与 集成，以便能够预配用户帐户。 Azure AD 用户预配服务支持的 Workday 用户预配工作流可将以下人力资源和标识生命周期管理方案自动化：

本部分收集了 Workday 集成的最新增强功能。 如需查看包含综合更新、计划变更和存档的列表，请访问 页面

• 2020 年 10 月 - 对 Workday 启用了按需预配：使用，你现在可测试 Workday 中特定用户配置文件的端到端预配，以验证你的属性映射和表达式逻辑。

• 2020 年 5 月 - 能够将电话号码写回到 Workday： 除了电子邮件和用户名外，现在还可以将工作电话号码和移动电话号码从 Azure AD 写回到 Workday。 有关更多详细信息，请参阅。

• 2020 年 4 月 - 支持最新版本的 Workday Web 服务 (WWS) API： 每年 3 月和 9 月，Workday 都会提供功能丰富的更新，帮助你满足业务目标和不断变化的劳动力需求。 为了跟上 Workday 提供的新功能，你现在可以直接指定你希望在连接 URL 中使用的 WWS API 版本。 要详细了解如何指定

此用户预配解决方案最适合哪些对象？

此 Workday 用户预配解决方案非常适合以下对象：

• 需要使用预建的、基于云的解决方案进行 Workday 用户预配的组织

• 要求使用从 Workday HCM 模块获取的数据预配用户的组织（请参阅 ）

• 要求只根据 Workday HCM 模块中检测到的更改信息，加入、移动用户或者使用户保持同步到一个或多个 Active Directory 林、域和 OU 的组织（请参阅 ）

本节介绍适用于常见混合环境的端到端用户预配解决方案体系结构。 有两个相关的流：

• 权威 HR 数据流 - 从 Workday 到本地 Active Directory： 在此流中，工作人员事件（如新雇员、换岗、离职等）首先发生在云 Workday HR 租户中，然后事件数据通过 Azure AD 和预配代理流入本地 Active Directory。 根据事件的不同，可能会导致在 AD 中创建/更新/启用/禁用操作。

1. HR 团队在 Workday HCM 中执行工作人员事务（入职者/换岗者/离职者或新雇员/换岗/离职）
2. Azure AD 预配服务运行来自 Workday HR 的标识的计划同步，并确定需要进行处理以供与本地 Active Directory 域服务同步的更改。
3. 如果已配置 应用，则该应用会将电子邮件、用户名和电话号码等属性写回 Workday。

• 要部署的 Workday 到 AD 用户预配应用的数目
• 选择合适的匹配标识符、属性映射、转换和范围筛选器

有关综合指导原则和推荐的最佳做法，请参阅。

在 Workday 中配置集成系统用户

所有 Workday 预配连接器的一项常见要求是，需使用 Workday 集成系统用户的凭据连接到 Workday 人力资源 API。 本部分介绍如何在 Workday 中创建集成系统用户，它包含以下部分：

1. 使用管理员帐户登录到 Workday 租户。 在“Workday 应用程序”的搜索框中，输入“创建用户”，然后单击“创建集成系统用户” 。

2. 通过为新的集成系统用户提供用户名和密码，完成“创建集成系统用户”任务。

   • 使“下次登录时需要新密码”选项处于未选中状态，因为此用户将以编程方式登录。
   • 将“会话超时(分钟)”保留为其默认值 0，这将阻止用户会话过早超时。
   • 选择选项“不允许 UI 会话”，因为它提供了额外的安全层，可防止拥有集成系统密码的用户登录 Workday。

在此步骤中，你将在 Workday 中创建不受约束或受约束的集成系统安全组，并将在上一步中创建的集成系统用户分配给该组。

1. 在搜索框中输入“创建安全组”，然后单击“创建安全组”。

2. 完成“创建安全组”任务。

   • Workday 中有两种类型的安全组：

     • 不受约束： 安全组的所有成员均可访问受该安全组保护的所有数据实例。
     • 受约束： 所有安全组成员均可对该安全组能访问的部分数据实例（行）进行基于上下文的访问。

   • 请咨询 Workday 集成合作伙伴，从而为集成选择适当的安全组类型。

   • 在知道组类型之后，请从“租户安全组类型”的下拉列表中选择“集成系统安全组(不受约束)”或“集成系统安全组(受约束)” 。

3. 安全组创建成功后，将显示可以为安全组分配成员的页面。 将在上一步中新建的集成系统用户添加到此安全组中。 如果要使用受约束的安全组，则还需要选择相应的组织范围。

此步骤将向安全组授予员工数据的“域安全性”策略权限。

1. 在搜索框中输入“安全组成员身份和访问”，并单击该报表链接。

2. 搜索在上一步骤中创建的安全组并将其选中。

3. 单击组名旁的省略号 (…)，然后从菜单中选择“安全组”>“维护安全组的域权限”

4. 在“集成权限”下，将以下域添加到“允许 Put 访问的域安全策略”列表中

5. 工作人员数据：公职人员报表
6. 个人数据：工作联系人信息（如果你计划将联系人数据从 Azure AD 写回 Workday，则它为必需项）

7. 在“集成权限”下，将以下域添加到“允许 Get 访问的域安全策略”列表中

   • 工作人员数据：工作人员
   • 工作人员数据：所有职位
   • 工作人员数据：当前人员配备信息
   • 工作人员数据：工作人员个人资料中的职称
   • 工作人员数据：合格的工作人员（可选 - 添加此项以检索用于预配的工作人员资格数据）
   • 工作人员数据：技能和经验（可选 - 添加此项以检索用于预配的工作人员技能数据）

8. 完成上述步骤后，随即会显示权限屏幕，如下所示：

9. 在下一屏幕上单击“确定”和“完成”以完成配置 。

配置业务流程安全策略权限

此步骤将向安全组授予员工数据的“业务流程安全性”策略权限。

配置业务流程安全策略权限：

1. 在搜索框中输入“业务流程策略”，然后单击链接“编辑业务流程安全策略”任务 。

2. 在“业务流程类型”文本框中，搜索“联系人”并选择“工作联系人更改”业务流程，然后单击“确定” 。

3. 在“编辑业务流程安全策略”页面上，滚动到“更改工作联系人信息 (Web 服务)”部分 。

4. 选择新的集成系统安全组并将其添加到可以发起 Web 服务请求的安全组列表中。

1. 在搜索框中输入“激活”，然后单击链接“激活挂起的安全策略更改”。

2. 通过输入用于审核的注释，然后单击“确定”，开始“激活挂起的安全策略更改”任务。

3. 选中“确认”复选框，然后单击“确定”，完成下一屏幕上的任务。

继续下一部分之前，请查看。

此部分按步骤介绍如何将用户帐户从 Workday 预配到集成范围内的每个 Active Directory 域。

第 1 部分：添加预配连接器应用并下载预配代理

1. 依次选择“企业应用程序”、“所有应用程序”。

2. 依次选择“添加应用程序”、“所有”类别。

3. 添加应用并显示应用详细信息屏幕后，请选择“预配”。

4. 将“预配模式”更改为“自动”。

5. 单击显示的信息横幅以下载预配代理。

第 2 部分：安装和配置本地预配代理

要预配到本地 Active Directory，必须在可通过网络访问所需 Active Directory 域的已加入域的服务器上安装预配代理。

将下载的代理安装程序传输到服务器主机，并按照部分中列出的步骤完成代理配置。

1. 按如下所述完成“管理员凭据”部分：

   • 如果未在属性映射中配置 parentDistinguishedName 属性，则此设置仅对用户帐户创建起作用。 此设置不用于用户搜索或更新操作。 整个域子树属于搜索操作的范围。

   • 通知电子邮件 - 输入电子邮件地址，然后选中“如果失败，则发送电子邮件”复选框。

     如果预配作业进入状态，Azure AD 预配服务将发送电子邮件通知。

   • 单击“测试连接”按钮。 如果连接测试成功，请单击顶部的“保存”按钮。 如果连接测试失败，请仔细检查代理设置上配置的 Workday 凭据和 AD 凭据是否有效。

   • 凭据成功保存后，“映射”部分或显示默认映射“将 Workday 工作人员同步到本地 Active Directory”

第 4 部分：配置属性映射

1. 在“预配”选项卡的“映射”下，单击“将 Workday 工作人员同步到本地 Active Directory” 。

2. 在“源对象范围”字段中，可以通过定义一组基于属性的筛选器，选择 Workday 中要预配到 AD 的用户集范围。 默认范围是“Workday 中的所有用户”。 示例筛选器：

   • 示例：仅限员工和非临时工

   首次配置预配应用时，需要测试和验证属性映射和表达式，以确保它提供所需的结果。 Microsoft 建议使用“源对象范围”下的和来测试 Workday 中少量测试用户的映射。 验证确保映射正常工作后，可删除筛选器，也可逐渐扩大范围以包含更多用户。

   预配引擎的默认行为是禁用/删除超出范围的用户。 这可能不适合于 Workday 到 AD 集成。 若要替代此默认行为，请参阅

3. 在“目标对象操作”字段中，可全局筛选要对 Active Directory 执行的操作。 “创建”和“更新”是最常见的操作。

4. 单击现有的属性映射可将其更新，单击屏幕底部的“添加新映射”可添加新的映射。 单个属性映射支持以下属性：

   • • 常量映射 - 将静态常量字符串值写入 AD 属性

     • 表达式 – 可以基于一个或多个 Workday 属性将自定义值写入 AD 属性。 。

   • 源属性 – Workday 中的用户属性。 如果你查找的属性不存在，请参阅。

   • 默认值 – 可选。 如果源属性的值为空，映射将改为写入此值。 最常见的配置是将此项留空。

   • 使用此属性匹配对象 – 是否应使用此映射唯一标识 Workday 与 Active Directory 之间的用户。 该值通常是在 Workday 的“工作人员 ID”字段中设置的，它通常映射到 Active Directory 中的某个“员工 ID”属性。

   • 匹配优先级 – 可设置多个匹配属性。 当存在匹配时，会按照此字段定义的顺序进行评估。 一旦找到匹配，就不会进一步评估其他匹配属性。

   • • 始终 – 对用户创建和更新操作均应用此映射

     • 仅创建期间 - 仅对用户创建操作应用此映射

5. 若要保存映射，请单击“属性映射”部分顶部的“保存”。

• 可根据一个或多个 Workday 源属性，使用映射到 parentDistinguishedName 属性的表达式将用户预配到不同的 OU。 以下示例根据用户所在的城市，将用户放入不同的 OU。

• Active Directory 中的 userPrincipalName 属性是使用重复数据删除函数 生成的，该函数会检查目标 AD 域中是否存在生成的值，且仅在值唯一时才设置它。

• 。 此部分中包括有关如何删除特殊字符的示例。