OktaでSCIMを設定
Workatoは、Okta IDプロバイダーでSCIM 2.0プロトコルをサポートしています:
- SCIMは、ユーザーライフサイクル管理(作成、更新、非アクティブ化)を処理します。
- SAMLは、ロールおよびグループ割り当て(Environmentロールおよびコラボレーターグループ)を処理します。
サポートされている設定
Workatoの新しい権限モデルでは、2つの有効な設定がサポートされています:
- ハイブリッド: SCIMはユーザーライフサイクル管理(作成、更新、非アクティブ化)を処理し、SAMLはログイン時にロールおよびグループ割り当てを動的に処理します。
- SCIMのみのロールプロビジョニング: 一部の組織では、引き続きSCIMを通じてEnvironmentロールをプロビジョニングします。 これをサポートするには、
workato_role、workato_role_test、またはworkato_role_prodなどのEnvironmentロール属性を設定するときに、External Namespace値urn:ietf:params:scim:schemas:workato:1.0:WorkatoRoleを含めます。
前提条件
- 組織には、Data Monitoring/Advanced Security & Compliance機能が必要です。
- アイデンティティプロバイダーでSAML SSOが正常に設定されている必要があります。
- すでにWorkatoでSCIMを設定している必要があります。
SCIMの設定
Okta adminダッシュボードにログインします。
OktaでWorkato SAMLアプリをすでに設定している場合は、Workato SAML Applicationを見つけて、そこに移動します。
OktaでWorkato SAMLアプリをまだ設定していない場合は、続行する前に新しいSAML 2.0アプリを作成します。
GeneralタブのApp Settingsで、Provisioningフィールドを見つけます。
Enable SCIM Provisioningを選択し、Saveします。
SCIMプロビジョニングの有効化
これで、Oktaに新しいProvisioningタブが表示されます。
SCIM Connectionインターフェイスで、次の項目を指定します:
- SCIMコネクターベースURL
- これは、WorkatoでSCIMを設定するときにコピーした、Workato SCIM APIエンドポイントのBase URLです。
- この例では、
https://workato.com/scim/v2を使用します。 - ユーザーの一意識別子フィールド
- これは、WorkatoとOktaの両方でユーザーを識別する方法です。
- ここでは、Oktaの
userNameにユーザーのメールアドレスが含まれるように設定します。 - サポートされているプロビジョニングアクション
- 次のアクションを選択します:
- 新規ユーザーとプロファイル更新のインポート
- 新規ユーザーのプッシュ
- プロファイル更新のプッシュ
- 認証モード
- HTTP Headerを選択します。
- 承認
- WorkatoでSCIMを設定するときにコピーしたSCIMトークンを貼り付けて、Bearerフィールドを設定します。
SCIM設定の詳細
Test Connector Configurationをクリックして、設定が正しいかどうかを確認します。
テストが正常に実行されると、OktaはコネクションのステータスとサポートされているSCIMプロビジョニングアクションを表示します。
OktaでのSCIM設定成功
SCIM属性マッピングの設定
SCIMコネクションの設定とテストが正常に完了した後、属性マッピングを設定できます。
属性マッピングを設定するには、次の手順を実行します:
Provisioning > To App > Attribute Mappingsに移動します。
OktaでのSCIMプロビジョニング設定
次の設定を使用します:
| Workato属性 | Okta値 | 適用対象 |
|---|---|---|
userName | Sign On settingsで設定 | 該当なし |
givenName | user.firstName | 作成および更新 |
familyName | user.lastName | 作成および更新 |
email | user.email | 作成および更新 |
displayName | user.displayName | 作成および更新 |
このステップでは、カスタムSCIM属性を作成する必要はありません。 これらのマッピングは、プロビジョニング中にOktaがユーザープロファイル値をWorkatoに渡す方法を定義します。
ENVIRONMENTロールおよびグループ管理
Environmentロール属性(workato_role、workato_role_test、workato_role_prod)をSCIMを通じてマッピングし、コラボレーターグループ(workato_user_groups)をSAMLを通じて管理することをお勧めします。
これにより、SCIMでユーザーをプロビジョニングおよびプロビジョニング解除しながら、SAML認証中にユーザーをグループに動的に割り当てることができます。
SCIM用のWorkatoロール属性の設定
WorkatoのOktaとのハイブリッド連携では、ユーザーライフサイクル管理にSCIMを使用し、ロールおよびグループ割り当てにSAMLを使用します。 ただし、一部の組織では、SCIMを通じてEnvironmentロール(workato_role、workato_role_test、workato_role_prodなど)をプロビジョニングすることを選択します。 この設定は引き続きサポートされていますが、正しいExternal Namespace設定が必要です。
組織がSAMLではなくSCIMを通じてEnvironmentロールをプロビジョニングする場合は、この設定を使用します。 ロール割り当てにSAMLを使用している場合は、このセクションをスキップできます。
Okta Admin ConsoleでWorkato application > Provisioning > To Appタブに移動します。
OktaがWorkatoでユーザー属性を作成および更新できるように、次のSCIMアクションを有効にします:
- ユーザーの作成
- ユーザー属性の更新
- ユーザーの非アクティブ化
To Appアクション
Directory > Profile Editor > Workato App User Profile > + Add Attributeに移動します。
組織に以前の設定から既存のworkato_role、workato_role_test、またはworkato_role_prod属性がある場合は、新しい属性を作成する代わりにそれらを編集します。 OktaがSCIMを通じてこれらの属性を引き続き更新できるように、それぞれに必要なExternal Namespace設定が含まれていることを確認します。
SCIMを通じてプロビジョニングする予定の各Environmentロール属性に、次の値を設定します:
| フィールド | 値 |
|---|---|
| データ型 | String |
| 表示名 | workato_role(またはEnvironment固有の同等の属性、例: workato_role_test、workato_role_prod) |
| 変数名 | 表示名と同じ |
| 外部名 | 表示名と同じ |
| 外部名前空間 | urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole |
これにより、OktaがこれらのEnvironmentロール属性をSCIMを通じて正しく渡すことができます。
Define enumerated list of valuesチェックボックスを選択し、Attribute membersの下にEnvironmentロール値を追加します:
| 表示名 | 値 |
|---|---|
| Environment admin | Environment admin |
| Environment manager | Environment manager |
| Member | Member |
| NoAccess | NoAccess |
値では大文字と小文字が区別されます。
保存をクリックします。 設定は次の例のようになります:
設定完了
ユーザーのプロビジョニング
SAML SSO用にWorkatoアプリケーションにユーザーをすでに割り当てている場合は、プロビジョニングジョブをトリガーして、OktaとWorkato間で既存のユーザーを同期できます。 これにより、Workatoワークスペースに重複するアカウントを意図せず作成することを防げます。
SCIMを通じてプロビジョニングされたユーザーはWorkatoにすぐに存在しますが、SAMLを通じてログインするまで、ロールまたはコラボレーターグループメンバーシップは付与されません。
Assignmentsインターフェイスで、OktaはSCIMを設定する前から存在していたユーザーを赤い感嘆符アイコンで示します。
既存のユーザーはSCIMによってプロビジョニングされない
ユーザーを同期するには、Provision Userをクリックします。 Oktaは、ユーザーをWorkatoにプロビジョニングすることを示す通知を表示します。
OKをクリックします。
プロビジョニングの確認
Groups > Application > Assign Workatoに移動します。
グループの設定
新規ユーザーの場合、WorkatoアプリケーションをOktaの個人またはグループに割り当てます。 SCIMはWorkatoでアカウントをプロビジョニングし、Environmentロールとコラボレーターグループメンバーシップはログイン時にSAMLを通じて動的に評価されます。
Workatoは、プロビジョニングされたユーザーに招待メールを送信します。 メール内のリンクをクリックしてメールアドレスを確認するように指示します。
ワークスペースに参加するためのメール招待
確認後、ユーザーはSAMLを通じて割り当てられたEnvironmentロールおよびコラボレーターグループでサインインできます。
トラブルシューティング
招待メールをクリックすると組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合は、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。
ユーザーの追加を確認するには、Workatoの活動監査ログを確認できます。
ユーザーが招待を承諾したことを示す活動監査ログ
ユーザー割り当てをグループ割り当てに変換
以前にWorkatoアプリケーションにユーザーを直接割り当てていた場合は、グループベースの割り当てに変換できます。 グループ割り当てにより、ログイン時にSAMLを通じてEnvironmentロールとコラボレーターグループが動的に評価されます。
Applications > Workato > Assignmentsに移動し、Workatoアプリケーションに移動します。
Convert Assignmentsを選択します。
割り当てをユーザーからグループに変換
Select assignments to convertインターフェイスで、ユーザー管理からグループ管理に変換する個々のユーザーを選択します。
グループ管理に変換するユーザーを選択
Convert selectedをクリックします。
変換が完了すると、Oktaは変換成功メッセージを表示します。 これで、ユーザーはグループ割り当てを通じて管理されます。 Environmentロールおよびコラボレーターグループメンバーシップは、ログイン時にSAMLを通じて動的に適用されます。
ユーザーの更新
SCIMは、ユーザープロファイル更新、ステータス変更、非アクティブ化などのライフサイクル変更をプロビジョニングします。 EnvironmentロールおよびコラボレーターグループメンバーシップはSAMLを通じて管理され、ユーザーが次回サインインしたときに有効になります。
メール、表示名、ステータスなどのユーザー属性を更新し、Saveをクリックします。 このアクションにより、SCIMを通じたWorkatoへのユーザー更新呼び出しがトリガーされ、Workatoのユーザーがすぐに更新されます。
保存をクリックします。 このアクションにより、SCIMを通じたWorkatoへのユーザー更新呼び出しがトリガーされます。
SCIMを通じてプロビジョニングした後、Workatoで新しいメンバーを確認するには、コラボレーターチームリストを確認できます。
アクティビティ監査ログダッシュボードを調べることもできます。
SCIMを通じて行われた変更はscim_auto_syncとして示されます。
ユーザーのプロビジョニング解除
Okta adminダッシュボードでユーザーを直接プロビジョニング解除できます。
Oktaでは、プロビジョニング解除イベントは次のいずれかのアクションです:
- ユーザーの一時停止
- ユーザーの非アクティブ化
- アプリアクセスの削除
Workatoでは、次のいずれかのシナリオでユーザーがWorkatoワークスペースからプロビジョニング解除されます:
- ユーザーがOktaで一時停止されている
- ユーザーがOktaで非アクティブ化されている
- Workatoアプリがユーザーから削除されている
これらのいずれの状況でも、ユーザーはWorkatoワークスペースにアクセスできません。 ユーザーのレシピとコネクションは、チームの他のメンバーが引き続き使用できます。
ユーザーは後でOktaから再プロビジョニングされる場合があり、以前の権限を保持します。
SCIMの無効化
SCIMを無効にするには、Oktaで次の手順を実行します。 または、WorkatoでSCIMを無効にすることもできます。:
Oktaで、Workatoアプリケーションを見つけます。
Generalに移動します。
Enable SCIM provisioningオプションの選択を解除してSCIMを無効にし、アクションをConfirmします。
このアクションにより、SCIMコネクションが切断されます。 ユーザーデータをOktaとWorkato間で同期できません。
Last updated: