ユーザーとアクセスの管理

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

エンドユーザーに特定のGenieへのアクセスを提供できます。 ユーザーを追加してGenieへのアクセスを提供するには、事前にエンドユーザーグループを作成する必要があります。

Agent StudioとWorkato Identity

Workato Identityは、Agent StudioのIDとアクセスを管理します。 Slack、Microsoft Teams、またはWorkato GOを通じてGenieを操作するエンドユーザーの認証を管理できます。 また、Genieを構築および保守するワークスペースコラボレーターのアクセスも管理します。

Workato Identityは、Genieデプロイメントのエンドユーザー認証に使用されます。 エンドユーザーは、SAML SSOを使用して、組織の既存のIDプロバイダー経由で認証します。 Workato Identityは、IdPから認証済みIDアサーションを受信し、適切なWorkatoユーザーグループにマッピングします。 これらのグループによって、各ユーザーがアクセスできるGenieが決まります。 詳細については、SAMLベース認証の設定を参照してください。

このフローにより、Genieアクセスは組織の既存のIDシステムによって管理されます。 Oktaからオフボーディングされたユーザーは、Workatoで個別のプロビジョニング解除手順を実行しなくても、Genieアクセスを自動的に失います。 正しいOktaグループに追加された新しい従業員は、Workatoで手動プロビジョニングを行わなくても、Genieアクセスを自動的に取得します。

エンドユーザーグループ

Workato Identityのユーザーグループを使用して、エンドユーザーグループを管理します。

エンドユーザーグループは、特定のGenieにアクセスできる従業員を制御します。 各グループは、アイデンティティプロバイダーの1つ以上のIdPグループにマッピングされ、Genieのエンドユーザーアクセス設定で1つ以上のGenieに割り当てられます。

エンドユーザーグループは、プロジェクト構造とは独立して動作します。 これは、ユーザーグループを異なるプロジェクト内のGenieに割り当てられることを意味します。 プロジェクト構造は、ビルダーアセットの保存場所を管理します。 ユーザーグループ構造は、それらのビルダーが作成するGenieを使用できるユーザーを管理します。 Workatoでは、ユーザーグループをプロジェクト構造に合わせないことを推奨しています。

Genieの対象者と必要なアクセスレベルに基づいてユーザーグループを設計します。

  • 単一階層アクセス: ほとんどのGenieは、すべての従業員がIT Genieを使用する場合や、営業チームがSales Genieを使用する場合のように、均一なアクセス権を持つ単一のユーザー集団に提供されます。 この設定では、Genieごとに1つのユーザーグループで十分です。

  • 複数階層アクセス: 一部のGenieは、HR Genieに質問してリクエストを送信できる従業員や、さらにリクエストをレビューして承認できるHRマネージャーなど、異なる機能を持つ複数のユーザー集団に提供されます。 各アクセス階層に個別のユーザーグループを作成し、各階層で利用可能なSkillsとKnowledge Basesを適宜割り当てます。

  • Genie横断グループ: ITサポートチームがITヘルプデスクGenieとITインシデント管理Genieの両方にアクセスする必要がある場合など、一部のユーザー集団は複数のGenieにまたがります。 Genieごとに個別のグループを作成するのではなく、ITサポートチーム用に1つのユーザーグループを作成し、両方のGenieに割り当てます。

IdPグループをAgent Studioユーザーグループにマッピング

Genieを使用するには、ユーザーはGenieアクセスを持つユーザーグループに属している必要があります。 SSOを設定する前に、IdPグループをWorkatoユーザーグループにマッピングします。 マッピングの指針として、次の質問を検討してください:

  • Genieユーザー集団に対応するIdPグループ: ITヘルプデスクGenieには、すべての従業員がアクセスできる必要があります。 all-employees IdPグループをIT Genieユーザーグループにマッピングします。 Sales Genieには、営業チームのみがアクセスできる必要があります。 sales-team IdPグループをSales Genieユーザーグループにマッピングします。

  • 複数のアクセス階層が必要なGenie: 従業員が質問し、マネージャーがリクエストを承認するなど、ユーザータイプごとに異なる機能レベルを持つGenieです。 これには、アクセス階層ごとに個別のユーザーグループが必要であり、各ユーザーグループを異なるIdPグループにマッピングします。

  • アクセス変更の管理方法: ユーザーがあるチームから別のチームに移動し、アクセス要件が変更された場合、IdPグループの変更はWorkatoユーザーグループに自動的に反映される必要があります。 ユーザーをIdPグループから削除し、想定される反映時間内にGenieアクセスを失うことを確認して、このワークフローをテストします。

エンドユーザーグループのGenieアクセス

Workato Identityでエンドユーザーグループを作成した後、特定のGenieへのアクセスを提供できます。

エンドユーザーグループにGenieへのアクセスを付与するには、次の手順を実行します:

1

Workatoアカウントにサインインします。

2

AI Hubに移動し、エンドユーザーをエンドユーザーグループに追加する予定のGenieを選択します。

3

エンドユーザーアクセスタブをクリックします。

4

ユーザーグループを追加をクリックします。 ユーザーグループを追加モーダルが表示されます。

5

エンドユーザーグループドロップダウンメニューを使用して、Genieアクセスを提供する予定のエンドユーザーグループを選択します。

6

Addをクリックします。

Agent Studioユーザーグループ同期

グループ同期では、IDプロバイダーからのグループ情報に基づいて、Workatoのユーザーグループメンバーシップが自動的に更新されます。 これにより、アクセス権限が組織のディレクトリと同期された状態に保たれます。

ユーザーは、Workato Identityにユーザーレコードを作成するために、少なくとも1回ログインする必要があります。 ユーザーが正しいIdPグループに属していてもログインしていない場合、Workatoはユーザーレコードを作成しません。 これは、これらのユーザーに送信されるApp Eventsに影響します。 たとえば、一度もログインしたことがないユーザーに送信されたApp Eventは、そのユーザーがWorkatoに存在しないため失敗します。

ユーザーがログインする前にGenieがApp Eventsを送信する場合は、事前プロビジョニング手順を実装できます。 これにより、App Eventsの送信前にログインがトリガーされるか、ユーザーレコードが作成されます。 たとえば、新入社員オンボーディングGenieが、従業員の初日にメッセージを送信する場合です。

SlackとMicrosoft Teamsの同期動作

SlackまたはMicrosoft TeamsにデプロイされたGenieには、同期に関する追加の考慮事項があります。 ユーザーは、SlackまたはMicrosoft TeamsのIDをWorkato Identityアカウントにリンクするために、チャットインターフェースを通じてGenieにメッセージを送信する必要があります。

Workato GOで認証していてもSlackを通じてGenieを操作していないユーザーは、Slack IDをWorkato Identityにリンクしていません。 メールアドレス宛てのApp Eventsは正しいWorkato Identityアカウントに届きますが、SlackとWorkato Identityのリンクが確立されるまで、通知はSlackに表示されません。

SlackにデプロイされたGenieは、ユーザーにApp Eventを送信する前に、対象ユーザーにSlackでGenieボットへ一度メッセージを送信するよう促す必要があります。 これは、検出メカニズムとしても、App Eventsに必要なIDリンクのトリガーとしても機能します。

Genieデプロイメント前にID設定をテスト

Genieをデプロイする前に、ビルダーアカウントではなく実際のユーザーアカウントで、IdPとWorkato Identityの設定をテストします。 テストには次のガイドラインを使用します:

  • ハッピーパスをテスト: 正しいIdPグループのユーザーがチャットインターフェースにログインし、Genieを正常に操作します。 スキルが正しく実行され、ユーザーコンテキストデータピルが正しい認証済みIDを返すことを確認します。

  • アクセス拒否パスをテスト: Genieユーザーグループに割り当てられていないユーザーがGenieの操作を試みます。 ユーザーが適切なアクセス拒否メッセージを受け取り、続行できないことを確認します。

  • グループ変更パスをテスト: ユーザーをIdPグループから削除します。 次回ログイン時に、そのユーザーがGenieアクセスを持たなくなることを確認します。 ユーザーをグループに再度追加します。 次回ログイン時にアクセスが復元されることを確認します。

  • 複数のグループに属するユーザーでテスト: 想定されるすべてのWorkatoユーザーグループ割り当てが存在し、複数のOktaグループの問題がデプロイメントに影響しないことを確認します。

  • 実際のユーザーアカウントでApp Eventsをテスト: ユーザーのメールアドレスにテストApp Eventを送信します。 ユーザーのチャットインターフェースに通知が表示されることを確認します。 このテストでは、SlackまたはMicrosoft TeamsのIDリンクが正しく確立されていることを具体的に検証します。

詳細については、Workato Identityのユーザーグループ同期ドキュメントを参照してください。

Last updated: