OktaでSCIMを設定

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

Workatoは、Okta IDプロバイダーでSCIM 2.0プロトコルをサポートしています:

  • SCIMは、ユーザーライフサイクル管理(作成、更新、非アクティブ化)を処理します。
  • SAMLは、ロールおよびグループ割り当て(Environmentロールおよびコラボレーターグループ)を処理します。

サポートされている設定

Workatoの新しい権限モデルでは、2つの有効な設定がサポートされています:

  • ハイブリッド: SCIMはユーザーライフサイクル管理(作成、更新、非アクティブ化)を処理し、SAMLはログイン時にロールおよびグループ割り当てを動的に処理します。
  • SCIMのみのロールプロビジョニング: 一部の組織では、引き続きSCIMを通じてEnvironmentロールをプロビジョニングします。 これをサポートするには、workato_roleworkato_role_test、またはworkato_role_prodなどのEnvironmentロール属性を設定するときに、External Namespaceurn:ietf:params:scim:schemas:workato:1.0:WorkatoRoleを含めます。

前提条件

  • 組織には、Data Monitoring/Advanced Security & Compliance機能が必要です。
  • アイデンティティプロバイダーでSAML SSOが正常に設定されている必要があります。
  • すでにWorkatoでSCIMを設定している必要があります。

SCIMの設定

1

Okta adminダッシュボードにログインします。

2

OktaでWorkato SAMLアプリをすでに設定している場合は、Workato SAML Applicationを見つけて、そこに移動します。

OktaでWorkato SAMLアプリをまだ設定していない場合は、続行する前に新しいSAML 2.0アプリを作成します。

3

GeneralタブのApp Settingsで、Provisioningフィールドを見つけます。

4

Enable SCIM Provisioningを選択し、Saveします。

SCIMプロビジョニングの有効化

5

これで、Oktaに新しいProvisioningタブが表示されます。

6

SCIM Connectionインターフェイスで、次の項目を指定します:

SCIMコネクターベースURL
これは、WorkatoでSCIMを設定するときにコピーした、Workato SCIM APIエンドポイントのBase URLです。
この例では、https://workato.com/scim/v2を使用します。
ユーザーの一意識別子フィールド
これは、WorkatoとOktaの両方でユーザーを識別する方法です。
ここでは、OktaのuserNameにユーザーのメールアドレスが含まれるように設定します。
サポートされているプロビジョニングアクション
次のアクションを選択します:
  • 新規ユーザーとプロファイル更新のインポート
  • 新規ユーザーのプッシュ
  • プロファイル更新のプッシュ
認証モード
HTTP Headerを選択します。
承認
WorkatoでSCIMを設定するときにコピーしたSCIMトークンを貼り付けて、Bearerフィールドを設定します。

SCIM設定の詳細

7

Test Connector Configurationをクリックして、設定が正しいかどうかを確認します。

8

テストが正常に実行されると、OktaはコネクションのステータスとサポートされているSCIMプロビジョニングアクションを表示します。

OktaでのSCIM設定成功

SCIM属性マッピングの設定

SCIMコネクションの設定とテストが正常に完了した後、属性マッピングを設定できます。

属性マッピングを設定するには、次の手順を実行します:

1

Provisioning > To App > Attribute Mappingsに移動します。 OktaでのSCIMプロビジョニング設定OktaでのSCIMプロビジョニング設定

2

次の設定を使用します:

Workato属性Okta値適用対象
userNameSign On settingsで設定該当なし
givenNameuser.firstName作成および更新
familyNameuser.lastName作成および更新
emailuser.email作成および更新
displayNameuser.displayName作成および更新

このステップでは、カスタムSCIM属性を作成する必要はありません。 これらのマッピングは、プロビジョニング中にOktaがユーザープロファイル値をWorkatoに渡す方法を定義します。

ENVIRONMENTロールおよびグループ管理

Environmentロール属性(workato_roleworkato_role_testworkato_role_prod)をSCIMを通じてマッピングし、コラボレーターグループ(workato_user_groups)をSAMLを通じて管理することをお勧めします。

これにより、SCIMでユーザーをプロビジョニングおよびプロビジョニング解除しながら、SAML認証中にユーザーをグループに動的に割り当てることができます。

SCIM用のWorkatoロール属性の設定

WorkatoのOktaとのハイブリッド連携では、ユーザーライフサイクル管理にSCIMを使用し、ロールおよびグループ割り当てにSAMLを使用します。 ただし、一部の組織では、SCIMを通じてEnvironmentロール(workato_roleworkato_role_testworkato_role_prodなど)をプロビジョニングすることを選択します。 この設定は引き続きサポートされていますが、正しいExternal Namespace設定が必要です。

組織がSAMLではなくSCIMを通じてEnvironmentロールをプロビジョニングする場合は、この設定を使用します。 ロール割り当てにSAMLを使用している場合は、このセクションをスキップできます。

1

Okta Admin ConsoleでWorkato application > Provisioning > To Appタブに移動します。

2

OktaがWorkatoでユーザー属性を作成および更新できるように、次のSCIMアクションを有効にします:

  • ユーザーの作成
  • ユーザー属性の更新
  • ユーザーの非アクティブ化

To Appアクション

3

Directory > Profile Editor > Workato App User Profile > + Add Attributeに移動します。

組織に以前の設定から既存のworkato_roleworkato_role_test、またはworkato_role_prod属性がある場合は、新しい属性を作成する代わりにそれらを編集します。 OktaがSCIMを通じてこれらの属性を引き続き更新できるように、それぞれに必要なExternal Namespace設定が含まれていることを確認します。

4

SCIMを通じてプロビジョニングする予定の各Environmentロール属性に、次の値を設定します:

フィールド
データ型String
表示名workato_role(またはEnvironment固有の同等の属性、例: workato_role_testworkato_role_prod
変数名表示名と同じ
外部名表示名と同じ
外部名前空間urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole

これにより、OktaがこれらのEnvironmentロール属性をSCIMを通じて正しく渡すことができます。

5

Define enumerated list of valuesチェックボックスを選択し、Attribute membersの下にEnvironmentロール値を追加します:

表示名
Environment adminEnvironment admin
Environment managerEnvironment manager
MemberMember
NoAccessNoAccess

値では大文字と小文字が区別されます。

6

保存をクリックします。 設定は次の例のようになります:

設定完了

ユーザーのプロビジョニング

SAML SSO用にWorkatoアプリケーションにユーザーをすでに割り当てている場合は、プロビジョニングジョブをトリガーして、OktaとWorkato間で既存のユーザーを同期できます。 これにより、Workatoワークスペースに重複するアカウントを意図せず作成することを防げます。

SCIMを通じてプロビジョニングされたユーザーはWorkatoにすぐに存在しますが、SAMLを通じてログインするまで、ロールまたはコラボレーターグループメンバーシップは付与されません。

1

Assignmentsインターフェイスで、OktaはSCIMを設定する前から存在していたユーザーを赤い感嘆符アイコンで示します。

既存のユーザーはSCIMによってプロビジョニングされない

2

ユーザーを同期するには、Provision Userをクリックします。 Oktaは、ユーザーをWorkatoにプロビジョニングすることを示す通知を表示します。

3

OKをクリックします。

プロビジョニングの確認

4

Groups > Application > Assign Workatoに移動します。

グループの設定

5

新規ユーザーの場合、WorkatoアプリケーションをOktaの個人またはグループに割り当てます。 SCIMはWorkatoでアカウントをプロビジョニングし、Environmentロールとコラボレーターグループメンバーシップはログイン時にSAMLを通じて動的に評価されます。

6

Workatoは、プロビジョニングされたユーザーに招待メールを送信します。 メール内のリンクをクリックしてメールアドレスを確認するように指示します。

ワークスペースに参加するためのメール招待 ワークスペースに参加するためのメール招待

確認後、ユーザーはSAMLを通じて割り当てられたEnvironmentロールおよびコラボレーターグループでサインインできます。

トラブルシューティング

招待メールをクリックすると組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合は、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。

7

ユーザーの追加を確認するには、Workatoの活動監査ログを確認できます。

ユーザーが招待を承諾したことを示す活動監査ログ ユーザーが招待を承諾したことを示す活動監査ログ

ユーザー割り当てをグループ割り当てに変換

以前にWorkatoアプリケーションにユーザーを直接割り当てていた場合は、グループベースの割り当てに変換できます。 グループ割り当てにより、ログイン時にSAMLを通じてEnvironmentロールとコラボレーターグループが動的に評価されます。

1

Applications > Workato > Assignmentsに移動し、Workatoアプリケーションに移動します。

2

Convert Assignmentsを選択します。

割り当てをユーザーからグループに変換

3

Select assignments to convertインターフェイスで、ユーザー管理からグループ管理に変換する個々のユーザーを選択します。

グループ管理に変換するユーザーを選択

4

Convert selectedをクリックします。

5

変換が完了すると、Oktaは変換成功メッセージを表示します。 これで、ユーザーはグループ割り当てを通じて管理されます。 Environmentロールおよびコラボレーターグループメンバーシップは、ログイン時にSAMLを通じて動的に適用されます。

ユーザーの更新

SCIMは、ユーザープロファイル更新、ステータス変更、非アクティブ化などのライフサイクル変更をプロビジョニングします。 EnvironmentロールおよびコラボレーターグループメンバーシップはSAMLを通じて管理され、ユーザーが次回サインインしたときに有効になります。

1

メール、表示名、ステータスなどのユーザー属性を更新し、Saveをクリックします。 このアクションにより、SCIMを通じたWorkatoへのユーザー更新呼び出しがトリガーされ、Workatoのユーザーがすぐに更新されます。

2

保存をクリックします。 このアクションにより、SCIMを通じたWorkatoへのユーザー更新呼び出しがトリガーされます。

3

SCIMを通じてプロビジョニングした後、Workatoで新しいメンバーを確認するには、コラボレーターチームリストを確認できます。

アクティビティ監査ログダッシュボードを調べることもできます。

SCIMを通じて行われた変更はscim_auto_syncとして示されます。

ユーザーのプロビジョニング解除

Okta adminダッシュボードでユーザーを直接プロビジョニング解除できます。

Oktaでは、プロビジョニング解除イベントは次のいずれかのアクションです:

  • ユーザーの一時停止
  • ユーザーの非アクティブ化
  • アプリアクセスの削除

Workatoでは、次のいずれかのシナリオでユーザーがWorkatoワークスペースからプロビジョニング解除されます:

  • ユーザーがOktaで一時停止されている
  • ユーザーがOktaで非アクティブ化されている
  • Workatoアプリがユーザーから削除されている

これらのいずれの状況でも、ユーザーはWorkatoワークスペースにアクセスできません。 ユーザーのレシピとコネクションは、チームの他のメンバーが引き続き使用できます。

ユーザーは後でOktaから再プロビジョニングされる場合があり、以前の権限を保持します。

SCIMの無効化

SCIMを無効にするには、Oktaで次の手順を実行します。 または、WorkatoでSCIMを無効にすることもできます。:

1

Oktaで、Workatoアプリケーションを見つけます。

2

Generalに移動します。

3

Enable SCIM provisioningオプションの選択を解除してSCIMを無効にし、アクションをConfirmします。

このアクションにより、SCIMコネクションが切断されます。 ユーザーデータをOktaとWorkato間で同期できません。

Last updated: