CyberArk Identity SAMLロール同期設定

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

WorkatoをCyberArk Identityと統合してSAMLロール同期を管理し、ユーザーがSAML SSOでログインしたときにユーザーのロールが更新されるようにします。

標準のWorkato EnvironmentであるDEV(デフォルト)、PROD、TESTにロール同期を設定することをお勧めします。これにより一貫したロール管理が可能になります。

前提条件

1

CyberArk Identityプラットフォーム内でSAML SSOが正常に設定されていることを確認します。 ガイダンスについては、CyberArk Identity SAMLドキュメントを参照してください。

2

Workatoでジャストインタイムプロビジョニングが有効になっていることを確認します。

3

チームまたは組織にSAML SSOの強制を使用していることを確認します。

4

Workatoでロール同期が有効になっていることを確認します。

ロール同期を有効化Workatoでロール同期を有効化

CyberArk Identityでカスタムユーザー属性を設定

CyberArk Identity内でWorkato Environmentのカスタムユーザー属性を設定するには、次の手順に従います。

1

CyberArk Identity管理コンソールにログインします。

2

CyberArk Identity管理ポータルでSettings > Customizationに移動します。

3

Additional Attributesをクリックしてカスタム属性を管理します。

カスタムユーザー属性SAMLロール同期用のカスタムユーザー属性を作成

4

Addを選択して新しい属性を作成します。

5

次を追加して、さまざまなWorkato Environmentの属性を定義します。

  • workato_role: この属性はDEV Environmentにマッピングされます。
  • workato_role_test: この属性はTEST Environmentにマッピングされます。
  • workato_role_prod: この属性はPROD Environmentにマッピングされます。
6

ドロップダウンメニューから属性タイプとしてテキストを選択します。 各属性についてこれを繰り返します。

7

User Editableボックスがオフになっていることを確認します。ただし、ユーザーがポータルからこの属性を変更できるようにする場合を除きます。

8

Addをクリックして各属性を保存します。

9

各Workato Environment内で割り当てる予定のロールに基づいて、各ユーザーの値を設定します。

ロールマッピング

Workatoがこれらの値を解釈する方法は、ワークスペースモデルによって異なります。

  • レガシー権限モデル: 値は、AdminAnalystOperatorなどのレガシーコラボレーターロールまたはカスタムロールにマッピングされます。
  • 新しい権限モデル: 値は、Environment adminEnvironment managerMemberなどのEnvironmentロールまたはカスタムEnvironmentロールにマッピングされます。

属性を指定属性タイプとロール値を定義

これらの手順を完了すると、CyberArk Identityでカスタムユーザー属性が正常に設定され、WorkatoとのSAMLロール同期に利用できるようになります。

CyberArk IdentityポータルでWorkatoロールを設定

Workatoのカスタムロール

SAMLアサーションと同期する前に、カスタムロールがWorkatoですでに定義されていることを確認します。 定義されていないロールを参照した場合、レガシー権限モデルを使用するワークスペースではユーザーのデフォルトがOperatorになり、新しい権限モデルを使用するワークスペースではMemberになります。 ロール名では大文字と小文字が区別されます。

次の手順では、Workatoでロール同期に必要なSAMLレスポンス属性を設定する方法を示します。

1

CyberArkにログインし、Apps & Widgets > Appsに移動します。

2

リストからWorkato SAMLアプリを選択して設定します。

3

SSO中にWorkatoが受信する属性を設定するには、SAML responseをクリックします。

SAMLレスポンスアプリSAMLレスポンス属性を設定

4

Addをクリックして新しい属性ステートメントを作成します。

5

以前に定義したカスタムユーザー属性に基づいて、属性名と値を指定します。 次の表を参照してください。

属性名属性値
workato_roleLoginUser.Get('workato_role')
workato_role_prodLoginUser.Get('workato_role_prod')
workato_role_testLoginUser.Get('workato_role_test')
6

変更を適用するには、設定を必ずSaveします。

CyberArk Identityポータルでロールを変更

ユーザーのWorkatoロールを変更するには:

1

CyberArk Identity管理コンソールにログインします。

2

変更するユーザーとEnvironmentを選択します。

3

新しいロール値を入力し、Saveをクリックします。

ロール値を入力CyberArk Identityでユーザーロールを更新

ユーザーのWorkatoでのアクセス権限は、次回SAML SSOでログインしたときに更新されます。

ユーザーの更新されたロール権限は、Workatoの活動監査タブから確認できます。

ロール権限を確認Workatoの活動監査でロール更新を確認

SAML tracer拡張機能で確認

SAML Tracerブラウザー拡張機能を使用して、SAMLアサーションで渡される値を確認します。 workato_roleworkato_role_testworkato_role_prod属性が正常に渡されていることを確認できます。

SAML Tracerを確認SAML tracer拡張機能でSAMLアサーション値を確認


Last updated: