der Ebene des Bereitstellungs-Agents zwischen?

Nein, in der Lösung werden keine Benutzerprofile zwischengespeichert. Der Microsoft Entra-Bereitstellungsdienst fungiert einfach als Datenprozessor, liest Daten von Workday und schreibt in das Active Directory oder Microsoft Entra ID. Weitere Informationen zum Datenschutz und zur Datenaufbewahrung finden Sie im Abschnitt "Verwalten personenbezogener Daten ".

Unterstützt die Lösung die Zuweisung von lokalen AD-Gruppen an den Benutzer?

Diese Funktionalität wird derzeit nicht unterstützt. Empfohlene Problemumgehung besteht darin, ein PowerShell-Skript bereitzustellen, das den Microsoft Graph-API-Endpunkt zur Bereitstellung von Protokolldaten abfragt und diese zum Auslösen von Szenarien wie gruppenzuweisung verwendet. Dieses PowerShell-Skript kann an einen Taskplaner angefügt und auf demselben Computer mit dem Bereitstellungs-Agent bereitgestellt werden.

Welche Workday-APIs verwendet die Lösung, um Workday-Workerprofile abzufragen und zu aktualisieren?

Die Lösung verwendet derzeit die folgenden Workday-APIs:

• Das im Abschnitt "Administratoranmeldeinformationen" verwendete URL-Format der Workday-Webdienste bestimmt die für Get_Workers verwendete API-Version.

  • Beim URL-Format https://####.workday.com/ccx/service/tenantName wird die API v21.1 verwendet.
  • Beim URL-Format https://####.workday.com/ccx/service/tenantName/Human_Resources wird die API v21.1 verwendet.
  • Beim URL-Format https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# wird die angegebene API-Version verwendet. (Beispiel: Wenn v34.0 angegeben ist, wird diese Version verwendet.)

• Change_Work_Contact_Information (v30.0) für das Feature zum Rückschreiben von Workday-E-Mails

• Update_Workday_Account (v31.2) für das Feature zum Rückschreiben von Workday-Benutzernamen

Kann ich meinen Workday-HCM-Mandanten mit zwei Microsoft Entra-Mandanten konfigurieren?

Ja, diese Konfiguration wird unterstützt. Hier sind die allgemeinen Schritte zum Konfigurieren dieses Szenarios:

• Bereitstellen des Bereitstellungs-Agent 1, und registrieren in Microsoft Entra-Mandanten 1.
• Bereitstellen des Bereitstellungs-Agent 2, und registrieren in Microsoft Entra-Mandanten 2.
• Konfigurieren Sie die einzelnen Agents mit der/den Domäne(n) basierend auf den „untergeordneten Domänen“, die jeder Bereitstellungs-Agent verwalten wird. Ein Agent kann mehrere Domänen verarbeiten.
• Richten Sie im Microsoft Entra Admin Center den Workday für die AD-Benutzerbereitstellungs-App in jedem Mandanten ein und konfigurieren Sie sie mit den jeweiligen Domänen.

Wie kann ich Verbesserungen vorschlagen oder neue Funktionen im Zusammenhang mit der Workday- und Microsoft Entra-Integration anfordern?

Ihr Feedback ist uns sehr wichtig, da es uns hilft, die Weichen für die zukünftigen Releases und Verbesserungen zu stellen. Wir freuen uns über alle Rückmeldungen und ermutigen Sie, Ihre Idee oder Verbesserungsvorschläge im Feedbackforum von Microsoft Entra ID zu übermitteln. Um spezifisches Feedback im Zusammenhang mit der Workday-Integration zu erhalten, wählen Sie die Kategorie SaaS-Anwendungen aus, und suchen Sie mithilfe der Schlüsselwörter Workday nach vorhandenem Feedback im Zusammenhang mit dem Workday.

Wenn Sie eine neue Idee vorschlagen, überprüfen Sie bitte, ob eine ähnliche Funktion vorgeschlagen wurde. In diesem Fall können Sie die Funktion oder die Ergänzungsanforderung bewerten. Sie können auch einen Kommentar zu Ihrem spezifischen Anwendungsfall hinterlassen, um Ihre Unterstützung für die Idee zu zeigen und zu veranschaulichen, wie die Funktion auch für Sie wertvoll ist.

Fragen zum Bereitstellungs-Agent

Wie lautet die allgemein verfügbare Version des Bereitstellungs-Agents?

Weitere Informationen finden Sie unter Microsoft Entra Connect Provisioning Agent: Versionsversionsverlauf für die neueste GA-Version des Bereitstellungs-Agents.

Wie kann ich die Version meines Bereitstellungs-Agents ermitteln?

1. Melden Sie sich bei dem Windows Server an, auf dem der Bereitstellungs-Agent installiert ist.
2. Wechseln Sie zu Systemsteuerung>Programme deinstallieren oder ändern Menü.
3. Suchen Sie nach der Version, die dem Eintrag "Microsoft Entra Connect Provisioning Agent" entspricht.

Überträgt Microsoft automatisch Updates des Bereitstellungs-Agents per Push?

Ja, Microsoft aktualisiert den Bereitstellungs-Agent automatisch, wenn der Windows-Dienst Microsoft Entra Connect Agent Updater ausgeführt wird.

