Workiva supportcenter

Fyll i följande avsnitt för att skapa ett ISU-konto (Integration System User) och ett SG-konto (Security Group) för API-åtkomst till Workday från Workiva.

Det finns tre huvuduppgifter som en del av denna process.

1. Skapa ett ISU-konto (Integration System User).
2. Skapa en säkerhetsgrupp.
3. Tilldela och aktivera domänens säkerhetspolicyer och behörigheter.
4. Testa och verifiera kontoåtkomsten.

Skapa ett ISU-konto (Integration System User)

Slutför följande steg för att skapa ett ISU-konto (Integration System User) som ska användas av Workiva.

1. Logga in på din Workday-klient som administratör (eller en användare med lämpliga säkerhetsrättigheter).
2. I rutan Workday Search anger du Skapa integrationssystemanvändare och väljer den uppgiften.
   
3. Ange ett användarnamn. Till exempel: ISU_WorkivaChain_API_User.
   Vi rekommenderar att man använder termer som ”API_User” eller ”outbound” för att ange att det är för utgående förfrågningar.
4. Ange och verifiera ett lösenord.
   Se till att lösenordet uppfyller hyresgästens regler för lösenordsstruktur.
5. Avmarkera Kräv nytt lösenord vid nästa inloggning.
   Detta förhindrar att kontot tvingas ändra lösenordet vid första inloggningen.
6. Eftersom det här kontot endast är för API/integrationsanvändning och inte ska användas för interaktiv inloggning, markera kryssrutan Tillåt inte UI-sessioner.
7. (Valfritt) Ställ in Session Timeout Minutes till ett lämpligt värde för din integrations behov. Om du ställer in detta på 0 innebär det att sessionen inte löper ut.
8. Klicka på OK för att skapa kontot.
9. På nästa skärm klickar du på Klar för att slutföra skapandet av ISU:n.
   
10. (Valfritt) Navigera till uppgiften ”Underhåll lösenordsregler” och lägg till denna nya ISU i listan över ”Systemanvändare som är undantagna från lösenordsutgång” så att lösenordet inte löper ut och bryter integrationer.

Skapa en säkerhetsgrupp

Slutför följande steg för att skapa en särskild säkerhetsgrupp för ISU:n. Om du gör det kan du begränsa det till att endast utföra åtgärden Hämta arbetare.

1. I rutan Arbetsdag Sök skriver du Skapa säkerhetsgrupp och väljer den uppgiften.
   
2. Välj den typ av hyresgästsäkerhetsgrupp du vill ha. Denna uppsättning instruktioner använder "Integration System Security Group (Unconstrained)",
   men om din säkerhetspolicy kräver en mer restriktiv policy bör "Constrained" också fungera, men har inte testats.

Obs: Det finns två typer av säkerhetsgrupper: begränsade och obegränsade.
En begränsad säkerhetsgrupp säkerställer att webbtjänsten returnerar resultat som är begränsade till en viss ansvarig organisation. En obegränsad säkerhetsgrupp låter användaren fråga alla arbetare i din hyresgäst.

1. Ange ett Namn för gruppen. Till exempel SG_WorkivaChain_Group.
2. Klicka på OK.
3. I fältet Integrationssystemanvändare letar du upp och väljer den ISU som du skapade i Skapa ett integrationssystemanvändarkonto (ISU). (ISU_WorkivaChain_API_Användare).
   
4. Klicka på OK.
5. Klicka på Klar på följande skärm.

Tilldela domänens säkerhetspolicyer (behörigheter)

I Workday styr en domän åtkomst till en specifik uppsättning data eller åtgärder. Till exempel styr "Arbetardata: Rapporter för offentliga arbetare" vem som kan anropa Get_Workers-åtgärden på webbtjänsten "Bemanning". Det här steget definierar vilka data och vilka åtgärder säkerhetsgruppen (och i förlängningen ISU) kan utföra. För varje domän (dataområde/funktion) som du vill att din integration ska åtkomma måste du ange aktivitetsbehörigheter för säkerhetsgruppen.

Obligatoriska säkerhetspolicyer för Workday-domäner

Följande domänsäkerhetsprinciper och åtkomstvärden krävs för kommandot Get Workers.

Ange behörigheter för säkerhetsgrupp

Slutför följande steg för att ställa in behörigheterna för säkerhetsgruppen som ska användas av Workiva.

1. I rutan Workday Search anger du Behåll behörigheter för säkerhetsgrupp och väljer uppgiften (detta öppnar dialogrutan Behåll behörigheter för säkerhetsgrupp.).
   
2. I Operationväljer du "Underhåll".
3. I fältet Källsäkerhetsgruppletar du upp och väljer namnet på den grupp du skapade i Skapa en säkerhetsgrupp (den som din ISU är medlem i). I det här exemplet är det "SG_WorkivaChain_Group".
4. Klicka på OK.
5. Klicka på knappen Lägg till (+) längst upp till vänster i tabellen för att lägga till en ny rad och sök sedan i kolumnen Domänsäkerhetspolicy efter domänpolicyn "Arbetardata: Rapporter från offentliga arbetare".
   
6. Leta reda på kolumnen Visa/Ändra åtkomst och välj Endast hämta (detta ställer in den på skrivskyddad åtkomst).
7. Upprepa steg 5 och 6 för policyerna ”Medarbetardata: Aktuell personalinformation” och ”Medarbetardata: Färdigheter och erfarenhet”.
8. Klicka på OK för att spara dina ändringar.
9. Klicka på OK.
10. Klicka på Klar.

Aktivera dina ändringar i säkerhetspolicyn

Slutför följande steg för att aktivera de ändringar i Workday Security Policy som du har gjort.

1. I rutan Arbetsdag Sök anger du Aktivera väntande säkerhetspolicyändringar och väljer den uppgiften.
   

2. Skriv en kort kommentar som beskriver ändringen.
   Till exempel ”Tillämpar domänpolicyer på säkerhetsgruppen SG_WorkivaChain_Group”.

   Varning: Den här ändringen kommer att tillämpa alla väntande säkerhetspolicyändringar, vilket potentiellt påverkar andra säkerhetsgrupper än den du just har konfigurerat. Kontrollera om det finns andra pågående ändringar i säkerhetspolicyn innan du fortsätter.

3. Klicka på OK.
4. Markera kryssrutan Bekräfta i nästa dialogruta och klicka på OK för att aktivera ändringarna.
   
5. Din säkerhetsgrupp kan nu köra webbtjänsten Get Worker.

(Valfritt) Ta bort allmän åtkomst från domänen ”Arbetardata: Arbetare”

Workday Tenant-konfigurationer kan variera från instans till instans. Om "Alla användare" har tilldelats läsåtkomst, använd följande vägledning för att begränsa Workiva Integration System-användarbehörigheterna till endast vad som krävs.

VIKTIGT: Denna instruktion skrevs för att implementera en Get_Worker-datahämtningskedja och måste modifieras för annan användning.

Obs: Om du tar bort "Alla användare" måste du uttryckligen ange de grupper som ska ha åtkomst till domänpolicyn "Arbetardata: Arbetare".

Ta bort allmän åtkomst från domänen "Arbetardata: Arbetare"

Slutför följande steg för att ta bort allmän åtkomst från domänen "Arbetardata: Arbetare".

1. I sökrutan Workday Search anger du Domänsäkerhetskonfiguration och väljer den uppgiften
2. I prompten söker du efter och väljer domänen "Arbetardata: Arbetare".
3. När den här sidan öppnas klickar du på menyn Relaterade åtgärder (den lilla grå knappen med tre punkter eller en pil).
4. Navigera i menyn enligt följande:
   1. Välj Domänoch sedan Redigera behörigheter för säkerhetspolicy.
   2. Scrolla ner till avsnittet Integrationsbehörigheter.
   3. Hitta raden för säkerhetsgruppen Alla användare.
   4. Klicka på X [ ] för att ta bort det.
   5. Klicka på OK för att spara dina ändringar och göra dem aktiva.

Aktivera dina ändringar i säkerhetspolicyn

Viktig varning: Den här ändringen kan påverka andra integrationer eller rapporter som är beroende av "Alla användare", så testa detta i en sandlåda först och verifiera att ändringen inte stör några andra processer.

Slutför följande steg för att aktivera dina ändringar i säkerhetspolicyn.

1. I sökrutan Workday Search skriver du in Aktivera väntande säkerhetspolicyändringar och väljer den uppgiften
2. Ange en kort beskrivande kommentar som beskriver ändringen.
   Till exempel ”Säkerhetsgruppen 'Alla användare' har tagits bort”.
3. Klicka på OK för att spara dina ändringar och göra dem aktiva.

Lägg till din säkerhetsgrupp i "Arbetardata: Arbetare"

Efter att ha tagit bort den öppna åtkomsten måste du nu uttryckligen ge din ISU-grupp de behörigheter den behöver. Utför följande steg för att göra det.

1. I sökrutan Workday Search anger du Domänsäkerhetskonfiguration och väljer den uppgiften
2. I prompten söker du efter och väljer domänen "Arbetardata: Arbetare".
   (Du kanske redan är på den skärmen.)
3. När den här sidan öppnas klickar du på menyn Relaterade åtgärder.
4. Navigera i menyn enligt följande:
   1. Välj Domän och sedan Redigera säkerhetspolicybehörigheter.
   2. Scrolla ner till avsnittet Integrationsbehörigheter.
   3. Klicka på Lägg till (+) i det här avsnittet.
   4. Leta reda på och lägg till säkerhetsgruppen du skapade i Skapa en säkerhetsgrupp.
   5. Bevilja Hämta behörighet. Detta gör det möjligt för integrationen att fråga efter arbetardata.
   6. Klicka på OK för att spara dina ändringar och göra dem aktiva.
5. Kör processen "Aktivera säkerhetspolicyändringar" igen.
   Din säkerhetsgrupp (och dess medlemmar) kan nu göra ett Get_Worker API-anrop och hämta offentliga Worker-data, medan gruppen "Alla användare" inte längre har den åtkomsten.

Testa och verifiera

Testa och verifiera att du kan använda din ISU:s autentiseringsuppgifter (eller integrationssystemet som använder dessa autentiseringsuppgifter) för att göra ett Get_Worker API-anrop. Om det lyckas får du arbetardata enligt definitionen i domänpolicyerna "Offentliga arbetarrapporter" och "Arbetare". Om du får meddelandet ”inte auktoriserad” (HTML-felkod 401 eller 403) eller ”inga data” (HTML-felkod 404), dubbelkolla att du har aktiverat de väntande policyändringarna efter vart och ett av stegen ovan.

Obs: Såsom implementerat av Workiva är data som returneras av Get_Worker-anropet en delmängd av de möjliga Worker-data som kan returneras. För information om vilka fält som är tillgängliga, se avsnittet "Ändra kommandofliken" på Workivas supportsida Konfigurationsflikar för kommandot Hämta arbetare.

Anteckningar

• Det här dokumentet förutsätter att domänen "Arbetardata: Arbetare" som standard levereras med gruppen "Alla användare".
• Detta dokument förutsätter att alla konton (inklusive ISU:er) som standard automatiskt läggs till i gruppen "Alla användare" när de skapas.
• För känsliga fält (som PII) tillämpar Workday säkerhet på fältnivå. För att exponera privata attribut (e-post, telefon osv.) måste du ändra dessa fältnivåpolicyer separat – detta förhindrar överexponering av konfidentiell information.
• Som alltid ber vi dig att noggrant testa alla integrationer i en sandlåda eller implementeringsklient, eftersom underlåtenhet att göra det kan ha en oavsiktlig inverkan på andra integrationer än den du arbetar i.
• För mer information om Get_Workers webbtjänst, se den här Workday-supportsidan: Koncept: Riktlinjer och felsökning för Get Workers SOAP-webbtjänsten.
• Eftersom det kan finnas många domäner som styr åtkomst till dataavsnitt, se till att granska Get_Workers API -dokumentet och sök efter termen "Domän", eftersom detta ger användbar information om vilka domäner som styr vilken sektion.
• De obligatoriska säkerhetspolicyerna för Workday-domänen som listas i det här dokumentet är de lägsta behörigheter som krävs för att anslutningsprogrammet ska kunna anropa API:et.
• Granska sidan Referens: Säkerhetsrelaterade rapporter i administratörsguiden för information om tillgängliga säkerhetsrelaterade rapporter.

För instruktioner om hur du konfigurerar en Get Worker-anslutning i Chains, se Workivas supportsida Konfigurera en Get Worker-anslutning i Chains.