Integration der Microsoft Entra-Bereitstellung mit Workday

Der Microsoft Entra-Benutzerbereitstellungsdienst ist in Workday HCM integriert, um den Identitätslebenszyklus von Benutzern zu verwalten. Microsoft Entra ID bietet drei vorbereitete Integrationen:

• Arbeitstag für die lokale Bereitstellung von Active Directory-Benutzern
• Workday für microsoft Entra-Benutzerbereitstellung
• Workday-Rückschreiben

In diesem Artikel wird erläutert, wie die Integration funktioniert und wie Sie das Bereitstellungsverhalten für verschiedene HR-Szenarien anpassen können.

Herstellen von Verbindungen

Beschränken des Workday-API-Zugriffs auf Microsoft Entra-Endpunkte

Der Microsoft Entra-Bereitstellungsdienst verwendet für das Erstellen einer Verbindung mit den Webdienst-API-Endpunkten von Workday die Standardauthentifizierung.

Um die Konnektivität zwischen dem Microsoft Entra-Bereitstellungsdienst und Workday noch besser zu schützen, können Sie den Zugriff einschränken, sodass der designierte Integrationssystembenutzer nur aus den zulässigen Microsoft Entra-IP-Adressbereichen auf die Workday-APIs zugreifen darf. Wenden Sie sich an Ihren Workday-Administrator, um die folgende Konfiguration in Ihrem Workday-Mandanten abzuschließen.

1. Laden Sie die neuesten IP-Bereiche für die azure Public Cloud herunter.
2. Öffnen Sie die Datei und suchen Sie nach dem Tag AzureActiveDirectory.
3. Kopieren Sie alle ip-Adressbereiche, die innerhalb der ElementadressePrefixes aufgeführt sind, und verwenden Sie den Bereich, um Ihre IP-Adressliste zu erstellen.
4. Melden Sie sich beim Workday-Verwaltungsportal an.
5. Greifen Sie auf die Aufgabe "IP-Bereiche verwalten " zu, um einen neuen IP-Bereich für Azure-Rechenzentren zu erstellen. Geben Sie die IP-Adressbereiche (in CIDR-Notation) als eine durch Trennzeichen getrennte Liste an.
6. Greifen Sie auf die Aufgabe "Authentifizierungsrichtlinien verwalten " zu, um eine neue Authentifizierungsrichtlinie zu erstellen. Verwenden Sie in der Authentifizierungsrichtlinie die Positivliste für die Authentifizierung, um den Microsoft Entra-IP-Adressbereich und die Sicherheitsgruppe anzugeben, der Zugriff aus diesem IP-Adressbereich gestattet wird. Speichern Sie die Änderungen.
7. Greifen Sie auf die Aufgabe "Alle ausstehenden Authentifizierungsrichtlinienänderungen aktivieren " zu, um Änderungen zu bestätigen.

Einschränken des Zugriffs auf Mitarbeiterdaten in Workday mithilfe von eingeschränkten Sicherheitsgruppen

Die Standardschritte zum Konfigurieren des Workday-Integrationssystems gewähren Benutzern Zugriff, um alle Benutzer in Ihrem Workday-Mandanten abzurufen. In bestimmten Integrationsszenarien sollten Sie den Zugriff beschränken. Geben Sie beispielsweise mit dem API-Aufruf Get_Workers nur Benutzer in bestimmten Aufsichtsorganisationen zurück.

Sie können den Zugriff beschränken, indem Sie mit Ihrem Workday-Administrator zusammenarbeiten und eingeschränkte Sicherheitsgruppen für das Integrationssystem konfigurieren. Weitere Informationen finden Sie im Abschnitt Get_Workers kontextbezogenen Sicherheit in diesem Workday-Dokumentkonzept: Abrufen von Soap-Webdienstrichtlinien für Mitarbeiter (Workday Community-Zugriff erforderlich für diesen Artikel).

Diese Strategie des Beschränkens des Zugriffs mithilfe eingeschränkter ISSGs (Integrationssystem-Sicherheitsgruppen) ist insbesondere in den folgenden Szenarien hilfreich:

• Szenario für die schrittweise Einführung: Sie verfügen über einen großen Workday-Mandanten und planen, eine schrittweise Einführung von Workday auf die automatisierte Bereitstellung von Microsoft Entra ID durchzuführen. In diesem Szenario sollten Benutzer, die sich nicht im Gültigkeitsbereich der aktuellen Phase befinden, nicht mit Microsoft Entra-Bereichsfiltern ausgeschlossen werden. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG zu konfigurieren, sodass nur Arbeitnehmer im Gültigkeitsbereich in Microsoft Entra ID sichtbar sind.
• Szenario mit mehreren Bereitstellungsaufträgen: Sie verfügen über einen großen Workday-Mandanten und mehrere AD-Domänen, die jeweils eine andere Geschäftseinheit/Abteilung/Firma unterstützen. Zur Unterstützung dieser Topologie möchten Sie mehrere Bereitstellungsaufträge von Workday zu Microsoft Entra ausführen, um jeweils eine bestimmte Gruppe von Arbeitnehmern bereitzustellen. In diesem Szenario sollten Sie die Arbeitnehmerdaten nicht mit Microsoft Entra-Bereichsfiltern ausschließen. Es empfiehlt sich stattdessen, eine eingeschränkte ISSG konfigurieren, damit nur die relevanten Arbeitnehmerdaten für Microsoft Entra ID sichtbar sind.

Abfragen der Workday-Testverbindung

Um die Konnektivität mit Workday zu testen, sendet die Microsoft Entra-ID die folgende Get_Workers Workday-Webdienstanforderung.

<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
    <p1:Exclude_Employees>true</p1:Exclude_Employees>
    <p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
    <p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>1</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
  </p1:Response_Group>
</Get_Workers_Request>

Funktionsweise der vollständigen Synchronisierung

Die vollständige Synchronisierung im Kontext der workday-gesteuerten Bereitstellung bezieht sich auf den Prozess des Abrufens aller Identitäten von Workday und die Bestimmung der Bereitstellungsregeln, die für jedes Arbeitsobjekt gelten sollen. Die vollständige Synchronisierung erfolgt, wenn Sie die Bereitstellung zum ersten Mal aktivieren und auch die Bereitstellung über das Microsoft Entra Admin Center neu starten oder Graph-APIs verwenden.

Die Microsoft Entra-ID sendet die folgende Get_Workers Workday-Webdienstanforderung, um Arbeitsdaten abzurufen. Die Abfrage durchsucht das Workday-Transaktionsprotokoll nach allen effektiv veralteten Mitarbeitereinträgen zum Zeitpunkt der vollständigen Synchronisierung.

<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Type_References>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
        </p1:Transaction_Type_Reference>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
        </p1:Transaction_Type_Reference>
      </p1:Transaction_Type_References>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Der knoten Response_Group wird verwendet, um anzugeben, welche Arbeitsattribute von Workday abgerufen werden sollen. Eine Beschreibung der einzelnen Kennzeichnungen im knoten Response_Group finden Sie in der Workday Get_Workers API-Dokumentation.

Bestimmte Flagwerte, die im knoten Response_Group angegeben sind, werden basierend auf den Attributen berechnet, die in der Microsoft Entra-Bereitstellungsanwendung von Workday konfiguriert sind. Weitere Informationen finden Sie im Abschnitt zu unterstützten Entitäten für die Kriterien, die zum Festlegen der Flagwerte verwendet werden.

Die Get_Workers Antwort von Workday für die obige Abfrage enthält die Anzahl der Arbeitsdatensätze und die Seitenanzahl.

  <wd:Response_Results>
    <wd:Total_Results>509</wd:Total_Results>
    <wd:Total_Pages>17</wd:Total_Pages>
    <wd:Page_Results>30</wd:Page_Results>
    <wd:Page>1</wd:Page>
  </wd:Response_Results>

Um die nächste Seite des Resultsets abzurufen, gibt die nächste Get_Workers Abfrage die Seitenzahl als Parameter in der Response_Filter an.

  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Page>2</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>

Der Microsoft Entra-Bereitstellungsdienst verarbeitet während der vollständigen Synchronisierung jede Seite und durchläuft alle gültigen Arbeitnehmer. Für jeden aus Workday importierten Arbeitnehmereintrag werden folgende Aktionen ausgeführt:

• Der XPATH-Ausdruck wird angewendet, um Attributwerte von Workday abzurufen.
• Die Attributzuordnung und die Vergleichsregeln werden angewandt.
• Der Dienst bestimmt, welcher Vorgang im Ziel ausgeführt werden soll (Microsoft Entra ID /Active Directory).

Sobald die Verarbeitung abgeschlossen wurde, wird der Zeitstempel vom Beginn der vollständigen Synchronisierung als Wasserzeichen gespeichert. Dieses Wasserzeichen dient als Startpunkt für den inkrementellen Synchronisierungszyklus.

Funktionsweise der inkrementellen Synchronisierung

Nach der vollständigen Synchronisierung verwaltet der Microsoft Entra-Bereitstellungsdienst einen LastExecutionTimestamp und verwendet diesen zum Erstellen von Deltaabfragen für das Abrufen inkrementeller Änderungen. Während der inkrementellen Synchronisierung sendet Microsoft Entra ID die folgenden Typen von Abfragen an Workday:

• Abfrage nach manuellen Updates
• Abfrage nach wirksamen Aktualisierungen und Kündigungen
• Abfrage nach zukünftigen Eingestellten

Abfrage von manuellen Updates

Im folgenden Get_Workers Anforderungsabfragen für manuelle Aktualisierungen, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.

<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Abfrage von Updates und Kündigungen zu einem bestimmten Datum

Die folgenden Get_Workers Anforderungsabfragen für effektive Aktualisierungen, die zwischen der letzten Ausführung und der aktuellen Ausführungszeit aufgetreten sind.

<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
        <p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Abfrage für zukünftige Neueinstellungen

Wenn eine der oben genannten Abfragen eine zukünftige Einstellung zurückgibt, wird die folgende Get_Workers Anforderung verwendet, um Informationen über einen zukünftigen neu eingestellten Mitarbeiter abzurufen. Das WID-Attribut der neuen Einstellung wird verwendet, um die Suche durchzuführen, und das Effektive Datum wird auf das Datum und die Uhrzeit der Einstellung festgelegt.

<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_References>
    <p1:Worker_Reference>
      <p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
    </p1:Worker_Reference>
  </p1:Request_References>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Abrufen von Attributen für Mitarbeiterdaten

Die Get_Workers-API kann verschiedene Datensätze zurückgeben, die einem Worker zugeordnet sind. Abhängig von den im Bereitstellungsschema konfigurierten XPATH-API-Ausdrücken bestimmt der Microsoft Entra-Bereitstellungsdienst, welche Datensätze aus Workday abgerufen werden sollen. Dementsprechend werden die Response_Group Flags in der Get_Workers Anforderung festgelegt.

In der folgenden Tabelle finden Sie einen Leitfaden für die Konfiguration der Zuordnung zum Abrufen eines bestimmten Datasets.

Im Folgenden finden Sie einige Beispiele dazu, wie Sie die Workday-Integration erweitern können, um bestimmte Anforderungen zu erfüllen.

Beispiel 1: Abrufen von Informationen zu Kostenstelle und Lohngruppe

Angenommen, Sie möchten die folgenden Datasets aus Workday abrufen und in Ihren Bereitstellungsregeln verwenden:

• Kostenstelle
• Hierarchie der Kostenstellen
• Lohngruppe

Die oben aufgeführten Datasets sind standardmäßig nicht enthalten. So rufen Sie diese Datasets ab

1. Melden Sie sich mindestens als Anwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps.

3. Wählen Sie Ihre Benutzerbereitstellungsanwendung Workday in Active Directory/Microsoft Entra aus.

4. Wählen Sie "Bereitstellung" aus.

5. Bearbeiten Sie die Zuordnungen, und öffnen Sie die Liste der Workday-Attribute im Abschnitt „Erweitert“.

6. Fügen Sie die folgenden Attributdefinitionen hinzu, und markieren Sie sie als „erforderlich“. Diese Attribute sind keinem Attribut in Active Directory oder Microsoft Entra ID zugeordnet. Sie dienen als Signale für den Connector, um die Informationen zu Kostenstelle, Kostenstellenhierarchie und Lohngruppe abzurufen.

   Attributname	XPATH-API-Ausdruck
   CostCenterHierarchyFlag	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descriptor
   Kostenstellen-Kennzeichen	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text()
   PayGroupFlag (PayGroupFlag)	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text()

7. Sobald das Datenset "Kostenstelle" und "Zahlengruppe" in der Antwort Get_Workers verfügbar ist, können Sie die XPATH-Werte verwenden, um den Kostenstellennamen, den Kostenstellencode und die Zahlengruppe abzurufen.

   Attributname	XPATH-API-Ausdruck
   Kostenstellenname	wd:Arbeiter/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Kostenstelle']/wd:Organization_Name/text()
   Kostenstellen-Code	wd:Arbeiter/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Kostenstelle']/wd:Organization_Code/text()
   PayGroup	wd:Arbeiter/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Lohngruppe']/wd:Organization_Name/text()

Beispiel 2: Abrufen von Daten zu Qualifikation und Fertigkeiten

Angenommen, Sie möchten Zertifizierungen abrufen, die einem Benutzer zugeordnet sind. Diese Informationen sind im Rahmen des Qualifikationsdatensatzes verfügbar. Um diesen Datensatz als Teil der Get_Workers Antwort abzurufen, verwenden Sie den folgenden XPATH:

wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()

Beispiel 3: Abrufen der Zuweisungen von Bereitstellungsgruppen

Angenommen, Sie möchten Bereitstellungsgruppen abrufen, die einem Worker zugewiesen sind. Diese Informationen sind im Rahmen des Datensatzes für die Kontobereitstellung verfügbar. Verwenden Sie zum Abrufen dieser Daten im Rahmen der Get_Workers-Antwort das folgende XPATH:

wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()

Umgang mit verschiedenen HR-Szenarien

In diesem Abschnitt wird erläutert, wie Sie die Bereitstellungs-App für die folgenden Szenarien zur Personalverwaltung anpassen können:

• Unterstützung für Arbeitskonvertierungen
• Abrufen internationaler Auftragszuweisungen und sekundärer Auftragsdetails

Unterstützung für Mitarbeiterumwandlungen

In diesem Abschnitt wird die Unterstützung des Microsoft Entra-Bereitstellungsdienstes für Szenarien beschrieben, in denen ein Arbeitnehmer von Vollzeitmitarbeiter*in (Full-Time-Employee, FTE) zu Zeitarbeitnehmer (Contingent Worker, CW) oder umgekehrt wechselt. Je nachdem, wie solche Umwandlungen in Workday verarbeitet werden, müssen verschiedene Implementierungsaspekte berücksichtigt werden.

• Szenario 1: Gesicherte Konvertierung von FTE in CW oder umgekehrt
• Szenario 2: Arbeitnehmer, der heute als CW/FTE beschäftigt ist, ändert sich heute in FTE/CW
• Szenario 3: Arbeitnehmer, der als CW/FTE beschäftigt ist, wird beendet, wird nach einer erheblichen Lücke als FTE/CW wieder beitreten.
• Szenario 4: Zukünftige Konvertierung, wenn Worker ein aktives CW/FTE ist

Szenario 1: rückdatierte Umwandlung von FTE zu CW oder umgekehrt

Ihr Personalteam kann die Umwandlungsaktion in Workday aus wichtigen geschäftlichen Gründen rückdatieren. Beispiele hierfür sind die Bearbeitung der Lohn- und Gehaltsabrechnung, die Einhaltung von Budgets, rechtliche Anforderungen und die Verwaltung von Sozialleistungen. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.

• Es ist der 15. Januar 2023, und Jane Doe hat eine befristete Stelle im Unternehmen. Die Personalabteilung bietet Jane eine unbefristete Stelle an.
• Die Änderungen an Janes Vertrag erfordern eine Rückdatierung der Transaktion, sodass sie auf den Anfang des aktuellen Monats fällt. Die Personalabteilung initiiert am 15. Januar 2023 eine rückdatierte Umwandlungstransaktion in Workday mit dem Gültigkeitsdatum 1. Januar 2023. Für Jane gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv.
• Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll am 15. Januar 2023. Der Dienst stellt automatisch im nächsten Synchronisierungszyklus Attribute für das neue FTE-Profil bereit.
• Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario 2: derzeitige Anstellung als CW/FTE, sofortiger Wechsel zu FTE/CW

Dieses Szenario ähnelt dem obigen Szenario, außer, dass die Personalabteilung anstelle einer Rückdatierung eine Umwandlung durchführt, die ab sofort gilt. Der Microsoft Entra-Bereitstellungsdienst erkennt diese Änderung im Workday-Transaktionsprotokoll. Im nächsten Synchronisierungszyklus stellt der Dienst automatisch alle zugeordneten Attribute mit einem aktiven FTE-Profil bereit. Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario 3: derzeitige Anstellung als CW/FTE ist beendet, nach längerem Zeitraum erneute Anstellung als FTE/CW

Es ist nicht ungewöhnlich, dass Arbeitnehmerinnen und Arbeitnehmer vorübergehend bei einem Unternehmen beschäftigt sind, das Unternehmen verlassen und dann nach mehreren Monaten mit unbefristetem Vertrag wieder eingestellt werden. Das folgende Beispiel veranschaulicht, wie die Bereitstellung in diesem Szenario gehandhabt wird.

• Es ist der 1. Januar 2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da kein AD-Konto mit John es WorkerID (Matching-Attribut) verknüpft ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns Kontingentarbeiter WID (WorkdayID) mit dem AD-Konto von John.
• Johns Vertrag endet am 31. Januar 2023. Im Bereitstellungszyklus, der am 31. Januar am Ende des Tages ausgeführt wird, ist das AD-Konto von John deaktiviert.
• John bewirbt sich um eine andere Position an und tritt am 1. Mai 2023 eine unbefristete Stelle im Unternehmen an. Die Personalabteilung gibt Johns Daten als Mitarbeiterinformation am 15. April 2023 ein. Für John gibt es jetzt zwei Arbeitnehmerprofile in Workday. Das CW-Profil ist inaktiv, das FTE-Profil ist aktiv. Die beiden Datensätze haben dieselbe WorkerID , aber unterschiedliche WIDs.
• Am 15. April überträgt der Microsoft Entra-Bereitstellungsdienst während des inkrementellen Zyklus automatisch das Eigentum am AD-Konto an das aktive Arbeitnehmerprofil. In diesem Fall wird die Verknüpfung des Profils für einen vorübergehend beschäftigten Arbeitnehmer aus dem AD-Konto entfernt und eine neue Verknüpfung zwischen Johns aktivem Mitarbeiterprofil und seinem AD-Konto erstellt.
• Für dieses Szenario sind keine Änderungen an der Konfiguration der Bereitstellungs-App erforderlich.

Szenario 4: zukünftige Umwandlung, wenn der aktive Status CW/FTE lautet

Manchmal ist ein Arbeitnehmer möglicherweise bereits ein aktiver Mitarbeiter mit befristetem Vertrag, wenn die Personalabteilung eine Umwandlungstransaktion mit Datum in der Zukunft initiiert. Das folgende Beispiel zeigt, wie die Bereitstellung für dieses Szenario abläuft und welche Konfigurationsänderungen erforderlich sind, um dieses Szenario zu unterstützen.

• Es ist der 1. Januar 2023, und John Smith tritt eine befristete Stelle im Unternehmen an. Da kein AD-Konto mit John es WorkerID (Matching-Attribut) verknüpft ist, erstellt der Bereitstellungsdienst ein neues AD-Konto und verknüpft Johns Kontingentarbeiter WID (WorkdayID) mit dem AD-Konto von John.

• Am 15. Januar initiiert die Personalabteilung eine Transaktion, um John mit Wirkung vom 1. Februar 2023 von einem befristeten in einen unbefristeten Mitarbeiter umzuwandeln.