Kann ich den Bereitstellungs-Agent auf demselben Server installieren, auf dem Microsoft Entra Connect ausgeführt wird?

Ja, Sie können den Bereitstellungs-Agent auf demselben Server installieren, auf dem Microsoft Entra Connect ausgeführt wird.

Bei der Konfiguration fordert der Bereitstellungs-Agent die Microsoft Entra-Administratoranmeldeinformationen an. Speichert der Agent die Anmeldeinformationen lokal auf dem Server?

Bei der Konfiguration fordert der Bereitstellungs-Agent die Microsoft Entra-Administratoranmeldeinformationen nur an, um eine Verbindung zum Microsoft Entra-Mandanten herzustellen. Die Anmeldeinformationen werden nicht lokal auf dem Server gespeichert. Sie behält jedoch die Anmeldeinformationen bei, die zum Herstellen einer Verbindung mit der lokalen Active Directory-Domäne in einem lokalen Windows-Kennworttresor verwendet werden.

Wie konfiguriere ich den Bereitstellungs-Agent, damit dieser einen Proxyserver für die ausgehende HTTP-Kommunikation verwendet?

Der Agent-Bereitstellung unterstützt die Verwendung von Proxys für ausgehenden Datenverkehr. Sie können sie konfigurieren, indem Sie die Agent-Konfigurationsdatei C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.configbearbeiten. Fügen Sie die folgenden Zeilen am Ende der Datei direkt vor dem schließenden </configuration> Tag hinzu. Ersetzen Sie der Variablen [[proxy-server] ] und [proxy-port] durch den Namen Ihres Proxyservers und die Portwerte.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Wie stelle ich sicher, dass der Bereitstellungs-Agent mit dem Microsoft Entra-Mandanten kommunizieren kann, und dass keine Firewalls die vom Agenten benötigten Ports blockieren?

Sie können auch überprüfen, ob alle erforderlichen Ports geöffnet sind.

Kann ein Bereitstellungs-Agent für die Bereitstellung mehrerer AD-Domänen konfiguriert werden?

Ja, ein Bereitstellungs-Agent kann konfiguriert werden, um mehrere AD-Domänen zu verwalten, solange der Agent uneingeschränkten Zugriff auf den jeweiligen Domänencontrollern hat. Microsoft empfiehlt die Einrichtung einer Gruppe von 3 Bereitstellungs-Agents, die denselben Satz von AD-Domänen bedienen, um Hochverfügbarkeit und Failover-Support zu gewährleisten.

Wie hebe ich die Registrierung der meinem Bereitstellungs-Agent zugeordneten Domäne wieder auf?

*, rufen Sie die Mandanten-ID Ihres Microsoft Entra-Mandanten ab.

• Melden Sie sich bei dem Windows Server an, auf dem der Bereitstellungs-Agent ausgeführt wird.

• Öffnen Sie PowerShell als Windows-Administrator.

• Wechseln Sie in das Verzeichnis mit den Registrierungsskripten und führen Sie die folgenden Befehle aus, um den Parameter [tenant ID] durch den Wert Ihrer Mandanten-ID zu ersetzen.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• Kopieren Sie aus der Liste der angezeigten Agents den Wert des Felds aus dieser id Ressource, dessen resourceName ihrem AD-Domänennamen entspricht.

• Fügen Sie den ID-Wert in den folgenden Befehl ein, und führen sie ihn in PowerShell aus.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Führen Sie den Assistenten für die Agent-Konfiguration erneut aus.

• Alle anderen Agents, die zuvor dieser Domäne zugeordnet waren, müssen neu konfiguriert werden.

Wie deinstalliere ich den Bereitstellungs-Agent?

• Melden Sie sich bei dem Windows Server an, auf dem der Bereitstellungs-Agent installiert ist.
• Wechseln Sie zu Systemsteuerung>Deinstallieren oder Ändern eines Menüs "Programm "
• Deinstallieren Sie die folgenden Programme:
  • Microsoft Entra Connect-Bereitstellungs-Agent
  • Microsoft Entra Connect Agent Updater (Software zur Aktualisierung des Entra-Connect-Agents)
  • Paket für Microsoft Entra Connect-Bereitstellungs-Agent

Fragen zur Zuordnung und Konfiguration des „Workday to AD“-Attributs

Wie kann ich eine Arbeitskopie der Zuordnung und des Schemas meines Workday-Bereitstellungsattributs sichern und exportieren?

Sie können die Microsoft Graph-API verwenden, um Ihre Workday-Benutzerbereitstellungs-Konfiguration zu exportieren. Ausführliche Informationen finden Sie in den Schritten im Abschnitt "Exportieren und Importieren Ihrer Workday-Benutzerbereitstellungs-Attributzuordnungen".

Ich habe benutzerdefinierte Attribute in Workday und Active Directory. Wie konfiguriere ich die Lösung, damit diese mit meinen benutzerdefinierten Attributen arbeitet?

Die Lösung unterstützt benutzerdefinierte Workday- und Active Directory-Attribute. Um dem Zuordnungsschema Ihre benutzerdefinierten Attribute hinzuzufügen, öffnen Sie das Blatt " Attributzuordnung" , und scrollen Sie nach unten, um den Abschnitt " Erweiterte Optionen anzeigen" zu erweitern.

Um Ihre benutzerdefinierten Workday-Attribute hinzuzufügen, wählen Sie die Option "Attributliste bearbeiten" für Workday aus, und wählen Sie die Option " Attributliste bearbeiten" für lokales Active Directory aus, um Ihre benutzerdefinierten AD-Attribute hinzuzufügen.

Weitere Informationen:

• Anpassen der Liste der Workday-Benutzerattribute

Wie konfiguriere ich die Lösung so, dass sie nur Attribute im AD aktualisiert, die auf Änderungen an Workday basieren, und keine neuen AD-Konten erstellt?

Diese Konfiguration kann erreicht werden, indem Sie die Zielobjektaktionen im Blatt "Attributzuordnungen " wie unten gezeigt festlegen:

Aktivieren Sie das Kontrollkästchen „Update“, damit nur Aktualisierungsvorgänge von Workday zu AD durchgeführt werden.

Kann ich Benutzerfotos aus Workday für Active Directory bereitstellen?

Die Lösung unterstützt derzeit das Festlegen binärer Attribute wie thumbnailPhoto und jpegPhoto in Active Directory nicht.

Wie synchronisieren ich Mobilfunknummern aus Workday basierend auf der Benutzereinwilligung für die öffentliche Verwendung?

• Wechseln Sie zum Blatt „Bereitstellung“ Ihrer Workday-Bereitstellungs-App.

• Klicken Sie auf die Attributzuordnungen.

• ** Wählen Sie unter Zuordnungen die Option Synchronisieren von Workday Workers mit lokalem Active Directory (oder Synchronisieren von Workday Workers mit Microsoft Entra ID) aus.

• Scrollen Sie auf der Seite „Attributzuordnungen“ nach unten und aktivieren Sie das Kontrollkästchen „Erweiterte Optionen anzeigen“. Klicken Sie auf "Attributliste bearbeiten" für Workday

• Suchen Sie im daraufhin geöffneten Blatt das Attribut "Mobile" und klicken Sie auf die Zeile, damit Sie den API-Ausdruck bearbeiten können.

• Ersetzen Sie den API-Ausdruck durch den folgenden neuen Ausdruck, der die geschäftliche Mobiltelefonnummer nur abruft, wenn das "Public Usage Flag" in Workday auf "True" festgelegt ist.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Speichern Sie die Attributliste.

• Speichern Sie die Attributzuordnung.

• Löschen Sie den aktuellen Status, und starten Sie die vollständige Synchronisierung neu.

Wie formatiere ich Anzeigenamen in AD basierend auf den Attributen für Abteilung/Land/Stadt des Benutzers und wie gehe mit regionalen Abweichungen um?

Es ist eine häufige Anforderung zum Konfigurieren des displayName-Attributs in AD, sodass es auch Informationen zur Abteilung und Region des Benutzers bereitstellt. Wenn John Smith beispielsweise in der Marketingabteilung in den USA arbeitet, möchten Sie möglicherweise, dass sein displayName als Smith, John (Marketing-US) angezeigt wird.

Hier erfahren Sie, wie Sie diese Anforderungen zum Erstellen von CN oder displayName verarbeiten können, um Attribute wie Unternehmen, Geschäftseinheit, Ort oder Land/Region einzuschließen.

• Jedes Workday-Attribut wird mithilfe eines zugrunde liegenden XPATH-API-Ausdrucks abgerufen, der in der Attributzuordnung - Erweiterter Abschnitt ->> Attributliste bearbeiten für Workday konfigurierbar ist. Hier sehen Sie den standardmäßigen XPATH-API-Ausdruck für workday PreferredFirstName, PreferredLastName, Company and SupervisoryOrganization attributes.

  Workday-Attribut	API-XPATH-Ausdruck
  BevorzugterVorname	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  BevorzugterNachname	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Nachname/text()
  Firma	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  Aufsichtsorganisation	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Vergewissern Sie sich bei Ihrem Workday-Team, dass der obige API-Ausdruck für Ihre Workday-Mandantenkonfiguration gültig ist. Bei Bedarf können Sie sie wie im Abschnitt Anpassen der Liste der Workday-Benutzerattribute beschrieben bearbeiten.

• Ebenso werden die in Workday vorhandenen Länder-/Regionsinformationen mithilfe des folgenden XPATHs abgerufen: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  Es gibt 5 länder-/regionsbezogene Attribute, die im Abschnitt „Workday-Attributliste“ verfügbar sind.

  Workday-Attribut	API-XPATH-Ausdruck
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  Länderreferenzfreundlich	wd:Arbeiter/wd:Arbeiterdaten/wd:Beschäftigungsdaten/wd:Positionsdaten/wd:Geschäftsstelle_Zusammenfassungsdaten/wd:Adressdaten/wd:Land_Referenz/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  LänderreferenzZweibuchstaben	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Vergewissern Sie sich bei Ihrem Workday-Team, dass die obigen API-Ausdrücke für Ihre Workday-Mandantenkonfiguration gültig ist. Bei Bedarf können Sie sie wie im Abschnitt Anpassen der Liste der Workday-Benutzerattribute beschrieben bearbeiten.

• Um den richtigen Attributzuordnungsausdruck zu erstellen, identifizieren Sie, welches Workday-Attribut „autoritativ“ den Vornamen, den Nachnamen, das Land bzw. die Region und die Abteilung des Benutzers darstellt. Angenommen, die Attribute sind PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter bzw. SupervisoryOrganization . Sie können diesen verwenden, um einen Ausdruck für das AD displayName-Attribut wie folgt zu erstellen, um einen Anzeigenamen wie Smith, John (Marketing-US) abzurufen.

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  Nachdem Sie über den richtigen Ausdruck verfügen, bearbeiten Sie die Tabelle "Attributzuordnungen", und ändern Sie die DisplayName-Attributzuordnung wie unten dargestellt:

• Wenn Sie das obige Beispiel erweitern, sagen wir, Sie möchten Stadtnamen aus Workday in Kurzformwerte konvertieren und dann verwenden, um Anzeigenamen wie Smith, John (CHI) oder Doe, Jane (NYC) zu erstellen, dann kann dieses Ergebnis mithilfe eines Switch-Ausdrucks mit dem Attribut "Workday Municipality " als Determinante-Variable erreicht werden.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  Weitere Informationen:

  • Syntax der Switch-Funktion
  • Syntax der Join-Funktion
  • Syntax der Append-Funktion

Wie kann ich mit „SelectUniqueValue eindeutige Werte für das Attribut „samAccountName“ generieren?

Angenommen, Sie möchten eindeutige Werte für das samAccountName-Attribut mithilfe einer Kombination aus FirstName- und LastName-Attributen von Workday generieren. Nachfolgend finden Sie einen Ausdruck, mit dem Sie starten können:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

So funktioniert der obige Ausdruck: Wenn der Benutzer John Smith ist, wird zuerst versucht „JSmith“ zu erstellen. Ist dieser Ausdruck bereits vorhanden, wird „JoSmith“ generiert. Ist dieser schon vorhanden, wird „JohSmith“ generiert. Der Ausdruck stellt außerdem sicher, dass der generierte Wert die Längeneinschränkung und sonderzeicheneinschränkung erfüllt, die samAccountName zugeordnet ist.

Weitere Informationen:

• Syntax der Mid-Funktion
• Funktionssyntax ersetzen
• Syntax der Funktion SelectUniqueValue

Wie entferne ich Zeichen mit diakritischen Zeichen und konvertiere sie in normale englische Schriftzeichen?

Verwenden Sie die Funktion NormalizeDiacritics , um Sonderzeichen im Vornamen und Nachnamen des Benutzers zu entfernen, während sie die E-Mail-Adresse oder den CN-Wert für den Benutzer erstellen.

Tipps zur Problembehandlung

Dieser Abschnitt enthält spezielle Hinweise zur Behebung von Bereitstellungsproblemen mit Ihrer Workday-Integration mithilfe der Protokolle „Microsoft Entra-Bereitstellungsprotokolle“ und „Protokolle für die Windows Server-Ereignisanzeige“. Sie baut auf den allgemeinen Schritten und Konzepten zur Problembehandlung auf, die im Lernprogramm erfasst werden: Berichterstellung über die automatische Bereitstellung von Benutzerkonten

Dieser Abschnitt enthält die folgenden Aspekte bezüglich der Problembehandlung:

• Konfigurieren des Bereitstellungs-Agents zum Ausgeben von Ereignisanzeigeprotokollen
• Einrichten der Windows-Ereignisanzeige für die Agent-Problembehandlung
• Einrichten von Bereitstellungsprotokollen für das Microsoft Entra Verwaltungscenter zur Fehlerbehebung von Diensten
• Verständnis der Protokolle für Erstellungsvorgänge von AD-Benutzerkonten
• Grundlegendes zu Protokollen für Manager-Updatevorgänge
• Beheben häufig auftretender Fehler

Konfigurieren des Bereitstellungs-Agents zum Ausgeben von Protokollen der Ereignisanzeige

1. Melden Sie sich beim Windows Server-Computer an, auf dem der Bereitstellungs-Agent bereitgestellt wurde.

2. Beenden Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent.

3. Erstellen Sie eine Kopie der ursprünglichen Konfigurationsdatei: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

4. Ersetzen Sie den vorhandenen Abschnitt <system.diagnostics> durch Folgendes.

   • Die listener config etw sendet Nachrichten an die EventViewer-Protokolle.
   • Der Listener config textWriterListener sendet Ablaufverfolgungsmeldungen an die Datei ProvAgentTrace.log. Heben Sie die Auskommentierung für die Zeilen, die sich auf „textWriterListener“ beziehen, nur für die erweiterte Problembehandlung auf.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Starten Sie den Dienst Microsoft Entra Connect-Bereitstellungs-Agent.

Einrichten der Windows-Ereignisanzeige für die Problembehandlung bei Agents

1. Melden Sie sich beim Windows Server-Computer an, auf dem der Bereitstellungs-Agent bereitgestellt ist.

2. Öffnen Sie die Windows Server-Ereignisanzeige-Desktop-App .

