Como o provisionamento do Microsoft Entra se integra ao Workday

O serviço de provisionamento de usuários do Microsoft Entra integra-se ao Workday HCM para gerenciar o ciclo de vida de identidade dos usuários. O Microsoft Entra ID oferece três integrações predefinidas:

• Provisionamento de usuário do Workday para o Active Directory local
• Provisionamento de usuário do Workday para Microsoft Entra
• Write-back do Workday

Este artigo explica como a integração funciona e como você pode personalizar o comportamento de provisionamento para diferentes cenários de RH.

Estabelecendo conectividade

Restringir o acesso da API do Workday aos pontos de extremidade do Microsoft Entra

O serviço de provisionamento do Microsoft Entra usa a autenticação básica para se conectar aos pontos de extremidade da API de serviços Web do Workday.

Para proteger ainda mais a conectividade entre o serviço de provisionamento do Microsoft Entra e o Workday, é possível restringir o acesso para que o usuário do sistema de integração designado acesse apenas as APIs do Workday de intervalos de IP do Microsoft Entra permitidos. Engage o administrador do Workday para concluir a configuração a seguir em seu locatário do Workday.

1. Baixe os intervalos de IP mais recentes para a Nuvem Pública do Azure.
2. Abra o arquivo e procure pela tag AzureActiveDirectory.
3. Copie todos os intervalos de endereços IP listados nos addressPrefixes do elemento e use o intervalo para criar sua lista de endereços IP.
4. Entre no portal de administração do Workday.
5. Acesse a tarefa Manter Intervalos de IP para criar um novo intervalo de IP para data centers do Azure. Especifique os intervalos de IP (usando a notação CIDR) como uma lista separada por vírgulas.
6. Acesse a tarefa Gerenciar Políticas de Autenticação para criar uma nova política de autenticação. Na política de autenticação, use a lista de permitidos de autenticação para especificar o intervalo de IP do Microsoft Entra e o grupo de segurança que tem permissão de acesso nesse intervalo de IP. Salve as alterações.
7. Acesse a tarefa Ativar Todas as Alterações de Política de Autenticação Pendentes para confirmar as alterações.

Limitando o acesso aos dados de trabalhadores no Workday com grupos de segurança restritos

As etapas padrão para configurar o usuário do sistema de integração do Workday concedem acesso para recuperar todos os usuários em seu locatário do Workday. Em determinados cenários de integração, talvez você queira limitar o acesso. Por exemplo, retorne apenas usuários em determinadas organizações de supervisão da chamada à API Get_Workers.

Você pode cumprir esse requisito trabalhando com o administrador do Workday e configurando grupos restritos de segurança do sistema de integração. Para obter mais informações, examine a seção Get_Workers segurança contextual neste documento do Workday Conceito: Obter diretrizes de serviço Web SOAP para trabalhadores (acesso à comunidade do Workday necessário para este artigo).

Essa estratégia de limitar o acesso usando ISSG (grupos de segurança do sistema de integração) restritos é útil nos seguintes cenários:

• Cenário de distribuição em fases: você tem um grande locatário do Workday e planeja executar uma distribuição em fases do Workday para o provisionamento automatizado da ID do Microsoft Entra. Neste cenário, em vez de excluir usuários que não estão no escopo da fase atual com filtros de escopo do Microsoft Entra ID, é recomendável configurar ISSG restritos para que somente os trabalhadores no escopo fiquem visíveis para o Microsoft Entra ID.
• Cenário de vários trabalhos de provisionamento: você tem um locatário workday grande e vários domínios do AD, cada um dando suporte a uma unidade/divisão/empresa de negócios diferente. Para dar suporte a essa topologia, é aconselhável executar vários trabalhos de provisionamento do Workday para o Microsoft Entra, cada trabalho provisionando um conjunto específico de trabalhadores. Nesse cenário, em vez de usar filtros de escopo do Microsoft Entra ID para excluir dados de trabalhadores, é recomendável configurar ISSG restritos para que somente os dados relevantes do trabalhador fiquem visíveis para o Microsoft Entra ID.

Consulta de conexão de teste do Workday

Para testar a conectividade com o Workday, a ID do Microsoft Entra envia o seguinte Get_Workers solicitação dos Serviços Web do Workday.

<!-- Test connection query tries to retrieve one record from the first page -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to the test connection event -->
<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:28:50.1491022Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:28:50.1491022Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
    <p1:Exclude_Employees>true</p1:Exclude_Employees>
    <p1:Exclude_Contingent_Workers>true</p1:Exclude_Contingent_Workers>
    <p1:Exclude_Inactive_Workers>true</p1:Exclude_Inactive_Workers>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:28:50.1491022Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:28:50.1491022Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>1</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
  </p1:Response_Group>
</Get_Workers_Request>

Como funciona a sincronização completa

A sincronização completa no contexto do provisionamento controlado pelo Workday refere-se ao processo de buscar todas as identidades do Workday e determinar quais regras de provisionamento devem ser aplicadas a cada objeto de trabalho. A sincronização completa ocorre quando você ativa o provisionamento pela primeira vez e também quando você reinicia o provisionamento no Centro de administração do Microsoft Entra ou usando APIs do Graph.

A ID do Microsoft Entra envia o seguinte Get_Workers solicitação dos Serviços Web do Workday para recuperar dados de trabalho. A consulta pesquisa no log de transações do Workday todas as entradas de trabalhadores com data no momento correspondente à execução da sincronização completa.

<!-- Workday full sync query -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to full sync run -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Type_References>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Hire Employee</p1:ID>
        </p1:Transaction_Type_Reference>
        <p1:Transaction_Type_Reference>
          <p1:ID p1:type="Business_Process_Type">Contract Contingent Worker</p1:ID>
        </p1:Transaction_Type_Reference>
      </p1:Transaction_Type_References>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Transaction_Log_Data>1</p1:Include_Transaction_Log_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

O nó Response_Group é usado para especificar quais atributos de trabalho buscar do Workday. Para obter uma descrição de cada sinalizador no nó Response_Group , consulte a documentação da API de Get_Workers do Workday.

Determinados valores de sinalizador especificados no nó Response_Group são calculados com base nos atributos configurados no aplicativo de provisionamento do Microsoft Entra do Workday. Consulte a seção em entidades com suporte para os critérios usados para definir os valores de sinalizador.

A resposta Get_Workers do Workday para a consulta acima inclui o número de registros de trabalho e a contagem de páginas.

  <wd:Response_Results>
    <wd:Total_Results>509</wd:Total_Results>
    <wd:Total_Pages>17</wd:Total_Pages>
    <wd:Page_Results>30</wd:Page_Results>
    <wd:Page>1</wd:Page>
  </wd:Response_Results>

Para recuperar a próxima página do conjunto de resultados, a próxima consulta Get_Workers especifica o número da página como um parâmetro no Response_Filter.

  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:29:16.0094202Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:29:16.0094202Z</p1:As_Of_Entry_DateTime>
    <p1:Page>2</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>

O serviço de provisionamento do Microsoft Entra processa cada página e itera todos os trabalhadores reais durante a sincronização completa. Para cada entrada de trabalhador importada do Workday:

• A expressão XPATH é aplicada para recuperar valores de atributo do Workday.
• O mapeamento de atributo e as regras de correspondência são aplicados e
• O serviço determina qual operação executar no destino (Microsoft Entra ID/Active Directory).

Quando o processamento for concluído, ele salvará o carimbo de data/hora associado ao início da sincronização completa como uma marca d' água. Essa marca d' água serve como ponto de partida para o ciclo de sincronização incremental.

Como funciona a sincronização incremental

Após a sincronização completa, o serviço de provisionamento do Microsoft Entra mantém LastExecutionTimestamp e usa-o para criar consultas delta a fim de recuperar alterações incrementais. Durante a sincronização incremental, o Microsoft Entra ID envia os tipos de consultas a seguir ao Workday:

• Consultar atualizações manuais
• Consulta para atualizações e terminações efetivas
• Consulta para contratações futuras

Consulta de atualizações manuais

O Get_Workers consultas de solicitação a seguir para atualizações manuais que ocorreram entre a última execução e o tempo de execução atual.

<!-- Workday incremental sync query for manual updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Updated_From>2021-01-19T02:29:16.0094202Z</p1:Updated_From>
        <p1:Updated_Through>2021-01-19T02:49:06.290136Z</p1:Updated_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Consulta de atualizações e terminações com data vigente

O Get_Workers consultas de solicitação a seguir para atualizações efetivas que ocorreram entre a última execução e o tempo de execução atual.

<!-- Workday incremental sync query for effective-dated updates -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps with the UTC time corresponding to last execution and current execution time -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_Criteria>
    <p1:Transaction_Log_Criteria_Data>
      <p1:Transaction_Date_Range_Data>
        <p1:Effective_From>2021-01-19T02:29:16.0094202Z</p1:Effective_From>
        <p1:Effective_Through>2021-01-19T02:49:06.290136Z</p1:Effective_Through>
      </p1:Transaction_Date_Range_Data>
    </p1:Transaction_Log_Criteria_Data>
  </p1:Request_Criteria>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-01-19T02:49:06.290136Z</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-01-19T02:49:06.290136Z</p1:As_Of_Entry_DateTime>
    <p1:Page>1</p1:Page>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Consulta de contratações em datas futuras

Se qualquer uma das consultas acima retornar uma nova contratação datada do futuro, a solicitação de Get_Workers a seguir será usada para buscar informações sobre uma nova contratação datado do futuro. O atributo WID da nova contratação é usado para executar a pesquisa e a data de efetivação é definida como a data e a hora da contratação.

<!-- Workday incremental sync query to get new hire data effective as on hire date/first day of work -->
<!-- Replace version with Workday Web Services version present in your connection URL -->
<!-- Replace timestamps hire date/first day of work -->
<!-- Count specifies the number of records to return in each page -->
<!-- Response_Group flags derived from provisioning attribute mapping -->

<Get_Workers_Request p1:version="v21.1" xmlns:p1="urn:com.workday/bsvc" xmlns="urn:com.workday/bsvc">
  <p1:Request_References>
    <p1:Worker_Reference>
      <p1:ID p1:type="WID">7bf6322f1ea101fd0b4433077f09cb04</p1:ID>
    </p1:Worker_Reference>
  </p1:Request_References>
  <p1:Response_Filter>
    <p1:As_Of_Effective_Date>2021-02-01T08:00:00+00:00</p1:As_Of_Effective_Date>
    <p1:As_Of_Entry_DateTime>2021-02-01T08:00:00+00:00</p1:As_Of_Entry_DateTime>
    <p1:Count>30</p1:Count>
  </p1:Response_Filter>
  <p1:Response_Group>
    <p1:Include_Reference>1</p1:Include_Reference>
    <p1:Include_Personal_Information>1</p1:Include_Personal_Information>
    <p1:Include_Employment_Information>1</p1:Include_Employment_Information>
    <p1:Include_Organizations>1</p1:Include_Organizations>
    <p1:Exclude_Organization_Support_Role_Data>1</p1:Exclude_Organization_Support_Role_Data>
    <p1:Exclude_Location_Hierarchies>1</p1:Exclude_Location_Hierarchies>
    <p1:Exclude_Cost_Center_Hierarchies>1</p1:Exclude_Cost_Center_Hierarchies>
    <p1:Exclude_Company_Hierarchies>1</p1:Exclude_Company_Hierarchies>
    <p1:Exclude_Matrix_Organizations>1</p1:Exclude_Matrix_Organizations>
    <p1:Exclude_Pay_Groups>1</p1:Exclude_Pay_Groups>
    <p1:Exclude_Regions>1</p1:Exclude_Regions>
    <p1:Exclude_Region_Hierarchies>1</p1:Exclude_Region_Hierarchies>
    <p1:Exclude_Funds>1</p1:Exclude_Funds>
    <p1:Exclude_Fund_Hierarchies>1</p1:Exclude_Fund_Hierarchies>
    <p1:Exclude_Grants>1</p1:Exclude_Grants>
    <p1:Exclude_Grant_Hierarchies>1</p1:Exclude_Grant_Hierarchies>
    <p1:Exclude_Business_Units>1</p1:Exclude_Business_Units>
    <p1:Exclude_Business_Unit_Hierarchies>1</p1:Exclude_Business_Unit_Hierarchies>
    <p1:Exclude_Programs>1</p1:Exclude_Programs>
    <p1:Exclude_Program_Hierarchies>1</p1:Exclude_Program_Hierarchies>
    <p1:Exclude_Gifts>1</p1:Exclude_Gifts>
    <p1:Exclude_Gift_Hierarchies>1</p1:Exclude_Gift_Hierarchies>
    <p1:Include_Management_Chain_Data>1</p1:Include_Management_Chain_Data>
    <p1:Include_Additional_Jobs>1</p1:Include_Additional_Jobs>
  </p1:Response_Group>
</Get_Workers_Request>

Recuperando atributos de dados de trabalhador

A API Get_Workers pode retornar diferentes conjuntos de dados associados a um trabalho. Dependendo das expressões de API XPATH configuradas no esquema de provisionamento, o serviço de provisionamento do Microsoft Entra determina quais conjuntos de dados serão recuperados do Workday. Assim, os sinalizadores de Response_Group são definidos na solicitação Get_Workers .

A tabela fornece diretrizes sobre como mapear a configuração a ser usada para recuperar um conjunto de dados específico.

Aqui estão alguns exemplos de como você pode estender a integração do Workday para atender a requisitos específicos.

Exemplo 1: recuperando informações do centro de custo e do grupo de pagamento

Digamos que você deseja recuperar os seguintes conjuntos de dados do Workday e usá-los em suas regras de provisionamento:

• Centro de custo
• Hierarquia do centro de custo
• Grupo de pagamento

Os conjuntos de dados acima não estão incluídos por padrão. Para recuperar esses conjuntos de dados:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

2. Navegue até aplicativos Entra ID>Enterprise.

3. Selecione seu Workday para o Active Directory/aplicativo de provisionamento de usuário do Microsoft Entra.

4. Selecione Provisionamento.

5. Edite os mapeamentos e abra a lista de atributos do Workday na seção Avançado.

6. Adicione as definições de atributos a seguir e marque-as como "Obrigatória". Esses atributos não são mapeados para nenhum atributo no Active Directory ou no Microsoft Entra ID. Eles servem como sinais para o conector recuperar o centro de custo, a hierarquia do centro de custo e as informações do grupo de pagamento.

   Nome do atributo	Expressão de API XPATH
   Sinalizador de Hierarquia do Centro de Custos	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER_HIERARCHY']/wd:Organization_Reference/@wd:Descritor
   Sinalizador de CostCenter	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='COST_CENTER']/wd:Organization_Data/wd:Organization_Code/text()
   Sinalizador de Grupo de Pagamento	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='PAY_GROUP']/wd:Organization_Data/wd:Organization_Reference_ID/text()

7. Depois que o conjunto de dados centro de custo e grupo de pagamento estiver disponível na resposta Get_Workers , você poderá usar os valores XPATH para recuperar o nome do centro de custo, o código do centro de custo e o grupo de pagamento.

   Nome do atributo	Expressão de API XPATH
   Nome do Centro de Custo	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Centro de custo']/wd:Organization_Name/text()
   Código do Centro de Custo	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Centro de Custo']/wd:Organization_Code/text()
   Grupo de pagamento	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/@wd:Descriptor='Pay Group']/wd:Organization_Name/text()

Exemplo 2: recuperando dados de qualificação e habilidades

Digamos que você deseje recuperar as certificações associadas a um usuário. Essas informações estão disponíveis como parte do conjunto de dados de qualificação . Para obter esse conjunto de dados como parte da resposta Get_Workers , use o seguinte XPATH:

wd:Worker/wd:Worker_Data/wd:Qualification_Data/wd:Certification/wd:Certification_Data/wd:Issuer/text()

Exemplo 3: recuperando atribuições de grupo de provisionamento

Digamos que você queira recuperar grupos de provisionamento atribuídos a um trabalhador. Essas informações estão disponíveis como parte do conjunto de dados de provisionamento de conta . Para obter esses dados, como parte da resposta Get_Workers , use o seguinte XPATH:

wd:Worker/wd:Worker_Data/wd:Account_Provisioning_Data/wd:Provisioning_Group_Assignment_Data[wd:Status='Assigned']/wd:Provisioning_Group/text()

Lidando com cenários de RH diferentes

Esta seção aborda como você pode personalizar o aplicativo de provisionamento nos seguintes cenários de RH:

• Suporte para conversões de trabalho
• Recuperando atribuições de trabalho internacionais e detalhes do trabalho secundário

Suporte para conversões de trabalho

Esta seção descreve o suporte ao serviço de provisionamento do Microsoft Entra para cenários em que um trabalhador passa de FTE (funcionário em tempo integral) para CW (trabalhador autônomo) ou vice-versa. Dependendo de como as conversões de trabalho são processadas no Workday, pode haver diferentes aspectos de implementação a serem considerados.

• Cenário 1: conversão de backdated de FTE para CW ou vice-versa
• Cenário 2: Trabalhador empregado como CW/FTE hoje, muda para FTE/CW hoje
• Cenário 3: Trabalhador empregado como CW/FTE é encerrado, retorna como FTE/CW após uma lacuna significativa
• Cenário 4: conversão futura, quando o trabalho é um CW/FTE ativo

Cenário 1: conversão com data retroativa de FTE para CW ou vice-versa

Sua equipe de RH pode retratar uma transação de conversão do trabalhador no dia de trabalho por razões comerciais válidas. Exemplos incluem processamento de folha de pagamento, conformidade orçamentária, requisitos legais e gerenciamento de benefícios. Veja um exemplo para ilustrar como o provisionamento é tratado para o cenário.

• É 15 de janeiro de 2023 e Janete Silva está empregada como trabalhadora autônoma. O RH oferece a Jane um cargo em tempo integral.
• Os termos da alteração do contrato de Jane exigem uma data retroativa da transação para que ela se alinhe com o início do mês atual. O RH inicia uma transação de conversão de trabalho com data retroativa no Workday em 15 de janeiro de 2023 com data de início de vigência em 1º de janeiro de 2023. Agora há dois perfis de trabalho no Workday para Jane. O perfil CW está inativo, enquanto o perfil FTE está ativo.
• O serviço de provisionamento do Microsoft Entra detectou essa alteração no log de transações do Workday em 15 de janeiro de 2023. O serviço fornece automaticamente os atributos do novo perfil FTE no próximo ciclo de sincronização.
• Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.

Cenário 2: trabalhador empregado como CW/FTE hoje, muda para FTE/CW hoje

Esse cenário é semelhante ao cenário acima, exceto que, em vez de inserir uma data retroativa para a transação, o RH executa uma conversão de trabalhador que entra em vigor imediatamente. O serviço de provisionamento do Microsoft Entra detectou essa alteração no log de transações do Workday. No próximo ciclo de sincronização, o serviço provisiona automaticamente quaisquer atributos associados com um perfil FTE ativo. Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.

Cenário 3: trabalhador empregado como CW/FTE é demitido, retorna como FTE/CW após um período significativo

É comum que os trabalhadores comecem a trabalhar em uma empresa como um trabalhador autônomo, deixem a empresa e depois retomem após vários meses como funcionário em tempo integral. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário.

• É 1º de janeiro de 2023 e João Santos começa a trabalhar como trabalhador autônomo. Como não há nenhuma conta do AD associada ao John's WorkerID (atributo correspondente), o serviço de provisionamento cria uma nova conta do AD e vincula o WID de trabalho contingente de John (WorkdayID) à conta do AD de John.
• O contrato de João termina em 31 de janeiro de 2023. No ciclo de provisionamento executado após o fim do dia 31 de janeiro, a conta do AD do John é desabilitada.
• João se candidata a outro cargo e decide voltar à empresa como funcionário em tempo integral a partir de 1º de maio de 2023. O RH insere as informações de João como pré-contratação em 15 de abril de 2023. Agora há dois perfis de trabalho no Workday para John. O perfil CW está inativo, enquanto o perfil FTE está ativo. Os dois registros têm o mesmo WorkerID , mas WIDsdiferentes.
• Em 15 de abril, durante o ciclo incremental, o serviço de provisionamento do Microsoft Entra transferiu automaticamente a propriedade da conta do AD para o perfil do trabalhador ativo. Nesse caso, ele desvincula o perfil de trabalho contingente da conta do AD e estabelece um novo link entre o perfil de trabalho ativo de João e a conta do AD de João.
• Nenhuma alteração é necessária na configuração de aplicativos de provisionamento para lidar com esse cenário.

Cenário 4: conversão futura, quando o trabalhador é um CW/FTE ativo

Às vezes, um trabalhador já pode ser um trabalhador autônomo ativo, quando o RH inicia uma transação de conversão de trabalho pré-datada. Veja um exemplo para ilustrar como o provisionamento é tratado para esse cenário e quais alterações de configuração são necessárias para dar suporte a esse cenário.

• É 1º de janeiro de 2023 e João Santos começa a trabalhar como trabalhador autônomo. Como não há nenhuma conta do AD associada ao John's WorkerID (atributo correspondente), o serviço de provisionamento cria uma nova conta do AD e vincula o WID de trabalho contingente de John (WorkdayID) à conta do AD de John.

• Em 15 de janeiro, o RH inicia uma transação para migrar João de trabalhador autônomo para funcionário em tempo integral a partir de 1º de fevereiro de 2023.

• Como o serviço de provisionamento do Microsoft Entra processa contratações futuras automaticamente, ele processou o novo perfil de funcionário em tempo integral de João em 15 de janeiro e atualizou o perfil de João no AD com detalhes do emprego em tempo integral, mesmo que ele ainda seja um trabalhador autônomo.

• Para evitar esse comportamento e garantir que os detalhes do FTE de João sejam provisionados em 1º de fevereiro de 2023, execute as alterações de configuração a seguir.

  Alterações de configuração

  1. Envolva seu administrador do Workday para criar um grupo de provisionamento chamado "Conversões futuras".
  2. Implemente a lógica no Workday para adicionar registros de funcionários/trabalhador autônomo com conversões pré-datadas para esse grupo de provisionamento.
  3. Atualizar o aplicativo de provisiona Microsoft Entra para fazer a leitura do grupo de provisionamento. Consulte as instruções aqui sobre como recuperar o grupo de provisionamento
  4. Crie um filtro de escopo na ID do Microsoft Entra para excluir perfis de trabalho que fazem parte desse grupo de provisionamento.
  5. No Workday, implemente a lógica para que, quando a data da conversão estiver em vigor, o Workday remova o registro de funcionário/trabalhador autônomo relevante do grupo de provisionamento no Workday.
  6. Com essa configuração, o registro de trabalho de funcionário/trabalhador autônomo existente continua em vigor e a alteração de provisionamento ocorre somente no dia da conversão.

Recuperando atribuições de trabalho internacionais e detalhes secundários sobre o trabalho

Por padrão, o conector do Workday recupera atributos associados ao trabalho principal do trabalhador. O conector também dá suporte à recuperação de Additional Job Data associados a atribuições de trabalho internacionais ou a trabalhos secundários.

Use as etapas para recuperar atributos associados a atribuições de trabalho internacionais:

1. Defina a URL de conexão do Workday para usar a API de serviço Web do Workday versão 30.0 ou superior. Defina os valores XPATH corretos em seu aplicativo de provisionamento do Workday.
2. Use o seletor @wd:Primary_Job=0 no nó Worker_Job_Data para recuperar o atributo correto.
   • Exemplo 1: Para obter SecondaryBusinessTitle, use o XPATH wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Title/text()
   • Exemplo 2: Para obter SecondaryBusinessLocation, use o XPATH wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Worker_Job_Data[@wd:Primary_Job=0]/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Location_Reference/@wd:Descriptor

Limitações conhecidas

Esta seção lista as limitações atuais e conhecidas que os clientes podem enfrentar na integração do Workday.

1. O conector não dá suporte à recuperação de campos calculados do Workday.
2. O conector não dá suporte à sincronização de fotos do Workday.
3. O conector não dá suporte à recuperação avançada de trabalhadores cujo último dia de trabalho é devido.
4. Durante a sincronização incremental, pode haver um atraso no processamento do evento de encerramento para trabalhadores localizados nas regiões Ásia-Pacífico e Austrália/Nova Zelândia.

Próximas etapas

• Saiba como configurar o workday para o provisionamento do Active Directory
• Saiba como configurar o write-back no Workday
• Saiba mais sobre os atributos workday com suporte para provisionamento de entrada