Zelfstudie: Workday configureren voor automatische inrichting van gebruikers met on-premises Active Directory - Microsoft Entra ID (2024)

Het doel van deze zelfstudie is het weergeven van de stappen die u moet uitvoeren om profielen van werknemers van Workday in te richten in on-premises Active Directory (AD).

In de volgende video vindt u een kort overzicht van de stappen die nodig zijn bij het plannen van uw inrichtingsintegratie met Workday.

Overzicht

De Microsoft Entra-service voor het inrichten van gebruikers kan worden geïntegreerd met de Workday Human Resources-API om gebruikersaccounts in te richten. De werkstromen voor gebruikersinrichting van Workday die worden ondersteund door de Microsoft Entra-service voor het inrichten van gebruikers, maken automatisering mogelijk van de volgende scenario's voor human resources en identiteitslevenscyclusbeheer:

• Nieuwe werknemers inhuren: wanneer een nieuwe werknemer wordt toegevoegd aan Workday, wordt automatisch een gebruikersaccount gemaakt in Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID, met write-back van door IT beheerde contactgegevens naar Workday.

• Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in Workday (zoals hun naam, titel of manager), wordt het gebruikersaccount automatisch bijgewerkt in Active Directory, Microsoft Entra ID en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in Workday, wordt het gebruikersaccount automatisch uitgeschakeld in Active Directory, Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

• Werknemers worden opnieuw ingehuurd : wanneer een werknemer opnieuw wordt aangenomen in Workday, kan het oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingericht (afhankelijk van uw voorkeur) voor Active Directory, Microsoft Entra ID en optioneel Microsoft 365 en andere SaaS-toepassingen die worden ondersteund door Microsoft Entra ID.

Nieuwe functies

In dit gedeelte vindt u informatie over recente verbeteringen van de integratie van Workday. Ga naar Wat is er nieuw in Microsoft Entra ID voor een lijst met uitgebreide updates, geplande wijzigingen en archieven?

• Okt 2020 - Inrichting op aanvraag ingeschakeld voor Workday: Met inrichting op aanvraag kunt u nu end-to-end-inrichting testen voor een specifiek gebruikersprofiel in Workday om uw kenmerktoewijzing en expressielogica te controleren.

• Mei 2020 - Mogelijkheid om telefoonnummers terug te schrijven naar Workday: naast e-mail en gebruikersnaam kunt u nu het telefoonnummer en mobiele telefoonnummer van Microsoft Entra-id terugschrijven naar Workday. Raadpleeg voor meer informatie de zelfstudie over de Writeback-app.

• April 2020 - Ondersteuning voor de nieuwste versie van de WWS-API (Workday Web Services): Twee keer per jaar in maart en september biedt Workday uitgebreide updates die u helpen uw bedrijfsdoelen te bereiken en de personeelsbehoeften te veranderen. Als u de nieuwe functies van Workday wilt bijhouden, kunt u rechtstreeks de WWS API-versie opgeven die u wilt gebruiken in de verbindings-URL. Meer informatie over het opgeven van de versie van de Workday-API vindt u in het gedeelte over het configureren van Workday-connectiviteit.

Voor wie is deze oplossing voor het inrichten van gebruikers het meest geschikt?

Deze oplossing voor het inrichten van gebruikers van Workday is het meest geschikt voor:

• Organisaties die behoefte hebben aan een vooraf ontwikkelde, cloudoplossing voor het inrichten van gebruikers met Workday

• Organisaties die directe inrichting van gebruikers van Workday naar Active Directory of Microsoft Entra-id vereisen

• Organisaties die vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit de HCM-module van Workday (zie Get_Workers)

• Organisaties waarvoor gebruikers moeten worden gesynchroniseerd met een of meer Active Directory-forests, domeinen en OE's die alleen moeten worden gesynchroniseerd op basis van een wijziging die is gedetecteerd in de Workday HCM-module (zie Get_Workers)

• Organisaties die Microsoft 365 gebruiken voor e-mail

Architectuur van de oplossing

In deze sectie wordt de end-to-end-architectuur beschreven voor het inrichten van gebruikers voor gangbare hybride omgevingen. Er zijn twee gerelateerde stromen:

• Gezaghebbende HR-gegevensstroom: van Workday naar on-premises Active Directory: In deze stroom worden werkrolgebeurtenissen zoals nieuwe medewerkers, overdrachten, beëindigingen eerst uitgevoerd in de cloud-HR-tenant van Workday en vervolgens stromen de gebeurtenisgegevens naar on-premises Active Directory via Microsoft Entra-id en de inrichtingsagent. Afhankelijk van de gebeurtenis, kan dit bewerkingen voor maken/bijwerken/inschakelen/uitschakelen tot gevolg hebben in AD.
• Writeback-stroom: van on-premises Active Directory naar Workday: zodra het account is gemaakt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Verbinding maken en kunnen gegevens, zoals e-mail, gebruikersnaam en telefoonnummer, worden teruggeschreven naar Workday.

Gegevensstroom van end-to-end-gebruikers

1. Het HR-team voert transacties voor werkrollen (nieuwe werknemers/overgeplaatste werknemers/werknemers die uit dienst treden, of nieuwe dienstverbanden/overplaatsingen/beëindiging van dienstverbanden) uit in Workday HCM.
2. De Microsoft Entra-inrichtingsservice voert geplande synchronisaties van identiteiten uit Workday HR uit en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met on-premises Active Directory.
3. De Microsoft Entra-inrichtingsservice roept de on-premises Microsoft Entra-Verbinding maken Inrichtingsagent aan met een nettolading van een aanvraag met bewerkingen voor maken/bijwerken/inschakelen/uitschakelen van AD-account.
4. De Microsoft Entra Verbinding maken Provisioning Agent maakt gebruik van een serviceaccount om AD-accountgegevens toe te voegen/bij te werken.
5. De Microsoft Entra-Verbinding maken/AD Sync-engine voert deltasynchronisatie uit om updates in AD op te halen.
6. De Active Directory-updates worden gesynchroniseerd met De Microsoft Entra-id.
7. Als de app Workday Writeback is geconfigureerd, worden kenmerken zoals e-mailadres, gebruikersnaam en telefoonnummer teruggeschreven naar Workday.

Uw implementatie plannen

Het configureren van het inrichten van gebruikers van Workday in Active Directory vereist een degelijke planning waarbij rekening moet worden gehouden met verschillende aspecten, zoals:

• Installatie van de Microsoft Entra Verbinding maken inrichtingsagent
• Aantal te implementeren apps voor het inrichten van Workday-gebruikers in AD
• De juiste overeenkomende id, kenmerktoewijzing, transformatie en bereikfilters selecteren

Raadpleeg het implementatieplan voor HR-gegevens vanuit de cloud voor uitgebreide richtlijnen en best practices.

Integratiesysteemgebruiker configureren in Workday

Een vereiste die geldt voor alle inrichtingsconnectors van Workday is dat ze referenties nodig hebben van een integratiesysteemgebruiker van Workday om verbinding te maken met de API van Workday Human Resources. In dit gedeelte wordt beschreven hoe u een integratiesysteemgebruiker maakt in Workday. De volgende onderwerpen komen aan bod:

• Een integratiesysteemgebruiker maken
• Een integratiebeveiligingsgroep maken
• Machtigingen voor domeinbeveiligingsbeleid configureren
• Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren
• Wijzigingen in beveiligingsbeleid activeren

Een integratiesysteemgebruiker maken

U kunt als volgt een integratiesysteemgebruiker maken:

1. Meld u met een beheerdersaccount aan bij uw Workday-tenant. Typ in de Workday Application de tekst 'create user' in het zoekvak en klik vervolgens op Create Integration System User.

   

2. Voer de taak Create Integration System User uit door een gebruikersnaam en wachtwoord op te geven voor de nieuwe integratiesysteemgebruiker.

   • Laat de optie Nieuw wachtwoord vereisen bij volgende aanmelding uitgeschakeld, omdat deze gebruiker zich programmatisch aanmeldt.
   • Laat de time-outminuten van de sessie staan met de standaardwaarde 0, waardoor er geen time-out optreedt voor de sessies van de gebruiker.
   • Selecteer de optie Do Not Allow UI Sessions om een extra beveiligingslaag in te schakelen wordt geboden om te voorkomen dat een gebruiker met het wachtwoord van het integratiesysteem zich kan aanmelden bij Workday.

