Einrichten von Openflow Connector für Workday¶
Bemerkung
Der Konnektor unterliegt den Bedingungen für Konnektoren.
Unter diesem Thema werden die Schritte zum Einrichten von Openflow Connector für Workday beschrieben.
Voraussetzungen¶
Stellen Sie sicher, dass Sie Openflow Connector für Workday gelesen haben.
Stellen Sie sicher, dass Sie Openflow eingerichtet haben.
Die Anmeldeinformationen erhalten¶
Führen Sie als Workday Administrator die folgenden Aktionen durch:
Erstellen Sie einen Benutzer in Workday:
Gehen Sie zu Workday und melden Sie sich als Administrator an. Geben Sie in der Workday-Suchleiste „Create user“ ein.
Klicken Sie auf Create Integration System User: Task.
Geben Sie einen Benutzernamen und ein Kennwort ein.
Erstellen Sie eine Sicherheitsgruppe, und fügen Sie den Benutzer aus Schritt 1 hinzu:
Geben Sie in der Workday-Suchleiste Create Security Group ein.
Klicken Sie auf Create Security Group: Task.
Legen Sie den Typ auf Integration System Security Group (Unconstrained) fest.
Geben Sie einen Namen für die Sicherheitsgruppe ein, und klicken Sie auf OK.
Fügen Sie im Fenster Edit Integration System Security Group (Unconstrained) den in Schritt 1 erstellten Benutzer des Integrationssystems in das Feld Integration System Users ein.
Fügen Sie der in Schritt 2 erstellten Sicherheitsgruppe Domänensicherheitsrichtlinien hinzu:
Geben Sie in der Workday-Suchleiste View Security Group ein.
Rufen Sie Security Group Settings » Maintain Domain Permissions for Security Group auf.
Wählen Sie im Abschnitt Integration Permissions im Feld „Domain Security Policies“ die Sicherheitsdomänen aus, die mit den Berichten verknüpft sind, die Sie synchronisieren möchten.
Rufen Sie die Seite Activate Pending Security Policy Changes auf, und klicken Sie auf OK.
Erstellen Sie eine OAuth-Client-App:
Geben Sie in der Workday-Suchleiste Register API Client ein, und klicken Sie auf Register API Client for Integrations: Task.
Geben Sie einen Clientnamen ein.
Klicken Sie auf Non-Expiring Refresh Token.
Geben Sie in der Bereichssuchleiste „System“ ein, und wählen Sie es aus.
Klicken Sie auf OK.
Kopieren Sie die Client-ID und das Client-Geheimnis, und klicken Sie dann auf Done.
Beachten Sie auf der Seite View Integration System Security Group die Funktionsbereiche unter „Domain Security Policies“. Fügen Sie diese dann als Bereiche/Funktionsbereiche im API-Client hinzu:
Geben Sie in der Suchleiste View API Client ein.
Wählen Sie Ihren API-Client aus der Liste.
Klicken Sie in der blauen Leiste oben auf die drei Punkte, und wählen Sie dann API Client » API Clients for Integrations.
Suchen Sie im Feld Scope (Functional Areas) nach den Funktionsbereichen, die Sie notiert haben, und fügen Sie diese hinzu.
Wählen Sie im gleichen Menü wie zuvor (5c) Manage Refresh Tokens for Integrations.
Suchen Sie im Formular nach dem ISU-Benutzer, und wählen Sie ihn aus.
Klicken Sie auf OK.
Klicken Sie auf Generate new token, und kopieren Sie die Details des Aktualisierungstokens, das Sie später verwenden werden.
Snowflake-Konto einrichten¶
Als Snowflake-Kontoadministrator führen Sie die folgenden Aufgaben aus:
Erstellen Sie eine neue Rolle oder verwenden Sie eine vorhandene Rolle und erteilen Sie die Berechtigungen von Datenbanken.
Erstellen Sie einen neuen Benutzer für den Snowflake-Dienst mit dem Typ SERVICE.
Weisen Sie dem Benutzer des Snowflake-Dienstes die Rolle zu, die Sie in den vorherigen Schritten erstellt haben.
Konfigurieren Sie mit Schlüsselpaar-Authentifizierung für den Snowflake SERVICE-Benutzer aus Schritt 2.
Snowflake empfiehlt diesen Schritt dringend. Konfigurieren Sie einen von Openflow unterstützten Geheimnismanager, z. B. AWS, Azure und Hashicorp, und speichern Sie die öffentlichen und privaten Schlüssel im Geheimnisspeicher.
Bemerkung
Wenn Sie aus irgendeinem Grund keinen Geheimnismanager verwenden möchten, sind Sie dafür verantwortlich, die für die Schlüsselpaar-Authentifizierung verwendeten öffentlichen und privaten Schlüsseldateien gemäß den Sicherheitsrichtlinien Ihrer Organisation zu schützen.
Nachem der Geheimnismanager konfiguriert ist, legen Sie fest, wie Sie sich bei ihm authentifizieren möchten. Auf AWS wird empfohlen, die mit Openflow verknüpfte EC2-Instanzrolle zu verwenden, da auf diese Weise keine weiteren Geheimnisse gespeichert werden müssen.
Konfigurieren Sie in Openflow einen mit diesem Geheimnismanager verknüpften Parameter Provider über das Hamburger-Menü oben rechts. Navigieren Sie zu Controller Settings » Parameter Provider, und rufen Sie Ihre Parameterwerte ab.
Zu diesem Zeitpunkt können alle Anmeldeinformationen mit den zugehörigen Parameterpfaden referenziert werden, und es müssen keine sensiblen Werte innerhalb von Openflow aufbewahrt werden.
Wenn andere Snowflake-Benutzer Zugriff auf die vom Konnektor aufgenommenen Rohdokumente und -tabellen benötigen (z. B. für die benutzerdefinierte Verarbeitung in Snowflake), weisen Sie diesen Benutzern die in Schritt 1 erstellte Rolle zu.
Bestimmen Sie ein Warehouse, das der Konnektor verwenden soll. Beginnen Sie mit der kleinsten Warehouse-Größe und experimentieren Sie dann mit der Größe in Abhängigkeit von der Anzahl der zu replizierenden Tabellen und der Menge der übertragenen Daten. Große Tabellenzahlen lassen sich in der Regel besser mit Multi-Cluster-Warehouses skalieren als mit größeren Warehouse-Größen.
Einrichten des Konnektors¶
Führen Sie als Data Engineer die folgenden Aufgaben aus, um den Konnektor zu konfigurieren:
Konnektor installieren¶
Erstellen Sie in Snowflake eine Datenbank und ein Schema für den Konnektor, um die aufgenommenen Daten zu speichern. Erteilen Sie der im ersten Schritt erstellten Rolle die erforderlichen Berechtigungen von Datenbanken. Ersetzen Sie den Platzhalter für die Rolle durch den tatsächlichen Wert und verwenden Sie die folgenden SQL-Befehle:
CREATE DATABASE DESTINATION_DB; CREATE SCHEMA DESTINATION_DB.DESTINATION_SCHEMA; GRANT USAGE ON DATABASE DESTINATION_DB TO ROLE <CONNECTOR_ROLE>; GRANT USAGE ON SCHEMA DESTINATION_DB.DESTINATION_SCHEMA TO ROLE <CONNECTOR_ROLE>; GRANT CREATE TABLE ON SCHEMA DESTINATION_DB.DESTINATION_SCHEMA TO ROLE <CONNECTOR_ROLE>;
Navigieren Sie zur Openflow-Übersichtsseite. Wählen Sie im Abschnitt Featured connectors die Option View more connectors aus.
Suchen Sie auf der Seite Openflow-Konnektoren den Konnektor und wählen Sie Add to runtime.
Wählen Sie im Dialog Select runtime Ihre Laufzeit aus der Dropdown-Liste Available runtimes aus.
Wählen Sie Add aus.
Bemerkung
Bevor Sie den Konnektor installieren, stellen Sie sicher, dass Sie in Snowflake eine Datenbank und ein Schema für den Konnektor erstellt haben, in dem die aufgenommenen Daten gespeichert werden.
Authentifizieren Sie sich bei der Bereitstellung mit den Anmeldedaten Ihres Snowflake-Kontos und wählen Sie Allow, wenn Sie dazu aufgefordert werden, damit die Laufzeitanwendung auf Ihr Snowflake-Konto zugreifen kann. Die Installation des Konnektors nimmt einige Minuten in Anspruch.
Authentifizieren Sie sich bei der Laufzeit mit den Anmeldeinformationen Ihres Snowflake-Kontos.
Das Openflow-Canvas wird mit der hinzugefügten Prozessgruppe des Konnektors angezeigt.
Konnektor konfigurieren¶
Klicken Sie mit der rechten Maustaste auf die importierte Prozessgruppe und wählen Sie Parameters.
Geben Sie die erforderlichen Parameterwerte ein, wie unter Ablaufparameter beschrieben.
Ablaufparameter¶
Die Konfiguration ist in drei Parameterkontexte unterteilt. Die Kontexte Zielsystemparameter für Workday und Quellsystemparameter für Workday sind für die Verbindung mit Snowflake und Workday zuständig. Die Aufnahmeparameter für Workday enthalten alle Parameter aus beiden Konfigurationen und weitere Parameter, die für einen bestimmten Bericht spezifisch sind (z. B. Report-URL).
Da der Parameterkontext Aufnahmeparameter für Workday berichtsspezifische Details enthält, müssen für jeden neuen Bericht und jede Prozessgruppe neue Parameterkontexte erstellt werden. Um einen neuen Parameterkontext zu erstellen, wählen Sie im Menü die Option „Parameter Contexts“ und fügen einen neuen Kontext hinzu. Er sollte von den beiden Parameterkontexten Zielsystemparameter für Workday und Quellsystemparameter für Workday erben.
Parameterkontext Zielsystemparameter für Workday
Parameter |
Beschreibung |
---|---|
Destination Database |
Die Zieldatenbank, in der die Zieltabelle erstellt wird. Sie muss vom Benutzer erstellt werden. |
Destination Schema |
Das Zielschema, in dem die Zieltabelle erstellt wird. Sie muss vom Benutzer erstellt werden. |
Snowflake Account Identifier |
Das Snowflake-Konto (im Format [organisation-name]- [account-name]), in dem die von der Workday-API abgerufenen Daten gespeichert werden. |
Snowflake Authentication Strategy |
Legt fest, wie der Konnektor mit Snowflake verbunden werden soll. Verwenden Sie den Wert |
Snowflake Private Key |
Der private RSA-Schlüssel, der für die Authentifizierung verwendet wird. Der RSA-Schlüssel muss nach den PKCS8-Standards formatiert sein und den Standard-PEM-Header und -Footer enthalten. Beachten Sie, dass entweder Snowflake Private Key File oder Snowflake Private Key definiert sein muss |
Snowflake Private Key File |
Die Datei, die den privaten RSA-Schlüssel enthält, der für die Authentifizierung bei Snowflake verwendet wird. Sie ist nach den PKCS8-Standards formatiert und hat die Standard-PEM-Header und -Footer. Die Headerzeile beginnt mit —-BEGIN PRIVATE |
Snowflake Private Key Password |
Das Kennwort, das mit dem Snowflake Private Key verknüpft ist |
Snowflake Role |
Die Snowflake-Rolle mit entsprechenden Berechtigungen für die Zieldatenbank und das Schema (USAGE und CREATE TABLE). |
Snowflake-Benutzername |
Der Snowflake-Benutzer mit einer Rolle, die im Parameter Snowflake Role angegeben ist, wird zugewiesen. |
Snowflake Warehouse |
Das Snowflake-Warehouse wird zum Laden von Daten in Tabellen verwendet. |
Parameterkontext Quellsystemparameter für Workday
Parameter |
Beschreibung |
---|---|
Authorization Type |
Wählen Sie zwischen OAUTH oder BASIC_AUTH. Wenn OAUTH gewählt wird, müssen OAuth Client ID, OAuth Client Secret, OAuth Refresh Token und OAuth Token Endpoint definiert werden. Wenn Sie BASIC_AUTH wählen, müssen Sie Workday Username und Workday Password definieren. |
OAuth Client ID |
Die Client-ID einer in Workday registrierten Anwendung. |
OAuth Client Secret |
Das Client-Geheimnis, das sich auf die Client-ID bezieht. |
OAuth Refresh Token |
Der Aktualisierungstoken wird vom Benutzer während des App-Registrierungsprozesses abgerufen. Es wird zusammen mit der Client-ID und dem Client-Geheimnis verwendet, um ein Zugriffstoken zu erhalten. |
OAuth Token Endpoint |
Der Tokenendpunkt wird vom Benutzer während des App-Registrierungsprozesses abgerufen. |
Workday Username |
Der Benutzername wird verwendet, um sich bei einem Workday-Konto anzumelden. Muss nur eingestellt werden, wenn BASIC_AUTH gewählt wird. |
Workday Password |
Das Kennwort ist mit dem Workday-Benutzernamen verknüpft. Muss nur eingestellt werden, wenn BASIC_AUTH gewählt wird. |
Parameterkontext Aufnahmeparameter für Workday
Parameter |
Beschreibung |
---|---|
Zieltabelle |
Die Zieltabelle, in der die von Workday abgerufenen Berichtsdaten gespeichert werden. Er wird vom Konnektor erstellt, wenn er nicht existiert. |
Report URL |
Eine RaaS API URL zu einem in Workday erstellten Bericht. |
Run Schedule |
Ausführungszeitplan, nach dem die Daten von Workday abgerufen und in Snowflake gespeichert werden (standardmäßig wird die Zeitplanungsstrategie Timer driven verwendet, wobei der Benutzer ein Intervall festlegt, z. B. 8 Stunden). |
Führen Sie den Ablauf aus¶
Klicken Sie mit der rechten Maustaste auf die Ebene, und wählen Sie Enable all Controller Services.
Klicken Sie mit der rechten Maustaste auf die importierte Prozessgruppe und wählen Sie Start. Der Konnektor startet die Datenaufnahme.