Centrum wsparcia Workiva

Wypełnij poniższe sekcje, aby utworzyć konto użytkownika systemu integracji (ISU) i konto grupy zabezpieczeń (SG) w celu uzyskania dostępu API do Workday z Workiva.

Proces ten obejmuje trzy główne zadania.

1. Utwórz konto użytkownika systemu integracji (ISU).
2. Utwórz grupę zabezpieczeń.
3. Przypisz i aktywuj zasady zabezpieczeń i uprawnienia domeny.
4. Przetestuj i zweryfikuj dostęp do konta.

Utwórz konto użytkownika systemu integracji (ISU)

Wykonaj następujące kroki, aby utworzyć konto użytkownika systemu integracji (ISU), które będzie używane przez Workiva.

1. Zaloguj się do swojej dzierżawy Workday jako administrator (lub użytkownik z odpowiednimi uprawnieniami bezpieczeństwa).
2. W polu wyszukiwania Workday wpisz Create Integration System User i wybierz to zadanie.
   
3. Wprowadź nazwę użytkownika . Na przykład: ISU_WorkivaChain_API_User.
   Zalecamy użycie terminu takiego jak "API_User" lub "outbound", aby wskazać, że jest on przeznaczony dla żądań wychodzących.
4. Wprowadź i zweryfikuj hasło .
   Upewnij się, że hasło jest zgodne z zasadami struktury haseł dzierżawcy.
5. Odznacz Wymagaj nowego hasła przy następnym logowaniu.
   Dzięki temu konto nie jest zmuszane do zmiany hasła przy pierwszym logowaniu.
6. Ponieważ to konto jest przeznaczone wyłącznie do użytku API/integracji i nie powinno być używane do interaktywnego logowania, zaznacz pole wyboru Do Not Allow UI Sessions.
7. (Opcjonalnie) Ustaw wartość Session Timeout Minutes na odpowiednią wartość dla potrzeb integracji. Ustawienie tej wartości na 0 oznacza, że sesja nie wygasa.
8. Kliknij OK, aby utworzyć konto.
9. Na następnym ekranie kliknij Done, aby zakończyć tworzenie jednostki ISU.
   
10. (Opcjonalnie) Przejdź do zadania "Maintain Password Rules" i dodaj tę nową jednostkę ISU do listy "System Users exempt from password expiration", aby hasło nie wygasło i nie przerwało integracji.

Utwórz grupę zabezpieczeń

Wykonaj następujące kroki, aby utworzyć specjalną grupę zabezpieczeń dla ISU. W ten sposób możesz ograniczyć ją tylko do wykonywania akcji Get Workers.

1. W polu wyszukiwania Workday wpisz Create Security Group i wybierz to zadanie.
   
2. Wybierz żądany typ Tenanted Security Group. Ten zestaw instrukcji wykorzystuje "Integration System Security Group (Unconstrained)",
   , ale jeśli twoja polityka bezpieczeństwa wymaga bardziej restrykcyjnej polityki, "Constrained" powinna również działać, ale nie została przetestowana.

Uwaga: Istnieją dwa rodzaje grup zabezpieczeń: ograniczone i nieograniczone.
Grupa zabezpieczeń constrained zapewnia, że usługa internetowa zwraca wyniki ograniczone do określonej organizacji nadzorującej. Grupa zabezpieczeń unconstrained pozwala użytkownikowi na odpytywanie dowolnych Workerów w twojej dzierżawie.

1. Wprowadź nazwę dla grupy. Na przykład SG_WorkivaChain_Group.
2. Kliknij OK.
3. W polu Użytkownicy systemu integracji znajdź i wybierz użytkownika ISU utworzonego w Utwórz konto użytkownika systemu integracji (ISU). (ISU_WorkivaChain_API_User).
   
4. Kliknij OK.
5. Kliknij Done na poniższym ekranie.

Przypisz zasady zabezpieczeń domeny (uprawnienia)

W Workday domena kontroluje dostęp do określonego zestawu danych lub działań. Na przykład "Dane pracowników: Public Worker Reports" określa, kto może wywoływać operację Get_Workers w usłudze internetowej "Staffing". Ten krok definiuje, jakie dane i jakie działania może wykonywać grupa zabezpieczeń (a tym samym ISU). Dla każdej domeny (obszaru danych / funkcji), do której ma mieć dostęp Twoja integracja, musisz ustawić uprawnienia do aktywności dla grupy zabezpieczeń.

Wymagane zasady bezpieczeństwa domeny Workday

Następujące zasady zabezpieczeń domeny i wartości dostępu są wymagane dla polecenia Get Workers.

Ustaw uprawnienia grupy zabezpieczeń

Wykonaj następujące kroki, aby ustawić uprawnienia dla grupy zabezpieczeń, która będzie używana przez Workiva.

1. W polu Workday Search wpisz Maintain Permissions for Security Group i wybierz to zadanie (otworzy się okno dialogowe Maintain Permissions for Security Group ).
   
2. Na stronie Operation wybierz opcję "Maintain".
3. W polu Source Security Group znajdź i wybierz nazwę grupy utworzonej w Create a Security Group (tej, której członkiem jest Twoja jednostka ISU). W tym przykładzie jest to "SG_WorkivaChain_Group".
4. Kliknij OK.
5. Kliknij przycisk Dodaj (+) w lewym górnym rogu tabeli, aby dodać nowy wiersz, a następnie wyszukaj w kolumnie Domain Security Policy politykę domeny "WorkerData: Publiczne raporty pracowników"
   
6. Znajdź kolumnę View/Modify Access i wybierz Get Only (ustawia to dostęp tylko do odczytu).
7. Powtórz kroki 5 i 6 dla "Danych pracowników: Bieżące informacje o pracownikach" i "Dane pracowników: Umiejętności i doświadczenie".
8. Kliknij OK, aby zapisać zmiany.
9. Kliknij OK.
10. Kliknij Gotowe.

Aktywuj zmiany w polityce bezpieczeństwa

Wykonaj następujące kroki, aby aktywować wprowadzone zmiany w Workday Security Policy.

1. W polu Workday Search wpisz Activate Pending Security Policy Changes i wybierz to zadanie.
   

2. Wprowadź krótki komentarz opisujący zmianę.
   Na przykład "Stosowanie zasad domeny do grupy zabezpieczeń SG_WorkivaChain_Group".

   Ostrzeżenie: Ta zmiana spowoduje zastosowanie wszystkich oczekujących zmian zasad zabezpieczeń, potencjalnie wpływając na inne grupy zabezpieczeń niż ta, którą właśnie skonfigurowałeś. Przed kontynuowaniem sprawdź, czy nie ma innych oczekujących zmian zasad bezpieczeństwa.

3. Kliknij OK.
4. Zaznacz pole wyboru Confirm w następnym oknie dialogowym i kliknij OK, aby uaktywnić te zmiany.
   
5. Twoja grupa zabezpieczeń może teraz uruchomić usługę internetową Get Worker.

(Opcjonalnie) Usunięcie ogólnego dostępu z domeny "Worker Data: Pracownik"

Konfiguracje dzierżawców Workday mogą się różnić w zależności od instancji. Jeśli "Wszyscy użytkownicy" otrzymali dostęp do odczytu, skorzystaj z poniższych wskazówek, aby ograniczyć uprawnienia użytkownika systemu integracji Workiva tylko do tego, co jest wymagane.

WAŻNE: Ta instrukcja została napisana w celu implementacji łańcucha pobierania danych Get_Worker i będzie musiała zostać zmodyfikowana do każdego innego zastosowania.

Uwaga: Usunięcie opcji "Wszyscy użytkownicy" będzie wymagało wyraźnego określenia grup, które powinny mieć dostęp do polityki domeny "Worker Data: Worker".

Usuń ogólny dostęp z domeny "Worker Data: Pracownik"

Wykonaj następujące kroki, aby usunąć ogólny dostęp z domeny "Worker Data: Worker".

1. W polu wyszukiwania Workday wpisz Domain Security Configuration i wybierz to zadanie.
2. W monicie wyszukaj i wybierz domenę "Worker Data: Worker".
3. Po otwarciu tej strony kliknij menu Related Actions (mały szary przycisk z trzema kropkami lub strzałką).
4. Poruszaj się po menu w następujący sposób:
   1. Wybierz Domena, a następnie Edytuj uprawnienia polityki bezpieczeństwa.
   2. Przewiń w dół do sekcji Integration Permissions.
   3. Znajdź wiersz dla grupy zabezpieczeń All Users.
   4. Kliknij przycisk X, aby go usunąć.
   5. Kliknij OK, aby zapisać zmiany i uczynić je aktywnymi.

Aktywuj zmiany w polityce bezpieczeństwa

Ważna uwaga: Ta zmiana może mieć wpływ na inne integracje lub raporty, które opierają się na opcji "Wszyscy użytkownicy", więc najpierw przetestuj ją w piaskownicy i sprawdź, czy ta zmiana nie zepsuje żadnych innych procesów.

Wykonaj następujące kroki, aby aktywować zmiany w zasadach bezpieczeństwa.

1. W polu Workday Search wpisz Activate Pending Security Policy Changes i wybierz to zadanie.
2. Wprowadź krótki komentarz opisujący zmianę.
   Na przykład "Usunięto grupę zabezpieczeń "Wszyscy użytkownicy"".
3. Kliknij OK, aby zapisać zmiany i uczynić je aktywnymi.

Dodaj swoją grupę zabezpieczeń do "Worker Data: Pracownik"

Po usunięciu otwartego dostępu musisz teraz wyraźnie nadać grupie ISU uprawnienia, których potrzebuje. W tym celu wykonaj następujące kroki.

1. W polu wyszukiwania Workday wpisz Domain Security Configuration i wybierz to zadanie.
2. W monicie wyszukaj i wybierz domenę "Worker Data: Worker".
   (Być może jesteś już na tym ekranie)
3. Po otwarciu tej strony kliknij menu Related Actions.
4. Poruszaj się po menu w następujący sposób:
   1. Wybierz domenę, a następnie Edytuj uprawnienia polityki bezpieczeństwa.
   2. Przewiń w dół do sekcji Integration Permissions.
   3. Kliknij przycisk Dodaj (+) w tej sekcji.
   4. Znajdź i dodaj grupę zabezpieczeń utworzoną w sekcji Create a Security Group.
   5. Przyznaj Uzyskaj pozwolenie. Pozwala to integracji na wyszukiwanie danych Worker.
   6. Kliknij OK, aby zapisać zmiany i uczynić je aktywnymi.
5. Uruchom ponownie proces "Activate Security Policy Changes".
   Twoja grupa zabezpieczeń (i jej członkowie) może teraz wykonać wywołanie API Get_Worker i pobrać publiczne dane Workera, podczas gdy grupa "Wszyscy użytkownicy" nie ma już takiego dostępu.

Przetestuj i zweryfikuj

Przetestuj i sprawdź, czy możesz użyć poświadczeń ISU (lub systemu integracji korzystającego z tych poświadczeń), aby wykonać wywołanie API Get_Worker. Jeśli się powiedzie, otrzymasz dane pracownika zdefiniowane w zasadach domeny "Raporty pracowników publicznych" i "Pracownik". Jeśli otrzymasz komunikat "nieautoryzowane" (kod błędu HTML 401 lub 403) lub "brak danych" (kod błędu HTML 404), sprawdź dwukrotnie, czy aktywowałeś oczekujące zmiany zasad po każdym z powyższych kroków.

Uwaga: Zgodnie z implementacją Workiva, dane zwracane przez wywołanie Get_Worker są podzbiorem możliwych danych Workera, które mogą zostać zwrócone. Aby uzyskać informacje na temat dostępnych pól, zapoznaj się z sekcją "Modyfikacja karty poleceń" na stronie pomocy technicznej Workiva Karty konfiguracji poleceń Get Workers.

Uwagi

• Ten dokument zakłada, że domyślnie domena "Worker Data: Worker" jest dostarczana z grupą "Wszyscy użytkownicy".
• Ten dokument zakłada, że domyślnie wszystkie konta (w tym ISU) są automatycznie dodawane do grupy "Wszyscy użytkownicy" po utworzeniu.
• W przypadku pól wrażliwych (takich jak dane osobowe) Workday stosuje zabezpieczenia na poziomie pola. Aby ujawnić prywatne atrybuty (e-mail, telefon itp.), musisz zmodyfikować te zasady na poziomie pola osobno - zapobiega to nadmiernemu ujawnianiu poufnych informacji.
• Jak zawsze, prosimy o dokładne przetestowanie wszystkich integracji w dzierżawie Sandbox lub Implementation, ponieważ niezastosowanie się do tego zalecenia może mieć niezamierzony wpływ na integracje inne niż ta, w której pracujesz.
• Aby uzyskać więcej informacji na temat usługi internetowej Get_Workers, zapoznaj się z tą stroną pomocy technicznej Workday: Concept: Get Workers SOAP Web Service Guidelines and Troubleshooting.
• Ponieważ może istnieć wiele domen kontrolujących dostęp do sekcji danych, zapoznaj się z dokumentem Get_Workers API i wyszukaj termin "Domain", ponieważ dostarczy on przydatnych informacji o tym, które domeny kontrolują daną sekcję.
• Wymienione w tym dokumencie Required Workday domain security policies to minimalne uprawnienia wymagane do wywoływania interfejsu API przez konektor.
• Przejrzyj stronę Reference: Raporty związane z bezpieczeństwem, aby uzyskać szczegółowe informacje na temat dostępnych raportów związanych z bezpieczeństwem.

Aby uzyskać instrukcje dotyczące konfigurowania połączenia Get Worker w Chains, zapoznaj się ze stroną pomocy technicznej Workiva Konfigurowanie połączenia Get Worker w Chains.