• Da der Microsoft Entra-Bereitstellungsdienst vordatierte Einstellungen automatisch verarbeitet, wird er Johns neues Profil als Vollzeitmitarbeiter am 15. Januar verarbeiten und Johns Profil in AD mit Informationen zu seiner unbefristeten Anstellung aktualisieren, obwohl er zu diesem Zeitpunkt immer noch ein Zeitarbeitnehmer ist.

• Um dieses Verhalten zu verhindern und um sicherzustellen, dass Johns Informationen als unbefristeter Mitarbeiter erst am 1. Februar 2023 bereitgestellt werden, führen Sie die folgenden Konfigurationsänderungen aus.

  Konfigurationsänderungen

  1. Bitten Sie Ihren Workday-Administrator, eine Bereitstellungsgruppe namens „Umwandlungen mit Datum in der Zukunft“ zu erstellen.
  2. Implementieren Sie Logik in Workday, um Datensätze für Mitarbeiter, deren Stellen erst zu einem zukünftigen Datum in befristete oder unbefristete Stellen umgewandelt werden, zu dieser Bereitstellungsgruppe hinzuzufügen.
  3. Aktualisieren Sie die Microsoft Entra-Bereitstellungs-App, um diese Bereitstellungsgruppe zu lesen. Anweisungen zum Abrufen der Bereitstellungsgruppe finden Sie hier.
  4. Erstellen Sie einen Bereichsfilter in der Microsoft Entra-ID, um Arbeitsprofile auszuschließen, die Teil dieser Bereitstellungsgruppe sind.
  5. Implementieren Sie Logik in Workday, sodass Workday an dem Datum, an dem die Umwandlung wirksam wird, den entsprechenden Datensatz für befristete/unbefristete Mitarbeiter aus der Bereitstellungsgruppe in Workday entfernt.
  6. Mit dieser Konfiguration ist der vorhandene Datensatz für befristete/unbefristete Mitarbeiter weiterhin gültig, und die Bereitstellungsänderung erfolgt erst am Tag der Umwandlung.

Abrufen von Details zu zugewiesenen internationalen Aufträgen und sekundären Aufträgen

Standardmäßig ruft der Workday-Connector Attribute ab, die dem primären Auftrag des Workers zugeordnet sind. Der Connector unterstützt auch das Abrufen Additional Job Data, die den zugewiesenen internationalen Aufträgen oder sekundären Aufträgen zugeordnet sind.

Führen Sie die folgenden Schritte aus, um Attribute abzurufen, die den zugewiesenen internationalen Aufträgen zugeordnet sind:

1. Legen Sie die Workday-Verbindungs-URL fest. Es wird die Workday-Webdienst-API-Version 30.0 oder höher verwendet. Legen Sie entsprechend die richtigen XPATH-Werte in Ihrer Workday-Bereitstellungs-App fest.
2. Verwenden Sie den Selektor @wd:Primary_Job=0 für den Worker_Job_Data-Knoten, um das richtige Attribut abzurufen.
   • Beispiel 1: Verwenden Sie zum Abrufen SecondaryBusinessTitledes XPATH-Elements wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text()
   • Beispiel 2: Verwenden Sie zum Abrufen SecondaryBusinessLocationdes XPATH-Elements wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor

Bekannte Einschränkungen

In diesem Abschnitt finden Sie eine Liste der aktuellen, bekannten Einschränkungen, auf die Kundinnen und Kunden bei der Integration von Workday stoßen können.

1. Der Connector unterstützt nicht den Abruf berechneter Felder von Workday.
2. Der Connector unterstützt die Synchronisierung von Fotos von Workday nicht.
3. Der Connector unterstützt keinen erweiterten Abruf von Mitarbeitern, deren letzter Arbeitstag fällig ist.
4. Während der inkrementellen Synchronisierung kann es zu einer Verzögerung bei der Verarbeitung des Beendigungsereignisses für Mitarbeiter in den Regionen Asien-Pazifik und Australien/Neuseeland kommen.

Nächste Schritte

• Erfahren Sie, wie Sie Workday für die Active Directory-Bereitstellung konfigurieren.
• Erfahren Sie, wie Sie das Zurückschreiben auf Workday konfigurieren.
• Weitere Informationen zu unterstützten Workday-Attributen für die eingehende Bereitstellung