認可

初めてWorkdayカードをフローに追加すると、Okta Workflowsは接続の構成を求めます。この接続はWorkdayアカウントにリンクしてアカウント情報を保存するため、将来のWorkdayフローで接続を再利用できます。

開始する前に

Workdayアカウントへの接続を作成するには、次の要素が必要です。

  • Okta Workflowsでの管理者権限。

  • 統合システムユーザー(Integration System User)を作成し、セキュリティグループを作成および編集し、ビジネスプロセスのセキュリティポリシーを編集するための権限を持つWorkdayアカウント。

    あるいは、ワーカーデータを表示し、ワーカー連絡先情報を変更するためのセキュリティ権限を持つWorkdayアカウントへのアクセス。

手順

接続を確立するには、既存のWorkdayアカウントまたは統合システムユーザー(Integration System User)アカウントを使用します。

統合システムユーザーは特定の個人に関連付けられていない会社のアカウントにできるため、Oktaでは統合システムユーザー(Integration System User)を使用することをお勧めします。

WorkdayWorkdayで統合システムユーザーを作成する

  1. Workdayコンソールで、検索ボックスにCreate Integration System Userと入力します。

  2. 検索結果の統合システムユーザーを作成(Create Integration System User)をクリックします。

  3. 指示に従ってユーザー名とパスワードを作成し、これらの資格情報を今後使用できるよう記録します。

  4. 認証を行うにはUIセッションが必要であるため、UIセッションを許可しない(Do Not Allow UI Sessions)オプションをオフのままにします。

統合システムユーザーに権限を付与する

Workdayコネクターを使用するには、以下の手順に従って統合システムユーザー(Integration System User)に必要な権限を付与します。

セキュリティグループを作成する

  1. Workdayコンソールで、検索ボックスにCreate security groupと入力します。

  2. 検索結果のセキュリティグループを作成(Create Security Group)をクリックします。

  3. テナントセキュリティグループのタイプ(Type of Tenanted Security Group)ドロップダウンメニューからIntegration System Security Group (Constrained)(統合システムセキュリティグループ(制約付き))またはIntegration System Security Group (Unconstrained)(統合システムセキュリティグループ(制約なし))を選択します。

    制約グループに含める組織を指定することができます。ただし、制約なしグループにはすべての組織が含まれます。

  4. グループの名前を入力してOKをクリックします。このグループ名は後のステップで必要です。

  5. 統合システムユーザー(Integration System Users)のリストに統合システムユーザー(Integration System Users)を追加します。

  6. 制限付きセキュリティグループを選択する場合は、グループに含める組織を追加します。アクセス権を現在の組織のみに適用するか、現在の組織とそのすべての下部組織に適用するかを選択します。

  7. OKをクリックしてセキュリティグループを作成し終えたら、完了(Done)をクリックします。

ドメインセキュリティ権限をセキュリティグループに追加する

  1. Workdayコンソールで、検索ボックスにView security groupと入力します。

  2. 検索結果のセキュリティグループを表示(View security group)(View Security Group)をクリックします。

  3. 結果一覧からセキュリティグループを選択し、OKをクリックします。

  4. アクション(Actions)メニューからセキュリティグループ(Security Group) > セキュリティグループのドメイン権限を管理(Maintain Domain Permissions for Security Group)を選択します。

  5. レポート/タスク権限(Report/Task Permissions)で、ドメインセキュリティポリシーに関する以下の権限をセキュリティグループに付与します。

    Modifyアクセスを許可するドメインセキュリティポリシー(Domain Security Policies permitting Modify access)

    人物データ(Person Data)仕事の連絡先情報(:Work Contact Information)

    Viewアクセスを許可するドメインセキュリティポリシー(Domain Security Policies permitting View access)

    Workerデータ(Worker Data)現在の職員配置情報(:Current Staffing Information)

    Workerデータ(Worker Data)パブリックWorkerレポート(:Public Worker Reports)

    レポート(Reports)組織(:Organization)

  6. 任意。カスタムオブジェクトのセキュリティドメインを見つけるには、以下の手順を完了します。

    1. Workdayコンソールで、検索ボックスにView custom objectと入力します。

    2. 検索結果のカスタムオブジェクトを表示(View Custom Object)をクリックします。

    3. カスタムオブジェクトの名前を入力します。

    4. セキュリティドメイン(Security Domains)の値を記録します。これがカスタムオブジェクトに必要なセキュリティドメインです。

    5. 前の手順のプロセスに従って、セキュリティグループにこのドメインセキュリティポリシーを付与します。

  7. OKをクリックしてセキュリティグループのドメイン権限の更新を完了し、完了(Done)をクリックします。

Workday情報を変更するための権限を追加する

Okta Workflowsでワーカー情報を変更するWorkdayアクションカードを使用するには、セキュリティグループに必要な権限を付与しなければなりません。

  1. Workdayコンソールで、検索ボックスにEdit business process security policyと入力します。

  2. 検索結果のビジネスプロセスセキュリティポリシーを編集(Edit business process security policy)(Edit Business Process Security Policy)をクリックします。

  3. ビジネスプロセスタイプ(Business Process Type)フィールドに、Work Contact Changeと入力し、OKをクリックします。

  4. Change Work Contact Information (REST Service)(仕事の連絡先情報を変更(RESTサービス))で、セキュリティグループを追加します。

  5. ビジネスプロセスセキュリティポリシーを編集(Edit Business Process Security Policy)ダイアログで、セキュリティセグメントをビジネスプロセス全体でアクションを実行できる人(Who Can Do Actions on Entire) > すべて表示(View All)のフィールドに追加します。

  6. OKをクリックしてビジネスプロセスのセキュリティポリシーの更新を終了したら、完了(Done)をクリックします。

セキュリティセグメントを手動で追加する

セキュリティグループが前の手順の検索結果に含まれていない場合は、追加する必要があります。

  1. 作成(Create) > セグメントベースのセキュリティグループを作成(Create Segment-Based Security Group)をクリックします。

  2. この新しいセキュリティセグメントの名前を選択します。

  3. グループ条件(Group Criteria) > セキュリティグループ(Security Groups)で、セキュリティグループを追加します。

  4. セグメントへのアクセス(Access to Segments)領域で、作成(Create) > ビジネスプロセスタイプのセキュリティセグメントを作成(Create Business Process Type Security Segment)をクリックします。

  5. セキュリティグループの名前を追加し、ビジネスプロセスタイプ(Business Process Type)フィールドに、Work Contact Changeと入力します。

  6. OKをクリックし、ビジネスプロセスタイプのセキュリティセグメントを作成します。

  7. セキュリティセグメントの作成ダイアログが表示されます。WorkdayOKをクリックします。

セキュリティセグメントが作成されると、Change Work Contact Information (REST Service)(仕事の連絡先情報を変更(RESTサービス)リストに表示されます。

セキュリティポリシーの変更を有効にする

セキュリティポリシーの変更を有効にしないと、Workday統合システムユーザー(Integration System User)アカウントに必要な権限を付与しません。

  1. Workdayコンソールで、検索ボックスにActivate pending security policy changesと入力します。

  2. 検索結果の保留中のセキュリティポリシーの変更を有効にする(Activate pending security policy changes)(Activate Pending Security Policy Changes)をクリックします。

  3. これらの変更がOkta Workflowsに必要であるというコメントを入力し、OKをクリックします。

  4. アクティブ化が必要な変更を確認して確定します。

APIクライアントを作成する

WorkdayOktaコネクターは、APIクライアントを使ってWorkdayインスタンスに接続されます。

  1. Workdayコンソールで、検索ボックスにRegister API clientと入力します。

  2. 検索結果のAPIクライアントを登録(Register API client)(Register API Client)をクリックします。

  3. クライアントの名前を入力します。

  4. クライアント付与タイプ(Client Grant Type)Authorization Code Grantを選択します。

  5. 任意。アクセストークンの有効期間を60分に強制(Enforce 60 Minute Access Token Expiry)を選択します。

  6. リダイレクトURL(Redirection URI)の場合:

    • Okta orgがOkta Workflowsプレビューセルにある場合:https://oauth.workflows.oktapreview.com/oauth/workday/cb

    • Okta orgがOkta Workflows本番セルにある場合:https://oauth.workflows.okta.com/oauth/workday/cb

    • Okta orgがOkta for Government Highセルにある場合:https://oauth.workflows.okta-gov.com/oauth/workday/cb

  7. リフレッシュトークンが期限切れにならないように、無期限リフレッシュトークン(Non-Expiring Refresh Tokens)オプションを選択します。そうしない場合、Workdayコネクターの接続が途切れる場合があります。

  8. 次のスコープを付与します。

    • Contact Information

    • Organizations and Roles

    • Staffing

    • Tenant Non-Configurable

  9. 任意。この手順に従って、カスタムオブジェクトに必要なスコープを特定し付与します。

    1. Workdayコンソールで、検索ボックスにView custom objectと入力します。

    2. 検索結果のカスタムオブジェクトを表示(View Custom Object)をクリックします。

    3. カスタムオブジェクトの名前を入力します。

    4. セキュリティドメイン(Security Domains)に関連する値をクリックし、機能領域(Functional Areas)の値を記録します。これらがカスタムオブジェクトに必要なスコープです。

    5. 前の手順のプロセスに従って、カスタムオブジェクトのスコープをAPIクライアントに付与します。

  10. OKをクリックして変更を確定します。

  11. APIクライアントを作成したら、クライアントシークレット(Client Secret)の値をコピーします。この値は後で再び取得することはできないため、安全な場所に記録してください。

    さらに、クライアントID(Client ID)Workday REST APIエンドポイント(Workday REST API Endpoint)認可エンドポイント(Authorization Endpoint)の各値も記録します。完了(Done)をクリックします。

Okta Workflowsで接続を作成する

  1. 統合システムユーザー(Integration System User)アカウントを使って、Workdayにサインインします。この接続をブラウザーで開いたままにします。

    このアクティブなセッションは、Okta Workflowsで接続を認可するのに必要です。

  2. OktaWorkflowsコンソール 接続(Connections)に移動します。

  3. 新規接続(New Connection)をクリックすると、利用できるすべてのコネクターがリスト表示されます。

  4. Workdayコネクターを選択します。

  5. 新規接続(New Connection)ウィンドウで接続ニックネーム(Connection Nickname)を入力します。複数のWorkdayアカウントを作成する必要があるときは、一意の名前を使用します。

  6. Workdayで作成したAPIクライアントのクライアントID(Client ID)クライアントシークレット(Client Secret)を入力します。

  7. Workday 認可エンドポイント(Authorization Endpoint)URLの形式は、https://{authorization_domain}/{tenant}/authorizeです。

    Workday {authorization_domain}エンドポイントを、認可ドメイン(Authorization Domain)フィールドに入力します。

    {tenant}の値をテナント(Tenant)フィールドに入力します。

  8. Workday REST APIエンドポイントURL(REST API endpoin URL)(REST API endpoint URL)の形式は、https://{domain}/ccx/api/v1/{tenant}です。

    {domain}値をトークンおよびAPIエンドポイントドメイン(Token and API Endpoint Domain)フィールドに入力します。

    たとえば、 Workday REST APIエンドポイントURL(REST API endpoint URL)https://wd2-impl-services1.workday.com/ccx/api/v1/okta_exampleの場合、 トークンと API エンドポイント ドメイン(Token and API Endpoint Domain) の値は wd2-impl-services1.workday.comになります。

  9. 作成(Create)をクリックします。Workday認証ウィンドウが起動します。

  10. Workday認証ウィンドウで、許可(Allow)をクリックしてWorkdayコネクターに権限を付与します。Workdayにより接続情報が保存され、フローに戻ります。

新しいWorkday接続が接続(Connections)リストに表示されます。

メンテナンス期間

Workdayは、金曜日の午後8時(太平洋標準時)から土曜日の午前11時までの間に、定期メンテナンスを頻繁に実行します。これらのメンテナンス期間中、APIは使用できず、Workdayカードは503 Service Unavailableエラーメッセージを返します。

これらのメンテナンス期間の後にWorkday接続が失敗すると、OAuth Refresh Errorメッセージが返される場合もあります。この接続の問題が発生した場合は、Workday接続を再認可してください。

関連項目

Workdayコネクター

フロー内のカード

Workday Staffing API