Freigeben über

Integration der Microsoft Entra-Bereitstellung mit Workday

  • Artikel

Der Microsoft Entra-Benutzerbereitstellungsdienst ist mit Workday HCM integriert, um den Identitätslebenszyklus von Benutzern zu verwalten. Microsoft Entra ID bietet drei vorbereitete Integrationen:

In diesem Artikel wird erläutert, wie die Integration funktioniert und wie Sie das Bereitstellungsverhalten für verschiedene HR-Szenarien anpassen können.

Herstellen von Verbindungen

Beschränken des Workday-API-Zugriffs auf Microsoft Entra-Endpunkte

Der Microsoft Entra-Bereitstellungsdienst verwendet für das Erstellen einer Verbindung mit den Webdienst-API-Endpunkten von Workday die Standardauthentifizierung.

Um die Konnektivität zwischen dem Microsoft Entra-Bereitstellungsdienst und Workday noch besser zu schützen, können Sie den Zugriff einschränken, sodass der designierte Integrationssystembenutzer nur aus den zulässigen Microsoft Entra-IP-Adressbereichen auf die Workday-APIs zugreifen darf. Wenden Sie sich an Ihren Workday-Administrator, um die folgende Konfiguration in Ihrem Workday-Mandanten abzuschließen.

  1. Laden Sie die aktuellen IP-Adressbereiche für die öffentliche Azure-Cloud herunter.
  2. Öffnen Sie die Datei und suchen Sie nach dem Tag AzureActiveDirectory.
  3. Kopieren Sie alle IP-Adressbereiche, die innerhalb des-Elements addressPrefixes aufgeführt sind, und verwenden Sie den Bereich, um eine eigene IP-Adressliste zu erstellen.
  4. Melden Sie sich beim Workday-Verwaltungsportal an.
  5. Greifen Sie auf die Aufgabe Maintain IP Ranges (IP-Adressbereiche verwalten) zu, um einen neuen IP-Adressbereich für die Azure-Rechenzentren zu erstellen. Geben Sie die IP-Adressbereiche (in CIDR-Notation) als eine durch Trennzeichen getrennte Liste an.
  6. Greifen Sie auf die Aufgabe Manage Authentication Policies (Authentifizierungsrichtlinien verwalten) zu, um eine neue Authentifizierungsrichtlinie zu erstellen. Verwenden Sie in der Authentifizierungsrichtlinie die Positivliste für die Authentifizierung, um den Microsoft Entra-IP-Adressbereich und die Sicherheitsgruppe anzugeben, der Zugriff aus diesem IP-Adressbereich gestattet wird. Speichern Sie die Änderungen.
  7. Greifen Sie auf die Aufgabe Activate All Pending Authentication Policy Changes (Alle ausstehenden Änderungen an Authentifizierungsrichtlinien aktivieren) zu, um die Änderungen zu bestätigen.

Einschränken des Zugriffs auf Mitarbeiterdaten in Workday mithilfe von eingeschränkten Sicherheitsgruppen

Mithilfe der Standardschritte zum Konfigurieren des Systembenutzers für die Workday-Integration gewähren Sie den Zugriff zum Abrufen aller Benutzer in Ihrem Workday-Mandanten. In bestimmten Integrationsszenarien sollten Sie den Zugriff beschränken. Geben Sie beispielsweise mit dem API-Aufruf Get_Workers nur Benutzer in bestimmten Aufsichtsorganisationen zurück.

Sie können den Zugriff beschränken, indem Sie mit Ihrem Workday-Administrator zusammenarbeiten und eingeschränkte Sicherheitsgruppen für das Integrationssystem konfigurieren. Weitere Informationen finden Sie im Abschnitt Get_Workers kontextbezogene Sicherheit in diesem Workday-Dokument Konzept: Get Workers SOAP Web Service Guidelines (Workday Community Zugriff für diesen Artikel erforderlich).

Diese Strategie des Beschränkens des Zugriffs mithilfe eingeschränkter ISSGs (Integrationssystem-Sicherheitsgruppen) ist insbesondere in den folgenden Szenarien hilfreich:

  • Rollout in mehreren Phasen: Sie verfügen über einen großen Workday-Mandanten und planen einen Rollout in mehreren Phasen für die automatische Bereitstellung von Workday zu Microsoft Entra ID. In diesem Szenario sollten Benutzer, die sich nicht im Gültigkeitsbereich der aktuellen Phase befinden, nicht mit Microsoft Entra-Bereichsfiltern ausgeschlossen werden. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG zu konfigurieren, sodass nur Arbeitnehmer im Gültigkeitsbereich in Microsoft Entra ID sichtbar sind.
  • Mehrere Bereitstellungsaufträge: Sie verfügen über einen großen Workday-Mandanten und mehrere AD-Domänen, die jeweils andere Geschäftseinheiten/Abteilungen/Unternehmen unterstützen. Zur Unterstützung dieser Topologie möchten Sie mehrere Bereitstellungsaufträge von Workday zu Microsoft Entra ausführen, um jeweils eine bestimmte Gruppe von Arbeitnehmern bereitzustellen. In diesem Szenario sollten Sie die Arbeitnehmerdaten nicht mit Microsoft Entra-Bereichsfiltern ausschließen. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG konfigurieren, damit nur die relevanten Arbeitnehmerdaten für Microsoft Entra ID sichtbar sind.

Abfragen der Workday-Testverbindung

Zum Testen der Konnektivität mit Workday sendet Microsoft Entra ID die folgende Get_Workers-Workday-Webdienstanforderung.

<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
    <p1:Exclude_Employees>true</p1:Exclude_Employees>
    <p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
    <p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>1</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
  </p1:Response_Group>
</Get_Workers_Request>

Funktionsweise der vollständigen Synchronisierung

Vollständige Synchronisierung bezieht sich im Zusammenhang mit der Workday-gesteuerten Bereitstellung auf den Prozess, mit dem alle Identitäten aus Workday abgerufen werden und festgelegt wird, welche Bereitstellungsregeln auf die einzelnen Mitarbeiterobjekte angewandt werden sollen. Die vollständige Synchronisierung erfolgt, wenn Sie die Bereitstellung zum ersten Mal aktivieren, und auch, wenn Sie die Bereitstellung über das Microsoft Entra Admin Center oder mithilfe der Graph-APIs neu starten.

Zum Abrufen der Arbeitnehmerdaten sendet Microsoft Entra ID die folgende Get_Workers-Workday-Webdienstanforderung. Die Abfrage durchsucht das Workday-Transaktionsprotokoll nach allen effektiv veralteten Mitarbeitereinträgen zum Zeitpunkt der vollständigen Synchronisierung.

<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Type_References>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
        </p1:Transaction_Type_Reference>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
        </p1:Transaction_Type_Reference>
      </p1:Transaction_Type_References>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Mit dem Knoten Response_Group wird angegeben, welche Mitarbeiterattribute aus Workday abgerufen werden sollen. Eine Beschreibung der einzelnen Flags im Knoten Response_Group finden Sie in der Dokumentation von Workday zur Get_Workers-API.

Bestimmte Flagwerte, die im Knoten Response_Group angegeben sind, werden basierend auf den in der Microsoft Entra-Bereitstellungsanwendung für Workday konfigurierten Attributen berechnet. Die Kriterien, die zum Festlegen der Flagwerte angewandt werden, finden Sie im Abschnitt Unterstützten Entitäten.

Die Antwort auf Get_Workers von Workday für die obige Abfrage enthält die Anzahl der Mitarbeiterdatensätze und die Seitenanzahl.

  <wd:Response_Results>
    <wd:Total_Results>509</wd:Total_Results>
    <wd:Total_Pages>17</wd:Total_Pages>
    <wd:Page_Results>30</wd:Page_Results>
    <wd:Page>1</wd:Page>
  </wd:Response_Results>

Zum Abrufen der nächsten Seite des Resultsets wird in der nächsten Get_Workers-Abfrage die Seitenzahl als Parameter im Response_Filter angegeben.

  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Page>2</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>

Der Microsoft Entra-Bereitstellungsdienst verarbeitet während der vollständigen Synchronisierung jede Seite und durchläuft alle gültigen Arbeitnehmer. Für jeden aus Workday importierten Arbeitnehmereintrag werden folgende Aktionen ausgeführt:

  • Der XPATH-Ausdruck wird angewandt, um Attributwerte aus Workday abzurufen.
  • Die Attributzuordnung und die Vergleichsregeln werden angewandt.
  • Der Dienst bestimmt, welcher Vorgang im Ziel ausgeführt werden soll (Microsoft Entra ID /Active Directory).

Sobald die Verarbeitung abgeschlossen wurde, wird der Zeitstempel vom Beginn der vollständigen Synchronisierung als Wasserzeichen gespeichert. Dieses Wasserzeichen dient als Startpunkt für den inkrementellen Synchronisierungszyklus.

Funktionsweise der inkrementellen Synchronisierung

Nach der vollständigen Synchronisierung verwaltet der Microsoft Entra-Bereitstellungsdienst einen LastExecutionTimestamp und verwendet diesen zum Erstellen von Deltaabfragen für das Abrufen inkrementeller Änderungen. Während der inkrementellen Synchronisierung sendet Microsoft Entra ID die folgenden Typen von Abfragen an Workday:

Abfrage von manuellen Updates

Die folgende Get_Workers-Anforderung fragt manuelle Updates ab, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.

<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Abfrage von Updates und Kündigungen zu einem bestimmten Datum

Die folgende Get_Workers-Anforderung fragt Updates zu bestimmten Daten ab, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.

<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
        <p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Abfrage für zukünftige Neueinstellungen

Wenn eine der oben genannten Abfragen eine Einstellung in der Zukunft zurückgibt, werden mithilfe der folgenden Get_Workers-Anforderung Informationen zu einer zukünftigen Neueinstellung abgerufen. Das WID-Attribut des neu eingestellten Mitarbeiters wird für die Suche verwendet, und als effektives Datum werden das Datum und die Uhrzeit der Einstellung festgelegt.

Hinweis

Bei Einstellungen in Workday, die in der Zukunft liegen, ist das Feld „Active“ (Aktiv) auf „0“ festgelegt. Es ändert sich am Tag des Einstellungsdatums in „1“. Der Connector fragt entwurfsgemäß Informationen zur zukünftigen Einstellung ab, die am Einstellungsdatum gültig sind. Aus diesem Grund erhält er immer das Mitarbeiterprofil der zukünftigen Einstellung, dessen Feld „Active“ auf „1“ festgelegt ist. Auf diese Weise können Sie das Microsoft Entra-Profil für zukünftige Arbeitnehmer bereits im Voraus einrichten, wobei alle erforderlichen Informationen bereits ausgefüllt sind. Wenn Sie die Aktivierung des Microsoft Entra-Kontos für zukünftige Arbeitnehmer verzögern möchten, verwenden Sie die Transformationsfunktion DateDiff.

<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_References>
    <p1:Worker_Reference>
      <p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
    </p1:Worker_Reference>
  </p1:Request_References>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Abrufen von Attributen für Mitarbeiterdaten

Die Get_Workers-API kann verschiedene Datasets zurückgeben, die einem Mitarbeiter zugeordnet sind. Abhängig von den XPATH-API-Ausdrücken, die im Bereitstellungsschema konfiguriert sind, legt der Microsoft Entra-Bereitstellungsdienst fest, welche Datasets aus Workday abgerufen werden sollen. Die entsprechenden Response_Group-Flags werden in der Get_Workers-Anforderung festgelegt.

In der folgenden Tabelle finden Sie einen Leitfaden für die Konfiguration der Zuordnung zum Abrufen eines bestimmten Datasets.

# Workday-Entität Standardmäßig inbegriffen XPATH-Muster zum Angeben der Zuordnung für das Abrufen nicht standardmäßiger Entitäten
1 Personal Data Ja wd:Worker_Data/wd:Personal_Data
2 Employment Data Ja wd:Worker_Data/wd:Employment_Data
3 Additional Job Data Ja wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]
4 Organization Data Ja wd:Worker_Data/wd:Organization_Data
5 Management Chain Data Ja wd:Worker_Data/wd:Management_Chain_Data
6 Supervisory Organization Ja SUPERVISORY
7 Company Ja COMPANY
8 Business Unit Nein BUSINESS_UNIT
9 Business Unit Hierarchy Nein BUSINESS_UNIT_HIERARCHY
10 Company Hierarchy Nein COMPANY_HIERARCHY
11 Cost Center Nein COST_CENTER
12 Cost Center Hierarchy Nein COST_CENTER_HIERARCHY
13 Fund Nein FUND
14 Fund Hierarchy Nein FUND_HIERARCHY
15 Gift Nein GIFT
16 Gift Hierarchy Nein GIFT_HIERARCHY
17 Grant Nein GRANT
18 Grant Hierarchy Nein GRANT_HIERARCHY
19 Business Site Hierarchy Nein BUSINESS_SITE_HIERARCHY
20 Matrix Organization Nein MATRIX
21 Pay Group Nein PAY_GROUP
22 Programs Nein PROGRAMS
23 Program Hierarchy Nein PROGRAM_HIERARCHY
24 Region Nein REGION_HIERARCHY
25 Location Hierarchy Nein LOCATION_HIERARCHY
26 Account Provisioning Data Nein wd:Worker_Data/wd:Account_Provisioning_Data
27 Background Check Data Nein wd:Worker_Data/wd:Background_Check_Data
28 Benefit Eligibility Data Nein wd:Worker_Data/wd:Benefit_Eligibility_Data
29 Benefit Enrollment Data Nein wd:Worker_Data/wd:Benefit_Enrollment_Data
30 Career Data Nein wd:Worker_Data/wd:Career_Data
31 Compensation Data Nein wd:Worker_Data/wd:Compensation_Data
32 Contingent Worker Tax Authority Data Nein wd:Worker_Data/wd:Contingent_Worker_Tax_Authority_Form_Type_Data
33 Development Item Data Nein wd:Worker_Data/wd:Development_Item_Data
34 Employee Contracts Data Nein wd:Worker_Data/wd:Employee_Contracts_Data
35 Employee Review Data Nein wd:Worker_Data/wd:Employee_Review_Data
36 Feedback Received Data Nein wd:Worker_Data/wd:Feedback_Received_Data
37 Worker Goal Data Nein wd:Worker_Data/wd:Worker_Goal_Data
38 Photo Data Nein wd:Worker_Data/wd:Photo_Data
39 Qualification Data Nein wd:Worker_Data/wd:Qualification_Data
40 Related Persons Data Nein wd:Worker_Data/wd:Related_Persons_Data
41 Role Data Nein wd:Worker_Data/wd:Role_Data
42 Skill Data Nein wd:Worker_Data/wd:Skill_Data
43 Succession Profile Data Nein wd:Worker_Data/wd:Succession_Profile_Data
44 Talent Assessment Data Nein wd:Worker_Data/wd:Talent_Assessment_Data
45 User Account Data No wd:Worker_Data/wd:User_Account_Data
46 Worker Document Data Nein wd:Worker_Data/wd:Worker_Document_Data

Hinweis

Jede in der Tabelle aufgelistete Workday-Entität wird durch eine Domänensicherheitsrichtlinie in Workday geschützt. Wenn Sie nach dem Festlegen des richtigen XPATH keine Attribute abrufen können, die der Entität zugeordnet sind, wenden Sie sich an Ihren Workday-Administrator, um sicherzustellen, dass für den Integrationssystembenutzer, der der Bereitstellungs-App zugeordnet ist, die entsprechende Domänensicherheitsrichtlinie konfiguriert ist. Wenn Sie z. B. Daten zu Fertigkeiten abrufen möchten, ist der Zugriff Abrufen für die Workday-Domäne Worker Data: Skills and Experience (Mitarbeiterdaten: Fertigkeiten und Erfahrungen).

Im Folgenden finden Sie einige Beispiele dazu, wie Sie die Workday-Integration erweitern können, um bestimmte Anforderungen zu erfüllen.

Beispiel 1: Abrufen von Informationen zu Kostenstelle und Lohngruppe

Angenommen, Sie möchten die folgenden Datasets aus Workday abrufen und in Ihren Bereitstellungsregeln verwenden:

  • Kostenstelle
  • Hierarchie der Kostenstellen
  • Lohngruppe

Die oben aufgeführten Datasets sind standardmäßig nicht enthalten. So rufen Sie diese Datasets ab

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie Ihre Benutzerbereitstellungsanwendung Workday in Active Directory/Microsoft Entra aus.

  4. Wählen Sie Bereitstellung aus.

  5. Bearbeiten Sie die Zuordnungen, und öffnen Sie die Liste der Workday-Attribute im Abschnitt „Erweitert“.

  6. Fügen Sie die folgenden Attributdefinitionen hinzu, und markieren Sie sie als „erforderlich“. Diese Attribute sind keinem Attribut in Active Directory oder Microsoft Entra ID zugeordnet. Sie dienen als Signale für den Connector, um die Informationen zu Kostenstelle, Kostenstellenhierarchie und Lohngruppe abzurufen.

    Attributname XPATH-API-Ausdruck
    CostCenterHierarchyFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor
    CostCenterFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text()
    PayGroupFlag wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text()

  7. Wenn die Datasets für Kostenstelle und Lohngruppe in der Get_Workers-Antwort enthalten sind, können Sie mithilfe der XPATH-Werte Namen und Code der Kostenstelle sowie die Lohngruppe abrufen.

    Attributname XPATH-API-Ausdruck
    CostCenterName wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Name/text()
    CostCenterCode wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Cost Center']/wd:Organization_Code/text()
    PayGroup wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()

Beispiel 2: Abrufen von Daten zu Qualifikation und Fertigkeiten

Angenommen, Sie möchten Zertifizierungen abrufen, die einem Benutzer zugeordnet sind. Diese Informationen sind im Dataset mit den Qualifikationsdaten enthalten. Verwenden Sie den folgenden XPATH-Ausdruck, um dieses Dataset in der Get_Workers-Antwort abzurufen:

wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()

Beispiel 3: Abrufen der Zuweisungen von Bereitstellungsgruppen

Angenommen, Sie möchten die Bereitstellungsgruppen abrufen, die einem Mitarbeiter zugewiesen sind. Diese Informationen sind im Dataset mit den Kontobereitstellungsdaten enthalten. Verwenden Sie den folgenden XPATH-Ausdruck, um diese Daten in der Get_Workers-Antwort abzurufen:

wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()

Umgang mit verschiedenen HR-Szenarien

In diesem Abschnitt wird erläutert, wie Sie die Bereitstellungs-App für die folgenden Szenarien zur Personalverwaltung anpassen können:

Unterstützung für Mitarbeiterumwandlungen

In diesem Abschnitt wird die Unterstützung des Microsoft Entra-Bereitstellungsdienstes für Szenarien beschrieben, in denen ein Arbeitnehmer von Vollzeitmitarbeiter*in (Full-Time-Employee, FTE) zu Zeitarbeitnehmer (Contingent Worker, CW) oder umgekehrt wechselt. Je nachdem, wie solche Umwandlungen in Workday verarbeitet werden, müssen verschiedene Implementierungsaspekte berücksichtigt werden.

Szenario 1: rückdatierte Umwandlung von FTE zu CW oder umgekehrt

Ihr Personalteam kann die Umwandlungsaktion in Workday aus wichtigen geschäftlichen Gründen rückdatieren. Beispiele hierfür sind die Bearbeitung der Lohn- und Gehaltsabrechnung, die Einhaltung von Budgets, rechtliche Anforderungen und die Verwaltung von Sozialleistungen. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.

  • Es ist der 15. Januar 2023, und Jane Doe hat eine befristete Stelle im Unternehmen. Die Personalabteilung bietet Jane eine unbefristete Stelle an.
  • Die Änderungen an Janes Vertrag erfordern eine Rückdatierung der Transaktion, sodass sie auf den Anfang des aktuellen Monats fällt. Die Personalabteilung initiiert am 15. Januar 2023 eine rückdatierte Umwandlungstransaktion in Workday mit dem Gültigkeitsdatum 1. Januar 2023. Für Jane gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv.
  • Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll am 15. Januar 2023. Der Dienst stellt automatisch im nächsten Synchronisierungszyklus Attribute für das neue FTE-Profil bereit.
  • Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario 2: derzeitige Anstellung als CW/FTE, sofortiger Wechsel zu FTE/CW

Dieses Szenario ähnelt dem obigen Szenario, außer, dass die Personalabteilung anstelle einer Rückdatierung eine Umwandlung durchführt, die ab sofort gilt. Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll. Im nächsten Synchronisierungszyklus stellt der Dienst automatisch alle zugeordneten Attribute mit einem aktiven FTE-Profil bereit. Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario 3: derzeitige Anstellung als CW/FTE ist beendet, nach längerem Zeitraum erneute Anstellung als FTE/CW

Es ist nicht ungewöhnlich, dass Arbeitnehmerinnen und Arbeitnehmer vorübergehend bei einem Unternehmen beschäftigt sind, das Unternehmen verlassen und dann nach mehreren Monaten mit unbefristetem Vertrag wieder eingestellt werden. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.

  • Es ist der 1. Januar 2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da Johns WorkerID (übereinstimmendes Attribut) kein AD-Konto zugeordnet ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns WID (WorkdayID) für vorübergehend Beschäftigte mit seinem AD-Konto.
  • Johns Vertrag endet am 31. Januar 2023. Im Bereitstellungszyklus, der am 31. Januar am Ende des Tages ausgeführt wird, ist das AD-Konto von John deaktiviert.
  • John bewirbt sich um eine andere Position an und tritt am 1. Mai 2023 eine unbefristete Stelle im Unternehmen an. Die Personalabteilung gibt Johns Daten als Mitarbeiterinformation am 15. April 2023 ein. Für John gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv. Die beiden Datensätze weisen die gleiche WorkerID, aber unterschiedliche WIDs auf.
  • Am 15. April überträgt der Microsoft Entra-Bereitstellungsdienst während des inkrementellen Zyklus automatisch das Eigentum am AD-Konto an das aktive Arbeitnehmerprofil. In diesem Fall wird die Verknüpfung des Profils für einen vorübergehend beschäftigten Arbeitnehmer aus dem AD-Konto entfernt und eine neue Verknüpfung zwischen Johns aktivem Mitarbeiterprofil und seinem AD-Konto erstellt.
  • Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario 4: zukünftige Umwandlung, wenn der aktive Status CW/FTE lautet

Manchmal ist ein Arbeitnehmer möglicherweise bereits ein aktiver Mitarbeiter mit befristetem Vertrag, wenn die Personalabteilung eine Umwandlungstransaktion mit Datum in der Zukunft initiiert. Das folgende Beispiel zeigt, wie die Bereitstellung für dieses Szenario abläuft und welche Konfigurationsänderungen erforderlich sind, um dieses Szenario zu unterstützen.

  • Es ist der 1. Januar 2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da Johns WorkerID (übereinstimmendes Attribut) kein AD-Konto zugeordnet ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns WID (WorkdayID) für vorübergehend Beschäftigte mit seinem AD-Konto.

  • Am 15. Januar initiiert die Personalabteilung eine Transaktion, um John mit Wirkung vom 1. Februar 2023 von einem befristeten in einen unbefristeten Mitarbeiter umzuwandeln.

  • Da der Microsoft Entra-Bereitstellungsdienst vordatierte Einstellungen automatisch verarbeitet, wird er Johns neues Profil als Vollzeitmitarbeiter am 15. Januar verarbeiten und Johns Profil in AD mit Informationen zu seiner unbefristeten Anstellung aktualisieren, obwohl er zu diesem Zeitpunkt immer noch ein Zeitarbeitnehmer ist.

  • Um dieses Verhalten zu verhindern und um sicherzustellen, dass Johns Informationen als unbefristeter Mitarbeiter erst am 1. Februar 2023 bereitgestellt werden, führen Sie die folgenden Konfigurationsänderungen aus.

    Konfigurationsänderungen

    1. Bitten Sie Ihren Workday-Administrator, eine Bereitstellungsgruppe namens „Umwandlungen mit Datum in der Zukunft“ zu erstellen.
    2. Implementieren Sie Logik in Workday, um Datensätze für Mitarbeiter, deren Stellen erst zu einem zukünftigen Datum in befristete oder unbefristete Stellen umgewandelt werden, zu dieser Bereitstellungsgruppe hinzuzufügen.
    3. Aktualisieren Sie die Microsoft Entra-Bereitstellungs-App, um diese Bereitstellungsgruppe zu lesen. Lesen Sie die Anweisungen zum Abrufen der Bereitstellungsgruppe.
    4. Erstellen Sie einen Bereichsfilter in Microsoft Entra ID, um Arbeitnehmerprofile auszuschließen, die Teil dieser Bereitstellungsgruppe sind.
    5. Implementieren Sie Logik in Workday, sodass Workday an dem Datum, an dem die Umwandlung wirksam wird, den entsprechenden Datensatz für befristete/unbefristete Mitarbeiter aus der Bereitstellungsgruppe in Workday entfernt.
    6. Mit dieser Konfiguration ist der vorhandene Datensatz für befristete/unbefristete Mitarbeiter weiterhin gültig, und die Bereitstellungsänderung erfolgt erst am Tag der Umwandlung.

Hinweis

Während der ersten vollständigen Synchronisierung stellen Sie möglicherweise ein Verhalten fest, bei dem die Attributwerte, die dem vorherigen inaktiven Mitarbeiterprofil zugeordnet sind, an das AD-Konto des umgewandelten Mitarbeiters übertragen werden. Diese Einstellung ist temporär und wird schließlich im Zuge der vollständigen Synchronisierung durch Attributwerte aus dem aktiven Mitarbeiterprofil überschrieben. Sobald die vollständige Synchronisierung abgeschlossen ist und der Bereitstellungsauftrag einen stabilen Zustand erreicht, wird während der inkrementellen Synchronisierung immer das aktive Mitarbeiterprofil ausgewählt.

Abrufen von Details zu zugewiesenen internationalen Aufträgen und sekundären Aufträgen

Standardmäßig ruft der Workday-Connector Attribute ab, die dem primären Auftrag des Workers zugeordnet sind. Der Connector unterstützt auch das Abrufen Additional Job Data, die den zugewiesenen internationalen Aufträgen oder sekundären Aufträgen zugeordnet sind.

Führen Sie die folgenden Schritte aus, um Attribute abzurufen, die den zugewiesenen internationalen Aufträgen zugeordnet sind:

  1. Legen Sie die Workday-Verbindungs-URL fest. Es wird die Workday-Webdienst-API-Version 30.0 oder höher verwendet. Legen Sie die richtigen XPATH-Werte in Ihrer Workday-Bereitstellungs-App entsprechend fest.
  2. Verwenden Sie den Selektor @wd:Primary_Job=0 für den Worker_Job_Data-Knoten, um das richtige Attribut abzurufen.
    • Beispiel 1: Verwenden Sie den XPATH-Ausdruck wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text(), um SecondaryBusinessTitle abzurufen.
    • Beispiel 2: Verwenden Sie den XPATH-Ausdruck wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor, um SecondaryBusinessLocation abzurufen

Bekannte Einschränkungen

In diesem Abschnitt finden Sie eine Liste der aktuellen, bekannten Einschränkungen, auf die Kundinnen und Kunden bei der Integration von Workday stoßen können.

  1. Der Connector unterstützt nicht das Abrufen von berechneten Workday-Feldern.
  2. Der Connector unterstützt die Synchronisierung von Fotos von Workday nicht.
  3. Der Connector unterstützt keine erweiterte Abfrage von Arbeitskräften, deren letzter Arbeitstag fällig ist.
  4. Bei der inkrementellen Synchronisierung kann es zu einer Verzögerung bei der Verarbeitung des Beendigungsereignisses für Arbeitskräfte in den Regionen Asien-Pazifik und Australien/Neuseeland kommen.

Nächste Schritte