Workiva サポートセンター

Workiva から Workday に API アクセスするための統合システム ユーザー（ISU）アカウントとセキュリティ グループ（SG）アカウントを作成するために、以下のセクションを完了します。

このプロセスには、主に 3 つのタスクがあります。

1. 統合システム ユーザー（ISU）アカウントを作成します。
2. セキュリティグループを作成します。
3. ドメインセキュリティポリシーと権限の割り当てと有効化 。
4. アカウントアクセスをテストし、検証します。

統合システムユーザー（ISU）アカウントの作成

Workiva で使用する統合システム ユーザー（ISU）アカウントを作成するには、次のステップを実行します。

1. 管理者（または適切なセキュリティ権限を持つユーザー）として Workday テナントにログインします。
2. WorkdaySearch ] ボックスで、[Create Integration System User] と入力し、そのタスクを選択します。
   
3. ユーザー名称 を入力します。例えばISU_WorkivaChain_API_User。
   API_User」または「outbound」などの用語を使用して、アウトバウンドリクエスト用であることを示すことをお勧めします。
4. パスワード を入力して確認します。
   パスワードがテナントのパスワード構造規則に適合していることを確認してください。
5. Require New Password at Next Sign In のチェックを外します。
   これにより、このアカウントは初回ログイン時にパスワードの変更を強制されなくなります。
6. このアカウントは、API/統合専用であり、対話的にログインするために使用してはならないため、[UI セッションを許可しない] チェックボックスをマークします。
7. (オプション)Session Timeout Minutes を統合のニーズに合わせて適切な値に設定します。この設定を 0 にすると、セッションの有効期限がなくなります。
8. OK をクリックしてアカウントを作成します。
9. 次へ画面で、Done をクリックして ISU の作成を終了します。
   
10. (オプション) 「Maintain Password Rules」タスクに移動し、この新規 ISU を「System Users exempt from password expiration」リストに追加して、パスワードが失効して統合が壊れないようにします。

セキュリティグループの作成

次のステップを実行して、ISU 用の特別な Security Group を作成します。こうすることで、[就業者の取得] アクションの実行のみに限定できます。

1. WorkdaySearch ボックスで、Create Security Group と入力し、そのタスクを選択します。
   
2. タイプ別テナントセキュリティグループ を選択します。この設定手順では、"統合システムセキュリティグループ（制約なし）"（
   ）を使用しますが、セキュリティポリシーでより制約のあるポリシーが必要な場合は、"制約あり "でも動作するはずですが、テストは行っていません。

メモ：セキュリティグループには、制約付きと制約なしの 2 つのタイプがあります。
制約付き セキュリティグループは、Web サービスが特定の監督者組織に制限された結果を返却するようにします。 制約なし セキュリティグループにより、ユーザーはテナント内の任意のワーカーにクエリを実行できます。

1. グループに名称 を入力します。たとえば、SG_WorkivaChain_Group。
2. OK をクリックする。
3. Integration System Users フィールドで、Create an Integration System User (ISU) account で作成した ISU を見つけて選択します。(ISU_WorkivaChain_API_User）をクリックします。
   
4. OK をクリックする。
5. 以下をクリックします。完了 。

ドメイン セキュリティ ポリシー（権限）の割り当て

Workday では、ドメインは特定のデータまたはアクションの設定へのアクセスを制御します。例えば、"Workers Data：Public Worker Reports（公開労働者レポート）」は、「Staffing（人材派遣）」Web サービスの Get_Workers 操作を呼び出すことができる人を定義します。このステップでは、セキュリティグループ（ひいては ISU）が実行できるデータとアクションを定義します。統合で使用するドメイン (データ/関数の領域) ごとに、セキュリティ グループのアクティビティ権限を設定する必要があります。

