OneLogin SAMLロール同期の設定
OneLogin IdPを使用する場合、ユーザーとグループの両方についてロール設定を同期できます。
ここでは、基本的なWorkato Environment(DEV(デフォルト)、PROD、TEST)のロール同期を設定します。
前提条件
- OneLogin組織に対してSAML SSOを設定済みであることを確認します。
- Workato UIでジャストインタイムプロビジョニングを有効にしていることを確認します。
- チームまたは組織に対してSAML SSO適用を使用していることを確認します。
OneLoginのユーザープロファイルにカスタムWorkatoロール属性を追加する
まず、アイデンティティプロバイダーであるOneLogin内に、必要なWorkatoロール属性を作成する必要があります。
OneLoginで、Users >> More Actions >> Custom User Fields >> New User Fieldに移動します。
Custom User Fieldsインターフェースで、次のフィールドを使用して新しいロールを指定します:
- 名前
appuser.workato_roleを使用します。 これにより、DEV Environment用のWorkatoのデフォルトユーザーロールが設定されます。- 短縮名
workato_roleを使用します。
同様に、他のWorkato Environmentを使用している場合は、それらのロールを指定します:
- PROD Environment用のName
appuser.workato_role_prodとShort nameworkato_role_prod - TEST Environment用のName
appuser.workato_role_testとShort nameworkato_role_test
OneLoginでWorkatoカスタムロールを追加する
Workatoで追加のEnvironmentを使用する場合は、カスタムユーザーフィールドをさらに追加します。
SAML属性ステートメントを設定する
ユーザーがSAML SSOを通じてWorkatoにサインインするたびにworkato_role属性値を含めるには、SAML属性ステートメントを設定する必要があります。
OneLoginで、+(プラス)アイコンをクリックしてApplications >> Workato >> Parameters >> Create new fieldに移動します。
New Fieldインターフェースで、ユーザープロファイルで指定したロールのShort nameを追加します。
ここでは、PROD Environment用のWorkatoロールであるworkato_role_prodのフィールド名を追加します。
OneLoginのSAML属性ステートメントに新しいWorkatoロールを追加する
Include in SAML assertionオプションを選択します。
保存をクリックします。
作成したフィールドを開いて編集します。 ここでは、workato_role_prodを編集します。
Edit Field workato_role_prodインターフェースで、ドロップダウンからValue appuser.workato_role_prod (Custom)を選択します。
OneLoginのSAML属性ステートメントでWorkatoロールを追加する
保存をクリックします。
同様に、他のWorkato Environmentの値を指定します:
- DEV Environment用のName
workato_roleとValueappuser.workato_role (Custom) - TEST Environment用のName
workato_role_testとValueappuser.workato_role_test (Custom)
WorkatoでEnvironmentを使用する場合は、これらの手順を繰り返します。
必要なSAMLステートメントを追加すると、Workatoのカスタムフィールドは次のスクリーンショットのようになります:
Workato用SAMLカスタムフィールドのリスト
Workatoアプリをユーザーに割り当てる
ここでは、アプリをユーザーに割り当て、workato_roleパラメーターを更新する方法を示します。
OneLoginでUsersに移動します。
Workatoに割り当てるユーザーを選択します。
ここでは、WorkatoアプリをユーザーGregoryに割り当てます。
Edit SAML Custom Connector ...インターフェースで、Environmentベースの各ロールの権限レベルを指定します。
まだ有効になっていない場合は、Allow the user to sign inオプションを選択します。
ユーザーのEnvironment属性のロール値を入力します。
ロールマッピング
Workatoがこれらの値を解釈する方法は、ワークスペース設定によって異なります:
- レガシー権限モデル: Admin、Analyst、Operatorなどのワークスペースレベルのシステムロール、またはカスタムロール(例: DevOps_Admin)を使用します。
- 新しい権限モデル: Environment admin、Environment manager、MemberなどのEnvironmentロール、またはカスタムEnvironmentロールを使用します。
ロール名は大文字と小文字が区別され、Workatoで定義されているロールと一致している必要があります。
たとえば、下のスクリーンショットでは、GregoryにPROD EnvironmentでレガシーコラボレーターのAnalystロールを割り当て、DEVおよびTEST EnvironmentでレガシーコラボレーターのAdminロールを割り当てています。
ユーザーをWorkatoアプリに割り当て、権限を指定する
推奨事項
Workatoでは、ユーザーまたはグループレベルで、アイデンティティプロバイダー内のユーザーのworkato_role属性値のみを更新することをお勧めします。 ロール同期を有効にすると、その後ユーザーがSAML SSOを通じてログインしたときに、Workato UIで手動で行ったすべてのロール変更がWorkatoによって上書きされます。
保存をクリックします。
Workatoアプリをグループに割り当てる
まず、新しいグループを作成し、そのグループにOneLoginのユーザーを割り当てます。
次に、新しいルールを作成および設定し、グループメンバーシップに基づいてworkato_role値を設定する必要があります。
Users >> Groupsに移動し、New Groupをクリックして、新しいグループを作成します。
ここでは、グループWorkato DevOps Adminsを作成します。
Users >> Select User >> Authenticationで、Add membership to groupsをクリックします。
新しいグループWorkato DevOps Adminsに個々のユーザーをメンバーとして追加します。
Applications >> Workato >> Rulesに移動し、Create new ruleをクリックします。
New mappingインターフェースで、グループメンバーシップに基づくルールマッピングを指定します。 ここでは、ロールの値をMacro DevOps_Adminにマッピングすることで、Workato_DevOps_Adminsグループのメンバーに、各種Workato EnvironmentでDevOps_Adminロールを割り当てます。
正しいグループを選択していることを確認します。
ここでは、ConditionsでGroup is Workato_DevOps_Adminを設定してステートメントを作成します。
Actionsで、以前に定義したロールの1つを選択します。
各ロールについて、Map from OneLoginオプションを選択します。
Set workatorole toで、Macroを選択します。
マッピングを完了するには、作成したグループを使用していることを確認します。 ここでは、DevOps_Adminを使用します。
グループをWorkatoアプリに割り当て、権限を指定する
すべてのWorkato Environmentのマッピングを完了していることを確認します:
- DEV: workato_role
- PROD: workato_role_prod
- TEST: workato_role_test
- Workatoで使用するその他のカスタムEnvironment
グループレベルでのユーザー管理の割り当てを変更する
以前に設定したユーザーをグループ管理ルールに含めるには、次の手順を実行します:
OneLoginでUsersに移動します。
Workatoに割り当てるユーザーを選択します。
ここでは、ユーザーGregoryのWorkatoアプリ割り当てを、グループレベルで管理されるように変更します。
Edit SAML Custom Connector ...インターフェースで、必要なWorkatoロール属性に変更を加えます。
ここでは、フィールドworkato_role_testとworkato_role(それぞれTEST EnvironmentおよびDEV Environment用)をグループDevOps_Adminに変更しています。
Workatoフィールド定義、SAMLアサーション
Reset loginをクリックします。 このアクションにより、新しいルールを適用して、アプリケーションレベルでユーザーのログインが再マッピングされます。 これを行う必要があるのは、以前に個別ユーザーとして設定されたユーザーのみです。
保存をクリックします。
ロール変更を確認する
組織でWorkatoの活動監査ログ機能を使用している場合、ユーザーがSAML SSOを通じてログインしたときに自動ロール同期を確認できます。
SAMLアサーションによってトリガーされたロール変更は、値sam_auto_syncでSource属性の下に表示されます。
Workato UIで行われた手動のロール変更には、値userが含まれます。
New RoleおよびPrevious Roleの値も確認できます。
SAMLロール同期の活動監査ログ
Last updated: