Microsoft Entra IDでSCIMを設定する
Workatoは、Microsoft Entra ID IDプロバイダーでSystem for Cross-domain Identity Management(SCIM 2.0)プロトコルをサポートしています。
AZURE ADの新しい名称
MicrosoftはAzure Active Directoryの名称をMicrosoft Entra IDに変更しました。 移行期間中は、Azure Portalでどちらの名称も表示される場合があります。
Microsoft Entra ID用にSCIMを設定するには、次の手順を実行します。
- 前提条件
- ステップ1: カスタム拡張属性を設定する
- ステップ2: Microsoft Entra IDで自動プロビジョニングを設定する
- ステップ3: Microsoft Entra IDとWorkato間の属性マッピングを設定する
- ステップ4: ユーザーをプロビジョニングする
ハイブリッドモデル
Workatoの新しい権限モデルでは、ハイブリッドアプローチを使用します。
- SCIMはユーザーアカウントをプロビジョニングおよびプロビジョニング解除し、userName、email、activeなどのコアプロファイル属性を同期します。
- SAMLは、ログイン時にEnvironmentロールとコラボレーターグループメンバーシップを動的に割り当てます。
Microsoft Entra IDはSCIM経由のロール値用の拡張属性をサポートしていますが、Workatoでは、SAML属性マッピングとグループ要求を通じてロールおよびグループの割り当てを管理することを推奨しています。
前提条件
Workato内:
- ワークスペース管理者である必要があります。
- 組織には、Data Monitoring/Advanced Security & Compliance機能が必要です。
- アイデンティティプロバイダーでSAML SSOが正常に設定されている必要があります。
- すでにWorkatoでSCIMを設定している必要があります。
Microsoft Entra ID内:
- Microsoft Graph APIにアクセスできる必要があります。
- 十分な権限でMicrosoft Entra IDにアクセスできる必要があります。
ステップ1: カスタム拡張属性を設定する
デフォルトでは、WorkatoロールとコラボレーターグループはSCIM経由でプロビジョニングされません。 これらはSAML属性マッピングとグループ要求を通じて動的に割り当てられます。
Microsoft Entra IDユーザースキーマを拡張して、ユーザーのWorkatoロールを指定するカスタム属性を含めることができます。
推奨
Workatoでは、ロールの割り当てにSAML属性マッピングとグループ要求を使用することを推奨しています。 SCIMはユーザーライフサイクル管理に重点を置く必要があります。
拡張属性を作成する予定がある場合は、次の手順を完了します。
Microsoft Graph Explorerに移動します。
Microsoft Graphクエリを実行して、Azureテナントのアプリケーションを一覧表示します。
- HTTP動詞ドロップダウンメニューからGETを選択します。
- クエリボックスに
https://graph.microsoft.com/v1.0/applicationsを入力します。 - クエリの実行を選択します。
Microsoft Graph Explorerを使用してアプリケーションを一覧表示するリクエストの例
出力でアプリケーションのidフィールドを見つけます。
idフィールドを見つける
IDフィールド
idフィールドはappIdフィールドとは異なります。 appIdは使用しないでください。
workato_roleという拡張属性を作成します。 後のステップで、この属性を使用してワークスペース内の各ユーザーのロールを割り当てます。 Environments機能が有効なワークスペースでは、workato_roleはデフォルトのDEV Environmentにロールを割り当てるために使用されることに注意してください。
HTTP動詞ドロップダウンメニューからPOSTを選択します。
クエリボックスに次のURLを入力し、
{id}をアプリケーションのIDに置き換えます。https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties次のJSONを要求本文フィールドに貼り付けます。
json{ "name": "workato_role", "dataType": "string", "targetObjects": [ "User" ] }クエリの実行を選択します。
Microsoft Graph Explorerで拡張属性を作成するリクエストの例
出力でnameフィールドを見つけ、その値をコピーします。 次のような形式になります。
extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role
出力でnameフィールドを見つける
組織がWorkatoのEnvironments機能を使用している場合: 以下のリクエスト本文の例を使用して、前の2つの手順を繰り返します。 PROD Environment用の拡張属性を作成するリクエストを1つ送信し、TEST Environment用にもう1つのリクエストを送信します。
{
"name": "workato_role_prod",
"dataType": "string",
"targetObjects": [
"User"
]
}{
"name": "workato_role_test",
"dataType": "string",
"targetObjects": [
"User"
]
}各レスポンスでnameフィールドの値を必ずコピーします。
WorkatoにプロビジョニングするユーザーのIDを見つけます。
- HTTP動詞ドロップダウンメニューからGETを選択します。
- クエリボックスに
https://graph.microsoft.com/v1.0/usersを入力します。 - クエリの実行を選択します。
- 出力でユーザーを探し、その
id属性の値をコピーします。
拡張属性と目的のロールをユーザーに割り当てます。
HTTP動詞ドロップダウンメニューからPATCHを選択します。
クエリボックスに次のURLを入力し、
{id}をユーザーのIDに置き換えます。https://graph.microsoft.com/v1.0/users/{id}次のJSONに基づいてリクエスト本文を作成し、適切な値に置き換えて、要求本文フィールドに貼り付けます。
json{ "{extension attribute name}": "{system role or custom role to assign the user}" }ENVIRONMENTSなしのリクエスト本文の例
次の例では、Environments機能が有効になっていないワークスペースで、ユーザーにAdminロールを割り当てます:
json{ "extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role": "Admin" }ENVIRONMENTSありのリクエスト本文の例
次の例では、Environmentごとに異なるシステムロールをユーザーに割り当てます:
json{ "extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role": "Admin", "extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role_prod": "Operator", "extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role_test": "Analyst" }クエリの実行を選択します。
リクエストが成功すると、レスポンスは単に{}になります。
ロール割り当ての成功
拡張属性がユーザーに割り当てられていることを確認します。
HTTP動詞ドロップダウンメニューからGETを選択します。
検索ボックスに次のURLを入力し、
{id}をユーザーのIDに、{extension attribute name}を確認する拡張属性名に置き換えます。https://graph.microsoft.com/v1.0/users/{id}?$select={extension attribute name}例:
https://graph.microsoft.com/v1.0/users/4a5b1db8-415b-4207-ab8d-1a2b3c4d5e6f?$select=extension_ae58e98b4abd4da58d00abcd1234abcd_workato_roleクエリの実行を選択します。
レスポンスをチェックして、ユーザーに目的のロールを持つ拡張属性があることを確認します。 次のような出力が表示されます。
json{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role)/$entity", "extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role": "Admin" }
ステップ2: Microsoft Entra IDで自動プロビジョニングを設定する
Microsoft Entra IDユーザースキーマを拡張した後、Microsoft Entra IDで自動プロビジョニングを設定する必要があります。
Microsoft Entra IDで作成したWorkato SAMLアプリケーションに移動します。
SAML SSOを設定する
WorkatoアプリケーションのSAML SSOをまだ設定していない場合は、Workatoワークスペースにアクセスするために、Microsoft Entra IDで非ギャラリーSAMLアプリケーションを設定します。
管理 > プロビジョニングに移動します。
プロビジョニングモードドロップダウンメニューから自動を選択します。
管理者資格情報セクションで、WorkatoでSCIMを設定したときに生成したベースURLとSCIMトークンを使用して、テナントURLフィールドとシークレットトークンフィールドを入力します。
自動プロビジョニングを設定する
接続のテストを選択します。 テストが成功すると、Azureにメッセージ"The supplied credentials are authorized to enable provisioning"が表示されます。
接続のテストの成功
