Referenz zur Microsoft Entra ID- und Workday-Integration - Microsoft Entra ID (2024)

  • Artikel

Der Microsoft Entra-Benutzerbereitstellungsdienst ist mit Workday HCM integriert, um den Identitätslebenszyklus von Benutzern zu verwalten. Microsoft Entra ID bietet drei vorbereitete Integrationen:

  • Lokale Benutzerbereitstellung von Workday in Active Directory
  • Workday zur Microsoft Entra-Benutzerbereitstellung
  • Workday Writeback

In diesem Artikel wird erläutert, wie die Integration funktioniert und wie Sie das Bereitstellungsverhalten für verschiedene HR-Szenarien anpassen können.

Herstellen von Verbindungen

Beschränken des Workday-API-Zugriffs auf Microsoft Entra-Endpunkte

Der Microsoft Entra-Bereitstellungsdienst verwendet für das Erstellen einer Verbindung mit den Webdienst-API-Endpunkten von Workday die Standardauthentifizierung.

Um die Konnektivität zwischen dem Microsoft Entra-Bereitstellungsdienst und Workday noch besser zu schützen, können Sie den Zugriff einschränken, sodass der designierte Integrationssystembenutzer nur aus den zulässigen Microsoft Entra-IP-Adressbereichen auf die Workday-APIs zugreifen darf. Wenden Sie sich an Ihren Workday-Administrator, um die folgende Konfiguration in Ihrem Workday-Mandanten abzuschließen.

  1. Laden Sie die aktuellen IP-Adressbereiche für die öffentliche Azure-Cloud herunter.
  2. Öffnen Sie die Datei, und suchen Sie nach dem Tag Microsoft Entra ID
  3. Kopieren Sie alle IP-Adressbereiche, die innerhalb des-Elements addressPrefixes aufgeführt sind, und verwenden Sie den Bereich, um eine eigene IP-Adressliste zu erstellen.
  4. Melden Sie sich beim Workday-Verwaltungsportal an.
  5. Greifen Sie auf die Aufgabe Maintain IP Ranges (IP-Adressbereiche verwalten) zu, um einen neuen IP-Adressbereich für die Azure-Rechenzentren zu erstellen. Geben Sie die IP-Adressbereiche (in CIDR-Notation) als eine durch Trennzeichen getrennte Liste an.
  6. Greifen Sie auf die Aufgabe Manage Authentication Policies (Authentifizierungsrichtlinien verwalten) zu, um eine neue Authentifizierungsrichtlinie zu erstellen. Verwenden Sie in der Authentifizierungsrichtlinie die Positivliste für die Authentifizierung, um den Microsoft Entra-IP-Adressbereich und die Sicherheitsgruppe anzugeben, der Zugriff aus diesem IP-Adressbereich gestattet wird. Speichern Sie die Änderungen.
  7. Greifen Sie auf die Aufgabe Activate All Pending Authentication Policy Changes (Alle ausstehenden Änderungen an Authentifizierungsrichtlinien aktivieren) zu, um die Änderungen zu bestätigen.

Einschränken des Zugriffs auf Mitarbeiterdaten in Workday mithilfe von eingeschränkten Sicherheitsgruppen

Mithilfe der Standardschritte zum Konfigurieren des Systembenutzers für die Workday-Integration gewähren Sie den Zugriff zum Abrufen aller Benutzer in Ihrem Workday-Mandanten. In bestimmten Integrationsszenarien sollten Sie den Zugriff beschränken. Geben Sie beispielsweise mit dem API-Aufruf Get_Workers nur Benutzer in bestimmten Aufsichtsorganisationen zurück.

Sie können den Zugriff beschränken, indem Sie mit Ihrem Workday-Administrator zusammenarbeiten und eingeschränkte Sicherheitsgruppen für das Integrationssystem konfigurieren. Weitere Informationen zu Workday finden Sie in der Workday-Community (um den Artikel lesen zu können, müssen Sie Zugriff auf die Workday-Community haben).

Diese Strategie des Beschränkens des Zugriffs mithilfe eingeschränkter ISSGs (Integrationssystem-Sicherheitsgruppen) ist insbesondere in den folgenden Szenarien hilfreich:

  • Rollout in mehreren Phasen: Sie verfügen über einen großen Workday-Mandanten und planen einen Rollout in mehreren Phasen für die automatische Bereitstellung von Workday zu Microsoft Entra ID. In diesem Szenario sollten Benutzer, die sich nicht im Gültigkeitsbereich der aktuellen Phase befinden, nicht mit Microsoft Entra-Bereichsfiltern ausgeschlossen werden. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG zu konfigurieren, sodass nur Arbeitnehmer im Gültigkeitsbereich in Microsoft Entra ID sichtbar sind.
  • Mehrere Bereitstellungsaufträge: Sie verfügen über einen großen Workday-Mandanten und mehrere AD-Domänen, die jeweils andere Geschäftseinheiten/Abteilungen/Unternehmen unterstützen. Zur Unterstützung dieser Topologie möchten Sie mehrere Bereitstellungsaufträge von Workday zu Microsoft Entra ausführen, um jeweils eine bestimmte Gruppe von Arbeitnehmern bereitzustellen. In diesem Szenario sollten Sie die Arbeitnehmerdaten nicht mit Microsoft Entra-Bereichsfiltern ausschließen. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG konfigurieren, damit nur die relevanten Arbeitnehmerdaten für Microsoft Entra ID sichtbar sind.

Abfragen der Workday-Testverbindung

Zum Testen der Konnektivität mit Workday sendet Microsoft Entra ID die folgende Get_Workers-Workday-Webdienstanforderung.

<!-- Test connection query tries to retrieve one record from the first page --><!-- Replace version with Workday Web Services version present in your connection URL --><!-- Replace timestamps with the UTC time corresponding to the test connection event --><Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc"> <p1:Request_Criteria> <p1:Transaction_Log_Criteria_Data> <p1:Transaction_Date_Range_Data> <p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From> <p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through> </p1:Transaction_Date_Range_Data> </p1:Transaction_Log_Criteria_Data> <p1:Exclude_Employees>true</p1:Exclude_Employees> <p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers> <p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers> </p1:Request_Criteria> <p1:Response_Filter> <p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date> <p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime> <p1:Page>1</p1:Page> <p1:Count>1</p1:Count> </p1:Response_Filter> <p1:Response_Group> <p1:Include_Reference>1</p1:Include_Reference> <p1:Include_Personal_Information>1</p1:Include_Personal_Information> </p1:Response_Group></Get_Workers_Request>

Funktionsweise der vollständigen Synchronisierung

Vollständige Synchronisierung bezieht sich im Zusammenhang mit der Workday-gesteuerten Bereitstellung auf den Prozess, mit dem alle Identitäten aus Workday abgerufen werden und festgelegt wird, welche Bereitstellungsregeln auf die einzelnen Mitarbeiterobjekte angewandt werden sollen. Die vollständige Synchronisierung erfolgt, wenn Sie die Bereitstellung zum ersten Mal aktivieren, und auch, wenn Sie die Bereitstellung über das Microsoft Entra Admin Center oder mithilfe der Graph-APIs neu starten.

Zum Abrufen der Arbeitnehmerdaten sendet Microsoft Entra ID die folgende Get_Workers-Workday-Webdienstanforderung. Die Abfrage durchsucht das Workday-Transaktionsprotokoll nach allen effektiv veralteten Mitarbeitereinträgen zum Zeitpunkt der vollständigen Synchronisierung.

<!-- Workday full sync query --><!-- Replace version with Workday Web Services version present in your connection URL --><!-- Replace timestamps with the UTC time corresponding to full sync run --><!-- Count specifies the number of records to return in each page --><!-- Response_Group flags derived from provisioning attribute mapping --><Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc"> <p1:Request_Criteria> <p1:Transaction_Log_Criteria_Data> <p1:Transaction_Type_References> <p1:Transaction_Type_Reference> <p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID> </p1:Transaction_Type_Reference> <p1:Transaction_Type_Reference> <p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID> </p1:Transaction_Type_Reference> </p1:Transaction_Type_References> </p1:Transaction_Log_Criteria_Data> </p1:Request_Criteria> <p1:Response_Filter> <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date> <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime> <p1:Count>30</p1:Count> </p1:Response_Filter> <p1:Response_Group> <p1:Include_Reference>1</p1:Include_Reference> <p1:Include_Personal_Information>1</p1:Include_Personal_Information> <p1:Include_Employment_Information>1</p1:Include_Employment_Information> <p1:Include_Organizations>1</p1:Include_Organizations> <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data> <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies> <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies> <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies> <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations> <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups> <p1:Exclude_Regions>1</p1:Exclude_Regions> <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies> <p1:Exclude_Funds>1</p1:Exclude_Funds> <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies> <p1:Exclude_Grants>1</p1:Exclude_Grants> <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies> <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units> <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies> <p1:Exclude_Programs>1</p1:Exclude_Programs> <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies> <p1:Exclude_Gifts>1</p1:Exclude_Gifts> <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies> <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data> <p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data> <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs> </p1:Response_Group></Get_Workers_Request>

Mit dem Knoten Response_Group wird angegeben, welche Mitarbeiterattribute aus Workday abgerufen werden sollen. Eine Beschreibung der einzelnen Flags im Knoten Response_Group finden Sie in der Dokumentation von Workday zur Get_Workers-API.

Bestimmte Flagwerte, die im Knoten Response_Group angegeben sind, werden basierend auf den in der Microsoft Entra-Bereitstellungsanwendung für Workday konfigurierten Attributen berechnet. Die Kriterien, die zum Festlegen der Flagwerte angewandt werden, finden Sie im Abschnitt Unterstützten Entitäten.

Die Antwort auf Get_Workers von Workday für die obige Abfrage enthält die Anzahl der Mitarbeiterdatensätze und die Seitenanzahl.

 <wd:Response_Results> <wd:Total_Results>509</wd:Total_Results> <wd:Total_Pages>17</wd:Total_Pages> <wd:Page_Results>30</wd:Page_Results> <wd:Page>1</wd:Page> </wd:Response_Results>

Zum Abrufen der nächsten Seite des Resultsets wird in der nächsten Get_Workers-Abfrage die Seitenzahl als Parameter im Response_Filter angegeben.

 <p1:Response_Filter> <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date> <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime> <p1:Page>2</p1:Page> <p1:Count>30</p1:Count> </p1:Response_Filter>

Der Microsoft Entra-Bereitstellungsdienst verarbeitet während der vollständigen Synchronisierung jede Seite und durchläuft alle gültigen Arbeitnehmer. Für jeden aus Workday importierten Arbeitnehmereintrag werden folgende Aktionen ausgeführt:

  • Der XPATH-Ausdruck wird angewandt, um Attributwerte aus Workday abzurufen.
  • Die Attributzuordnung und die Vergleichsregeln werden angewandt.
  • Der Dienst bestimmt, welcher Vorgang im Ziel ausgeführt werden soll (Microsoft Entra ID /Active Directory).

Sobald die Verarbeitung abgeschlossen wurde, wird der Zeitstempel vom Beginn der vollständigen Synchronisierung als Wasserzeichen gespeichert. Dieses Wasserzeichen dient als Startpunkt für den inkrementellen Synchronisierungszyklus.

Funktionsweise der inkrementellen Synchronisierung

Nach der vollständigen Synchronisierung verwaltet der Microsoft Entra-Bereitstellungsdienst einen LastExecutionTimestamp und verwendet diesen zum Erstellen von Deltaabfragen für das Abrufen inkrementeller Änderungen. Während der inkrementellen Synchronisierung sendet Microsoft Entra ID die folgenden Typen von Abfragen an Workday:

  • Abfrage von manuellen Updates
  • Abfrage von Updates und Kündigungen zu einem bestimmten Datum
  • Abfrage für zukünftige Neueinstellungen

Abfrage von manuellen Updates

Die folgende Get_Workers-Anforderung fragt manuelle Updates ab, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.

<!-- Workday incremental sync query for manual updates --><!-- Replace version with Workday Web Services version present in your connection URL --><!-- Replace timestamps with the UTC time corresponding to last execution and current execution time --><!-- Count specifies the number of records to return in each page --><!-- Response_Group flags derived from provisioning attribute mapping --><Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc"> <p1:Request_Criteria> <p1:Transaction_Log_Criteria_Data> <p1:Transaction_Date_Range_Data> <p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From> <p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through> </p1:Transaction_Date_Range_Data> </p1:Transaction_Log_Criteria_Data> </p1:Request_Criteria> <p1:Response_Filter> <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date> <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime> <p1:Count>30</p1:Count> </p1:Response_Filter> <p1:Response_Group> <p1:Include_Reference>1</p1:Include_Reference> <p1:Include_Personal_Information>1</p1:Include_Personal_Information> <p1:Include_Employment_Information>1</p1:Include_Employment_Information> <p1:Include_Organizations>1</p1:Include_Organizations> <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data> <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies> <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies> <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies> <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations> <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups> <p1:Exclude_Regions>1</p1:Exclude_Regions> <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies> <p1:Exclude_Funds>1</p1:Exclude_Funds> <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies> <p1:Exclude_Grants>1</p1:Exclude_Grants> <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies> <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units> <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies> <p1:Exclude_Programs>1</p1:Exclude_Programs> <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies> <p1:Exclude_Gifts>1</p1:Exclude_Gifts> <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies> <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data> <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs> </p1:Response_Group></Get_Workers_Request>

Abfrage von Updates und Kündigungen zu einem bestimmten Datum

Die folgende Get_Workers-Anforderung fragt Updates zu bestimmten Daten ab, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.

