Workiva-ondersteuningscentrum

Vul de volgende secties in om een ISU-account (Integration System User) en een SG-account (Security Group) aan te maken voor API-toegang tot Workday vanuit Workiva.

Er zijn drie belangrijke taken die deel uitmaken van dit proces.

1. Maak een ISU-account (Integration System User) aan.
2. Een beveiligingsgroep maken.
3. Het domeinbeveiligingsbeleid en de machtigingen toewijzen en activeren.
4. Test en controleer de toegang tot de account.

Maak een ISU-account (Integration System User) aan

Voer de volgende stappen uit om een ISU-account (Integration System User) aan te maken die door Workiva zal worden gebruikt.

1. Meld u aan bij uw Workday-tenant als beheerder (of een gebruiker met de juiste beveiligingsrechten).
2. In het vak Workday Search voert u Create Integration System User (Gebruiker integratiesysteem maken) in en selecteert u die taak.
   
3. Voer een gebruikersnaam in. Bijvoorbeeld: ISU_WorkivaChain_API_User.
   Wij raden aan om een term als "API_User" of "outbound" te gebruiken om aan te geven dat het om uitgaande verzoeken gaat.
4. Voer een wachtwoord in en verifieer dit.
   Zorg ervoor dat het wachtwoord voldoet aan de regels voor wachtwoordstructuur van uw huurder.
5. Verwijder het vinkje bij Nieuw wachtwoord vereisen bij volgende aanmelding.
   Hierdoor wordt de account niet gedwongen om het wachtwoord bij de eerste aanmelding te wijzigen.
6. Aangezien deze account alleen voor API/integratiegebruik is en niet mag worden gebruikt om interactief in te loggen, schakelt u het selectievakje Do Not Allow UI Sessions in.
7. (Optioneel) Stel de Session Timeout Minutes in op een waarde die geschikt is voor de behoeften van uw integratie. Als u dit op 0 instelt, betekent dit dat de sessie niet verloopt.
8. Klik op OK om de account aan te maken.
9. Op het volgende scherm klikt u op Done om het aanmaken van de ISU te voltooien.
   
10. (Optioneel) Navigeer naar de taak "Wachtwoordregels onderhouden" en voeg deze nieuwe ISU toe aan de lijst van "Systeemgebruikers die zijn vrijgesteld van het verlopen van wachtwoorden", zodat het wachtwoord niet verloopt en integraties verbreekt.

Een beveiligingsgroep maken

Voer de volgende stappen uit om een speciale Beveiligingsgroep voor de ISU aan te maken. Hierdoor kunt u het beperken tot het uitvoeren van alleen de actie Get Workers.

1. Voer in het vak Workday Zoeken in Beveiligingsgroep maken en selecteer die taak.
   
2. Selecteer het gewenste Type van Tenanted Security Group. Deze set instructies gebruikt "Integration System Security Group (Unconstrained)",
   maar als uw beveiligingsbeleid een restrictiever beleid vereist, zou "Constrained" ook moeten werken, maar dit is niet getest.

Opmerking: Er zijn twee soorten Beveiligingsgroepen: beperkt en niet-beperkt.
Een beperkte beveiligingsgroep zorgt ervoor dat de webservice resultaten teruggeeft die beperkt zijn tot een bepaalde toezichthoudende organisatie. Met een onbeperkte beveiligingsgroep kan de gebruiker alle Workers in uw tenant bevragen.

1. Voer een Naam in voor de groep. Bijvoorbeeld SG_WorkivaChain_Group.
2. Klik op OK.
3. Zoek en selecteer in het veld Integration System Users de ISU die u hebt gemaakt in Een ISU-account (Integration System User) maken. (ISU_WorkivaChain_API_User).
   
4. Klik op OK.
5. Klik op Gedaan op het volgende scherm.

Het domeinbeveiligingsbeleid (machtigingen) toewijzen

In Workday regelt een Domein de toegang tot een specifieke set gegevens of acties. Bijvoorbeeld, "Workers Data: Public Worker Reports" bepaalt wie de functie Get_Workers op de webservice "Staffing" kan oproepen. Deze stap definieert welke gegevens en welke acties de beveiligingsgroep (en bij uitbreiding de ISU) kan uitvoeren. Voor elk domein (gegevensgebied / functie) waartoe uw integratie toegang moet hebben, moet u de activiteitsmachtigingen voor de beveiligingsgroep instellen.

Vereist beveiligingsbeleid voor Workday-domeinen

Het volgende domeinbeveiligingsbeleid en de volgende toegangswaarden zijn vereist voor de opdracht Get Workers.

Beveiligingsgroep machtigingen instellen

Voer de volgende stappen uit om de machtigingen in te stellen voor de Beveiligingsgroep die door Workiva zal worden gebruikt.

1. Voer in het vak Workday Search de optie Maintain Permissions for Security Group in en selecteer die taak (hierdoor wordt het dialoogvenster Maintain Permissions for Security Group geopend).
   
2. Op Operation, selecteert u "Maintain" (Handhaven).
3. In het veld Source Security Group (Bronbeveiligingsgroep), zoekt en selecteert u de naam van de groep die u hebt gemaakt in Create a Security Group (Beveiligingsgroep maken) (de groep waarvan uw ISU lid is). Voor dit voorbeeld is dat "SG_WorkivaChain_Group".
4. Klik op OK.
5. Klik op de knop Toevoegen (+) linksboven in de tabel om een nieuwe rij toe te voegen en zoek vervolgens in de kolom Domain Security Policy naar het domeinbeleid "WorkerData: Openbare werknemerrapporten
   
6. Zoek de kolom Toegang bekijken/wijzigen en selecteer Get Only (dit stelt de toegang in op alleen-lezen).
7. Herhaal stap 5 & 6 voor de "Werknemersgegevens: Informatie over huidig personeel" en "Gegevens werknemer: Vaardigheden en ervaring".
8. Klik op OK om uw wijzigingen op te slaan.
9. Klik op OK.
10. Klik op Gereed.

Activeer uw wijzigingen in het beveiligingsbeleid

Voer de volgende stappen uit om de Workday Security Policy wijzigingen die u hebt aangebracht te activeren.

1. Voer in het vak Workday Search in Activate Pending Security Policy Changes (In afwachting van wijzigingen in het beveiligingsbeleid activeren) en selecteer die taak.
   

2. Voer een korte opmerking in die de wijziging beschrijft.
   Bijvoorbeeld "Domeinbeleidsregels toepassen op SG_WorkivaChain_Group beveiligingsgroep".

   Waarschuwing: Deze wijziging zal alle hangende wijzigingen van het beveiligingsbeleid toepassen, wat mogelijk van invloed is op andere beveiligingsgroepen dan degene die u zojuist hebt ingesteld. Controleer op andere hangende wijzigingen in het beveiligingsbeleid voordat u doorgaat.

3. Klik op OK.
4. Schakel het selectievakje Bevestigen in het volgende dialoogvenster in en klik op OK om deze wijzigingen actief te maken.
   
5. Uw beveiligingsgroep kan nu de webservice Get Worker uitvoeren.

(Optioneel) Algemene toegang verwijderen van de "Worker Data: Werker" domein

Workday Tenant-configuraties kunnen per instantie verschillen. Als "Alle gebruikers" zijn voorzien van leestoegang, gebruik dan de volgende richtlijnen om de gebruikersrechten van het Workiva Integratiesysteem te beperken tot wat nodig is.

BELANGRIJK: Deze instructie is geschreven voor het implementeren van een Get_Worker gegevensophaalketen, en moet worden aangepast voor elk ander gebruik.

Opmerking: Als u "Alle gebruikers" verwijdert, moet u expliciet de groepen opgeven die toegang moeten hebben tot het "Worker Data: Worker" domeinbeleid.

Verwijder algemene toegang van de "Worker Data: Werker" domein

Voer de volgende stappen uit om algemene toegang te verwijderen uit het domein "Worker Data: Worker" domein.

1. Voer in het vak Workday Search Domain Security Configuration in en selecteer die taak.
2. Zoek en selecteer in de prompt het domein "Worker Data: Worker".
3. Zodra deze pagina wordt geopend, klikt u op het menu Gerelateerde acties (de kleine grijze "twinkie" knop met drie stippen of een pijl).
4. Navigeer als volgt door het menu:
   1. Kies Domein en vervolgens Rechten voor beveiligingsbeleid bewerken.
   2. Scroll naar beneden naar het gedeelte Integratiemachtigingen.
   3. Zoek de rij voor de beveiligingsgroep Alle gebruikers.
   4. Klik op de X om deze te verwijderen.
   5. Klik op OK om uw wijzigingen op te slaan en actief te maken.

Activeer uw wijzigingen in het beveiligingsbeleid

Belangrijke waarschuwing: Deze wijziging kan invloed hebben op andere integraties of rapporten die afhankelijk zijn van "Alle gebruikers", dus test dit eerst in een sandbox en controleer of deze wijziging geen andere processen breekt.

Voer de volgende stappen uit om uw wijzigingen in het beveiligingsbeleid te activeren.

1. Typ in het vak Workday Search Pending Security Policy Changes activeren en selecteer die taak.
2. Voer een korte beschrijvende opmerking in die de wijziging beschrijft.
   Bijvoorbeeld: "Beveiligingsgroep 'Alle gebruikers' verwijderd".
3. Klik op OK om uw wijzigingen op te slaan en actief te maken.

Voeg uw beveiligingsgroep toe aan "Worker Data: Worker"

Nu u de open toegang hebt verwijderd, moet u de groep van uw ISU expliciet de benodigde rechten geven. Voer hiervoor de volgende stappen uit.

1. Voer in het vak Workday Search Domain Security Configuration in en selecteer die taak.
2. Zoek en selecteer in de prompt het domein "Worker Data: Worker".
   (Misschien bent u al op dat scherm.)
3. Zodra deze pagina wordt geopend, klikt u op het menu Related Actions (Gerelateerde acties).
4. Navigeer als volgt door het menu:
   1. Kies Domein en vervolgens Beveiligingsbeleid machtigingen bewerken.
   2. Scroll naar beneden naar het gedeelte Integratiemachtigingen.
   3. Klik op Toevoegen (+) in dit gedeelte.
   4. Zoek en voeg de beveiligingsgroep toe die u hebt gemaakt in Een beveiligingsgroep maken.
   5. Toestemming verlenen Toestemming krijgen. Hierdoor kan de integratie Worker-gegevens opvragen.
   6. Klik op OK om uw wijzigingen op te slaan en actief te maken.
5. Voer het proces "Wijzigingen in het beveiligingsbeleid activeren" nogmaals uit.
   Uw Beveiligingsgroep (en de leden daarvan) kunnen nu een Get_Worker API-aanroep doen en openbare Worker-gegevens ophalen, terwijl de groep "Alle gebruikers" die toegang niet meer heeft.

Testen en controleren

Test en controleer of u de referenties van uw ISU (of het integratiesysteem dat deze referenties gebruikt) kunt gebruiken om een Get_Worker API-oproep te doen. Als dit lukt, ontvangt u Worker-gegevens zoals gedefinieerd door de beleidsregels "Publieke Worker-rapporten" en "Worker". Als u een "niet geautoriseerd" (HTML-foutcode 401 of 403) of "geen gegevens" (HTML-foutcode 404) krijgt, controleer dan nogmaals of u de beleidswijzigingen hebt geactiveerd na elk van de bovenstaande stappen.

Opmerking: Zoals geïmplementeerd door Workiva, zijn de gegevens die worden geretourneerd door de oproep Get_Worker een subset van de mogelijke Worker-gegevens die kunnen worden geretourneerd. Voor informatie over welke velden beschikbaar zijn, raadpleegt u de sectie "Tabblad Opdracht wijzigen" van de Workiva Support pagina Tabbladen voor de opdrachtconfiguratie van Workers ophalen.

Notities

• In dit document wordt ervan uitgegaan dat het domein "Worker Data: Worker"-domein wordt geleverd met de groep "Alle gebruikers".
• In dit document wordt ervan uitgegaan dat alle accounts (inclusief ISU's) standaard automatisch worden toegevoegd aan de groep "Alle gebruikers" wanneer ze worden aangemaakt.
• Voor gevoelige velden (zoals PII) past Workday beveiliging op veldniveau toe. Om privéattributen (e-mail, telefoon, enz.) vrij te geven, moet u de beleidsregels op veldniveau afzonderlijk aanpassen - dit voorkomt overmatige blootstelling van vertrouwelijke informatie.
• Zoals altijd verzoeken wij u om alle integraties grondig te testen in een Sandbox of Implementation tenant, omdat het nalaten hiervan een onbedoelde impact kan hebben op andere integraties dan die waarin u werkt.
• Raadpleeg deze Workday Support pagina voor meer informatie over de Get_Workers webservice: Concept: Get Workers SOAP Web Service Guidelines and Troubleshooting.
• Aangezien er veel domeinen kunnen zijn die de toegang tot gegevenssecties controleren, moet u het document Get_Workers API raadplegen en zoeken naar de term "Domain", aangezien dit nuttige informatie geeft over welke domeinen welke sectie controleren.
• De Vereist Workday domeinbeveiligingsbeleid die in dit document worden vermeld, zijn de minimaal vereiste machtigingen voor de connector om de API aan te roepen.
• Raadpleeg de pagina Reference: Beveiligingsrapporten pagina in de Handleiding voor systeembeheer voor meer informatie over beschikbare beveiligingsrapporten.

Voor instructies over het opzetten van een Get Worker verbinding in Chains, zie de Workiva Support pagina Een Get Worker verbinding opzetten in Chains.