必要な Workday ドメイン セキュリティ ポリシー

Get Workers コマンドには、次のドメイン セキュリティ ポリシーとアクセス値が必要です。

セキュリティグループ権限の設定

以下のステップを実行して、Workiva で使用するセキュリティ グループの権限を設定します。

1. WorkdaySearch ボックスで Maintain Permissions for Security Group と入力し、そのタスクを選択します（Maintain Permissions for Security Group ダイアログが開きます）。
   
2. [Operation] で、[Maintain] を選択します。
3. Source Security Group（ソース・セキュリティ・グループ）フィールド で、Create a Security Group（セキュリティ・グループの作成） で作成したグループ（ISU がメンバーであるグループ）の名称を探し、選択します。この例では、「SG_WorkivaChain_Group」です。
4. OK をクリックする。
5. テーブルの左上にある追加（+）ボタンをクリックして新規行を追加し、ドメインセキュリティポリシー 列でドメインポリシー "WorkerData：Public Worker Reports "を検索します。
   
6. 閲覧/修正アクセス 列を探し、取得のみ を選択します（これにより、読み取り専用アクセスに設定されます）。
7. 労働者データ：現在の人材派遣情報」と「労働者データ：スキルおよびエクスペリエンス」ポリシーについて、ステップ5と6を繰り返します。
8. OK をクリックして変更を保存します。
9. OK をクリックする。
10. 完了 をクリックします。

セキュリティポリシーの変更を有効にします。

以下のステップを実行して、変更した Workday セキュリティ ポリシーを有効にします。

1. WorkdaySearch のボックスに Activate Pending Security Policy Changes と入力し、そのタスクを選択します。
   

2. 変更についての簡単なコメントを入力します。
   例: 「SG_WorkivaChain_Group Security Group にドメインポリシーを適用する」。

   警告 警告: この変更により、保留中のセキュリティポリシーの変更がすべて適用され、今設定したグループ以 外のセキュリティグループにも影響が及ぶ可能性があります。続行する前に、保留中のセキュリティ ポリシーの変更がないか確認してください。

3. OK をクリックする。
4. 次へ] ダイアログの[ の確認] チェック ボックスにマークを付け、[OK] をクリックして、これらの変更を有効にします。
   
5. これで、セキュリティ グループが Get Worker Web サービスを実行できるようになります。

(オプション）「Worker Data：Worker」ドメインからの一般アクセスの削除

Workday テナントの構成は、インスタンスによって異なる場合があります。すべてのユーザー "が読み取りアクセスでプロビジョニングされている場合、以下のガイダンスを使用して、 Workiva 統合システム ユーザー権限を必要なものだけに制限してください。

インポート： この命令は、Get_Worker データ検索チェーンを実装するために書かれたものであり、他の用途で使用する場合は修正が必要です。

メモ: [すべてのユーザー] を削除するには、[ワーカー データ] ドメイン ポリシーにアクセスするグループを明示的に指定する必要があります：Worker」ドメイン ポリシー

Worker Data: Worker」ドメインから一般アクセスを削除します：Worker」ドメイン

Worker Data.Worker」ドメインから一般アクセスを削除するには、以下のステップを実行します：Worker」ドメインから一般アクセスを削除するには、次の手順を実行します。

1. WorkdaySearch ］ボックスに［Domain Security Configuration］と入力し、そのタスクを選択します。
2. プロンプトで、ドメイン「Worker Data」を検索して選択します：Worker」を検索して選択します。
3. このページが開いたら、「関連アクション」 メニュー（3つの点線または矢印が付いた小さなグレーの「twinkie」ボタン）をクリックします。
4. 次のようにメニューをナビゲーションします：
   1. Domain を選択し、Edit Security Policy Permissions を選択します。
   2. 統合権限 セクションまでスクロールダウンします。
   3. All Users セキュリティグループの行を検索します。
   4. X をクリックして削除します。
   5. OK をクリックして変更を保存し、有効にします。

セキュリティポリシーの変更を有効にします。

重要な注意： この変更は、"All Users" に依存する他の統合やレポートに影響を与える可能性があります。したがって、まずサンドボックスでテストし、この変更が他のプロセスを破壊しないことを確認してください。

次のステップを実行して、セキュリティ ポリシーの変更を有効にします。

1. WorkdaySearch ボックスに、Activate Pending Security Policy Changes と入力し、そのタスクを選択します。
2. 変更についての簡単なコメントを入力します。
   例：「All Users」セキュリティグループを削除しました。
3. OK をクリックして変更を保存し、アクティブにします。

セキュリティグループを "Worker Data "に追加してください：Worker" に追加してください。

オープンアクセスを削除したので、ISUのグループに必要な権限を明示的に与える必要があります。以下のステップを実行します。

1. WorkdaySearch ボックスに、Domain Security Configuration と入力し、そのタスクを選択します。
2. プロンプトで、ドメイン「Worker Data」を検索して選択します：Worker」を検索して選択します。
   (すでにその画面になっているかもしれません)。
3. このページが開いたら、Related Actions メニューをクリックします。
4. 次のようにメニューをナビゲーションします： 
   1. Domain を選択し、Edit Security Policy Permissions を選択します。
   2. 統合権限 セクションまでスクロールダウンします。
   3. このセクションで追加（+）をクリックします。
   4. Create a Security Group で作成したセキュリティグループを見つけて追加します。
   5. 権限を付与. これにより、統合は Worker データをクエリできるようになります。
   6. OK をクリックして変更を保存し、アクティブにします。
5. セキュリティポリシーの変更の有効化」プロセスをもう一度実行してください。
   セキュリティグループ（およびそのメンバー）は、Get_Worker API 呼び出しを行ってパブリック Worker データを取得できるようになりました。

テストと検証

ISU の資格情報（またはその資格情報を使用する統合システム）を使用して Get_Worker API 呼び出しを実行できることをテストして確認します。正常であれば、「Public Worker Reports」および「Worker」ドメインポリシーで定義されたWorkerデータを受信します。権限がありません」（HTML エラーコード 401 または 403）または「データがありません」（HTML エラーコード 404） が表示された場合は、上記の各ステップの後に保留中のポリシー変更を有効化したかどうかを再確認してください。

メモ： Workiva で実装されているように、Get_Worker 呼び出しによって返却されるデータは、返却可能な Worker データのサブセットです。どのフィールドが使用可能かについては、Workiva サポートページGet Workers コマンド構成タブ の「コマンドタブの修正」セクションを参照してください。

メモ

• このドキュメントでは、デフォルトで「Worker Data：Worker」ドメインは、「All Users」グループと一緒に配信されるものとします。
• このドキュメントでは、デフォルトで、作成時にすべてのアカウント (ISU を含む) が自動的に "All Users" グループに追加されることを前提としています。
• 機密フィールド（PII など）には、Workday はフィールドレベルのセキュリティを適用します。プライベート属性（メール、電話など）を公開するには、フィールドレベルのポリシーを個別に修正する必要があります。
• サンドボックスまたはインプリメンテーション テナントですべての統合を徹底的にテストしてください。
• Get_Workers Web サービスの詳細については、Workday サポート ページを参照してください：コンセプトGet Workers SOAP Web サービスのガイドラインとトラブルシューティング を参照してください。
• データ セクションへのアクセスを制御するドメインが多数存在する可能性があるため、Get_Workers API ドキュメントをレビューし、"Domain" という用語を検索してください。
• このドキュメントに記載されている必要な Workday ドメイン セキュリティ ポリシー は、コネクターが API を呼び出すために最低限必要な権限です。
• 参照：利用可能なセキュリティ関連レポートの詳細については、管理者ガイドの「Security-Related Reports」 ページを参照してください。

チェーンで Get Worker 接続をセットアップする手順については、Workiva サポートページチェーンで Get Worker 接続をセットアップする を参照してください。