3. Wählen Sie "Anwendung für Windows-Protokolle > " aus.

4. Verwenden Sie die Option "Aktuelles Protokoll filtern" zum Anzeigen aller Ereignisse, die unter dem Quell-Microsoft Entra Connect-Bereitstellungs-Agent protokolliert werden, und schließen Sie Ereignisse mit der Ereignis-ID "5" aus, indem Sie den Filter "-5" wie unten dargestellt angeben.

   Hinweis

   Mit der Ereignis-ID 5 werden Agent-Bootstrapmeldungen erfasst, die an den Microsoft Entra-Clouddienst gesendet werden. Aus diesem Grund nutzen wir beim Analysieren der Protokolldateien die Filterung.

   

5. Klicken Sie auf "OK ", und sortieren Sie die Ergebnisansicht nach Spalte "Datum und Uhrzeit ".

Einrichten von Bereitstellungsprotokollen für das Microsoft Entra Admin Center für die Problembehandlung

1. Starten Sie das Microsoft Entra Admin Center, und navigieren Sie zum Bereitstellungsbereich Ihrer Workday-Bereitstellungsanwendung.

2. Verwenden Sie die Schaltfläche "Spalten " auf der Seite "Bereitstellungsprotokolle", um nur die folgenden Spalten in der Ansicht anzuzeigen (Datum, Aktivität, Status, Statusgrund). Mit dieser Konfiguration stellen Sie sicher, dass Sie sich nur auf Daten konzentrieren, die für die Problembehandlung relevant sind.

   

3. Verwenden Sie die Abfrageparameter "Ziel " und " Datumsbereich ", um die Ansicht zu filtern.

   • Legen Sie den Parameter für die Zielabfrage auf die "Worker-ID" oder "Mitarbeiter-ID" des Workday-Arbeitsobjekts fest.
   • Legen Sie den Datumsbereich auf einen geeigneten Zeitraum fest, über den Sie fehler oder Probleme mit der Bereitstellung untersuchen möchten.

   

Grundlegendes zu Protokollen für Erstellungsvorgänge für ein AD-Benutzerkonto

Wenn eine neue Einstellung in Workday erkannt wird (sagen wir mit der Mitarbeiter-ID 21023), versucht der Microsoft Entra-Bereitstellungsdienst, ein neues AD-Benutzerkonto für den Worker zu erstellen und im Prozess 4 Bereitstellungsprotokolleinträge wie unten beschrieben erstellt:

Wenn Sie auf einen der Bereitstellungsprotokolldatensätze klicken, wird die Seite "Aktivitätsdetails " geöffnet. Hier sehen Sie, was auf der Seite "Aktivitätsdetails " für jeden Protokolldatensatztyp angezeigt wird.

• Workday-Importdatensatz : Dieser Protokolldatensatz zeigt die Arbeitsinformationen an, die von Workday abgerufen wurden. Verwenden Sie Informationen im Abschnitt "Zusätzliche Details " des Protokolldatensatzes, um Probleme beim Abrufen von Daten aus Workday zu beheben. Unten finden Sie einen Beispieldatensatz sowie Hinweise für die Interpretation der einzelnen Felder.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• AD-Importdatensatz : Dieser Protokolldatensatz zeigt Informationen über das konto an, das von AD abgerufen wurde. Wie bei der ersten Benutzererstellung kein AD-Konto vorhanden ist, gibt der Aktivitätsstatusgrund an, dass kein Konto mit dem Attributwert "Übereinstimmende ID" in Active Directory gefunden wurde. Verwenden Sie Informationen im Abschnitt "Zusätzliche Details " des Protokolldatensatzes, um Probleme beim Abrufen von Daten aus Workday zu beheben. Unten finden Sie einen Beispieldatensatz sowie Hinweise für die Interpretation der einzelnen Felder.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Um die Protokollaufzeichnungen des Bereitstellungsagenten zu finden, die dieser AD-Importoperation entsprechen, öffnen Sie die Protokolle der Windows-Ereignisanzeige und verwenden Sie die Menüoption "Suchen...", um Protokolleinträge zu finden, die den Attributwert „Matching ID/Joining Property“ enthalten (in diesem Fall 21023).

  

  Suchen Sie nach dem Eintrag mit der Ereignis-ID = 9, der Ihnen den LDAP-Suchfilter bereitstellt, der vom Agent zum Abrufen des AD-Kontos verwendet wird. Sie können überprüfen, ob dies der richtige Suchfilter ist, um eindeutige Benutzereingaben zu erhalten.

  Der Datensatz, der unmittelbar auf die Ereignis-ID = 2 folgt, erfasst das Ergebnis des Suchvorgangs und ob er Ergebnisse zurückgegeben hat.

• Datensatz der Synchronisierungsregelaktion: Dieser Protokolldatensatz zeigt die Ergebnisse der Attributzuordnungsregeln und der konfigurierten Bereichsfilter zusammen mit der Bereitstellungsaktion an, die zum Verarbeiten des eingehenden Workday-Ereignisses ausgeführt wird. Verwenden Sie Informationen im Abschnitt "Zusätzliche Details " des Protokolldatensatzes, um Probleme mit der Synchronisierungsaktion zu beheben. Unten finden Sie einen Beispieldatensatz sowie Hinweise für die Interpretation der einzelnen Felder.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object is added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Wenn es Probleme mit Ihren Attributzuordnungsausdrücken gibt oder die eingehenden Workday-Daten Fehler enthalten (z.B. Leer- oder Nullwert für erforderliche Attribute), dann wird an dieser Stelle ein Fehler ausgegeben, wobei der ErrorCode Details über den Fehler liefert.

• AD-Exportdatensatz : Dieser Protokolldatensatz zeigt das Ergebnis des AD-Kontoerstellungsvorgangs zusammen mit den Attributwerten an, die im Prozess festgelegt wurden. Verwenden Sie Informationen im Abschnitt "Zusätzliche Details " des Protokolldatensatzes, um Probleme mit dem Kontoerstellungsvorgang zu beheben. Unten finden Sie einen Beispieldatensatz sowie Hinweise für die Interpretation der einzelnen Felder. Im Abschnitt „Zusätzliche Details“ wird der „EventName“ auf „EntryExportAdd“, die „JoiningProperty“ auf den Wert des übereinstimmenden ID-Attributs, der „SourceAnchor“ auf die dem Datensatz zugeordnete WorkdayID (WID) und der „TargetAnchor“ auf den Wert des AD-Attributs „ObjectGuid“ des neu erstellten Benutzers festgelegt.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object is created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
  

  Um Protokolleinträge des Bereitstellungs-Agenten zu finden, die diesem AD-Exportvorgang entsprechen, öffnen Sie die Protokolle der Windows-Ereignisanzeige, und verwenden Sie die Menüoption Suchen…, um nach Protokolleinträgen zu suchen, die den Attributwert der "Matching ID/Joining Property" enthalten (in diesem Fall 21023).

  Suchen Sie nach einem HTTP POST-Eintrag, der dem Zeitstempel des Exportvorgangs mit der Ereignis-ID = 2 entspricht. Dieser Datensatz enthält die Attributwerte, die der Bereitstellungsdienst an den Bereitstellungs-Agent gesendet hat.

  

  Unmittelbar nach dem obigen Ereignis sollte es ein weiteres Ereignis geben, das die Antwort des AD-Kontoerstellungsvorgangs erfasst. Dieses Ereignis gibt die neue „objectGuid“ zurück, die in AD erstellt wurde, und sie wird als TargetAnchor-Attribut im Bereitstellungsdienst festgelegt.

  

Grundlegendes zu Protokollen für Aktualisierungsvorgänge für Manager

Das Manager-Attribut ist ein Verweisattribut in Active Directory. Der Bereitstellungsdienst legt das Manager-Attribut nicht als Teil des Erstellungsvorgangs des Benutzers fest. Stattdessen wird das Manager-Attribut als Teil eines Aktualisierungsvorgangs festgelegt, nachdem das AD-Konto für den Benutzer erstellt wurde. Wenn Sie das obige Beispiel erweitern, nehmen wir an, dass eine neue Einstellung mit der Mitarbeiter-ID "21451" in Workday aktiviert ist und der Vorgesetzte des neuen Mitarbeiters (21023) bereits über ein AD-Konto verfügt. In diesem Szenario werden bei der Suche im Bereitstellungsprotokolle für Benutzer 21451 5 Einträge ausgegeben.

Die ersten 4 Datensätze sind wie diejenigen, die wir im Rahmen des Benutzererstellungsvorgangs untersucht haben. Der 5. Datensatz ist der Export, der dem Update des Manager-Attributs zugeordnet ist. Der Protokolldatensatz zeigt das Ergebnis des AD-Konto-Manager-Aktualisierungsvorgangs an, der mithilfe des ObjectGuid-Attributs des Managers ausgeführt wird.

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Beheben von häufig auftretenden Fehlern

Dieser Abschnitt behandelt häufig auftretende Fehler bei der Bereitstellung von Workday-Benutzern und erläutert, wie Sie diese beheben können. Die Fehler werden wie folgt gruppiert:

• Fehler des Bereitstellungs-Agents
• Konnektivitätsfehler
• Fehler bei der Erstellung von AD-Benutzerkonten
• Ad-Benutzerkontoaktualisierungsfehler

Fehler beim Bereitstellungs-Agent

Verbindungsfehler

Wenn der Bereitstellungsdienst keine Verbindung zu Workday oder Active Directory herstellen kann, kann dies dazu führen, dass die Bereitstellung in einen Quarantänezustand versetzt wird. Verwenden Sie die Tabelle unten zum Behandeln von Konnektivitätsproblemen.

Fehler bei der Erstellung des AD-Benutzerkontos

Fehler bei der Aktualisierung des AD-Benutzerkontos

Während des Aktualisierungsprozesses des AD-Benutzerkontos liest der Bereitstellungsdienst Informationen sowohl vom Workday als auch vom AD, führt die Attributzuordnungsregeln aus und bestimmt, ob eine Änderung wirksam werden muss. Entsprechend wird ein Aktualisierungsereignis ausgelöst. Wenn bei einem dieser Schritte ein Fehler auftritt, wird dieser in den Bereitstellungsprotokollen protokolliert. Verwenden Sie die Tabelle unten zum Behandeln von häufigen Aktualisierungsfehlern.

Verwalten Ihrer Konfiguration

Dieser Abschnitt beschreibt, wie Sie Ihre Workday-gesteuerte Konfiguration für die Benutzerbereitstellung weiter erweitern, anpassen und verwalten können. Es werden die folgenden Themen behandelt:

• Anpassen der Liste der Workday-Benutzerattribute
• Exportieren und Importieren Ihrer Konfiguration

Anpassen der Liste der Workday-Benutzerattribute

Die Workday-Bereitstellungs-Apps für Active Directory und Microsoft Entra ID umfassen jeweils eine Liste mit Workday-Benutzerattributen, aus denen Sie auswählen können. Diese Listen sind jedoch nicht vollständig. Workday unterstützt mehrere Hundert möglicher Benutzerattribute, die entweder als Standardattribute oder als eindeutige Attribute für Ihren Workday-Mandanten eingerichtet werden können.

Der Microsoft Entra-Bereitstellungsdienst unterstützt die Möglichkeit, Ihr Listen- oder Workday-Attribut anzupassen, um alle Attribute einzuschließen, die im Get_Workers Vorgang der Personal-API verfügbar gemacht werden.

Um diese Änderung zu ändern, müssen Sie Workday Studio verwenden, um die XPath-Ausdrücke zu extrahieren, die die attribute darstellen, die Sie verwenden möchten, und fügen Sie sie dann mithilfe des erweiterten Attribut-Editors zu Ihrer Bereitstellungskonfiguration hinzu.

So rufen Sie einen XPath-Ausdruck für ein Workday-Benutzerattribute ab:

1. Laden Sie Workday Studio herunter, und installieren Sie es. Sie benötigen ein Workday-Communitykonto, um auf das Installationsprogramm zuzugreifen.

2. Laden Sie die WSDL-Datei workday Human_Resources speziell für die WWS-API-Version herunter, die Sie aus dem Workday-Webdienstverzeichnis verwenden möchten.

3. Starten Sie Workday Studio.

4. Wählen Sie auf der Befehlsleiste Workday > Test Web Service im Tester aus.

5. Wählen Sie "Extern" aus, und wählen Sie die Human_Resources WSDL-Datei aus, die Sie in Schritt 2 heruntergeladen haben.

   

6. Legen Sie das Feld "Ort " auf https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources" fest, ersetzen Sie jedoch "IMPL-CC" durch Ihren tatsächlichen Instanztyp und "TENANT" durch Ihren tatsächlichen Mandantennamen.

7. Vorgang auf Get_Workers festlegen

8. Klicken Sie auf den kleinen Konfigurationslink unter den Bereichen "Anforderung/Antwort", um Ihre Workday-Anmeldeinformationen festzulegen. Überprüfen Sie die Authentifizierung, und geben Sie dann den Benutzernamen und das Kennwort für Ihr Workday-Integrationssystemkonto ein. Achten Sie darauf, den Benutzernamen als name@tenant zu formatieren, und lassen Sie die OptionWS-Security UsernameToken ausgewählt.

9. Wählen Sie "OK" aus.

10. Fügen Sie im Bereich "Anforderung " den folgenden XML-Code ein. Legen Sie Employee_ID auf die Mitarbeiter-ID eines echten Benutzers in Ihrem Workday-Mandanten fest. Legen Sie "wd:version " auf die Version von WWS fest, die Sie verwenden möchten. Wählen Sie einen Benutzer aus, für den das Attribut aufgefüllt ist, das Sie extrahieren möchten.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Klicken Sie auf den Senden-Anforderungspfeil (grüner Pfeil), um den Befehl auszuführen. Bei erfolgreicher Ausführung sollte die Antwort im Antwortbereich angezeigt werden. Überprüfen Sie die Antwort, um sicherzustellen, dass sie die Daten des eingegebenen Benutzers enthält und fehlerfrei ist.

12. Kopieren Sie bei erfolgreicher Ausführung den XML-Code aus dem Antwortbereich, und speichern Sie ihn als XML-Datei.

13. Wählen Sie in der Befehlsleiste von Workday Studio " Datei > öffnen" aus, und öffnen Sie die xml-Datei, die Sie gespeichert haben. Durch diese Aktion wird die Datei im XML-Editor von Workday Studio geöffnet.

    

14. Navigieren Sie in der Dateistruktur durch /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker, um die Daten Ihres Benutzers zu finden.

15. Suchen Sie unter wd: Worker das Attribut, das Sie hinzufügen möchten, und wählen Sie es aus.

16. Kopieren Sie den XPath-Ausdruck für das ausgewählte Attribut aus dem Feld "Dokumentpfad ".

17. Entfernen Sie das Präfix /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ aus dem kopierten Ausdruck.

18. Wenn das letzte Element im kopierten Ausdruck ein Knoten ist (Beispiel: "/wd: Birth_Date"), fügen Sie /text() am Ende des Ausdrucks an. Dies ist nicht erforderlich, wenn das letzte Element ein Attribut ist (z. B. „/@wd:type“).

