Workday 云应用

您可以使用 SAML 2.0 标准为多款云应用配置单点登录 (SSO)。您设置单点登录后,用户可以使用自己的 Google Workspace 凭据通过单点登录功能登录应用。

使用 SAML 为 Workday 设置单点登录

您必须以 超级用户 身份登录,才能执行此任务。

第 1 步:将 Google 设置为 SAML 身份提供方

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用 然后 Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 依次点击添加应用 然后 搜索应用
  3. 对于输入应用名称 部分,输入 Workday
  4. 在搜索结果中,将光标指向 Workday Web (SAML) ,然后点击选择
  5. Google 身份提供方详细信息 窗口中,对于 方法 2:复制单点登录网址、实体 ID 和证书
    1. 点击 SSO 网址 旁边的“复制”图标 并保存网址。
    2. 点击实体 ID 旁边的“复制”图标 并保存实体 ID。
    3. 点击证书 旁边的“复制”图标 并保存证书。
      您需要这些详细信息才能在 Workday 中完成设置。
  6. 点击继续
  7. 服务提供商详细信息 页面上,对于 ACS 网址 ,请将 {your-workdaydomain/tenant-name} 替换为您的 Workday 域名和租户名称。
  8. 点击继续
  9. (可选)如需将 Google 目录属性映射到相应的应用属性,请在属性映射 窗口中执行以下操作:
    1. 点击添加映射
    2. 点击选择字段 然后 选择一个 Google 目录属性。
    3. 应用属性 部分,输入相应的应用属性。
  10. (可选)如需输入与此应用相关的群组名称,请执行以下操作:
    1. 对于群组成员资格(可选),点击搜索群组,输入群组名称的一个或多个字母,然后选择群组名称。
    2. 根据需要添加其他群组(最多 75 个群组)。
    3. 对于应用属性,输入相应服务提供商的群组属性名称。

    无论您输入多少个群组名称,SAML 回复都仅包含用户所属(直接或间接)的群组。如需了解详情,请参阅群组成员资格映射简介

  11. 点击完成

第 2 步:将 Workday 设置为 SAML 2.0 服务提供商

  1. 在无痕模式下打开一个浏览器窗口,前往 Workday 登录页面,然后使用您的 Workday 管理员账号进行登录。
  2. 前往 Edit Tenant Setup - Security (修改租户设置 - 安全)。
  3. 前往 Single Sign-on(单点登录),然后点击 以向 Redirection 网址s(重定向网址)表格添加新行。
  4. 对于 Redirect Type(重定向类型),请选择 Single 网址(单个网址)。
  5. 点击 Login Redirect 网址(登录重定向网址),输入 https://{your-workday-domain/tenant-name}/login-saml2.htmld,将 {your-workdaydomain/tenant-name} 替换为您的 Workday 域名和租户名称。
  6. SAML Setup (SAML 设置)部分中,勾选 Enable SAML Authentication (启用 SAML 身份验证)复选框。
  7. SAML Identity Providers (SAML 身份提供方)表格中,点击“添加”图标 以添加新行。
  8. 点击 Issuer (颁发者),然后输入您在第 1 步中复制的实体 ID。
  9. 对于 x509 Certificate(x509 证书),请依次点击菜单 然后 Create x509 Public Key(创建 x509 公钥)。
  10. 请输入密钥的名称。
  11. 粘贴您在第 1 步中下载的证书的内容。
  12. 点击确定
  13. SAML Identity Providers (SAML 身份提供方)行中:
    1. 选中 SP Initiated (由 SP 发起的单点登录)复选框。
    2. 对于 Service Provider ID(服务提供商 ID),请输入 http://www.workday.com

      该网址必须以 http 开头,而不是 https。

    3. 选中 Do Not Deflate SP-initiated Request (不要通过 Deflate 算法压缩由 SP 发起的请求)复选框。
    4. 对于 IdP SSO Service 网址(IdP 单点登录服务网址),请粘贴您在第 1 步中复制的单点登录网址。
  14. 点击保存

第 3 步:为用户启用应用

准备工作: 如要为某些用户启用或停用服务,请将其账号添加到某个组织部门(按部门控制访问权限)或某个访问权限群组(跨部门或在部门内控制访问权限)。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用 然后 Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Workday
  3. 点击用户访问权限

  4. 如要为组织中所有人启用或停用某项服务,请点击对所有人启用对所有人停用,然后点击保存

  5. (可选)如要为某个组织部门启用或停用服务,请执行以下操作:
    1. 在左侧,选择所需组织部门。
    2. 如要更改服务状态,请选择启用停用
    3. 根据需要执行相应操作:
      • 如果“服务状态”被设为已继承 ,而您想保留更新后的设置(即使在上级组织的设置发生变化时也保留该设置),请点击覆盖
      • 如果服务状态设置为已覆盖,您可以点击继承还原为与上级组织相同的设置,也可以点击保存保留新设置(即使上级组织的设置发生变化也应用新设置)。

        详细了解组织结构

  6. (可选)如要为一个或多个组织部门内的一组用户启用某项服务,请选择一个访问权限群组。如需了解详情,请参阅通过访问权限群组自定义服务访问权限
  7. 确保您的 Workday 用户账号电子邮件域名与贵组织受管理的 Google 账号的主域名一致。

第 4 步:验证单点登录是否正常运行

Workday 同时支持由身份提供方发起的单点登录和由服务提供商发起的单点登录。

验证由身份提供方发起的单点登录

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用 然后 Web 应用和移动应用

    您必须以超级用户身份登录,才能执行此任务。

  2. 点击 Workday
  3. Workday 部分中,点击测试 SAML 登录

    系统应该会在另一标签页中打开该应用。如果未打开,请根据错误消息进行问题排查,然后重试。
    如需详细了解问题排查,请参阅 SAML 应用错误消息

验证由服务提供商发起的单点登录

  1. 关闭所有浏览器窗口。
  2. 前往 https://{your-subdomain}.my.workday.com,将 {your-subdomain} 替换为您的 Workday 域名,然后使用您的 Workday 管理员账号登录。
    您应该会被重定向到 Google 登录页面。
  3. 选择您的账号并输入密码。

您的凭据通过身份验证后,该应用应该会打开。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。