承認

Workdayカードを初めてフローに追加すると、接続の構成が求められます。この接続はWorkdayアカウントにリンクしてアカウント情報を保存するため、将来のWorkdayフローで接続を再利用できます。

一意の接続を複数作成し、Okta Workflowsコンソール[接続]ページで管理できます。

開始する前に

Workdayアカウントへの接続を作成するには、次の要素が必要です。

  • Okta Workflowsでの管理者権限。

    コネクターの初期認可に加え、この接続の再承認にはOktaスーパー管理者、ワークフロー管理者、または接続マネージャーの権限を持つアカウントが必要です。

  • 統合システムユーザーを作成し、セキュリティグループを作成および編集し、ビジネスプロセスのセキュリティポリシーを編集するための権限を持つWorkdayアカウント。

    あるいは、ワーカーデータを表示し、ワーカー連絡先情報を変更するためのセキュリティ権限を持つWorkdayアカウントへのアクセス。

手順

接続を確立するには、既存のWorkdayアカウントまたは統合システムユーザーアカウントを使用します。

統合システムユーザーは特定の個人に関連付けられていない会社のアカウントにできるため、Oktaでは統合システムユーザーを使用することをお勧めします。

Workdayで統合システムユーザーを作成する

  1. Workdayコンソールで、検索ボックスに「Create Integration System User」と入力します。

  2. 検索結果の[Create Integration System User(統合システムユーザーを作成)]をクリックします。

  3. 指示に従ってユーザー名とパスワードを作成し、これらの資格情報を今後使用できるよう記録します。

  4. 認証を行うにはUIセッションが必要であるため、[Do Not Allow UI Sessions(UIセッションを許可しない)]オプションをオフのままにします。

統合システムユーザーに権限を付与する

Workdayコネクターを使用するには、以下の手順に従って統合システムユーザーに必要な権限を付与します。

セキュリティグループを作成する

  1. Workdayコンソールで、検索ボックスに「Create security group」と入力します。

  2. 検索結果の[Create Security Group(セキュリティグループを作成)]をクリックします。

  3. [Type of Tenanted Security Group(テナントセキュリティグループのタイプ)]ドロップダウンメニューから[Integration System Security Group (Constrained)(統合システムセキュリティグループ(制約付き))]または[Integration System Security Group (Unconstrained)(統合システムセキュリティグループ(制約なし))]を選択します。

    制約グループに含める組織を指定することができます。ただし、制約なしグループにはすべての組織が含まれます。

  4. グループの名前を入力して[OK]をクリックします。このグループ名は後のステップで必要です。

  5. [Integration System Users(統合システムユーザー)]のリストに統合システムユーザーを追加します。

  6. 制限付きセキュリティグループを選択する場合は、グループに含める組織を追加します。アクセス権を現在の組織のみに適用するか、現在の組織とそのすべての下部組織に適用するかを選択します。

  7. [OK]をクリックしてセキュリティグループを作成し終えたら、[Done(完了)]をクリックします。

ドメインセキュリティ権限をセキュリティグループに追加する

  1. Workdayコンソールで、検索ボックスに「View security group」と入力します。

  2. 検索結果の[View security group(セキュリティグループを表示)]をクリックします。

  3. 結果一覧からセキュリティグループを選択し、[OK]をクリックします。

  4. [Actions(アクション)]メニューから[Security Group(セキュリティグループ)][Maintain Domain Permissions for Security Group(セキュリティグループのドメイン権限を管理)]を選択します。

  5. レポート/タスク権限で、ドメインセキュリティポリシーに関する以下の権限をセキュリティグループに付与します。

    Domain Security Policies permitting Modify access(Modifyアクセスを許可するドメインセキュリティポリシー)

    Person Data(人物データ):Work Contact Information(仕事の連絡先情報)

    Domain Security Policies permitting View access(Viewアクセスを許可するドメインセキュリティポリシー)

    Worker Data(Workerデータ):Current Staffing Information(現在の職員配置情報)

    Worker Data(Workerデータ):Public Worker Reports(パブリックWorkerレポート)

    Reports(レポート):Organization(組織)

    カスタムオブジェクトの表示をサポートするには、ドメインセキュリティポリシーに他の権限を追加しなければならない場合があります。

  6. 任意。カスタムオブジェクトのセキュリティドメインを見つけるには、以下の手順を完了します。

    1. Workdayコンソールで、検索ボックスに「View custom object」と入力します。

    2. 検索結果の[View Custom Object(カスタムオブジェクトを表示)]をクリックします。

    3. カスタムオブジェクトの名前を入力します。

    4. [Security Domains(セキュリティドメイン)]の値を記録します。これがカスタムオブジェクトに必要なセキュリティドメインです。

    5. 前の手順のプロセスに従って、セキュリティグループにこのドメインセキュリティポリシーを付与します。

  7. [OK]をクリックしてセキュリティグループのドメイン権限の更新を完了し、[Done(完了)]をクリックします。

Workday情報を変更するための権限を追加する

Okta Workflowsでワーカー情報を変更するWorkdayアクションカードを使用するには、セキュリティグループに必要な権限を付与しなければなりません。

  1. Workdayコンソールで、検索ボックスに「Edit business process security policy」と入力します。

  2. 検索結果の[Edit business process security policy(ビジネスプロセスセキュリティポリシーを編集)]をクリックします。

  3. [Business Process Type(ビジネスプロセスタイプ)]フィールドに、「Work Contact Change」と入力し、[OK]をクリックします。

  4. [Change Work Contact Information (REST Service)(仕事の連絡先情報を変更(RESTサービス))]で、セキュリティグループを追加します。

  5. [Edit Business Process Security Policy(ビジネスプロセスセキュリティポリシーを編集)]ダイアログで、セキュリティセグメントを[Who Can Do Actions on Entire Business Process(ビジネスプロセス全体でアクションを実行できる人)][View All(すべて表示)]のフィールドに追加します。

  6. [OK]をクリックしてビジネスプロセスのセキュリティポリシーの更新を終了したら、[Done(完了)]をクリックします。

セキュリティセグメントを手動で追加する

セキュリティグループが前の手順の検索結果に含まれていない場合は、追加する必要があります。

  1. [Create(作成)][Create Segment-Based Security Group(セグメントベースのセキュリティグループを作成)]をクリックします。

  2. この新しいセキュリティセグメントの名前を選択します。

  3. [Group Criteria(グループ条件)][Security Groups(セキュリティグループ)]で、セキュリティグループを追加します。

  4. [Access to Segments(セグメントへのアクセス)]領域で、[Create(作成)][Create Business Process Type Security Segment(ビジネスプロセスタイプのセキュリティセグメントを作成)]をクリックします。

  5. セキュリティグループの名前を追加し、[Business Process Type(ビジネスプロセスタイプ)]フィールドに、「Work Contact Change」と入力します。

  6. [OK]をクリックし、ビジネスプロセスタイプのセキュリティセグメントを作成します。

  7. セキュリティセグメントの作成ダイアログが表示されます。[OK]をクリックします。

セキュリティセグメントが作成されると、[Change Work Contact Information (REST Service)(仕事の連絡先情報を変更(RESTサービス)]リストに表示されます。

セキュリティポリシーの変更を有効にする

セキュリティポリシーの変更を有効にしないと、Workday統合システムユーザーアカウントに必要な権限を付与しません。

  1. Workdayコンソールで、検索ボックスに「Activate pending security policy changes」と入力します。

  2. 検索結果の[Activate pending security policy changes(保留中のセキュリティポリシーの変更を有効にする)]をクリックします。

  3. これらの変更がOkta Workflowsに必要であるというコメントを入力し、[OK]をクリックします。

  4. アクティブ化が必要な変更を確認して確定します。

APIクライアントを作成する

OktaWorkdayコネクターは、APIクライアントを使ってWorkdayインスタンスに接続されます。

  1. Workdayコンソールで、検索ボックスに「Register API client」と入力します。

  2. 検索結果の[Register API client(APIクライアントを登録)]をクリックします。

  3. クライアントの名前を入力します。

  4. [Client Grant Type(クライアント付与タイプ)][Authorization Code Grant(認可コード付与)]を選択します。

  5. 任意。[Enforce 60 Minute Access Token Expiry(アクセストークンの有効期間を60分に強制)]を選択します。

  6. [Redirection URI(リダイレクトURL)]の場合:

    • Okta orgがOkta Workflowsプレビューセルにある場合:https://oauth.workflows.oktapreview.com/oauth/workday/cb

    • Okta orgがOkta Workflows本番セルにある場合:https://oauth.workflows.okta.com/oauth/workday/cb

    • Okta orgがOkta for Government Highセルにある場合:https://oauth.workflows.okta-gov.com/oauth/workday/cb

  7. リフレッシュトークンが期限切れにならないように、[Non-Expiring Refresh Tokens(無期限リフレッシュトークン)]オプションを選択します。そうしない場合、Workdayコネクターの接続が途切れる場合があります。

  8. 次のスコープを付与します。

    • Contact Information(連絡情報)

    • Organizations and Roles(組織とロール)

    • Staffing(職員配置)

    • Tenant Non-Configurable(テナント構成不可)

    カスタムオブジェクトを表示できるようにするには、他のスコープを追加しなければならない場合があります。

  9. 任意。この手順に従って、カスタムオブジェクトに必要なスコープを特定し付与します。

    1. Workdayコンソールで、検索ボックスに「View custom object」と入力します。

    2. 検索結果の[View Custom Object(カスタムオブジェクトを表示)]をクリックします。

    3. カスタムオブジェクトの名前を入力します。

    4. [Security Domains(セキュリティドメイン)]に関連する値をクリックし、[Functional Areas(機能領域)]の値を記録します。これらがカスタムオブジェクトに必要なスコープです。

    5. 前の手順のプロセスに従って、カスタムオブジェクトのスコープをAPIクライアントに付与します。

  10. [OK]をクリックして変更を確定します。

  11. APIクライアントを作成したら、[Client Secret(クライアントシークレット)]の値をコピーします。この値は後で再び取得することはできないため、安全な場所に記録してください。

    さらに、[Client ID(クライアントID)][Workday REST API Endpoint(Workday REST APIエンドポイント)][Authorization Endpoint(認可エンドポイント)]の各値も記録します。[Done(完了)]をクリックします。

Okta Workflowsで接続を作成する

  1. 統合システムユーザーアカウントを使って、Workdayにサインインします。この接続をブラウザーで開いたままにします。

    このアクティブなセッションは、Okta Workflowsで接続を認可するのに必要です。

  2. Okta Workflowsコンソール[Connections(接続)]に移動します。

  3. [New Connection(新規接続)]をクリックすると、利用できるすべてのコネクターがリスト表示されます。

  4. Workdayコネクターを選択します。

  5. [新規接続]ウィンドウで[Connection Nickname(接続ニックネーム)]を入力します。複数のWorkdayアカウントを作成する必要があるときは、一意の名前を使用します。

  6. Workdayで作成したAPIクライアントの[Client ID(クライアントID)][Client Secret(クライアントシークレット)]を入力します。

  7. WorkdayAuthorization Endpoint(認可エンドポイント)URLの形式は、https://{authorization_domain}/{tenant}/authorizeです。

    Workday {authorization_domain}エンドポイントを、[Authorization Domain(認可ドメイン)]フィールドに入力します。

    {tenant}の値を[Tenant(テナント)]フィールドに入力します。

  8. Workday REST API endpoin URL(REST APIエンドポイントURL)の形式は、https://{domain}./ccx/api/v1/{tenant}です。

    {domain}値を[Token and API Endpoint Domain(トークンおよびAPIエンドポイントドメイン)]フィールドに入力します。

    たとえば、 Workday REST API endpoint URL(REST APIエンドポイントURL)の場合 https://wd2-impl-services1.workday.com/ccx/api/v1/okta_exampleの場合、 Token and API Endpoint Domain(トークンと API エンドポイント ドメイン) の値は wd2-impl-services1.workday.comになります。

  9. [Create(作成)]をクリックします。認証ウィンドウが起動します。

    Workdayに現在サインインしていない場合は、Page Not Found(ページが見つかりません)エラーが表示される可能性があります。この問題を解決するには、新しい接続を確立する前に、Workdayにサインインします。

  10. Workday認証ウィンドウで、[Allow(許可)]をクリックしてWorkdayコネクターに権限を付与します。Workdayにより接続情報が保存され、フローに戻ります。

新しいWorkday接続が接続リストに表示されます。

メンテナンス期間

Workdayは、金曜日の午後8時(太平洋標準時)から土曜日の午前11時までの間に、定期メンテナンスを頻繁に実行します。これらのメンテナンス期間中、APIは使用できず、Workdayカードは503 Service Unavailableエラーメッセージを返します。

これらのメンテナンス期間中に、データが失われることはありません。メンテナンス期間が終了すると、Workdayカードを含むフローは想定通りに実行されます。

これらのメンテナンス期間の後にWorkday接続が失敗すると、OAuth Refresh Errorメッセージが返される場合もあります。この接続の問題が発生した場合は、Workday接続を再認可してください。