19. Das Ergebnis sollte in etwa wie folgt aussehen: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Dieser Wert ist das, was Sie kopieren und in das Microsoft Entra Admin Center eingeben.

So fügen Sie Ihrer Bereitstellungskonfiguration Ihr benutzerdefiniertes Workday-Benutzerattribute hinzu:

1. Starten Sie das Microsoft Entra Admin Center, und navigieren Sie zum Abschnitt "Bereitstellung" Ihrer Workday-Bereitstellungsanwendung, wie weiter oben in diesem Lernprogramm beschrieben.

2. Legen Sie den Bereitstellungsstatus auf "Aus" fest, und wählen Sie " Speichern" aus. Mit diesem Schritt können Sie sicherstellen, dass Ihre Änderungen erst dann wirksam werden, wenn Sie bereit sind.

3. ** Wählen Sie unter Zuordnungen die Option Synchronisieren von Workday Workers mit lokalem Active Directory (oder Synchronisieren von Workday Workers mit Microsoft Entra ID) aus.

4. Scrollen Sie zum unteren Rand des nächsten Bildschirms, und wählen Sie "Erweiterte Optionen anzeigen" aus.

5. Wählen Sie " Attributliste bearbeiten" für "Workday" aus.

6. Scrollen Sie zu den Eingabefeldern am Ende der Attributliste.

7. Geben Sie für "Name" einen Anzeigenamen für Ihr Attribut ein.

8. Wählen Sie für "Typ" den Typ aus, der Ihrem Attribut entsprechend entspricht (Zeichenfolge ist am häufigsten).

9. Geben Sie für den API-Ausdruck den XPath-Ausdruck ein, den Sie aus Workday Studio kopiert haben. Beispiel: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Wählen Sie "Attribut hinzufügen" aus.

    

11. Wählen Sie oben "Speichern" und dann "Ja " im Dialogfeld aus. Schließen Sie den Bildschirm „Attributzuordnung“, falls dieser noch geöffnet ist.

12. Zurück auf der Hauptregisterkarte Bereitstellung wählen Sie erneut Workday Workers mit On Premises Active Directory synchronisieren (oder Mitarbeiter mit Microsoft Entra ID synchronisieren) aus.

13. Wählen Sie "Neue Zuordnung hinzufügen" aus.

14. Ihr neues Attribut sollte jetzt in der Quell-Attributliste angezeigt werden.

15. Fügen Sie wie gewünscht eine Zuordnung für Ihr neues Attribut hinzu.

16. Denken Sie abschließend daran, den Bereitstellungsstatus wieder auf "Ein " festzulegen und zu speichern.

Exportieren und Importieren Ihrer Konfiguration

Weitere Informationen finden Sie im Artikel "Exportieren und Importieren der Bereitstellungskonfiguration"

Verwalten von personenbezogenen Daten

Die Workday-Bereitstellungslösung für Active Directory erfordert die Installation eines Bereitstellungs-Agent auf einem lokalen Windows Server. Dieser Agent erstellt Protokolle im Windows-Ereignisprotokoll, die abhängig von den Attributzuordnungen von Workday zu AD personenbezogene Daten enthalten können. Um den Datenschutzverpflichtungen des Benutzers nachzukommen, können Sie sicherstellen, dass über 48 Stunden hinaus keine Daten in den Ereignisprotokollen gespeichert werden, indem Sie eine von Windows geplante Aufgabe zum Löschen des Ereignisprotokolls einrichten.

Der Microsoft Entra-Bereitstellungsdienst fällt in die Datenverarbeitungskategorie der DSGVO-Klassifizierung. Als eine Datenverarbeitungs-Pipeline stellt der Dienst Datenverarbeitungsdienste für wichtige Partner und Endbenutzer bereit. Der Microsoft Entra-Bereitstellungsdienst generiert keine Benutzerdaten und kann nicht unabhängig steuern, welche personenbezogenen Daten erfasst und wie diese verwendet werden. Datenabruf, Aggregation, Analyse und Berichterstellung im Microsoft Entra-Bereitstellungsdienst basieren auf vorhandenen Unternehmensdaten.

In Bezug auf die Datenaufbewahrung erstellt der Microsoft Entra-Bereitstellungsdienst keine Berichte, führt keine Analysen durch und liefert keine Einblicke über 30 Tage hinaus. Aus diesem Grund erfolgt im Microsoft Entra-Bereitstellungsdienst keine Speicherung, Verarbeitung oder Beibehaltung von Daten über 30 Tage hinaus. Dieser Entwurf ist mit den DSGVO-Vorschriften, den Microsoft-Richtlinien für Datenschutz und Compliance und den Microsoft Entra-Richtlinien zur Datenaufbewahrung konform.

Verwandte Inhalte

• Weitere Informationen zu Microsoft Entra ID- und Workday-Integrationsszenarien und Webdienstaufrufen
• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen.
• Erfahren Sie, wie Sie einmaliges Anmelden zwischen Workday und Microsoft Entra ID konfigurieren.
• Erfahren Sie, wie Sie Workday Writeback konfigurieren.
• Erfahren Sie, wie Sie Microsoft Graph-APIs zum Verwalten von Bereitstellungskonfigurationen verwenden.