Microsoft Entra IDのSAMLロール同期設定
Workatoは、SAML属性マッピングを使用したMicrosoft Entra ID経由のロールとグループの同期をサポートしています:
- Environmentロールは、
workato_role、workato_role_test、workato_role_prodなどのSAML属性を通じて渡されます。 - コラボレーターグループは、
workato_user_groups属性を通じて渡されます。
ロールとグループメンバーシップは、ユーザーが次回SAML SSOでサインインするときに更新されます。
このページでは、DEV(デフォルト)、PROD、TESTなどの一般的なEnvironmentについて、Workatoロールを同期するようにMicrosoft Entra IDを設定する手順を説明します。
新しい権限モデルへの移行
組織が従来の権限モデルから新しい権限モデルに移行している場合は、Microsoft Entra IDのSAML設定を更新してください。 Workatoは既存の割り当てを自動的に変換しません。 次を更新します:
- Workato Environmentロールを表すEntraグループ(例:
WKT-DEV-ADMIN、WKT-PROD-MEMBER)を作成し、workato_role、workato_role_prod、workato_role_testなどのSAML属性にマッピングします。 workato_user_groups属性でグループ表示名を送信するようにSAMLグループクレームを設定します。 一貫した命名規則(例:WKT | Admin | Finance)を使用して、EntraグループをWorkatoコラボレーターグループに合わせます。
EntraグループをWorkatoアプリケーションに割り当て、活動監査ログを確認して正しいロールとグループのクレームを検証することでテストできます。
前提条件
- Microsoft Entra ID組織のSAML SSOを設定します。
- Workato UIでジャストインタイムプロビジョニングを有効にします。
- チームまたは組織にSAML SSOの適用を使用します。
ロール同期の設定
グループ要件
ロールクレームを設定する前に、Workato Environmentロールを表すMicrosoft Entraグループを作成します。 次のような一貫した命名規則を使用します:
- WKT-DEV-ADMIN
- WKT-DEV-MEMBER
- WKT-TEST-ADMIN
- WKT-TEST-MEMBER
- WKT-PROD-ADMIN
- WKT-PROD-MEMBER
組織は別の名前を選択できますが、後でクレーム条件を定義するときにこれらのグループを参照します。
ロール同期を設定するには、次の手順を完了します:
Microsoft Entra IDでエンタープライズ アプリケーション > Workato > シングル サインオン > 属性とクレーム > + 新しいクレームの追加に移動します。
名前フィールドにworkato_role_prodと入力します。
Microsoft Entra IDでのSAMLクレームの設定
任意です。 名前空間URLを入力します。
ソースフィールドで属性を選択します。
クレームを生成するためにtrueである必要があるクレーム条件を定義します。 これらのフィールドを使用して、グループのメンバーが値を継承する方法を制御します。
ドロップダウンメニューからユーザーの種類を選択します。 たとえば、メンバーを選択します。
スコープ付きグループフィールドで、Workatoロールに対応する、以前に作成したMicrosoft Entraグループを選択します。 たとえば、WKT-DEV-ADMINまたはWKT-PROD-MEMBERです。
複数のグループ
複数のグループに属するユーザーの場合、Microsoft Entra IDは指定された条件の順序に基づいてロールを割り当てます。 条件に基づくクレームの発行を参照してください。
ソースフィールドで属性を選択します。
値を入力します。 これは、条件がtrueの場合にWorkatoが割り当てるロールです。 たとえば、DevOps_AdminまたはEnvironment adminを設定します。
任意です。 グループメンバーシップをロールにマッピングする方法を制御する追加条件を設定します。
保存をクリックします。
Microsoft Entra IDでEnvironment固有のWorkatoロールを設定する
Workatoワークスペース内の各Environmentに、追加のロールクレームを追加できます。
Microsoft Entra IDのworkato_roleの属性ステートメント
この例では、複数のクレームを使用して、Workatoの異なるEnvironmentのロールを指定します。 たとえば、汎用のworkato_roleに加えて、プロダクションEnvironment用にworkato_role_prodを、テストEnvironment用にworkato_role_testを定義します。 また、これらのロールの値フィールドには、グループメンバーシップに応じて複数の条件が含まれることにも注意してください。
Microsoft Entra IDでコラボレーターグループを設定する
Workatoコラボレーターグループは、グループクレームとしてEntra IDからWorkatoに渡されます。 グループクレームを使用すると、グループIDやグループ表示名など、SAMLアサーションで送信する値を決定できます。
グループ表示名を送信することをお勧めします。 これにより、EntraグループとWorkatoコラボレーターグループの一貫性が維持されます。 これらの名前は、Workatoの既存のコラボレーターグループと完全に一致する必要があります。 例:
WKT | Admin | Reusable Assets
WKT | Admin | Sensitive Projects
WKT | Builder | Finance
WKT | Viewer | Reusable Assetsこれらの表示名をworkato_user_groups属性で渡すグループクレームを定義できます。 これらのEntraグループに割り当てられたユーザーは、SAML SSO中に対応するコラボレーターグループ値をWorkatoに自動的に渡します:
Microsoft Entra IDでエンタープライズ アプリケーション > Workato > シングル サインオン > 属性とクレーム > + グループ クレームの追加に移動します。
グループクレームの設定
ユーザーに関連付けられているどのグループをクレームで返す必要がありますか?フィールドで、アプリケーションに割り当てられているグループを選択します。
ソース属性をクラウドのみのグループ表示名に設定します。
グループ クレームの名前をカスタマイズするチェックボックスを有効にします。
名前フィールドにworkato_user_groupsと入力します。 送信される値は、Entraグループの表示名です。 たとえば、WKT | Admin | Financeです。
設定を保存します。
次に、作成したEntraグループを割り当て、Workatoアプリケーションに割り当てます。 ユーザーがサインインすると、Workatoはworkato_user_groupsクレームの値と一致するコラボレーターグループにユーザーを割り当てます。 クレームが渡されない場合、ユーザーはコラボレーターグループなしでサインインします。
Workatoアプリへのグループの割り当て
クレームを定義したら、Microsoft Entra IDのグループをWorkatoアプリに割り当てます:
Microsoft Entra IDでエンタープライズ アプリケーション > Workato > ユーザーとグループに移動します。
ユーザーまたはグループの追加を選択します。
Workatoアプリへのグループの割り当て
以前に作成したEnvironmentグループとコラボレーターグループを選択します。
グループを割り当てます。 アプリケーションロールを割り当てる必要はありません。 WorkatoはSAMLクレームを通じてアクセスを完全に適用します。
Microsoft Entra IDでユーザーロールを更新する
ユーザーのロールを更新するには、ユーザーのグループメンバーシップを変更するか、クレーム属性のロール値を変更します。
ロール変更の確認
組織でWorkatoの活動監査ログ機能を使用している場合、ユーザーがSAML SSOを通じてログインしたときに自動ロール同期を確認できます。
SAMLアサーションによってトリガーされたロール変更は、値sam_auto_syncでSource属性の下に表示されます。
Workato UIで行われた手動のロール変更は、ソースuserを使用して表示されます。
New RoleおよびPrevious Roleの値も確認できます。
Last updated: