Centro assistenza di Workiva

Completa le seguenti sezioni per creare un account Integration System User (ISU) e un account Security Group (SG) per l'accesso API a Workday da Workiva.

Questo processo prevede tre attività principali.

1. Creare un account Integration System User (ISU).
2. Crea un gruppo di sicurezza.
3. Assegnare e attivare i criteri e i permessi di sicurezza del dominio.
4. Prova e verifica l'accesso all'account.

Creare un account Integration System User (ISU)

Completa i seguenti passaggi per creare un account Integration System User (ISU) che verrà utilizzato da Workiva.

1. Accedi al tuo tenant Workday come amministratore (o come utente con i diritti di sicurezza appropriati).
2. Nella casella Workday Search, inserisci Create Integration System User e seleziona l'attività.
   
3. Inserisci un Nome utente. Ad esempio: ISU_WorkivaChain_API_User.
   Si consiglia di utilizzare un termine come "API_User" o "outbound" per indicare che si tratta di richieste in uscita.
4. Inserisci e verifica una Password.
   Assicurati che la password sia conforme alle regole della struttura delle password del tuo inquilino.
5. Deseleziona Require New Password at Next Sign In.
   In questo modo l'account non sarà costretto a cambiare la password al primo accesso.
6. Poiché questo account è destinato all'uso dell'API/integrazione e non deve essere utilizzato per accedere in modo interattivo, seleziona la casella di controllo Do Not Allow UI Sessions.
7. (Facoltativo) Imposta Session Timeout Minutes a un valore appropriato per le esigenze della tua integrazione. Impostando questo valore a 0, la sessione non scadrà.
8. Clicca su OK per creare l'account.
9. Nella schermata successiva, clicca su Done per terminare la creazione della ISU.
   
10. (Facoltativo) Vai all'attività "Mantieni le regole sulle password" e aggiungi questa nuova ISU all'elenco degli "Utenti del sistema esenti dalla scadenza della password" in modo che la password non scada e non interrompa le integrazioni.

Crea un Gruppo di Sicurezza

Completa i seguenti passaggi per creare un Gruppo di Sicurezza speciale per l'ISU. In questo modo potrai limitare l'esecuzione dell'azione Get Workers.

1. Nella casella Workday Search, inserisci Create Security Group e seleziona l'attività.
   
2. Seleziona il tipo di gruppo di sicurezza affittato che desideri. Questa serie di istruzioni utilizza il "Gruppo di sicurezza del sistema di integrazione (non vincolato)",
   ma se il tuo criterio di sicurezza richiede un criterio più restrittivo, anche "vincolato" dovrebbe funzionare, ma non è stato testato.

Nota: Esistono due tipi di gruppi di sicurezza: vincolati e non vincolati.
Un gruppo di sicurezza vincolato garantisce che il servizio web restituisca risultati limitati a una particolare organizzazione di supervisori. Un gruppo di sicurezza non vincolato permette all'utente di interrogare tutti i lavoratori del tuo tenant.

1. Inserisci un Nome per il gruppo. Ad esempio, SG_WorkivaChain_Group.
2. Clicca su OK.
3. Nel campo Integration System Users, individua e seleziona l'ISU che hai creato in Crea un account Integration System User (ISU). (ISU_WorkivaChain_API_User).
   
4. Clicca su OK.
5. Clicca su Fatto nella schermata seguente.

Assegnazione dei criteri di sicurezza del dominio (permessi)

In Workday, un Dominio controlla l'accesso a un insieme specifico di dati o azioni. Ad esempio, "Dati dei lavoratori: Rapporti pubblici sui lavoratori" regola chi può chiamare l'operazione Get_Workers del servizio web "Staffing". Questa fase definisce quali dati e quali azioni il gruppo di sicurezza (e di conseguenza l'ISU) può eseguire. Per ogni dominio (area di dati/funzione) a cui vuoi far accedere la tua integrazione, devi impostare i permessi di attività per il gruppo di sicurezza.

Criteri di sicurezza del dominio Workday richiesti

I seguenti criteri di sicurezza del dominio e i valori di accesso sono necessari per il comando Ottieni lavoratori.

Imposta i permessi del Gruppo di Sicurezza

Completa i seguenti passaggi per impostare i permessi per il Gruppo di Sicurezza che verrà utilizzato da Workiva.

1. Nella casella Workday Search, inserisci Maintain Permissions for Security Group e seleziona l'attività (si apre la finestra di dialogo Maintain Permissions for Security Group ).
   
2. In Operazione, seleziona "Mantieni".
3. Nel campo Source Security Group, individua e seleziona il nome del gruppo creato in Create a Security Group (quello di cui fa parte la tua ISU). In questo esempio, si tratta di "SG_WorkivaChain_Group".
4. Clicca su OK.
5. Clicca sul pulsante Aggiungi (+) nell'angolo superiore sinistro della tabella per aggiungere una nuova riga, quindi cerca nella colonna Criteri di sicurezza del dominio il criterio di dominio "WorkerData: Rapporti pubblici dei lavoratori".
   
6. Individua la colonna View/Modify Access e seleziona Get Only (per impostare l'accesso in sola lettura).
7. Ripeti i passaggi 5 e 6 per le politiche "Dati dei lavoratori: Informazioni attuali sul personale" e "Dati dei lavoratori: Competenze ed esperienze".
8. Clicca su OK per salvare le modifiche.
9. Clicca su OK.
10. Clicca su Fatto.

Attiva le modifiche ai criteri di sicurezza

Completa i seguenti passaggi per attivare le modifiche ai criteri di sicurezza di Workday che hai apportato.

1. Nella casella Workday Search, inserisci Activate Pending Security Policy Changes e seleziona l'attività.
   

2. Inserisci un breve commento che descriva la modifica.
   Ad esempio, "Applicazione dei criteri di dominio al gruppo di sicurezza SG_WorkivaChain_Group".

   Attenzione: Questa modifica applicherà tutte le modifiche ai criteri di sicurezza in sospeso, potenzialmente influenzando altri gruppi di sicurezza oltre a quello che hai appena impostato. Controlla se ci sono altre modifiche ai criteri di sicurezza in sospeso prima di continuare.

3. Clicca su OK.
4. Seleziona la casella di controllo Confirm nella finestra di dialogo successiva e clicca su OK per rendere attive le modifiche.
   
5. Il tuo gruppo di sicurezza può ora eseguire il servizio web Get Worker.

(Facoltativo) Rimuovere l'accesso generale dal dominio "Worker Data: Worker".

Le configurazioni di Workday Tenant possono variare da istanza a istanza. Se a "Tutti gli utenti" è stato assegnato l'accesso in lettura, utilizza la seguente guida per limitare i permessi dell'utente del sistema di integrazione di Workiva solo a ciò che è necessario.

IMPORTANTE: Questa istruzione è stata scritta per implementare una catena di recupero dati Get_Worker e dovrà essere modificata per qualsiasi altro utilizzo.

Nota: Se rimuovi "Tutti gli utenti" dovrai specificare esplicitamente i gruppi che devono avere accesso al criterio "Dati del lavoratore: Lavoratore".

Rimuovi l'accesso generale dal dominio "Dati del lavoratore: Lavoratore".

Completa i seguenti passaggi per rimuovere l'accesso generale dal dominio "Dati del lavoratore: Worker".

1. Nella casella Workday Search, inserisci Domain Security Configuration e seleziona l'attività.
2. Nel prompt, cerca e seleziona il dominio "Worker Data: Worker".
3. Una volta aperta questa pagina, clicca sul menu Azioni correlate (il piccolo pulsante grigio "twinkie" con tre punti o una freccia).
4. Naviga nel menu come segue:
   1. Scegli Dominio, poi Modifica i permessi dei criteri di sicurezza.
   2. Scorri fino alla sezione Permessi di integrazione.
   3. Trova la riga del gruppo di sicurezza All Users.
   4. Clicca su X per rimuoverlo.
   5. Clicca su OK per salvare le modifiche e renderle attive.

Attiva le modifiche ai criteri di sicurezza

Attenzione: Questa modifica può influire su altre integrazioni o report che si basano su "Tutti gli utenti", quindi testala prima in una sandbox e verifica che questa modifica non interrompa altri processi.

Completa i seguenti passaggi per attivare le modifiche ai criteri di sicurezza.

1. Nella casella Workday Search, inserisci Activate Pending Security Policy Changes e seleziona l'attività.
2. Inserisci un breve commento descrittivo della modifica.
   Ad esempio, "Rimosso il gruppo di sicurezza 'Tutti gli utenti'".
3. Clicca su OK per salvare le modifiche e renderle attive.

Aggiungi il tuo gruppo di sicurezza a "Dati del lavoratore: Lavoratore".

Dopo aver rimosso l'accesso aperto, ora devi assegnare esplicitamente al gruppo della tua ISU i permessi di cui ha bisogno. Completa i seguenti passaggi.

1. Nella casella Workday Search, inserisci Domain Security Configuration e seleziona l'attività.
2. Nel prompt, cerca e seleziona il dominio "Worker Data: Worker".
   (Potresti già trovarti in questa schermata).
3. Una volta aperta questa pagina, clicca sul menu Azioni correlate.
4. Naviga nel menu come segue: 
   1. Scegli il dominio e poi Modifica i permessi dei criteri di sicurezza.
   2. Scorri fino alla sezione Permessi di integrazione.
   3. Clicca su Aggiungi (+) in questa sezione.
   4. Individua e aggiungi il gruppo di sicurezza creato in Crea un gruppo di sicurezza.
   5. Concedi Ottieni il permesso. Questo permette all'integrazione di interrogare i dati dei lavoratori.
   6. Clicca su OK per salvare le modifiche e renderle attive.
5. Esegui nuovamente il processo di "Attivazione delle modifiche ai criteri di sicurezza".
   Il tuo Gruppo di Sicurezza (e i suoi membri) possono ora effettuare una chiamata API Get_Worker e recuperare i dati pubblici dei lavoratori, mentre il gruppo "Tutti gli utenti" non ha più questo accesso.

Prova e verifica

Prova e verifica che sia possibile utilizzare le credenziali della tua ISU (o il sistema di integrazione che le utilizza) per effettuare una chiamata API Get_Worker. Se l'operazione è andata a buon fine, riceverai i dati dei lavoratori come definito dai criteri del dominio "Rapporti pubblici dei lavoratori" e "Lavoratore". Se ottieni un "non autorizzato" (codice di errore HTML 401 o 403) o "nessun dato" (codice di errore HTML 404), ricontrolla di aver attivato le modifiche ai criteri in sospeso dopo ciascuno dei passaggi precedenti.

Nota: Come implementato da Workiva, i dati restituiti dalla chiamata Get_Worker sono un sottoinsieme dei possibili dati del lavoratore che possono essere restituiti. Per informazioni sui campi disponibili, consulta la sezione "Modifica della scheda comando" della pagina del Supporto Workiva Ottieni le schede di configurazione del comando Workers.

Note

• Questo documento presuppone che, per impostazione predefinita, il dominio "Worker Data: Worker" sia fornito con il gruppo "Tutti gli utenti".
• Questo documento presuppone che per impostazione predefinita tutti gli account (comprese le ISU) vengano aggiunti automaticamente al gruppo "Tutti gli utenti" al momento della creazione.
• Per i campi sensibili (come le informazioni personali), Workday applica la sicurezza a livello di campo. Per esporre gli attributi privati (e-mail, telefono, ecc.), devi modificare separatamente i criteri a livello di campo: in questo modo eviterai l'esposizione eccessiva di informazioni riservate.
• Come sempre, ti chiediamo di testare a fondo tutte le integrazioni in una Sandbox o in un tenant di implementazione, perché in caso contrario potresti avere un impatto indesiderato su integrazioni diverse da quella in cui stai lavorando.
• Per ulteriori informazioni sul servizio web Get_Workers, consulta questa pagina del supporto Workday: Concept: Get Workers SOAP Web Service Guidelines and Troubleshooting.
• Poiché possono esserci molti domini che controllano l'accesso alle sezioni dei dati, assicurati di consultare il documento Get_Workers API e di cercare il termine "Domain", in quanto questo fornirà informazioni utili su quali domini controllano quale sezione.
• I Criteri di sicurezza del dominio Workday elencati in questo documento sono i permessi minimi necessari al connettore per invocare l'API.
• Consulta la pagina di riferimento: Rapporti relativi alla sicurezza nella Guida per l'amministratore per i dettagli sui rapporti relativi alla sicurezza disponibili.

Per istruzioni sull'impostazione di una connessione Get Worker in Chains, consulta la pagina del supporto Workiva Set up a Get Worker Connection in Chains.