<!-- Workday incremental sync query for effective-dated updates --><!-- Replace version with Workday Web Services version present in your connection URL --><!-- Replace timestamps with the UTC time corresponding to last execution and current execution time --><!-- Count specifies the number of records to return in each page --><!-- Response_Group flags derived from provisioning attribute mapping --><Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc"> <p1:Request_Criteria> <p1:Transaction_Log_Criteria_Data> <p1:Transaction_Date_Range_Data> <p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From> <p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through> </p1:Transaction_Date_Range_Data> </p1:Transaction_Log_Criteria_Data> </p1:Request_Criteria> <p1:Response_Filter> <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date> <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime> <p1:Page>1</p1:Page> <p1:Count>30</p1:Count> </p1:Response_Filter> <p1:Response_Group> <p1:Include_Reference>1</p1:Include_Reference> <p1:Include_Personal_Information>1</p1:Include_Personal_Information> <p1:Include_Employment_Information>1</p1:Include_Employment_Information> <p1:Include_Organizations>1</p1:Include_Organizations> <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data> <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies> <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies> <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies> <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations> <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups> <p1:Exclude_Regions>1</p1:Exclude_Regions> <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies> <p1:Exclude_Funds>1</p1:Exclude_Funds> <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies> <p1:Exclude_Grants>1</p1:Exclude_Grants> <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies> <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units> <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies> <p1:Exclude_Programs>1</p1:Exclude_Programs> <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies> <p1:Exclude_Gifts>1</p1:Exclude_Gifts> <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies> <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data> <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs> </p1:Response_Group></Get_Workers_Request>

Abfrage für zukünftige Neueinstellungen

Wenn eine der oben genannten Abfragen eine Einstellung in der Zukunft zurückgibt, werden mithilfe der folgenden Get_Workers-Anforderung Informationen zu einer zukünftigen Neueinstellung abgerufen. Das WID-Attribut des neu eingestellten Mitarbeiters wird für die Suche verwendet, und als effektives Datum werden das Datum und die Uhrzeit der Einstellung festgelegt.

Hinweis

Bei Einstellungen in Workday, die in der Zukunft liegen, ist das Feld „Active“ (Aktiv) auf „0“ festgelegt. Es ändert sich am Tag des Einstellungsdatums in „1“. Der Connector fragt entwurfsgemäß Informationen zur zukünftigen Einstellung ab, die am Einstellungsdatum gültig sind. Aus diesem Grund erhält er immer das Mitarbeiterprofil der zukünftigen Einstellung, dessen Feld „Active“ auf „1“ festgelegt ist. Auf diese Weise können Sie das Microsoft Entra-Profil für zukünftige Arbeitnehmer bereits im Voraus einrichten, wobei alle erforderlichen Informationen bereits ausgefüllt sind. Wenn Sie die Aktivierung des Microsoft Entra-Kontos für zukünftige Arbeitnehmer verzögern möchten, verwenden Sie die Transformationsfunktion DateDiff.

<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work --><!-- Replace version with Workday Web Services version present in your connection URL --><!-- Replace timestamps hire date/first day of work --><!-- Count specifies the number of records to return in each page --><!-- Response_Group flags derived from provisioning attribute mapping --><Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc"> <p1:Request_References> <p1:Worker_Reference> <p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID> </p1:Worker_Reference> </p1:Request_References> <p1:Response_Filter> <p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date> <p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime> <p1:Count>30</p1:Count> </p1:Response_Filter> <p1:Response_Group> <p1:Include_Reference>1</p1:Include_Reference> <p1:Include_Personal_Information>1</p1:Include_Personal_Information> <p1:Include_Employment_Information>1</p1:Include_Employment_Information> <p1:Include_Organizations>1</p1:Include_Organizations> <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data> <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies> <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies> <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies> <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations> <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups> <p1:Exclude_Regions>1</p1:Exclude_Regions> <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies> <p1:Exclude_Funds>1</p1:Exclude_Funds> <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies> <p1:Exclude_Grants>1</p1:Exclude_Grants> <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies> <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units> <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies> <p1:Exclude_Programs>1</p1:Exclude_Programs> <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies> <p1:Exclude_Gifts>1</p1:Exclude_Gifts> <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies> <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data> <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs> </p1:Response_Group></Get_Workers_Request>

Abrufen von Attributen für Mitarbeiterdaten

Die Get_Workers-API kann verschiedene Datasets zurückgeben, die einem Mitarbeiter zugeordnet sind. Abhängig von den XPATH-API-Ausdrücken, die im Bereitstellungsschema konfiguriert sind, legt der Microsoft Entra-Bereitstellungsdienst fest, welche Datasets aus Workday abgerufen werden sollen. Die entsprechenden Response_Group-Flags werden in der Get_Workers-Anforderung festgelegt.

In der folgenden Tabelle finden Sie einen Leitfaden für die Konfiguration der Zuordnung zum Abrufen eines bestimmten Datasets.

#Workday-EntitätStandardmäßig inbegriffenXPATH-Muster zum Angeben der Zuordnung für das Abrufen nicht standardmäßiger Entitäten
1Personal DataJawd:Worker_Data/wd:Personal_Data
2Employment DataJawd:Worker_Data/wd:Employment_Data
3Additional Job DataJawd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]
4Organization DataJawd:Worker_Data/wd:Organization_Data
5Management Chain DataJawd:Worker_Data/wd:Management_Chain_Data
6Supervisory OrganizationJaSUPERVISORY
7CompanyJaCOMPANY
8Business UnitNeinBUSINESS_UNIT
9Business Unit HierarchyNeinBUSINESS_UNIT_HIERARCHY
10Company HierarchyNeinCOMPANY_HIERARCHY
11Cost CenterNeinCOST_CENTER
12Cost Center HierarchyNeinCOST_CENTER_HIERARCHY
13FundNeinFUND
14Fund HierarchyNeinFUND_HIERARCHY
15GiftNeinGIFT
16Gift HierarchyNeinGIFT_HIERARCHY
17GrantNeinGRANT
18Grant HierarchyNeinGRANT_HIERARCHY
19Business Site HierarchyNeinBUSINESS_SITE_HIERARCHY
20Matrix OrganizationNeinMATRIX
21Pay GroupNeinPAY_GROUP
22ProgramsNeinPROGRAMS
23Program HierarchyNeinPROGRAM_HIERARCHY
24RegionNeinREGION_HIERARCHY
25Location HierarchyNeinLOCATION_HIERARCHY
26Account Provisioning DataNeinwd:Worker_Data/wd:Account_Provisioning_Data
27Background Check DataNeinwd:Worker_Data/wd:Background_Check_Data
28Benefit Eligibility DataNeinwd:Worker_Data/wd:Benefit_Eligibility_Data
29Benefit Enrollment DataNeinwd:Worker_Data/wd:Benefit_Enrollment_Data
30Career DataNeinwd:Worker_Data/wd:Career_Data
31Compensation DataNeinwd:Worker_Data/wd:Compensation_Data
32Contingent Worker Tax Authority DataNeinwd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data
33Development Item DataNeinwd:Worker_Data/wd:Development_Item_Data
34Employee Contracts DataNeinwd:Worker_Data/wd:Employee_Contracts_Data
35Employee Review DataNeinwd:Worker_Data/wd:Employee_Review_Data
36Feedback Received DataNeinwd:Worker_Data/wd:Feedback_Received_Data
37Worker Goal DataNeinwd:Worker_Data/wd:Worker_Goal_Data
38Photo DataNeinwd:Worker_Data/wd:Photo_Data
39Qualification DataNeinwd:Worker_Data/wd:Qualification_Data
40Related Persons DataNeinwd:Worker_Data/wd:Related_Persons_Data
41Role DataNeinwd:Worker_Data/wd:Role_Data
42Skill DataNeinwd:Worker_Data/wd:Skill_Data
43Succession Profile DataNeinwd:Worker_Data/wd:Succession_Profile_Data
44Talent Assessment DataNeinwd:Worker_Data/wd:Talent_Assessment_Data
45User Account DataNowd:Worker_Data/wd:User_Account_Data
46Worker Document DataNeinwd:Worker_Data/wd:Worker_Document_Data

Hinweis

Jede in der Tabelle aufgelistete Workday-Entität wird durch eine Domänensicherheitsrichtlinie in Workday geschützt. Wenn Sie nach dem Festlegen des richtigen XPATH keine Attribute abrufen können, die der Entität zugeordnet sind, wenden Sie sich an Ihren Workday-Administrator, um sicherzustellen, dass für den Integrationssystembenutzer, der der Bereitstellungs-App zugeordnet ist, die entsprechende Domänensicherheitsrichtlinie konfiguriert ist. Wenn Sie z.B. Daten zu Fertigkeiten abrufen möchten, ist der Zugriff Abrufen für die Workday-Domäne Worker Data: Skills and Experience (Mitarbeiterdaten: Fertigkeiten und Erfahrungen).

Im Folgenden finden Sie einige Beispiele dazu, wie Sie die Workday-Integration erweitern können, um bestimmte Anforderungen zu erfüllen.

Beispiel1: Abrufen von Informationen zu Kostenstelle und Lohngruppe

Angenommen, Sie möchten die folgenden Datasets aus Workday abrufen und in Ihren Bereitstellungsregeln verwenden:

  • Kostenstelle
  • Hierarchie der Kostenstellen
  • Lohngruppe

Die oben aufgeführten Datasets sind standardmäßig nicht enthalten.So rufen Sie diese Datasets ab

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie Ihre Benutzerbereitstellungsanwendung Workday in Active Directory/Microsoft Entra aus.

  4. Wählen Sie Bereitstellung aus.

  5. Bearbeiten Sie die Zuordnungen, und öffnen Sie die Liste der Workday-Attribute im Abschnitt „Erweitert“.

  6. Fügen Sie die folgenden Attributdefinitionen hinzu, und markieren Sie sie als „erforderlich“. Diese Attribute sind keinem Attribut in Active Directory oder Microsoft Entra ID zugeordnet. Sie dienen als Signale für den Connector, um die Informationen zu Kostenstelle, Kostenstellenhierarchie und Lohngruppe abzurufen.

    AttributnameXPATH-API-Ausdruck
    CostCenterHierarchyFlagwd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor
    CostCenterFlagwd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text()
    PayGroupFlagwd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text()
  7. Wenn die Datasets für Kostenstelle und Lohngruppe in der Get_Workers-Antwort enthalten sind, können Sie mithilfe der XPATH-Werte Namen und Code der Kostenstelle sowie die Lohngruppe abrufen.

    AttributnameXPATH-API-Ausdruck
    CostCenterNamewd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text()
    CostCenterCodewd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text()
    PayGroupwd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()

Beispiel2: Abrufen von Daten zu Qualifikation und Fertigkeiten

Angenommen, Sie möchten Zertifizierungen abrufen, die einem Benutzer zugeordnet sind. Diese Informationen sind im Dataset mit den Qualifikationsdaten enthalten.Verwenden Sie den folgenden XPATH-Ausdruck, um dieses Dataset in der Get_Workers-Antwort abzurufen:

wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()

Beispiel3: Abrufen der Zuweisungen von Bereitstellungsgruppen

Angenommen, Sie möchten die Bereitstellungsgruppen abrufen, die einem Mitarbeiter zugewiesen sind. Diese Informationen sind im Dataset mit den Kontobereitstellungsdaten enthalten.Verwenden Sie den folgenden XPATH-Ausdruck, um diese Daten in der Get_Workers-Antwort abzurufen:

wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()

Umgang mit verschiedenen HR-Szenarien

In diesem Abschnitt wird erläutert, wie Sie die Bereitstellungs-App für die folgenden Szenarien zur Personalverwaltung anpassen können:

  • Unterstützung für Mitarbeiterumwandlungen
  • Abrufen von Details zu zugewiesenen internationalen Aufträgen und sekundären Aufträgen

Unterstützung für Mitarbeiterumwandlungen

In diesem Abschnitt wird die Unterstützung des Microsoft Entra-Bereitstellungsdienstes für Szenarien beschrieben, in denen ein Arbeitnehmer von Vollzeitmitarbeiter*in (Full-Time-Employee, FTE) zu Zeitarbeitnehmer (Contingent Worker, CW) oder umgekehrt wechselt. Je nachdem, wie solche Umwandlungen in Workday verarbeitet werden, müssen verschiedene Implementierungsaspekte berücksichtigt werden.

  • Szenario1: rückdatierte Umwandlung von FTE zu CW oder umgekehrt
  • Szenario2: derzeitige Anstellung als CW/FTE, sofortiger Wechsel zu FTE/CW
  • Szenario3: derzeitige Anstellung als CW/FTE ist beendet, nach längerem Zeitraum erneute Anstellung als FTE/CW
  • Szenario4: zukünftige Umwandlung, wenn der aktive Status CW/FTE lautet

Szenario1: rückdatierte Umwandlung von FTE zu CW oder umgekehrt

Ihr Personalteam kann die Umwandlungsaktion in Workday aus wichtigen geschäftlichen Gründen rückdatieren. Beispiele hierfür sind die Bearbeitung der Lohn- und Gehaltsabrechnung, die Einhaltung von Budgets, rechtliche Anforderungen und die Verwaltung von Sozialleistungen. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.

  • Es ist der 15.Januar2023, und Jane Doe hat eine befristete Stelle im Unternehmen. Die Personalabteilung bietet Jane eine unbefristete Stelle an.
  • Die Änderungen an Janes Vertrag erfordern eine Rückdatierung der Transaktion, sodass sie auf den Anfang des aktuellen Monats fällt. Die Personalabteilung initiiert am 15.Januar2023 eine rückdatierte Umwandlungstransaktion in Workday mit dem Gültigkeitsdatum 1.Januar2023. Für Jane gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv.
  • Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll am 15. Januar 2023. Der Dienst stellt automatisch im nächsten Synchronisierungszyklus Attribute für das neue FTE-Profil bereit.
  • Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario2: derzeitige Anstellung als CW/FTE, sofortiger Wechsel zu FTE/CW

Dieses Szenario ähnelt dem obigen Szenario, außer, dass die Personalabteilung anstelle einer Rückdatierung eine Umwandlung durchführt, die ab sofort gilt. Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll. Im nächsten Synchronisierungszyklus stellt der Dienst automatisch alle zugeordneten Attribute mit einem aktiven FTE-Profil bereit. Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario3: derzeitige Anstellung als CW/FTE ist beendet, nach längerem Zeitraum erneute Anstellung als FTE/CW

Es ist nicht ungewöhnlich, dass Arbeitnehmerinnen und Arbeitnehmer vorübergehend bei einem Unternehmen beschäftigt sind, das Unternehmen verlassen und dann nach mehreren Monaten mit unbefristetem Vertrag wieder eingestellt werden. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.

  • Es ist der 1.Januar2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da Johns WorkerID (übereinstimmendes Attribut) kein AD-Konto zugeordnet ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns WID (WorkdayID) für vorübergehend Beschäftigte mit seinem AD-Konto.
  • Johns Vertrag endet am 31.Januar2023. Im Bereitstellungszyklus, der am 31.Januar am Ende des Tages ausgeführt wird, ist das AD-Konto von John deaktiviert.
  • John bewirbt sich um eine andere Position an und tritt am 1.Mai2023 eine unbefristete Stelle im Unternehmen an. Die Personalabteilung gibt Johns Daten als Mitarbeiterinformation am 15.April2023 ein. Für John gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv. Die beiden Datensätze weisen die gleiche WorkerID, aber unterschiedliche WIDs auf.
  • Am 15.April überträgt der Microsoft Entra-Bereitstellungsdienst während des inkrementellen Zyklus automatisch das Eigentum am AD-Konto an das aktive Arbeitnehmerprofil. In diesem Fall wird die Verknüpfung des Profils für einen vorübergehend beschäftigten Arbeitnehmer aus dem AD-Konto entfernt und eine neue Verknüpfung zwischen Johns aktivem Mitarbeiterprofil und seinem AD-Konto erstellt.
  • Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario4: zukünftige Umwandlung, wenn der aktive Status CW/FTE lautet

Manchmal ist ein Arbeitnehmer möglicherweise bereits ein aktiver Mitarbeiter mit befristetem Vertrag, wenn die Personalabteilung eine Umwandlungstransaktion mit Datum in der Zukunft initiiert. Das folgende Beispiel zeigt, wie die Bereitstellung für dieses Szenario abläuft und welche Konfigurationsänderungen erforderlich sind, um dieses Szenario zu unterstützen.

  • Es ist der 1.Januar2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da Johns WorkerID (übereinstimmendes Attribut) kein AD-Konto zugeordnet ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns WID (WorkdayID) für vorübergehend Beschäftigte mit seinem AD-Konto.

  • Am 15.Januar initiiert die Personalabteilung eine Transaktion, um John mit Wirkung vom 1.Februar2023 von einem befristeten in einen unbefristeten Mitarbeiter umzuwandeln.

  • Da der Microsoft Entra-Bereitstellungsdienst vordatierte Einstellungen automatisch verarbeitet, wird er Johns neues Profil als Vollzeitmitarbeiter am 15.Januar verarbeiten und Johns Profil in AD mit Informationen zu seiner unbefristeten Anstellung aktualisieren, obwohl er zu diesem Zeitpunkt immer noch ein Zeitarbeitnehmer ist.

  • Um dieses Verhalten zu verhindern und um sicherzustellen, dass Johns Informationen als unbefristeter Mitarbeiter erst am 1.Februar2023 bereitgestellt werden, führen Sie die folgenden Konfigurationsänderungen aus.

    Konfigurationsänderungen

    1. Bitten Sie Ihren Workday-Administrator, eine Bereitstellungsgruppe namens „Umwandlungen mit Datum in der Zukunft“ zu erstellen.
    2. Implementieren Sie Logik in Workday, um Datensätze für Mitarbeiter, deren Stellen erst zu einem zukünftigen Datum in befristete oder unbefristete Stellen umgewandelt werden, zu dieser Bereitstellungsgruppe hinzuzufügen.
    3. Aktualisieren Sie die Microsoft Entra-Bereitstellungs-App, um diese Bereitstellungsgruppe zu lesen. Lesen Sie die Anweisungen zum Abrufen der Bereitstellungsgruppe.
    4. Erstellen Sie einen Bereichsfilter in Microsoft Entra ID, um Arbeitnehmerprofile auszuschließen, die Teil dieser Bereitstellungsgruppe sind.
    5. Implementieren Sie Logik in Workday, sodass Workday an dem Datum, an dem die Umwandlung wirksam wird, den entsprechenden Datensatz für befristete/unbefristete Mitarbeiter aus der Bereitstellungsgruppe in Workday entfernt.
    6. Mit dieser Konfiguration ist der vorhandene Datensatz für befristete/unbefristete Mitarbeiter weiterhin gültig, und die Bereitstellungsänderung erfolgt erst am Tag der Umwandlung.

Hinweis

Während der ersten vollständigen Synchronisierung stellen Sie möglicherweise ein Verhalten fest, bei dem die Attributwerte, die dem vorherigen inaktiven Mitarbeiterprofil zugeordnet sind, an das AD-Konto des umgewandelten Mitarbeiters übertragen werden. Diese Einstellung ist temporär und wird schließlich im Zuge der vollständigen Synchronisierung durch Attributwerte aus dem aktiven Mitarbeiterprofil überschrieben. Sobald die vollständige Synchronisierung abgeschlossen ist und der Bereitstellungsauftrag einen stabilen Zustand erreicht, wird während der inkrementellen Synchronisierung immer das aktive Mitarbeiterprofil ausgewählt.

Abrufen von Details zu zugewiesenen internationalen Aufträgen und sekundären Aufträgen

Standardmäßig ruft der Workday-Connector Attribute ab, die dem primären Auftrag des Workers zugeordnet sind. Der Connector unterstützt auch das Abrufen Additional Job Data, die den zugewiesenen internationalen Aufträgen oder sekundären Aufträgen zugeordnet sind.

Führen Sie die folgenden Schritte aus, um Attribute abzurufen, die den zugewiesenen internationalen Aufträgen zugeordnet sind:

  1. Legen Sie die Workday-Verbindungs-URL fest. Es wird die Workday-Webdienst-API-Version30.0 oder höher verwendet. Legen Sie die richtigen XPATH-Werte in Ihrer Workday-Bereitstellungs-App entsprechend fest.
  2. Verwenden Sie den Selektor @wd:Primary_Job=0 für den Worker_Job_Data-Knoten, um das richtige Attribut abzurufen.
    • Beispiel1: Verwenden Sie den XPATH-Ausdruck wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text(), um SecondaryBusinessTitle abzurufen.
    • Beispiel2: Verwenden Sie den XPATH-Ausdruck wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor, um SecondaryBusinessLocation abzurufen.

Nächste Schritte

  • Informieren Sie sich über das Konfigurieren der Bereitstellung aus Workday in Active Directory.
  • Erfahren Sie etwas über das Konfigurieren des Zurückschreibens in Workday.
  • Weitere Informationen zu unterstützten Workday-Attributen für die eingehende Bereitstellung
Referenz zur Microsoft Entra ID- und Workday-Integration - Microsoft Entra ID (2024)
Top Articles
Latest Posts
Article information

Author: Carlyn Walter

Last Updated:

Views: 5633

Rating: 5 / 5 (50 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Carlyn Walter

Birthday: 1996-01-03

Address: Suite 452 40815 Denyse Extensions, Sengermouth, OR 42374

Phone: +8501809515404

Job: Manufacturing Technician

Hobby: Table tennis, Archery, Vacation, Metal detecting, Yo-yoing, Crocheting, Creative writing

Introduction: My name is Carlyn Walter, I am a lively, glamorous, healthy, clean, powerful, calm, combative person who loves writing and wants to share my knowledge and understanding with you.