グループプロビジョニングを無効にします。 Microsoft Entra IDではこのオプションがデフォルトで有効になりますが、Workato SCIMはユーザーレベルのプロビジョニングのみをサポートしています。
グループプロビジョニングを無効にする
保存を選択します。
ステップ3: Microsoft Entra IDとWorkato間の属性マッピングを設定する
Microsoft Entra IDのどの属性をSCIM経由でWorkatoに渡すかを設定する必要があります。
必須マッピング
最低限、ライフサイクル管理に必要なコア属性のみをマッピングします。 EnvironmentロールまたはコラボレーターグループをSCIM経由でマッピングしないでください。 これらはログイン時にSAMLによって管理され、グループ要求の動的評価を確実にします。
組織でSCIM経由のロール割り当てが必要な場合は、拡張属性(例: workato_role_testまたはworkato_role_prod)をマッピングできます。 ただし、Workatoでは、動的評価を確実にするために、ロールとグループの割り当てにSAMLを使用することを推奨しています。
Microsoft Entra IDのWorkato SAMLアプリケーションに移動します。
マッピングセクションを展開し、Microsoft Entra IDユーザーのプロビジョニングを選択します。
Microsoft Entra IDユーザーのプロビジョニング設定
有効がはいに設定されていることを確認します。
対象オブジェクトのアクションセクションで、作成と更新のチェックボックスをオンにします。
ページの下部で、詳細オプションの表示チェックボックスを選択します。
customappssoの属性リストを編集を選択します。
customappssoユーザー属性リストの下部で、名前フィールドに次の属性名を追加し、種類を文字列に設定します。
urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole:workato_role組織がWorkatoのEnvironments機能を使用している場合: 前の手順を繰り返して、TESTおよびPROD Environment用の拡張属性を追加し、次の各属性名を使用して種類を文字列に設定します。
urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole:workato_role_testurn:ietf:params:scim:schemas:workato:1.0:WorkatoRole:workato_role_prod
Environments機能が有効な組織の拡張属性
保存を選択し、次にはいを選択して変更することを確認します。 属性マッピングページに戻ります。
新しいマッピングの追加を選択します。
マッピングの種類フィールドで、直接を選択します。
ソース属性フィールドで、次の例に示すように、以前に設定したworkato_role拡張属性を選択します。
workato_role (extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role)ターゲット属性フィールドで、次の例に示すように、設定した対応する属性を選択します。
urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole:workato_roleまだ選択されていない場合は、このマッピングを適用ドロップダウンメニューから常にを選択します。
workato_roleの属性マッピングを編集
OKを選択します。
組織がWorkatoのEnvironments機能を使用している場合: 新しいマッピングの追加を選択し、前の手順を繰り返してTESTおよびPROD Environment用の拡張属性をマッピングします。
TEST ENVIRONMENT用の拡張属性をマッピングする
ソース属性の例:
workato_role (extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role_test)ターゲット属性の例:
urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole:workato_role_testPROD ENVIRONMENT用の拡張属性をマッピングする
ソース属性の例:
workato_role (extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role_prod)ターゲット属性の例:
urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole:workato_role_prod属性マッピングページは、次の画像のようになります。
Environments機能が有効なワークスペースのマッピング済み拡張属性
保存を選択し、次にはいを選択して変更を保存することを確認します。
ステップ4: ユーザーをプロビジョニングする
自動プロビジョニングを設定した後、Microsoft Entra IDのユーザーとグループをWorkatoアプリケーションに割り当ててから、プロビジョニングできます。
Microsoft Entra IDでWorkato SAMLアプリケーションの概要に移動します。
ユーザーとグループを選択します。
ユーザーまたはグループの追加を選択します。
選択されていませんを選択し、Workatoにプロビジョニングするユーザーまたはグループを検索します。
ユーザーまたはグループを選択し、選択をクリックします。
割り当てを選択します。
サイドバーでプロビジョニングを選択します。
ユーザーを自動的にプロビジョニングするか、オンデマンドでプロビジョニングするかを選択します。
ユーザーを自動的にプロビジョニングする
40分に1回ユーザーを自動的にプロビジョニングするサイクルを実行するには、プロビジョニングの開始を選択します。
サイクルの合間にプロビジョニングリクエストをすぐにトリガーするには、プロビジョニングの停止を選択してからプロビジョニングの開始を選択します。
ユーザーをオンデマンドでプロビジョニングする
ユーザーをオンデマンドでプロビジョニングするには:
オンデマンドでプロビジョニングを選択します。
プロビジョニングするユーザーを検索し、その名前を選択します。
プロビジョニングを選択します。
プロビジョニングが成功すると、次の確認が表示されます。
ユーザープロビジョニングの成功
Workatoは選択したユーザーにメール招待を送信します。 ユーザーに、メール内のリンクをクリックしてメールアドレスを確認するよう依頼します。
ワークスペースに参加するためのメール招待
その後、コラボレーターは設定されたロールで、割り当てられたワークスペースにサインインできます。
トラブルシューティング
招待メールをクリックすると組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合は、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。
必要に応じて、Workatoの活動監査ログからユーザーが追加されたことを確認できます。
ユーザーが招待を承諾したことを示す活動監査ログ
ユーザーの更新
Microsoft Entra IDからユーザーのWorkatoロールを更新するには、そのカスタム属性を更新する必要があります。
Microsoft Graph Explorerに移動します。
Microsoft Graphクエリを実行して、目的のユーザーのカスタム属性を更新します。
HTTP動詞ドロップダウンメニューからPATCHを選択します。
クエリボックスに次のURLを入力し、
{id}をユーザーのIDに置き換えます。https://graph.microsoft.com/v1.0/users/{id}次のJSONを要求本文フィールドに貼り付け、適切な値に置き換えます。
json{ "{extension attribute name}": "{system role or custom role to assign the user}" }たとえば、次のリクエスト本文は、Environments機能が有効なワークスペースのPROD Environmentで、ユーザーのロールを
NoAccessに更新します。json{ "extension_ae58e98b4abd4da58d00abcd1234abcd_workato_role_prod": "NoAccess" }クエリの実行を選択します。
リクエストが成功すると、レスポンスは単に{}になります。
Microsoft Graph Explorerを使用してユーザーの属性を更新
Microsoft Entra IDでオンデマンドのプロビジョニングサイクルを実行するか、次回のスケジュール済みサイクルを待ちます。
ユーザーのプロビジョニング解除
ユーザーをプロビジョニング解除する方法は2つあります。
どちらの場合でも、プロビジョニング解除されたユーザーはWorkatoワークスペースにアクセスできなくなります。 ただし、そのユーザーのレシピとコネクションはチームの他のメンバーが引き続き利用できます。
アクティブセッション中のプロビジョニング解除
アクティブなセッション中にユーザーがプロビジョニング解除された場合、次のアクションでワークスペースからロックアウトされます。 レシピやコネクションなどのデータは、ワークスペース内の他のユーザーが引き続きアクセスできます。
アプリ割り当ての削除
Microsoft Entra IDで、ユーザーに移動します。
非アクティブ化するユーザーを選択します。
アプリケーションセクションからWorkato SAMLアプリケーションを選択します。
削除を選択します。
ユーザーのアプリ割り当てを削除
ユーザーの削除(ソフト)
ソフト削除では、必要に応じてユーザーアカウントを復元できます。
Microsoft Entra IDで、ユーザーに移動します。
非アクティブ化するユーザーを選択します。
削除を選択します。
もう一度削除を選択します。
SCIMの無効化
Microsoft Entra ID内でSCIMを無効にするには:
Microsoft Entra IDでWorkatoアプリケーションに移動します。
プロビジョニングインターフェースで、プロビジョニング方法を自動から手動に変更します。
このアクションにより、SCIMコネクションが切断されます。 Microsoft Entra IDとWorkato間でユーザーデータを同期できません。
Workato内からSCIMを無効にすることもできます。 SCIMの無効化を参照してください。
Last updated: