请完成以下各部分,以便创建集成系统用户 (ISU) 帐户和安全组 (SG) 帐户,从而通过 Workiva 的 API 访问 Workday。
该过程包含三个主要任务。
创建集成系统用户 (ISU) 帐户
请完成以下步骤,创建一个 Workiva 将使用的集成系统用户 (ISU) 帐户。
- 以管理员身份(或具有相应安全权限的用户身份)登录您的 Workday 租户。
- 在 Workday 搜索 框中,输入“创建集成系统用户”并选择该任务。
- 输入 用户名。例如:ISU_WorkivaChain_API_User。
我们建议使用“API_User”或“outbound”之类的术语来表示它是用于出站请求的。 - 输入并验证 密码。
请确保密码符合租户的密码结构规则。 - 取消 选中“下次登录时需要新密码”。
这样可以避免账户在首次登录时被强制更改密码。 - 由于此帐户仅用于 API/集成,不应用于交互式登录,请勾选 不允许 UI 会话 复选框。
- (可选)将 会话超时分钟 设置为适合您集成需求的适当值。将此值设置为 0 表示会话永不过期。
- 点击 确定 创建帐户。
- 在下一个屏幕上,点击 完成 以完成 ISU 的创建。
- (可选)导航至“维护密码规则”任务,并将此新 ISU 添加到“免于密码过期的系统用户”列表中,这样密码就不会过期并破坏集成。
创建安全组
按照以下步骤为 ISU 创建特殊安全组。这样做可以将其限制为仅执行“获取工人”操作。
- 在 Workday 搜索 框中,输入“创建安全组”并选择该任务。
- 选择您需要 的 租户安全组类型。本组说明使用“集成系统安全组(不受限制)”,
,但如果您的安全策略需要更严格的策略,“受限制”也应该有效,但尚未经过测试。
注: 安全组有两种类型:受限安全组和非受限安全组。 受限 安全组确保
Web服务返回的结果仅限于特定的主管组织。 不受限制 的安全组允许用户查询租户中的任何 Worker
。- 请输入组的名称 ( ) 。例如,SG_WorkivaChain_Group。
- 点击 确定。
- 在 集成系统用户 字段中,找到并选择您在 创建集成系统用户 (ISU) 帐户中创建的 ISU。(ISU_WorkivaChain_API_User)。
- 点击 确定。
- 在下一个屏幕上点击 完成 。
分配域安全策略(权限)
在 Workday 中,域控制对特定数据集或操作的访问。例如,“员工数据:公共员工报告”规定了谁可以调用“人员配备”网络服务上的 Get_Workers 操作。此步骤定义了安全组(以及扩展的 ISU)可以执行哪些数据和操作。对于您希望集成访问的每个域(数据/功能区域),您必须为安全组设置活动权限。
必需的 Workday 域安全策略
Get Workers 命令需要以下域安全策略和访问值。
| 域安全策略 | 使用权 | 功能领域 |
| 员工数据:公共部门员工报告 | 仅获取 | 人员配备 |
| 员工数据:当前人员配备信息 | 仅获取 | 人员配备 |
| 员工数据:技能和经验 | 仅获取 | 员工简介和技能 |
设置安全组权限
请完成以下步骤,为 Workiva 将使用的安全组设置权限。
- 在 Workday 搜索 框中,输入“维护安全组权限”并选择该任务(这将打开 维护安全组权限 对话框)。
- 在 操作中,选择“维护”。
- 在 源安全组字段中,找到并选择您在 创建安全组 中创建的组的名称(您的 ISU 是其成员)。在这个例子中,它是“SG_WorkivaChain_Group”。
- 点击 确定。
- 点击表格左上角的“添加 (+)”按钮添加新行,然后在 “域安全策略 ”列中搜索域策略“WorkerData: Public Worker Reports
” 。
- 找到 查看/修改访问权限 列,然后选择 仅获取 (这将设置为只读访问权限)。
- 对“员工数据:当前人员配备信息”和“员工数据:技能和经验”政策重复步骤 5 和 6。
- 点击 确定 保存更改。
- 点击 确定。
- 点击 完成。
激活您的安全策略更改
请完成以下步骤以激活您所做的 Workday 安全策略更改。
- 在 Workday 搜索 框中,输入“激活待处理的安全策略更改”并选择该任务。
-
请输入简短的注释,描述更改内容。
例如,“将域策略应用于 SG_WorkivaChain_Group 安全组”。警告: 此更改将应用所有待处理的安全策略更改,可能会影响除您刚刚设置的安全组之外的其他安全组。继续操作前,请检查是否有其他待处理的安全策略更改。
- 点击 确定。
- 在下一个对话框中选中 确认 复选框,然后单击 确定 以使这些更改生效。
- 您的安全组现在可以执行 Get Worker Web 服务。
(可选)移除对“Worker Data: Worker”域的通用访问权限
Workday租户配置可能因实例而异。如果已为“所有用户”配置了读取权限,请按照以下指南将 Workiva 集成系统用户权限限制为仅必需的权限。
【重要提示 】 :本指令是为实现 Get_Worker 数据检索链而编写的,任何其他用途都需要进行修改
。注意:移除 “所有用户”后,您需要明确指定哪些组可以访问“Worker Data: Worker”域策略
。从“Worker Data: Worker”域中移除通用访问权限
完成以下步骤,即可从“Worker Data: Worker”域中删除一般访问权限。
- 在 Workday 搜索框中,输入 “域安全配置” ,然后选择该任务。
- 在提示符中,搜索并选择域“Worker Data: Worker”。
- 此页面打开后,点击 相关操作 菜单(带有三个点或箭头的灰色小“twinkie”按钮)。
- 菜单导航方式如下:
- 选择 域,然后选择 编辑安全策略权限。
- 向下滚动到 集成权限 部分。
- 找到 所有用户 安全组的行。
- 点击 X 将其删除。
- 点击 确定 保存更改并使其生效。
激活您的安全策略更改
重要提示:此更改可能会影响其他依赖“所有用户” 的集成或报告,因此请先在沙盒环境中进行测试,并验证此更改不会破坏任何其他流程
。请完成以下步骤以激活您的安全策略更改。
- 在 Workday的 搜索框中,输入 “激活待处理的安全策略更改”,然后选择该任务。
- 请输入简短的描述性评论,说明更改内容。
例如,“删除‘所有用户’安全组”。 - 点击 确定 保存更改并使其生效。
将您的安全组添加到“Worker Data: Worker”
移除开放访问权限后,您现在必须明确地授予您的 ISU 组所需的权限。请按照以下步骤操作。
- 在 Workday 搜索框中,输入 “域安全配置” ,然后选择该任务。
- 在提示符中,搜索并选择域“Worker Data: Worker”。
(您可能已经在屏幕上了。) - 页面打开后,点击 相关操作 菜单。
- 菜单导航方式如下:
- 选择域 然后 编辑安全策略权限。
- 向下滚动到 集成权限 部分。
- 点击此部分中的“添加(+)”。
- 找到并添加您在 创建安全组中创建的安全组。
- 授予 获取权限。这样一来,集成就可以查询员工数据。
- 点击 确定 保存更改并使其生效。
- 再次运行“激活安全策略更改”流程。
您的安全组(及其成员)现在可以调用 Get_Worker API 并检索公共 Worker 数据,而“所有用户”组不再拥有该访问权限。
验证
测试并验证您是否可以使用 ISU 的凭据(或使用这些凭据的集成系统)发出 Get_Worker API 调用。如果成功,您将收到“公共 Worker 报告”和“Worker”域策略中定义的 Worker 数据。如果出现“未授权”(HTML 错误代码 401 或 403)或“无数据”(HTML 错误代码 404)的情况,请在完成上述每个步骤后,仔细检查是否已激活待处理的策略更改。
注意: 根据 Workiva 的实现,Get_Worker 调用返回的数据是可能返回的 Worker 数据的子集。有关可用字段的信息,请参阅 Workiva 支持页面 获取工人命令配置选项卡的“修改命令选项卡”部分。
笔记
- 本文档假设默认情况下,“Worker Data: Worker”域与“所有用户”组一起提供。
- 本文档假设默认情况下,所有帐户(包括 ISU)在创建时都会自动添加到“所有用户”组。
- 对于敏感字段(例如个人身份信息),Workday 应用字段级安全机制。要公开私人属性(电子邮件、电话等),必须单独修改这些字段级策略——这样可以防止机密信息过度泄露。
- 与以往一样,我们要求您在沙盒或实施租户中彻底测试所有集成,因为如果不这样做,可能会对您正在处理的集成之外的其他集成产生意想不到的影响。
- 有关 Get_Workers Web 服务的更多信息,请参阅此 Workday 支持页面: 概念:Get Workers SOAP Web 服务指南和故障排除。
- 由于可能有许多域控制对数据部分的访问,请务必查看 Get_Workers API 文档并搜索术语“域”,这将提供有关哪些域控制哪些部分的有用信息。
- 本文档中列出的 必需的 Workday 域安全策略 是连接器调用 API 所需的最低权限。
- 有关可用安全相关报告的详细信息,请参阅管理员指南中的 参考:安全相关报告 页面。
有关在 Chains 中设置 Get Worker 连接的说明,请参阅 Workiva 支持页面 在 Chains 中设置 Get Worker 连接。