   

Een integratiebeveiligingsgroep maken

In deze stap maakt u een niet-getrainde of beperkte beveiligingsgroep voor integratiesystemen in Workday en wijst u de gebruiker van het integratiesysteem toe die u in de vorige stap hebt gemaakt aan deze groep.

Een beveiligingsgroep maken:

1. Typ 'create security group' in het zoekvak en klik vervolgens op Create Security Group.

   

2. Voltooi de taak Create Security Group.

   • Er zijn twee typen beveiligingsgroepen in Workday:

     • Niet-getraind: alle leden van de beveiligingsgroep hebben toegang tot alle gegevensexemplaren die worden beveiligd door de beveiligingsgroep.
     • Beperkt: alle leden van de beveiligingsgroep hebben contextuele toegang tot een subset van gegevensexemplaren (rijen) waartoe de beveiligingsgroep toegang heeft.

   • Overleg met uw integratiepartner voor Workday om het juiste type beveiligingsgroep te selecteren voor de integratie.

   • Als u weet welk type groep u moet gebruiken, selecteert u Integration System Security Group (Unconstrained) of Integration System Security Group (Constrained) in de vervolgkeuzelijst Type of Tenanted Security Group.

     

3. Nadat het maken van de beveiligingsgroep is voltooid, ziet u een pagina waar u leden kunt toewijzen aan de beveiligingsgroep. Voeg hier de nieuwe integratiesysteemgebruiker toe die in de vorige stap is gemaakt. Als u een beperkte beveiligingsgroep gebruikt, moet u het juiste organisatiebereik selecteren.

   

Machtigingen voor domeinbeveiligingsbeleid configureren

In deze stap verleent u domeinbeveiligingsbeleidsmachtigingen voor de werkrolgegevens aan de beveiligingsgroep.

Machtigingen voor domeinbeveiligingsbeleid configureren:

1. Voer Beveiligingsgroeplidmaatschap en -toegang in het zoekvak in en klik op de koppeling naar het rapport.

   

2. Zoek en selecteer de beveiligingsgroep die in de vorige stap is gemaakt.

   

3. Klik op het beletselteken (...) naast de groepsnaam en selecteer in het menu de optie Domeinmachtigingen voor beveiligingsgroep > onderhouden voor beveiligingsgroep

   

4. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Put-toegang

   • External Account Provisioning
   • Werkrolgegevens: Rapporten van openbare werknemers
   • Persoonsgegevens: Contactgegevens voor werk (vereist als u van plan bent om contactgegevens van Microsoft Entra ID naar Workday terug te schrijven)
   • Workday-accounts (vereist als u van plan bent om gebruikersnaam/UPN van Microsoft Entra ID naar Workday terug te schrijven)

5. Voeg onder Integratiemachtigingen de volgende domeinen toe aan de lijst Beveiligingsbeleid voor domeinen voor Get-toegang

   • Werkrolgegevens: Werknemers
   • Werkrolgegevens: alle posities
   • Werkrolgegevens: Huidige personeelsinformatie
   • Werkrolgegevens: Bedrijfstitel voor werkprofiel
   • Werkrolgegevens: Gekwalificeerde werknemers (optioneel: voeg dit toe om werkrolkwalificatiegegevens voor inrichting op te halen)
   • Werkrolgegevens: vaardigheden en ervaring (optioneel: voeg dit toe om gegevens over werkvaardigheden op te halen voor inrichting)

6. Nadat u de bovenstaande stappen hebt voltooid, wordt het machtigingsscherm weergegeven zoals hieronder wordt weergegeven:

   

7. Klik op OK en Gereed op het volgende scherm om de configuratie te voltooien.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren

In deze stap verleent u aan de beveiligingsgroep machtigingen voor beveiligingsbeleid voor bedrijfsprocessen voor de gegevens van werknemers.

Machtigingen voor beveiligingsbeleid voor bedrijfsprocessen configureren:

1. Typ business process policy in het zoekvak en klik vervolgens op de link Edit Business Process Security Policy - Task.

   

2. Zoek in het tekstvak Business Process Type naar Contact, selecteer het bedrijfsproces Work Contact Change en klik op OK.

   

3. Scrol op de pagina Edit Business Process Security Policy naar de sectie Change Work Contact Information (Web Service).

4. Selecteer de nieuwe beveiligingsgroep voor het integratiesysteem en voeg deze toe aan de lijst met beveiligingsgroepen die de aanvraag bij webservices kunnen initiëren.

   

5. Klik op Done.

Wijzigingen in beveiligingsbeleid activeren

Wijzigingen in beveiligingsbeleid activeren:

1. Typ 'activate' in het zoekvak en klik vervolgens op de link Activate Pending Security Policy Changes.

   

2. Start de taak Activate Pending Security Policy Changes door een opmerking in te voeren voor controledoeleinden en klik vervolgens op OK.

3. Voltooi de taak op het volgende scherm door het selectievakje Confirm in te schakelen en klik vervolgens op OK.

   

Installatievereisten voor inrichtingsagent

Raadpleeg de installatievereisten voor de inrichtingsagent voordat u naar het volgende gedeelte gaat.

Inrichting van gebruikers van Workday bij Active Directory configureren

In deze sectie vindt u de stappen voor het inrichten van gebruikersaccounts van Workday in de Active Directory-domeinen binnen het bereik van uw integratie.

• De app voor de inrichtings-connector toevoegen en de inrichtingsagent downloaden
• On-premises inrichtingsagent(en) installeren en configureren
• Connectiviteit met Workday en Active Directory configureren
• Kenmerktoewijzingen configureren
• Gebruikersinrichting inschakelen en starten

Deel 1: De app voor de inrichtingsconnector toevoegen en de inrichtingsagent downloaden

Workday to Active Directory User Provisioning configureren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.

3. Zoek Workday to Active Directory User Provisioning en voeg die app toe vanuit de galerie.

4. Nadat de app is toegevoegd en het scherm met details van de app wordt weergegeven, selecteert u Inrichten.

5. Wijzig de inrichtingsmodus in Automatisch.

6. Klik op de informatiebanner die wordt weergegeven om de inrichtingsagent te downloaden.

   

Deel 2: On-premises inrichtingsagent(en) installeren en configureren

Als u gebruikers wilt inrichten bij on-premises Active Directory, moet de inrichtingsagent zijn geïnstalleerd op een server met netwerktoegang tot de gewenste Active Directory-domeinen.

Plaats het installatieprogramma van de gedownloade agent op de serverhost en volg de stappen die zijn vermeld in het gedeelte Agent installeren om de configuratie van de agent te voltooien.

Deel 3: Configureer in de inrichtings-app de connectiviteit met Workday en Active Directory

In deze stap maken we verbinding met Workday en Active Directory.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>> workday naar active directory-app voor het inrichten van gebruikers die in deel 1 zijn gemaakt.

3. Ga als volgt te werk om de sectie Referenties voor beheerders af te ronden:

   • Gebruikersnaam voor Workday: Voer de gebruikersnaam van het account voor het Workday-integratiesysteem in, waarbij de domeinnaam van de tenant is toegevoegd. Het ziet er ongeveer als volgt uit: username@tenant_name

   • Wachtwoord voor Workday: voer het wachtwoord van het account voor het Workday-integratiesysteem in

   • API-URL van Workday-webservices: Geef de URL naar het eindpunt van Workday-webservices voor uw tenant op. De URL bepaalt de versie van de Workday-webservices-API die door de connector wordt gebruikt.

     URL-indeling	Gebruikte versie van WWS-API	XPATH-wijzigingen vereist
     https://####.workday.com/ccx/service/tenantName	v21.1	Nee
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Nee
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##.#	Ja

     Notitie

     Als er geen versiegegevens zijn opgegeven in de URL, gebruikt de app Workday-webservices (WWS) v21.1. Er zijn dan geen wijzigingen vereist voor de standaard API-expressies van XPATH die worden geleverd bij de app. Als u een specifieke WWS API-versie wilt gebruiken, geeft u versienummer op in de URL
     Voorbeeld: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0

     Als u een WWS API v30.0+ gebruikt voordat u de inrichtingstaak inschakelt, werkt u de XPATH API-expressies bij onder Kenmerktoewijzing -> Geavanceerde opties -> Kenmerkenlijst bewerken voor Workday die verwijst naar de sectie Uw configuratie- en Workday-kenmerkverwijzing beheren.

