CyberArk Identity SAMLロール同期設定
WorkatoをCyberArk Identityと統合してSAMLロール同期を管理し、ユーザーがSAML SSOでログインしたときにユーザーのロールが更新されるようにします。
標準のWorkato EnvironmentであるDEV(デフォルト)、PROD、TESTにロール同期を設定することをお勧めします。これにより一貫したロール管理が可能になります。
前提条件
CyberArk Identityプラットフォーム内でSAML SSOが正常に設定されていることを確認します。 ガイダンスについては、CyberArk Identity SAMLドキュメントを参照してください。
Workatoでジャストインタイムプロビジョニングが有効になっていることを確認します。
チームまたは組織にSAML SSOの強制を使用していることを確認します。
Workatoでロール同期が有効になっていることを確認します。
Workatoでロール同期を有効化
CyberArk Identityでカスタムユーザー属性を設定
CyberArk Identity内でWorkato Environmentのカスタムユーザー属性を設定するには、次の手順に従います。
CyberArk Identity管理コンソールにログインします。
CyberArk Identity管理ポータルでSettings > Customizationに移動します。
Additional Attributesをクリックしてカスタム属性を管理します。
SAMLロール同期用のカスタムユーザー属性を作成
Addを選択して新しい属性を作成します。
次を追加して、さまざまなWorkato Environmentの属性を定義します。
workato_role: この属性はDEV Environmentにマッピングされます。workato_role_test: この属性はTEST Environmentにマッピングされます。workato_role_prod: この属性はPROD Environmentにマッピングされます。
ドロップダウンメニューから属性タイプとしてテキストを選択します。 各属性についてこれを繰り返します。
User Editableボックスがオフになっていることを確認します。ただし、ユーザーがポータルからこの属性を変更できるようにする場合を除きます。
Addをクリックして各属性を保存します。
各Workato Environment内で割り当てる予定のロールに基づいて、各ユーザーの値を設定します。
ロールマッピング
Workatoがこれらの値を解釈する方法は、ワークスペースモデルによって異なります。
- レガシー権限モデル: 値は、Admin、Analyst、Operatorなどのレガシーコラボレーターロールまたはカスタムロールにマッピングされます。
- 新しい権限モデル: 値は、Environment admin、Environment manager、MemberなどのEnvironmentロールまたはカスタムEnvironmentロールにマッピングされます。
属性タイプとロール値を定義
これらの手順を完了すると、CyberArk Identityでカスタムユーザー属性が正常に設定され、WorkatoとのSAMLロール同期に利用できるようになります。
CyberArk IdentityポータルでWorkatoロールを設定
Workatoのカスタムロール
SAMLアサーションと同期する前に、カスタムロールがWorkatoですでに定義されていることを確認します。 定義されていないロールを参照した場合、レガシー権限モデルを使用するワークスペースではユーザーのデフォルトがOperatorになり、新しい権限モデルを使用するワークスペースではMemberになります。 ロール名では大文字と小文字が区別されます。
次の手順では、Workatoでロール同期に必要なSAMLレスポンス属性を設定する方法を示します。
CyberArkにログインし、Apps & Widgets > Appsに移動します。
リストからWorkato SAMLアプリを選択して設定します。
SSO中にWorkatoが受信する属性を設定するには、SAML responseをクリックします。
SAMLレスポンス属性を設定
Addをクリックして新しい属性ステートメントを作成します。
以前に定義したカスタムユーザー属性に基づいて、属性名と値を指定します。 次の表を参照してください。
| 属性名 | 属性値 |
|---|---|
workato_role | LoginUser.Get('workato_role') |
workato_role_prod | LoginUser.Get('workato_role_prod') |
workato_role_test | LoginUser.Get('workato_role_test') |
変更を適用するには、設定を必ずSaveします。
CyberArk Identityポータルでロールを変更
ユーザーのWorkatoロールを変更するには:
CyberArk Identity管理コンソールにログインします。
変更するユーザーとEnvironmentを選択します。
新しいロール値を入力し、Saveをクリックします。
CyberArk Identityでユーザーロールを更新
ユーザーのWorkatoでのアクセス権限は、次回SAML SSOでログインしたときに更新されます。
ユーザーの更新されたロール権限は、Workatoの活動監査タブから確認できます。
Workatoの活動監査でロール更新を確認
SAML tracer拡張機能で確認
SAML Tracerブラウザー拡張機能を使用して、SAMLアサーションで渡される値を確認します。 workato_role、workato_role_test、workato_role_prod属性が正常に渡されていることを確認できます。
SAML tracer拡張機能でSAMLアサーション値を確認
Last updated: