# OktaでのSAMLロール同期の設定

アイデンティティプロバイダーとしてOktaを使用する場合、ユーザーとグループの両方のロール設定を同期することができます。

ここでは、基本的なWorkato環境(DEV(デフォルト)、PROD、TEST)のロール同期を設定します。

# 前提条件

  1. OktaテナントのSAML SSOを設定します。
  2. Workato UIでジャストインタイムプロビジョニングを有効にします。
  3. チームまたは組織に対してSAML SSOを強制します。

# OktaでWorkatoユーザープロファイルにカスタムWorkatoロール属性を追加する

1

Oktaで、Directory >> Profile Editor >> Workato App >> Create a new user attributeに移動します。

2

Workatoユーザープロファイルに新しいworkato_role属性を追加します。

3

workato_roleインターフェースのフィールドを指定します:

OktaでのWorkatoロール定義

表示名
新しいロールの名前。`workato_role`を使用します。
説明
ロールのオプションの説明
Enum
"値の列挙リストを定義"を選択します。
属性メンバー
次の表示名のペアを追加します。Workatoのシステムロールやカスタム定義のロールもここに追加できます。
リストにさらにエントリを追加するには+ Add Anotherをクリックし、既存のエントリを削除するには削除アイコンをクリックします。値は大文字と小文字を区別します。
この例では、カスタムロール「DevOps_Admin」を追加しています。システム内のすべてのカスタムWorkatoロールを指定するために、追加のエントリを使用することもできます。
Workato Admin
Admin
Workato Analyst
Analyst
Workato Operator
Operator
No Access
NoAccess
DevOps_Admin
DevOps_Admin
属性の長さ
属性の長さのパラメータを定義します。
属性の必須
Yesを選択します。
スコープ
Noneのままにします。
可変性
この値がREAD_WRITEであることを確認します。
4

属性を保存をクリックします。

Workatoで使用するすべての環境について、これらの手順を繰り返します。指定した環境の命名規則に従うようにしてください。

# 環境固有のWorkatoロールをOktaで設定する

Workatoインスタンスでライフサイクル管理アドオンが有効になっている場合、環境とビジネス要件に応じて6つの新しい設定可能なロール属性があります。

名前によって複数の環境を指定し、それぞれのSAML属性を指定します。

Dev (main)
workato_role
Test
workato_role_test
Prod
workato_role_prod
Sandbox
workato_role_sandbox
UAT
workato_role_UAT
Stage
workato_role_stage
Pre-prod
workato_role_preprod

# SAML属性ステートメントを設定する

ユーザーがSAML Single Sign Onを介してWorkatoにサインインするたびにworkato_role属性の値を含めるには、SAML属性ステートメントを設定する必要があります。

1

Oktaで、Application >> Workato >> General >> SAML Settings >> Edit >> Next >> Configure SAML >> Attribute Statementに移動します。

2

このインターフェースで、値をappuser.workato_roleに設定します:

Oktaでのworkato_roleの属性ステートメント

以下のNameValueのペアを使用してください。Name formatフィールドはオプションです。

workato_role
appuser.workato_role
workato_role_test
appuser.workato_role_test
workato_role_prod
appuser.workato_role_prod

# ユーザーにアプリケーションを割り当てる

個々のユーザーにWorkatoアプリケーションを割り当てる手順は次のとおりです:

1

Oktaで、Directory >> Users >> Select User >> Assign Application >> Workatoに移動します。

2

ユーザーにアプリケーションを割り当てる

ユーザーに割り当てるWorkatoロールを選択します:

User Name
これはユーザーのメールアドレスです。デフォルトでインターフェースに表示されます。
workato_role_prod
リストからworkato_role_prodを割り当てます。前もってこれらのオプションを指定しました:Workato Admin、Workato Analyst、Workato Operator、またはDevOps_Admin。このロールはPROD環境用です。
workato_role
リストからworkato_roleを指定します。このロールは
1

①デフォルトのDEV環境にて、以下の手順を実行します。

workato_role_test
リストからworkato_role_testを選択します。このロールはTEST環境用です。

3

保存をクリックします。

# ユーザーロールの更新

ユーザーロールを更新するには、workato_roleリストから新しい選択肢を選び、ユーザーの現在のロール値を編集します。その後、保存をクリックします。

ユーザーロールの変更

例えば、ユーザーdave.leeworkato_role_prodの値を_Workato Admin_からカスタムの_DevOps_Admin_ロールに変更することができます。

未定義のロール

既存のユーザーのロール値をWorkatoで定義されていない値に変更すると、ユーザーは現在のロールを保持します。

新しいユーザーに対してJITプロビジョニングを使用している場合、未定義のロール値はデフォルトのOperatorロールが割り当てられます。

# グループへのアプリケーションの割り当て

ロールの割り当てをグループを通じて管理する組織は、ユーザーのグループメンバーシップに基づいてWorkatoのロールを割り当てることができます。複数のグループに所属するユーザーは、グループの優先順位に基づいてロールが割り当てられます。Oktaヘルプセンターの属性グループの優先順位の割り当て (opens new window)記事を参照してください。

1

ユーザーを管理するための新しいグループを作成します。既にこの目的のためのグループがある場合は、それを使用してください。

この例では、DevOps_Adminグループを使用しています。

2

OktaでDirectory >> Groups >> グループを選択 >> Applications >> 割り当て >> Workatoを選択します。

割り当て中に、workato_role属性とその他の環境固有の属性を指定するようにシステムが促されます。

ここでは、Workato_DevOps_AdminsグループのすべてのメンバーにカスタムのDevOps_Adminロールを割り当てるために、workato_role_prodworkato_roleworkato_role_testのロールをすべての環境に割り当てます。

グループへのロールの割り当て

これにより、グループのすべてのメンバーが3つの環境すべてでDevOps_Adminロールに割り当てられます。

3

新しい(または既存の)グループにユーザーを追加します。

4

ユーザーレベルのロール管理からグループレベルのロール管理に変更するには、既存のユーザー割り当てをグループ割り当てに変換する必要があります。

Applications >> Workato >> Assignmentsに移動し、Convert Assignmentsを選択します。

5

名前でユーザーを検索し、ユーザーの割り当てを確認して、グループによって管理されるようになったことを確認します。

6

ユーザーがグループによって管理されていない場合で、グループ割り当てに変換できる場合は、Convert selectedをクリックします。

ここでは、ユーザー[email protected]Workato_DevOps_Adminグループで管理できます。

個々のユーザー割り当てをグループ割り当てに変換する

7

または、すべての割り当てを変換することもできます。

8

ユーザーが正しいグループ割り当てを持っていることを確認するには、Edit User Assignmentインターフェースを確認します。

グループを介したアプリケーションの割り当て管理の確認

# 環境アクセスの削除

以前に指定した特定の環境へのアクセスを削除するには、環境固有のWorkatoユーザーロール同期のセットアップセクションで行ったように、ユーザーのロールを環境属性のいずれかに「NoAccess」に設定します。

例えば、workato_role_prod属性をNoAccessに設定することで、本番環境へのアクセスを制限することができます。

# ロールの変更の確認

組織がWorkatoのActivity Audit Logsアドオンを使用している場合、ユーザーがSAML SSOを介してログインした際に自動的にロールが同期されているかどうかを確認することができます。

SAMLアサーションによってトリガーされたロールの変更は、Source属性の値がsaml_auto_syncで表示されます。

Workato UIで行われた手動のロール変更は、userという値が表示されます。

また、New RolePrevious Roleの値も確認することができます。

SAMLロールの同期のアクティビティ監査ログ


Last updated: 2024/2/13 16:59:53