   • Active Directory-forest: De 'naam' van uw Active Directory domein, zoals dit is geregistreerd bij de agent. Gebruik de vervolgkeuzelijst om het doeldomein te selecteren waarbij u gebruikers wilt inrichten. Deze waarde bestaat meestal uit een tekenreeks zoals contoso.com

   • Active Directory-container: Voer de DN in van de container waarin de agent standaard gebruikersaccounts moet maken.Voorbeeld: OU=Standard Users,OU=Users,DC=contoso,DC=test

     Notitie

     Deze instelling is alleen beschikbaar voor het maken van gebruikersaccounts als het kenmerk parentDistinguishedName niet is geconfigureerd in de kenmerktoewijzingen. Deze instelling wordt niet gebruikt voor het zoeken of bijwerken van gebruikers. De onderliggende domeinstructuur valt volledig binnen het bereik van de zoekbewerking.

   • E-mailmelding: voer uw e-mailadres in en zet een vinkje in het selectievakje 'E-mail verzenden als er een fout is opgetreden'.

     Notitie

     De Microsoft Entra-inrichtingsservice verzendt een e-mailmelding als de inrichtingstaak in quarantaine gaat.

   • Klik op de knop Verbinding testen. Als de verbindingstest is gelukt, klikt u bovenaan op de knop Opslaan. Als de test mislukt, controleert u of de Workday-referenties en de AD-referenties die zijn geconfigureerd voor de installatie van de agent geldig zijn.

     

   • Zodra de referenties zijn opgeslagen, wordt in de sectie Toewijzingen de standaardtoewijzing Workday-werknemers synchroniseren met on-premises Active Directory weergegeven

Deel 4: Kenmerktoewijzingen configureren

In deze sectie configureert u hoe gebruikersgegevens stromen van Workday naar Active Directory.

1. Klik op het tabblad Inrichten onder Toewijzingen op Workday-werknemers synchroniseren met on-premises Active Directory.

2. In het veld Bereik van bronobject kunt u selecteren voor welke sets van gebruikers de inrichting naar AD moet worden uitgevoerd. Dit doet u door een set van op kenmerken gebaseerde filters te definiëren. Het standaardbereik is 'alle gebruikers in Workday'. Voorbeelden van filters:

   • Voorbeeld: Bereik voor gebruikers met werkrol-id's tussen 1000000 en 2000000 (exclusief 2000000)

     • Kenmerk: WorkerID

     • Operator: REGEX-overeenkomst

     • Waarde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Voorbeeld: Alleen werknemers en niet afhankelijke werknemers

     • Kenmerk: EmployeeID

     • Operator: IS NIET NULL

   Tip

   Wanneer u de inrichtings-app voor de eerste keer configureert, moet u uw kenmerktoewijzingen en expressies testen en controleren om ervoor te zorgen dat u het gewenste resultaat krijgt. Microsoft raadt het gebruik van bereikfilters onder Bereik van bronobject en inrichting op aanvraag aan om uw toewijzingen te testen met een paar testgebruikers van Workday. Wanneer u hebt gecontroleerd of de toewijzingen werken, kunt u het filter verwijderen of het geleidelijk uitbreiden met meer gebruikers.

   Let op

   Het standaardgedrag van de inrichtings-engine is het het uitschakelen/verwijderen van gebruikers die buiten het bereik vallen. Dit is mogelijk niet wenselijk in uw integratie van Workday en AD. Als u dit standaardgedrag wilt overschrijven, raadpleegt u het artikel over het niet verwijderen van gebruikersaccounts die buiten het bereik vallen.

3. In het veld Acties voor doelobject kunt u globaal filteren op welke acties er worden uitgevoerd in Active Directory. Maken en Bijwerken worden het meest gebruikt.

4. In de sectie Kenmerktoewijzingen kunt u definiëren hoe afzonderlijke kenmerken van Workday worden toegewezen aan kenmerken van Active Directory.

5. Klik op een bestaande kenmerktoewijzing om deze bij te werken, of klik onderaan het scherm op Nieuwe toewijzing toevoegen om nieuwe toewijzingen toe te voegen. Een afzonderlijke kenmerktoewijzing ondersteunt de volgende eigenschappen:

   • Toewijzingstype

     • Direct: de waarde van het Workday-kenmerk wordt weggeschreven naar het kenmerk van AD, zonder wijzigingen.

     • Constante: er wordt een waarde die bestaat uit een statische, constante tekenreeks weggeschreven naar het AD-kenmerk.

     • Expressie: hiermee kunt u een aangepaste waarde wegschrijven naar het AD-kenmerk, op basis van een of meer Workday-kenmerken. Zie voor meer informatie dit artikel over expressies.

   • Bronkenmerk: het gebruikerskenmerk uit Workday. Als het kenmerk dat u zoekt niet aanwezig is, raadpleegt u De lijst met gebruikerskenmerken voor Workday aanpassen.

   • Standaardwaarde: optioneel. Als het bronkenmerk een lege waarde heeft, schrijft de toewijzing deze waarde in plaats daarvan.De meest voorkomende configuratie is om dit leeg te laten.

   • Doelkenmerk: het gebruikerskenmerk in Active Directory.

   • Objecten koppelen met dit kenmerk: geeft aan of deze toewijzing moet worden gebruikt om gebruikers uniek te identificeren tussen Workday en Active Directory. Deze waarde wordt meestal ingesteld op het veld Worker ID voor Workday. Dit veld wordt doorgaans toegewezen aan een van de kenmerken Werknemer-id in Active Directory.

   • Prioriteit bij koppelen: er kunnen meerdere overeenkomende kenmerken worden ingesteld. Wanneer er meerdere zijn, worden deze geëvalueerd in de volgorde die hier is gedefinieerd. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.

   • Deze toewijzing toepassen

     • Altijd: u kunt deze toewijzing toepassen bij het maken en bijwerken van gebruikers

     • Alleen tijdens het maken van een object: u kunt deze toewijzing alleen toepassen bij het maken van gebruikers

6. Als u uw toewijzingen wilt opslaan, klikt u op Opslaan bovenaan de sectie 'Kenmerktoewijzing'.

   

Hieronder ziet u enkele voorbeelden van kenmerktoewijzingen tussen Workday en Active Directory, met enkele algemene expressies

• De expressie die is gekoppeld aan het kenmerk parentDistinguishedName wordt gebruikt om een gebruiker in te richten bij verschillende organisatie-eenheden op basis van een of meer bronkenmerken van Workday. In dit voorbeeld worden gebruikers in verschillende organisatie-eenheden geplaatst op basis van de plaats waarin ze zich bevinden.

• Het kenmerk userPrincipalName in Active Directory wordt gegenereerd met behulp van de functie voor deduplicatie SelectUniqueValue. Deze functie controleert of er een gegenereerde waarde in het doel-AD-domein aanwezig. De waarde wordt alleen ingesteld als deze uniek is.

• Hier vindt u documentatie over het schrijven van expressies. In dit gedeelte vindt u voorbeelden van het verwijderen van speciale tekens.

Nadat de configuratie van de kenmerktoewijzing is voltooid, kunt u de inrichting testen voor een enkele gebruiker met inrichting on demand en vervolgens kunt u de gebruikersinrichtingsservice inschakelen en starten.

Gebruikersinrichting inschakelen en starten

Zodra de configuraties van de Workday-inrichtingsapp zijn voltooid en u de inrichting hebt gecontroleerd voor één gebruiker met inrichting op aanvraag, kunt u de inrichtingsservice inschakelen.

1. Ga naar de Blade Inrichten en klik op Inrichting starten.

2. Met deze bewerking wordt de eerste synchronisatie gestart. Dit kan een variabel aantal uren duren, afhankelijk van het aantal gebruikers in de Workday-tenant. U kunt de voortgangsbalk controleren om de voortgang van de synchronisatiecyclus bij te houden.

3. Controleer op elk gewenst moment het tabblad Inrichten in het Microsoft Entra-beheercentrum om te zien welke acties de inrichtingsservice heeft uitgevoerd. De inrichtingslogboeken bevatten alle afzonderlijke synchronisatiegebeurtenissen die door de inrichtingsservice worden uitgevoerd, zoals welke gebruikers worden gelezen uit Workday en vervolgens worden toegevoegd of bijgewerkt naar Active Directory. Raadpleeg de sectie Probleemoplossing voor instructies over het controleren van de inrichtingslogboeken en het oplossen van inrichtingsfouten.

4. Zodra de initiële synchronisatie is voltooid, wordt er een auditoverzichtsrapport op het tabblad Inrichten geschreven, zoals hieronder wordt weergegeven.

   

Veelgestelde vragen (FAQ)

• Vragen over mogelijkheden van oplossing

  • Hoe stelt de oplossing het wachtwoord in voor een nieuw gebruikersaccount in Active Directory als een nieuwe werknemer wordt verwerkt vanuit Workday?
  • Biedt de oplossing ondersteuning voor het verzenden van e-mailmeldingen als de inrichtingsbewerkingen zijn voltooid?
  • Slaat de oplossing Workday-gebruikersprofielen in de Microsoft Entra-cloud of in de inrichtingsagentlaag op?
  • Ondersteunt de oplossing de toewijzing van on-premises AD-groepen aan de gebruiker?
  • Welke Workday-API's gebruikt de oplossing voor het opvragen en bijwerken van werknemersprofielen in Workday?
  • Kan ik mijn Workday HCM-tenant configureren met twee Microsoft Entra-tenants?
  • Hoe kan ik verbeteringen voorstellen of nieuwe functies aanvragen met betrekking tot workday- en Microsoft Entra-integratie?

• Vragen over inrichtingsagent

  • Wat is de GA-versie van de inrichtingsagent?
  • Hoe kan ik zien welke versie van de inrichtingsagent ik heb?
  • Worden updates van de inrichtingsagent automatisch gepusht door Microsoft?
  • Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Verbinding maken wordt uitgevoerd?
  • Hoe kan ik de inrichtingsagent configureren voor het gebruik van een proxyserver voor uitgaande HTTP-communicatie?
  • Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die door de agent zijn vereist?
  • Hoe kan ik de registratie opheffen van het domein dat is gekoppeld aan mijn inrichtingsagent?
  • Hoe kan ik de inrichtingsagent verwijderen?

• Vragen over het koppelen van kenmerken van Workday en AD en over de configuratie

  • Hoe kan ik een back-up maken van een werkkopie met de toewijzingen en het schema van inrichtingskenmerken van Workday of hoe kan ik die exporteren?
  • Ik heb aangepaste kenmerken in Workday en Active Directory. Hoe kan ik de oplossing configureren voor gebruik van deze aangepaste kenmerken?
  • Kan ik de foto van gebruikers in Workday gebruiken in Active Directory?
  • Hoe kan ik mobiele nummers in Workday synchroniseren als de gebruiker toestemming heeft gegeven voor openbaar gebruik?
  • Hoe kan ik weergavenamen opmaken in AD op basis van de kenmerken van gebruikers voor afdeling/land/plaats en hoe kan ik regionale afwijkingen afhandelen?
  • Hoe kan ik SelectUniqueValue gebruiken om unieke waarden te genereren voor het kenmerk samAccountName?
  • Hoe kan ik tekens met diakritische tekens verwijderen en deze converteren naar gewone tekens?

Vragen over mogelijkheden van oplossing

Hoe stelt de oplossing het wachtwoord in voor een nieuw gebruikersaccount in Active Directory als een nieuwe werknemer wordt verwerkt vanuit Workday?

Wanneer de on-premises inrichtingsagent een aanvraag krijgt voor het maken van een nieuw AD-account, wordt er automatisch een complex willekeurig wachtwoord gegenereerd dat voldoet aan de vereisten voor wachtwoordcomplexiteit die zijn gedefinieerd door de AD-server en wordt dit wachtwoord ingesteld voor het gebruikersobject. Dit wachtwoord wordt nergens vastgelegd.

Biedt de oplossing ondersteuning voor het verzenden van e-mailmeldingen als de inrichtingsbewerkingen zijn voltooid?

Nee, het verzenden van e-mailmeldingen na het voltooien van inrichtingsbewerkingen wordt niet ondersteund in de huidige release.

Slaat de oplossing Workday-gebruikersprofielen in de Microsoft Entra-cloud of in de inrichtingsagentlaag op?

Nee, de oplossing onderhoudt geen cache met gebruikersprofielen. De Microsoft Entra-inrichtingsservice fungeert gewoon als een gegevensverwerker, het lezen van gegevens uit Workday en het schrijven naar de doel-Active Directory of Microsoft Entra-id. Zie de sectie Persoonlijke gegevens beheren voor informatie over de privacy van gebruikers en het bewaren van gegevens.

Ondersteunt de oplossing de toewijzing van on-premises AD-groepen aan de gebruiker?

Deze functionaliteit wordt momenteel niet ondersteund. De aanbevolen tijdelijke oplossing is het implementeren van een PowerShell-script waarmee het Microsoft Graph API-eindpunt wordt opgevraagd voor het inrichten van logboekgegevens en dat wordt gebruikt om scenario's zoals groepstoewijzing te activeren. Dit PowerShell-script kan worden gekoppeld aan een taakplanner en worden geïmplementeerd op dezelfde computer als die waarop de inrichtingsagent wordt uitgevoerd.

Welke Workday-API's gebruikt de oplossing voor het opvragen en bijwerken van werknemersprofielen in Workday?

De oplossing maakt momenteel gebruik van de volgende Workday-API's:

• De notatie van de Workday Web Services API-URL die wordt gebruikt in de sectie Admin Credentials bepaalt de API-versie die wordt gebruikt voor Get_Workers:

  • Als de URL-indeling is, https://####.workday.com/ccx/service/tenantName wordt API v21.1 gebruikt.
  • Als de URL-indeling is: https://####.workday.com/ccx/service/tenantName/Human_Resources , wordt API v21.1 gebruikt
  • Als de URL-indeling: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# is, wordt de opgegeven API-versie gebruikt. (Voorbeeld: als v34.0 is opgegeven, wordt die versie gebruikt.)

• De functie voor write-back van e-mailadressen van Workday maakt gebruik van Change_Work_Contact_Information (v 30.0)

• De functie voor write-back van gebruikersnamen van Workday namen maakt gebruik van Update_Workday_Account (v 31.2)

Kan ik mijn Workday HCM-tenant configureren met twee Microsoft Entra-tenants?

Ja, deze configuratie wordt ondersteund. Dit zijn de algemene stappen voor het configureren van dit scenario:

• Implementeer de inrichtingsagent #1 en registreer deze bij Microsoft Entra-tenant #1.
• Implementeer de inrichtingsagent #2 en registreer deze bij Microsoft Entra-tenant 2.
• Op basis van de onderliggende domeinen die elke inrichtingsagent beheert, configureert u elke agent met de domeinen. Eén agent kan meerdere domeinen beheren.
• Stel in het Microsoft Entra-beheercentrum de app Workday in voor AD-gebruikersinrichting in elke tenant en configureer deze met de respectieve domeinen.

Hoe kan ik verbeteringen voorstellen of nieuwe functies aanvragen met betrekking tot workday- en Microsoft Entra-integratie?

Uw feedback is zeer belangrijk omdat deze ons helpt de richting te bepalen voor toekomstige releases en verbeteringen. We verwelkomen alle feedback en moedigen u aan uw idee of verbeteringssuggesties in te dienen op het feedbackforum van Microsoft Entra ID. Voor specifieke feedback met betrekking tot de Workday-integratie selecteert u de categorie SaaS Applications en zoekt u met het trefwoord Workday om bestaande feedback te vinden over Workday.

Als u een nieuw idee wilt voorstellen, kijk dan eerst of niet iemand anders al een vergelijkbare functie heeft voorgesteld. In dat geval kunt u stemmen op die aanvraag voor een nieuwe functie of verbetering. U kunt ook een opmerking over uw specifieke use-case achterlaten om uw ondersteuning voor het idee weer te geven en te laten zien hoe de functie ook waardevol voor u is.

Vragen over inrichtingsagent

Wat is de GA-versie van de inrichtingsagent?

Raadpleeg Microsoft Entra Verbinding maken Inrichtingsagent: Versiereleasegeschiedenis voor de nieuwste GA-versie van de inrichtingsagent.

Hoe kan ik zien welke versie van de inrichtingsagent ik heb?

• Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.

• Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen

• Zoek de versie die overeenkomt met de vermelding Microsoft Entra Verbinding maken Inrichtingsagent

  

Worden updates van de inrichtingsagent automatisch gepusht door Microsoft?

Ja, Microsoft werkt de inrichtingsagent automatisch bij als de Windows-service Microsoft Entra Verbinding maken Agent Updater actief is.

Kan ik de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Verbinding maken wordt uitgevoerd?

Ja, u kunt de inrichtingsagent installeren op dezelfde server waarop Microsoft Entra Verbinding maken wordt uitgevoerd.

Op het moment van configuratie vraagt de inrichtingsagent om beheerdersreferenties van Microsoft Entra. Worden deze referenties lokaal opgeslagen op de server door de agent?

Tijdens de configuratie vraagt de inrichtingsagent alleen om beheerdersreferenties van Microsoft Entra om verbinding te maken met uw Microsoft Entra-tenant. De referenties worden niet lokaal opgeslagen op de server. De referenties die worden gebruikt om verbinding te maken met het on-premises Active Directory-domein worden wel opgeslagen in een lokale Windows-wachtwoordkluis.

Hoe kan ik de inrichtingsagent configureren voor het gebruik van een proxyserver voor uitgaande HTTP-communicatie?

De inrichtingsagent ondersteunt het gebruik van een uitgaande proxy. U kunt dit configureren door het configuratiebestand C:\Program Files\Microsoft Azure AD te bewerken Verbinding maken Inrichtingsagent\AAD Verbinding maken ProvisioningAgent.exe.config. Voeg de volgende regels toe aan het einde van het bestand vlak voor de afsluitende </configuration> tag.Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

 <system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://[proxy-server]:[proxy-port]" bypassonlocal="true" /> </defaultProxy> </system.net>

Hoe kan ik ervoor zorgen dat de inrichtingsagent kan communiceren met de Microsoft Entra-tenant en dat er geen firewalls poorten blokkeren die door de agent zijn vereist?

U kunt ook controleren of alle vereiste poorten open zijn.

Kan één inrichtingsagent worden geconfigureerd voor het inrichten van meerdere AD-domeinen?

Ja, een inrichtingsagent kan worden geconfigureerd voor het verwerken van meerdere AD-domeinen, op voorwaarde dat de agent contact heeft met de betreffende domeincontrollers. Microsoft raadt aan om een groep van 3 inrichtingsagents in te stellen die dezelfde set AD-domeinen leveren om hoge beschikbaarheid te garanderen en failover-ondersteuning te bieden.

Hoe kan ik de registratie opheffen van het domein dat is gekoppeld aan mijn inrichtingsagent?

*, haal de tenant-id van uw Microsoft Entra-tenant op.

• Meld u aan bij de Windows-server waarop de inrichtingsagent wordt uitgevoerd.

• Open PowerShell als Windows-beheerder.

• Ga naar de map met de registratiescripts en voer de volgende opdrachten uit om de parameter [tenant-id] te vervangen door de waarde van uw tenant-id.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"Get-PublishedResources -TenantId "[tenant ID]"

• Er verschijnt een lijst met agenten. Kopieer uit deze lijst de waarde van het veld id van de resource waarvan de waarde voor resourceName gelijk is aan de naam van uw AD-domein.

• Plak de waarde in deze opdracht en voer de opdracht uit in PowerShell.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"

• Voer de configuratiewizard voor de agent opnieuw uit.

• Alle andere agents die eerder aan dit domein zijn toegewezen, moeten opnieuw worden geconfigureerd.

Hoe kan ik de inrichtingsagent verwijderen?

• Meld u aan bij de Windows-server waarop de inrichtingsagent is geïnstalleerd.
• Ga naar Configuratiescherm ->Een programmamenu verwijderen of wijzigen
• Verwijder de volgende programma's:
  • Microsoft Entra Verbinding maken Inrichtingsagent
  • Microsoft Entra Verbinding maken Agent Updater
  • Microsoft Entra Verbinding maken Inrichtingsagentpakket

Vragen over het koppelen van kenmerken van Workday en AD en over de configuratie

Hoe kan ik een back-up maken van een werkkopie met de toewijzingen en het schema van inrichtingskenmerken van Workday of hoe kan ik die exporteren?

U kunt Microsoft Graph API gebruiken voor het exporteren van de configuratie van Workday to AD User Provisioning. Raadpleeg de stappen in de sectie Uw configuratie exporteren en importeren voor meer informatie.

Ik heb aangepaste kenmerken in Workday en Active Directory. Hoe kan ik de oplossing configureren voor gebruik van deze aangepaste kenmerken?

De oplossing ondersteunt aangepaste kenmerken voor Workday en Active Directory. Als u aangepaste kenmerken wilt toevoegen aan het toewijzingsschema, opent u de blade Kenmerktoewijzing en scrolt u omlaag om de sectie Geavanceerde opties weergeven uit te vouwen.

Als u uw aangepaste Workday-kenmerken wilt toevoegen, selecteert u de optie Kenmerkenlijst bewerken voor Workday. Om de aangepaste AD-kenmerken toe te voegen, selecteert u de optie Kenmerkenlijst bewerken voor On-premises Active Directory.

Zie ook:

• De lijst met gebruikerskenmerken van Workday aanpassen

Hoe kan ik de oplossing zodanig configureren dat kenmerken in AD alleen worden bijgewerkt op basis van wijzigingen in Workday en er geen nieuwe AD-accounts worden gemaakt?

Deze configuratie kan worden bereikt door Acties voor doelobject op de blade Kenmerktoewijzingen als volgt in te stellen:

Schakel het selectievakje Bijwerken in als alleen bewerkingen voor bijwerken moeten worden overgebracht van Workday naar AD.

Kan ik de foto van gebruikers in Workday gebruiken in Active Directory?

De oplossing biedt momenteel geen ondersteuning voor het instellen van binaire kenmerken, zoals thumbnailPhoto en jpegPhoto in Active Directory.

Hoe kan ik mobiele nummers in Workday synchroniseren als de gebruiker toestemming heeft gegeven voor openbaar gebruik?

• Ga naar de blade Inrichten van de app voor het inrichten van Workday.

• Klik op Kenmerktoewijzingen.

• Selecteer Onder Toewijzingen de optie Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra-id).

• Scrol op de pagina Kenmerktoewijzingen omlaag en schakel het selectievakje Geavanceerde opties weergeven in. Klik op Kenmerkenlijst bewerken voor Workday.

• Zoek op de blade die wordt geopend het kenmerk 'Mobiel' en klik op de rij, zodat u de API-expressie kunt bewerken

• Vervang de API-expressie door de volgende nieuwe expressie, waarmee het zakelijke mobiele nummer alleen wordt opgehaald als de vlag Public Usage in Workday is ingesteld op True.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone

• Sla de kenmerkenlijst op.

• Sla de kenmerktoewijzing op.

• Wis de huidige status en start de volledige synchronisatie opnieuw.

Hoe kan ik weergavenamen opmaken in AD op basis van de kenmerken van gebruikers voor afdeling/land/plaats en hoe kan ik regionale afwijkingen afhandelen?

Het is een algemene vereiste om het kenmerk displayName te configureren in AD, zodat het ook informatie geeft over de afdeling en het land of de regio van de gebruiker. Als John Smith bijvoorbeeld in de Afdeling Marketing in de VS werkt, wilt u misschien dat zijn displayName wordt weergegeven als Smith, John (Marketing-US).

Hieronder leest u hoe u aan dergelijke vereisten kunt voldoen door ervoor te zorgen dat CN of displayName kenmerken bevat zoals bedrijf, bedrijfseenheid, plaats of land/regio.

• Elk Workday-kenmerk wordt opgehaald met behulp van een onderliggende XPATH API-expressie, die kan worden geconfigureerd in kenmerktoewijzing -> Geavanceerde sectie -> Kenmerkenlijst bewerken voor Workday. Dit is de standaard XPATH API-expressie voor de Workday-kenmerken PreferredFirstName, PreferredLastName, Company en SupervisoryOrganization.

  Workday-kenmerk	API XPATH-expressie
  PreferredFirstName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  PreferredLastName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Bedrijf	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  SupervisoryOrganization	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Neem contact op met uw Workday-team om te bevestigen dat de API-expressie hierboven geldig is voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

• Op een vergelijkbare manier worden de land- of regiogegevens die aanwezig zijn in Workday opgehaald met behulp van de volgende XPATH-expressie: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  In de sectie met Workday-kenmerken zijn vijf land- en regiospecifieke kenmerken beschikbaar.

  Workday-kenmerk	API XPATH-expressie
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Neem contact op met uw Workday-team om te bevestigen dat de API-expressies hierboven geldig zijn voor de configuratie van uw Workday-tenant. Indien nodig kunt u de kenmerken bewerken zoals wordt beschreven in de sectie De lijst met gebruikerskenmerken voor Workday aanpassen.

• Als u de juiste expressie voor het toewijzen van kenmerken wilt maken, stelt u vast welk Workday-kenmerk 'gezaghebbend' is voor de voornaam, achternaam, het land of de regio en de afdeling van de gebruiker. Stel dat de kenmerken respectievelijk PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter en SupervisoryOrganization zijn. U kunt deze informatie als volgt gebruiken om een expressie te maken voor het AD-kenmerk displayName om een weergavenaam zoals Smith, John (Marketing-US) te produceren.

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))

  Nadat u de juiste expressie hebt, bewerkt u de tabel Kenmerktoewijzingen en wijzigt u de kenmerktoewijzing displayName , zoals hieronder wordt weergegeven:

• Als we het bovenstaande voorbeeld uitbreiden, bijvoorbeeld om plaatsnamen uit Workday om te zetten in drie hoofdletters en deze vervolgens te gebruiken om weergavenamen te genereren zoals Smith, John (CHI) of Doe, Jane (NYC), kan dit resultaat worden bereikt met behulp van een Switch-expressie met het Workday-kenmerk Municipality als de determinante variabele.

  Switch( [Municipality], Join(", ", [PreferredLastName], [PreferredFirstName]), "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"), "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"), "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)"))

  Zie ook:

  • Syntaxis van de functie Switch
  • Syntaxis van de functie Join
  • Syntaxis van de functie Append

Hoe kan ik SelectUniqueValue gebruiken om unieke waarden te genereren voor het kenmerk samAccountName?

Stel dat u unieke waarden wilt genereren voor het kenmerk samAccountName aan de hand van een combinatie van de kenmerken FirstName en LastName uit Workday. Hieronder ziet u een expressie die u als uitgangspunt kunt nemen:

SelectUniqueValue( Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ), Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ), Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("", Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ))

Hoe de bovenstaande expressie werkt: Als de gebruiker John Smith is, probeert deze eerst JSmith te genereren, als JSmith al bestaat, wordt JoSmith gegenereerd, als dat bestaat, wordt JohSmith gegenereerd. De expressie zorgt er ook voor dat de gegenereerde waarde voldoet aan de lengtebeperking en de beperking voor speciale tekens die zijn gekoppeld aan samAccountName.

Zie ook:

• Syntaxis van de functie Mid
• Syntaxis van de functie Replace
• Syntaxis van de functie SelectUniqueValue

Hoe kan ik tekens met diakritische tekens verwijderen en deze converteren naar gewone tekens?

Gebruik de functie NormalizeDiacritics om speciale tekens te verwijderen uit de voor- en achternaam van de gebruiker bij het samenstellen van het e-mailadres of de CN-waarde voor de gebruiker.

Tips voor probleemoplossing

Deze sectie bevat specifieke richtlijnen voor het oplossen van inrichtingsproblemen met uw Workday-integratie met behulp van de Microsoft Entra-inrichtingslogboeken en Windows Server-Logboeken-logboeken. Het bouwt voort op de algemene stappen en concepten die zijn vastgelegd in de zelfstudie: Rapportage over automatische inrichting van gebruikersaccounts

In deze sectie worden de volgende aspecten van het oplossen van problemen behandeld:

• Inrichtingsagent configureren voor het verzenden van Logboeken
• Windows Logboeken instellen voor het oplossen van problemen met agenten
• Inrichtingslogboeken voor het Microsoft Entra-beheercentrum instellen voor het oplossen van problemen met de service
• Informatie over logboeken over het maken van AD-gebruikersaccounts
• Informatie over logboeken over het bijwerken van managers
• Veelvoorkomende fouten oplossen

Inrichtingsagent configureren voor het verzenden van Logboeken

1. Aanmelden bij de Windows-server waarop de inrichtingsagent is geïmplementeerd

2. Stop de service Microsoft Entra Verbinding maken Provisioning Agent.

3. Maak een kopie van het oorspronkelijke configuratiebestand: C:\Program Files\Microsoft Azure AD Verbinding maken Provisioning Agent\AAD Verbinding maken ProvisioningAgent.exe.config.

4. Vervang het bestaande gedeelte <system.diagnostics> door het volgende.

   • De listener-config etw verzendt berichten naar de Logboeken
   • De listener-config textWriterListener verzendt traceringsberichten naar het bestand ProvAgentTrace.log. Verwijder de opmerking bij de regels met betrekking tot textWriterListener alleen voor geavanceerde probleemoplossing.

    <system.diagnostics> <sources> <source name="AAD Connect Provisioning Agent"> <listeners> <add name="console"/> <add name="etw"/> <!-- <add name="textWriterListener"/> --> </listeners> </source> </sources> <sharedListeners> <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/> <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent"> <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/> </add> <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> --> </sharedListeners> </system.diagnostics>

5. Start de service Microsoft Entra Verbinding maken Provisioning Agent.

Windows Logboeken instellen voor het oplossen van problemen met agenten

1. Meld u aan bij de Windows-server waarop de inrichtingsagent is geïmplementeerd.

2. Open de bureaublad-app Windows Server Logboeken.

3. Selecteer de Toepassing voor Windows-logboeken>.

4. Gebruik de optie Huidig logboek filteren... om alle gebeurtenissen weer te geven die zijn geregistreerd onder de bron Microsoft Entra Verbinding maken Inrichtingsagent en gebeurtenissen uitsluiten met gebeurtenis-id '5', door het filter -5 op te geven, zoals hieronder wordt weergegeven.

   Notitie

   Gebeurtenis-id 5 legt bootstrap-berichten van agents vast aan de Microsoft Entra-cloudservice. Daarom filteren we deze tijdens het analyseren van de logboekbestanden.

   

5. Klik op OK en sorteer de resultaten op de kolom Datum en tijd.

Inrichtingslogboeken voor het Microsoft Entra-beheercentrum instellen voor het oplossen van problemen met de service

1. Start het Microsoft Entra-beheercentrum en navigeer naar de sectie Inrichten van uw Workday-inrichtingstoepassing.

2. Gebruik de knop Kolommen op de pagina Inrichtingslogboeken om alleen de volgende kolommen weer te geven in de weergave (Datum, Activiteit, Status, Reden van status). Deze configuratie zorgt ervoor dat u zich alleen kunt concentreren op gegevens die relevant zijn voor het oplossen van problemen.

   

3. Gebruik de queryparameters Doel en Datumbereik om de weergave te filteren.

   • Stel de queryparameter Doel in op de werknemer-id ('Worker ID' of 'Employee ID') van het werknemersobject uit Workday.
   • Stel Datumbereik in op de periode die u wilt onderzoeken op fouten of problemen met de inrichting.

   

Informatie over logboeken over het maken van AD-gebruikersaccounts

Wanneer er een nieuwe medewerker in Workday wordt gedetecteerd (bijvoorbeeld met werknemer-id 21023), probeert de Microsoft Entra-inrichtingsservice een nieuw AD-gebruikersaccount voor de werknemer te maken en worden in het proces vier inrichtingslogboekrecords gemaakt, zoals hieronder wordt beschreven:

Wanneer u op een van de inrichtingslogboekrecords klikt, wordt de pagina Activiteitsgegevens geopend. Voor elk type record in het logboek wordt het volgende weergegeven op de pagina Activiteitdetails.

• Workday-importrecord : deze logboekrecord geeft de werkrolgegevens weer die zijn opgehaald uit Workday. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issuesEventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record

• AD-importrecord : deze logboekrecord geeft informatie weer van het account dat is opgehaald uit AD. Net als tijdens het maken van de eerste gebruiker is er geen AD-account, geeft de reden van de activiteitsstatus aan dat er geen account met de overeenkomende id-kenmerkwaarde is gevonden in Active Directory. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met het ophalen van gegevens uit Workday. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issuesEventName : EntryImportObjectNotFound // Implies that object was not found in ADJoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID

  Als u logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-importbewerking, opent u de Logboeken van Windows Logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te zoeken die de kenmerkwaarde Overeenkomende id/Eigenschap koppelen bevatten (in dit geval 21023).

  

  Zoek naar de vermelding met gebeurtenis-id = 9, waarmee u het LDAP-zoekfilter krijgt dat door de agent wordt gebruikt om het AD-account op te halen. U kunt controleren of dit het juiste zoekfilter is om unieke gebruikersvermeldingen op te halen.

  

  De record direct daarna met Event ID = 2 bevat het resultaat van de zoekbewerking en of deze resultaten heeft opgeleverd.

  

• Actierecord voor synchronisatieregels : deze logboekrecord bevat de resultaten van de kenmerktoewijzingsregels en geconfigureerde bereikfilters, samen met de inrichtingsactie die wordt uitgevoerd om de binnenkomende Workday-gebeurtenis te verwerken. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met de synchronisatie-actie. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issuesEventName : EntrySynchronizationAdd // Implies that the object is addedJoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching IDSourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday

  Als er problemen zijn met uw kenmerktoewijzingsexpressies of de binnenkomende Workday-gegevens problemen hebben (bijvoorbeeld: lege of null-waarde voor vereiste kenmerken), ziet u in deze fase een fout met de foutcode die details van de fout opgeeft.

• AD-exportrecord : Deze logboekrecord geeft het resultaat weer van de bewerking voor het maken van EEN AD-account, samen met de kenmerkwaarden die in het proces zijn ingesteld. Gebruik de informatie in de sectie Aanvullende details van de logboekrecord om problemen op te lossen met de bewerking voor het maken van het account. Hieronder ziet u een voorbeeldrecord, samen met informatie hoe u elk veld kunt interpreteren. In de sectie Aanvullende details is 'EventName' ingesteld op 'EntryExportAdd', 'JoiningProperty' op de waarde van de overeenkomende id, 'SourceAnchor' is ingesteld op de WorkdayID (WID) die aan de record is gekoppeld en 'TargetAnchor' is ingesteld op de waarde van het AD-kenmerk ObjectGuid van de nieuwe gebruiker.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issuesEventName : EntryExportAdd // Implies that object is createdJoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching IDSourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in WorkdayTargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user

  Als u de logboekrecords van de inrichtingsagent wilt zoeken die overeenkomen met deze AD-exportbewerking, opent u de Logboeken van Windows Logboeken en gebruikt u de menuoptie Zoeken... om logboekvermeldingen te zoeken die de kenmerkwaarde Overeenkomende id/Eigenschap koppelen bevatten (in dit geval 21023).

  Zoek naar een HTTP POST-record die overeenkomt met de tijdstempel van de exportbewerking met gebeurtenis-id = 2. Deze record bevat de kenmerkwaarden die door de inrichtingsservice naar de inrichtingsagent worden verzonden.

  Direct na de bovenstaande gebeurtenis moet een andere gebeurtenis staan, die de reactie bevat van de bewerking voor het maken van het AD-account. Deze gebeurtenis retourneert de nieuwe objectGuid die in AD is gemaakt en wordt ingesteld als het kenmerk TargetAnchor in de inrichtingsservice.

Informatie over logboeken over het bijwerken van managers

Het kenmerk Manager is een verwijzingskenmerk in AD. De inrichtingsservice stelt het managerkenmerk niet in als onderdeel van de bewerking voor het maken van de gebruiker. In plaats daarvan wordt het kenmerk Manager ingesteld als onderdeel van een bewerking update nadat het AD-account is gemaakt voor de gebruiker. Laten we het bovenstaande voorbeeld eens uitbreiden omdat er een nieuwe werknemer met de werknemer-id 21451 is geactiveerd in Workday. De manager van deze werknemer (21023) heeft al een AD-account. In dit scenario worden in de inrichtingslogboeken voor gebruiker 21451 vijf vermeldingen weergegeven.

De eerste vier records zijn vergelijkbaar met de records die we hebben besproken in de bewerking voor het maken van een gebruiker. De vijfde record is de export die is gekoppeld aan het bijwerken van het kenmerk Manager. De logboekrecord bevat het resultaat van de bewerking voor het bijwerken van het AD-account van de manager, die wordt uitgevoerd met behulp van het kenmerk objectGuid van de manager.

// Modified PropertiesName : managerNew Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023// Additional DetailsErrorCode : None // Use the error code captured here to troubleshoot AD account creation issuesEventName : EntryExportUpdate // Implies that object is createdJoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching IDSourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the userTargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Veelvoorkomende fouten oplossen

In deze sectie besteden we aandacht aan fouten die vaak optreden bij het inrichten van gebruikers van Workday en hoe u die kunt oplossen. De fouten kunnen als volgt worden gegroepeerd:

• Fouten met inrichtingsagent
• Connectiviteitsfouten
• Fouten bij het maken van Azure AD-gebruikersaccount
• Fouten bij het bijwerken van Azure AD-gebruikersaccount

Fouten met inrichtingsagent

Connectiviteitsfouten

Als de inrichtingsservice geen verbinding kan maken met Workday of Active Directory, kan dit tot gevolg hebben dat het inrichtingsproces de status Quarantaine krijgt. Gebruik de onderstaande tabel om verbindingsproblemen op te lossen.

Fouten bij het maken van Azure AD-gebruikersaccount

Fouten bij het bijwerken van Azure AD-gebruikersaccount

Tijdens het bijwerken van AD-gebruikersaccounts haalt de inrichtingsservice gegevens op uit zowel Workday als AD, worden vervolgens de regels voor kenmerktoewijzing uitgevoerd en wordt ten slotte bepaald of er een wijziging moet worden doorgevoerd. Zo ja, wordt er een bijwerkgebeurtenis geactiveerd. Als een van deze stappen een fout tegenkomt, wordt deze geregistreerd in de inrichtingslogboeken. Gebruik de onderstaande tabel om veelvoorkomende problemen met het bijwerken van accounts op te lossen.

Uw configuratie beheren

In deze sectie wordt beschreven hoe u een configuratie met door Workday aangestuurde gebruikersinrichting verder kunt uitbreiden, aanpassen en beheren. De volgende onderwerpen komen aan bod:

• De lijst met gebruikerskenmerken van Workday aanpassen
• Uw configuratie exporteren en importeren

De lijst met gebruikerskenmerken van Workday aanpassen

De inrichtingsapps van Workday voor Active Directory en Microsoft Entra ID bevatten beide een standaardlijst met gebruikerskenmerken van Workday waaruit u kunt kiezen. Deze lijsten zijn echter niet volledig. Workday ondersteunt honderden mogelijke gebruikerskenmerken, die standaard of uniek kunnen zijn voor uw Workday-tenant.

De Microsoft Entra-inrichtingsservice ondersteunt de mogelijkheid om uw lijst- of Workday-kenmerk aan te passen zodat alle kenmerken worden opgenomen die beschikbaar zijn in de Get_Workers bewerking van de Human Resources-API.

Als u deze wijziging wilt uitvoeren, moet u Workday Studio gebruiken om de XPath-expressies te extraheren die de kenmerken vertegenwoordigen die u wilt gebruiken en deze vervolgens toe te voegen aan uw inrichtingsconfiguratie met behulp van de geavanceerde kenmerkeditor.

Een XPath-expressie ophalen voor een gebruikerskenmerk van Workday:

1. Download en installeer Workday Studio. U hebt een Workday-communityaccount nodig om toegang te krijgen tot het installatieprogramma.

2. Download het WSDL-bestand Human_Resources van Workday dat specifiek is voor de WWS API-versie die u wilt gebruiken vanuit de Workday Web Services Directory

3. Start Workday Studio.

4. Selecteer in de opdrachtbalk de optie Workday > Test Web Service in Tester .

5. Selecteer External en daarna het WSDL-bestand Human_Resources dat u hebt gedownload in stap 2.

   

6. Stel het veld Location in op https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, maar vervang "IMPL-CC" door het type instantie dat u gebruikt en "TENANT" door de echte naam van uw tenant.

7. Stel Operation in op Get_Workers.

8. Klik op de kleine link configure onder de deelvensters Request/Response om uw Workday-referenties in te stellen. Schakel Authentication in en voer vervolgens de gebruikersnaam en het wachtwoord in voor uw Workday-integratiesysteemaccount. Zorg ervoor dat u de gebruikersnaam opmaken als name@tenant en laat de optie WS-Security UsernameToken geselecteerd.

9. Selecteer OK.

10. Plak in het deelvenster Request de onderstaande XML. Stel Employee_ID in op de werknemer-id van een echte gebruiker in uw Workday-tenant. Stel wd:version in voor de versie van WWS die u wilt gebruiken. Selecteer een gebruiker met het kenmerk dat u wilt ophalen.

    <?xml version="1.0" encoding="UTF-8"?><env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema"> <env:Body> <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1"> <wd:Request_References wd:Skip_Non_Existing_Instances="true"> <wd:Worker_Reference> <wd:ID wd:type="Employee_ID">21008</wd:ID> </wd:Worker_Reference> </wd:Request_References> <wd:Response_Group> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Personal_Information>true</wd:Include_Personal_Information> <wd:Include_Employment_Information>true</wd:Include_Employment_Information> <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data> <wd:Include_Organizations>true</wd:Include_Organizations> <wd:Include_Reference>true</wd:Include_Reference> <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data> <wd:Include_Photo>true</wd:Include_Photo> <wd:Include_User_Account>true</wd:Include_User_Account> <wd:Include_Roles>true</wd:Include_Roles> </wd:Response_Group> </wd:Get_Workers_Request> </env:Body></env:Envelope>

11. Klik op Send Request (de groene pijl) om de opdracht uit te voeren. Als de opdracht lukt, wordt het antwoord weergegeven in het deelvenster Response. Controleer het antwoord om er zeker van te zijn dat het de gegevens bevat van de gebruikers-id die u hebt ingevoerd, en niet een fout.

12. Als alles in orde is, kopieert u de XML uit het deelvenster Response en slaat u deze op als XML-bestand.

13. Selecteer Bestand > openen in de opdrachtbalk van Workday Studio... en open het XML-bestand dat u hebt opgeslagen. Met deze actie wordt het bestand geopend in de XML-editor van Workday Studio.

    

14. Navigeer in de bestandsstructuur door /env: Envelop > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker om de gegevens van uw gebruiker te vinden.

15. Zoek onder wd: Worker het kenmerk dat u wilt toevoegen en selecteer het.

16. Kopieer de XPath-expressie voor het geselecteerde kenmerk in het veld Document Path.

17. Verwijder het voorvoegsel /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ uit de gekopieerde expressie.

18. Als het laatste item in de gekopieerde expressie een knooppunt is (bijvoorbeeld: '/wd: Birth_Date'), voegt u /text() toe aan het einde van de expressie. Dit is niet nodig als het laatste item een kenmerk is (bijvoorbeeld: '/@wd: type').

19. Het resultaat moet er ongeveer uitzien als wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Deze waarde is wat u kopieert en invoert in het Microsoft Entra-beheercentrum.

Uw aangepaste Workday-gebruikerskenmerk toevoegen aan uw inrichtingsconfiguratie:

1. Start het Microsoft Entra-beheercentrum en navigeer naar de sectie Inrichten van uw Workday-inrichtingstoepassing, zoals eerder in deze zelfstudie is beschreven.

2. Stel Inrichtingsstatus in op Uiten selecteer Opslaan. Met deze stap kunt u ervoor zorgen dat uw wijzigingen alleen van kracht worden wanneer u klaar bent.

3. Selecteer Onder Toewijzingen de optie Workday-werknemers synchroniseren met on-premises Active Directory (of Workday-werknemers synchroniseren met Microsoft Entra-id).

4. Scrol naar de onderkant van het volgende scherm en selecteer Geavanceerde opties weergeven.

5. Selecteer Kenmerkenlijst bewerken voor Workday.

   

6. Scrol naar de onderkant van de lijst met kenmerken waar de invoervelden zich bevinden.

7. Geef bij Naam een weergavenaam op voor het kenmerk.

8. Selecteer bij Type het type dat het beste overeenkomt met uw kenmerk (Tekenreeks is het meest gebruikelijke type).

9. Geef bij API-expressie de XPath-expressie op die u hebt gekopieerd uit Workday Studio. Voorbeeld: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Selecteer Kenmerk toevoegen.

    

11. Selecteer hierboven Opslaan en klik vervolgens op Ja in het dialoogvenster dat verschijnt. Sluit het scherm Kenmerktoewijzing als dit nog is geopend.

12. Ga terug naar het hoofdtabblad Inrichten en selecteer Workday-werknemers opnieuw synchroniseren met on-premises Active Directory (of werkrollen synchroniseren met Microsoft Entra ID).

13. Selecteer Nieuwe toewijzing toevoegen.

14. Het nieuwe kenmerk moet nu in de lijst Bronkenmerk staan.

15. Voeg desgewenst een toewijzing voor het nieuwe kenmerk toe.

16. Als u klaar bent, moet u niet vergeten om Inrichtingsstatus weer op Aan in te stellen.

Uw configuratie exporteren en importeren

Raadpleeg voor meer informatie het artikel over het exporteren en importeren van de inrichtingsconfiguratie.

Persoonlijke gegevens beheren

De oplossing voor het inrichten van Workday-gebruikers in Active Directory vereist dat er een inrichtingsagent is geïnstalleerd op een on-premises Windows-server. Deze agent maakt logboeken in het Windows-gebeurtenislogboek die persoonlijke gegevens kunnen bevatten, afhankelijk van de kenmerktoewijzingen tussen Workday en AD. Om de privacyrechten van gebruikers na te leven, kunt u ervoor zorgen dat er niet langer dan 48 uur gegevens in de gebeurtenislogboeken worden bewaard door een geplande Windows-taak in te stellen waarmee het gebeurtenislogboek wordt gewist.

De Microsoft Entra-inrichtingsservice valt in de categorie gegevensverwerker van AVG-classificatie. Als een pijplijn voor het verwerken van gegevens, biedt de service voorzieningen voor gegevensverwerking aan belangrijke partners en eindgebruikers. Microsoft Entra-inrichtingsservice genereert geen gebruikersgegevens en heeft geen onafhankelijke controle over welke persoonlijke gegevens worden verzameld en hoe deze worden gebruikt. Het ophalen, samenvoegen, analyseren en rapporteren van gegevens in Microsoft Entra-inrichtingsservice is gebaseerd op bestaande bedrijfsgegevens.

Met betrekking tot het bewaren van gegevens genereert de Microsoft Entra-inrichtingsservice geen rapporten, voert analyses uit of biedt deze meer dan 30 dagen geen inzichten. Microsoft Entra-inrichtingsservice slaat daarom geen gegevens meer dan 30 dagen op, verwerkt of bewaart deze niet. Dit ontwerp voldoet aan de AVG-regelgeving, de privacynalevingsregels van Microsoft en het bewaarbeleid voor gegevens van Microsoft Entra.

Volgende stappen

• Meer informatie over Microsoft Entra ID- en Workday-integratiescenario's en webservice-aanroepen
• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit
• Ontdek hoe u eenmalige aanmelding configureert tussen Workday en Microsoft Entra ID
• Informatie over het configureren van Workday-write-back
• Informatie over het gebruik van Microsoft Graph-API's voor het beheren van inrichtingsconfiguraties