System for Cross-domain Identity Management(SCIM 2.0)
Workatoは、ユーザーID情報を管理するために、IETF SCIM仕様に従ってSystem for Cross-domain Identity Management(SCIM 2.0)をサポートしています。 SCIM 2.0プロトコルの実装により、組織のIDプロバイダーとWorkatoの間でユーザーIDデータの交換を安全に自動化できます。 これにより、OktaやOneLoginなどのIDプロバイダーから、エンタープライズレベルのアカウントの自動プロビジョニングとプロビジョニング解除、およびユーザープロファイル管理が可能になります。
機能の提供状況
SCIM 2.0は特定の料金プランに含まれています。 詳細については、ご利用の料金プランおよび契約を参照してください。
概要
- Workatoは、Okta、OneLogin、Microsoft Entra IDなどのIDプロバイダーとのユーザーIDデータ交換を自動化するSCIM 2.0をサポートしています。
- SCIM 2.0では、IDプロバイダーを通じて、ユーザーの自動プロビジョニング、プロビジョニング解除、およびユーザー属性の更新が可能です。
- SCIM 2.0を使用するには、WorkatoでSCIM 2.0を有効化し、IDプロバイダーでSAML SSOを有効化する必要があります。
- SCIMの使用には、WorkatoとIDプロバイダーでの設定、ユーザー管理、不要になった場合のSCIMの無効化が含まれます。
SCIM 2.0は、組織に次のメリットを提供します。
- IDプロバイダーを通じてWorkatoでユーザーを自動的にプロビジョニング
workato_roleなどのカスタムユーザー属性をIDプロバイダーから直接更新- IDプロバイダーを通じてWorkatoからユーザーを自動的にプロビジョニング解除
workato_user_groups属性を通じてユーザーをコラボレーターグループに割り当て
INFO
SCIMサポートはWorkatoの追加機能です。
前提条件
- Workatoでの有効化: SCIM 2.0は、Data Monitoring/Advanced Security & Compliance機能の一部です。 組織でSCIM 2.0を使用する方法の詳細については、アカウントエグゼクティブにお問い合わせください。
- IDプロバイダーでの有効化: IDプロバイダーでSAML SSOを有効化
SCIMの使用
SCIMを使用するには、次の一般的な手順に従います。
Okta IDプロバイダーの場合:
OneLogin IDプロバイダーの場合:
Microsoft Entra ID IDプロバイダーの場合:
FAQ
- SCIMが有効な状態でWorkato上のロールを手動で更新するとどうなりますか
- SCIMが有効な状態でコラボレーターをWorkatoから手動で削除するとどうなりますか
- SCIMプロビジョニングをオフにするにはどうすればよいですか
- WorkatoではSCIMによるプロビジョニング解除はどのように処理されますか
- プロファイル名が予期せず長くなるのはなぜですか
SCIMが有効な状態でWorkato上のロールを手動で更新するとどうなりますか
一時的なロール変更は、Workatoに保存されているユーザープロファイルデータで上書きされます。同期は次のいずれのシナリオでも発生する可能性があります。
- ユーザーがSAML SSOを通じてログイン: 'saml_auto_sync'によってロールが変更されます
- ユーザーのプロファイルがIdPから更新される: 'scim_auto_sync'によってロールが変更されます
SCIMが有効な状態でコラボレーターをWorkatoから手動で削除するとどうなりますか
SCIMコネクションが有効で、組織のIDプロバイダーでユーザーがプロビジョニング解除されていない場合、次回ログイン時にユーザーはワークスペースに再プロビジョニングされます。
SCIMプロビジョニングをオフにするにはどうすればよいですか
SCIMプロビジョニングをオフにするには、2つの方法があります。
- 推奨: IDプロバイダーで、プロビジョニング設定からSCIM設定を無効化します。 詳細情報については、各IDプロバイダーの手順を参照してください: Okta、OneLogin、およびMicrosoft Entra ID。
- Workatoで、SCIMトークン値を更新します。 これにより既存のプロビジョニングトークンが無効化され、それ以降のSCIM呼び出しは失敗します。 Workatoを参照してください。
WorkatoではSCIMによるプロビジョニング解除はどのように処理されますか
Workatoでは、IDプロバイダーでユーザーが非アクティブ化または一時停止された場合、またはWorkatoアプリへのアクセス権が削除された場合、同じ方法でプロビジョニング解除を処理します。 すべてのシナリオでWorkato上のプロビジョニング解除イベントがトリガーされ、ユーザーはWorkatoワークスペースにアクセスできなくなります。 そのユーザーのすべてのレシピとコネクションには、他のコラボレーターが引き続きアクセスできます。
プロファイル名が予期せず長くなるのはなぜですか
ユーザーがSCIMまたはJust-in-Time(JIT)プロビジョニングを通じてWorkatoでプロビジョニングされると、IDプロバイダーから提供されたuserName値を使用してアカウントが作成されます。 その後、Workatoは追加のID属性を使用してプロファイル名を割り当てます。
プロビジョニング中に特定の属性が欠落している場合、WorkatoはフォールバックとしてdisplayNameまたはuserNameを使用することがあります。 これらのフィールドには、職位や部署などの追加コンテキストが含まれる場合があり、これによりプロファイル名が異常に長くなることがあります。
SCIMの長いプロファイル名
これが重要な理由
- 長いプロファイル名は、名前の長さに制限を適用するWorkato Academyなどの機能にアクセスする際に問題を引き起こす可能性があります。
- 初回プロビジョニング後は、SCIMマッピングが変更されても、プロファイル名は自動的に更新されません。
解決方法
- Workatoのプロファイル設定で、プロファイル名を手動で更新します。
- IDプロバイダーがSCIMプロビジョニング中に名前属性をどのように送信しているかを確認します。
displayNameのような広範なフィールドを使用すると、名前が長くなり、将来的に問題が発生する可能性があります。 - 必要に応じて、ユーザーのプロビジョニング時により簡潔な値を送信するように属性マッピングを調整します。
Last updated: