# OneLoginでのSAMLロール同期の設定
OneLogin IdPを使用すると、ユーザーとグループの両方のロール設定を同期することができます。
ここでは、基本的なWorkato環境(DEV(デフォルト)、PROD、TEST)のロール同期を設定します。
# 前提条件
- OneLogin組織のSAML SSOを設定していることを確認してください。
- Workato UIでジャストインタイムプロビジョニングが有効になっていることを確認してください。
- チームまたは組織でSAML SSOの強制を使用していることを確認してください。
# OneLoginでユーザープロファイルにカスタムなWorkatoロール属性を追加する
まず、Identity ProviderであるOneLogin内で必要なWorkatoロール属性を作成する必要があります。
OneLoginで、Users >> More Actions >> Custom User Fields >> New User Fieldに移動します。
Custom User Fieldsインターフェースで、次のフィールドを使用して新しいロールを指定します。
- 名前
appuser.workato_role
を使用します。これにより、DEV環境のWorkatoのデフォルトユーザーロールが設定されます。- 短縮名
workato_role
を使用します。
同様に、他のWorkato環境のロールを指定する場合は次のようにします。
- 名前
appuser.workato_role_prod
、短縮名workato_role_prod
(PROD環境用) - 名前
appuser.workato_role_test
、短縮名workato_role_test
(TEST環境用)
OneLoginでWorkatoのカスタムロールを追加する
Workatoで追加の環境を使用する場合は、さらにカスタムユーザーフィールドを追加します。
# SAML属性ステートメントの設定
SAML SSOを介してユーザーがWorkatoにサインインするたびにworkato_role
属性の値を含めるには、SAML属性ステートメントを設定する必要があります。
OneLoginで、Applications >> Workato >> Parameters >> Create new fieldをクリックして、+(プラス)アイコンをクリックします。
New Fieldインターフェースで、ユーザープロファイルで指定したロールの短縮名を追加します。
ここでは、PROD環境のWorkatoロールであるworkato_role_prod
のフィールド名を追加しています。
OneLoginでSAML属性ステートメントに新しいWorkatoロールを追加する
Include in SAML assertionオプションを選択します。
Saveをクリックします。
作成したフィールドを編集するために開きます。ここでは、workato_role_prodを編集しています。
Edit Field workato_role_prodインターフェースで、ドロップダウンからValueとしてappuser.workato_role_prod (Custom)
を選択します。
OneLoginでSAML属性ステートメントにWorkatoロールを追加する
Saveをクリックします。
同様に、他のWorkato環境の値を指定します。
- 名前
workato_role
、値appuser.workato_role (Custom)
(DEV環境用) - 名前
workato_role_test
、値appuser.workato_role_test (Custom)
(TEST環境用)
Workatoで環境を使用する場合は、これらの手順を繰り返します。
必要なSAMLステートメントを追加した後、Workatoのカスタムフィールドは次のスクリーンショットのようになる場合があります。
WorkatoのためのSAMLカスタムフィールドの一覧
# Workatoアプリをユーザーに割り当てる
ここでは、アプリをユーザーに割り当て、workato_role
パラメータを更新する方法を示します。
OneLoginでUsersに移動します。
Workatoに割り当てるユーザーを選択します。
ここでは、ユーザーGregoryにWorkatoアプリを割り当てます。
Edit SAML Custom Connector ... インターフェースで、各環境ベースのロールの権限レベルを指定します。
既にオンになっていない場合は、Allow the user to sign inオプションを選択します。
ユーザーのロール値を指定します。システム定義のロールまたはカスタム定義のロールのいずれかを入力できます。
NOTE
ロール名は大文字と小文字を区別します。
他の環境属性の値を編集します。
ここでは、ユーザーGregoryのPROD環境でのアナリスト権限と、DEV環境とTEST環境での管理者権限を指定しています。
Workatoアプリをユーザーに割り当て、権限を指定する
推奨事項
Workatoでは、ユーザーがSAML SSOを介してログインした後、アイデンティティプロバイダのユーザーまたはグループレベルでworkato_role
属性の値を更新することをお勧めします。ロール同期を有効にした後、WorkatoはユーザーがSAML SSOを介してログインした際にWorkato UIで行ったすべての手動ロール変更を上書きします。
Saveをクリックします。
# Workatoアプリをグループに割り当てる
まず、新しいグループを作成し、ユーザーを割り当てます。hatグループのOneLogin内での設定方法
その後、新しいルールを作成し、グループのメンバーシップに基づいてworkato_role
の値を設定する必要があります。
Users >> Groupsに移動し、New Groupをクリックして新しいグループを作成します。
ここでは、Workato DevOps Adminsというグループを作成します。
Users >> Select User >> Authenticationに移動し、Add membership to groupsをクリックします。
個々のユーザーを新しいグループであるWorkato DevOps Adminsのメンバーとして追加します。
Applications >> Workato >> Rulesに移動し、Create new ruleをクリックします。
New mapping インターフェースで、グループのメンバーシップに基づいてルールのマッピングを指定します。ここでは、Workato_DevOps_Adminsグループのメンバーに、さまざまなWorkato環境でDevOps_Adminの役割を割り当てるために、役割の値をマクロDevOps_Adminにマッピングします。
正しいグループを選択してください。
ここでは、Conditionsの下で、Group is Workato_DevOps_Adminを設定してステートメントを構築します。
Actionsの下で、事前に定義された役割のいずれかを選択します。
各役割に対して、Map from OneLoginオプションを選択します。
Set workatorole toの下で、Macroを選択します。
マッピングを完了するために作成したグループを使用してください。ここでは、DevOps_Adminを使用します。
グループをWorkatoアプリに割り当て、権限を指定する
すべてのWorkato環境に対してマッピングを完了してください:
- DEV: workato_role
- PROD: workato_role_prod
- TEST: workato_role_test
- 使用する追加のカスタム環境はWorkato
# グループレベルでのユーザー管理の変更
以前に設定したユーザーをグループ管理ルールの下に含めるために、次の手順を完了してください:
OneLoginでUsersに移動します。
Workatoに割り当てるユーザーを選択します。
ここでは、ユーザーGregoryのWorkatoアプリの割り当てをグループレベルで管理するように変更します。
**Edit SAML Custom Connector ...**インターフェースで、必要なWorkatoの役割属性を変更します。
ここでは、フィールドworkato_role_testとworkato_role(それぞれTESTおよびDEV環境用)をグループDevOps_Adminに変更しています。
Workatoフィールドの定義、SAMLアサーション
Reset loginをクリックします。この操作により、新しいルールが適用されることで、ユーザーのログインがアプリケーションレベルで再マッピングされます。これは、以前に個別に設定されたユーザーに対してのみ行う必要があります。
Saveをクリックします。
# 役割の変更の検証
組織がWorkatoのActivity Audit Logsアドオンを使用している場合、ユーザーがSAML SSOを介してログインした際に自動的にロールが同期されていることを検証できます。
SAMLアサーションによってトリガーされた役割の変更は、Source属性の下に表示され、値がsaml_auto_sync
となります。
Workato UIで行われた手動の役割の変更は、値がuser
となります。
また、New RoleとPrevious Roleの値も確認できます。
SAMLロールの同期のアクティビティ監査ログ
Last updated: 2024/2/13 16:59:53