OneLoginでのSCIMの設定
Workatoは、OneLoginアイデンティティプロバイダーでSCIM 2.0プロトコルをサポートしています。
前提条件
- 組織には、Data Monitoring/Advanced Security & Compliance機能が必要です。
- アイデンティティプロバイダーでSAML SSOが正常に設定されている必要があります。
- すでにWorkatoでSCIMを設定済みである必要があります。
汎用SAMLアプリケーションの設定
OneLoginでプロビジョニングなしの汎用SAMLアプリケーションを使用している場合は、まずOneLoginアプリカタログからプロビジョニングをサポートする新しいアプリケーションを追加する必要があります。
推奨
アプリケーションにSAML SSOも設定してから、SCIMの設定に進むことをお勧めします。
次の手順に従います。
OneLoginにログインします。
Apps > Add Appに移動します。
“SCIM”を検索し、SAML with SCIM Provisioner (core user 2.0) オプションを選択します。
アプリケーションを追加します。
SCIMの設定
Provisioningインターフェースに移動し、次のオプションを選択します。
- プロビジョニングを有効にする
- このオプションを選択します。
- ユーザーが削除された場合...
- 次を選択します: です。
- ユーザーアカウントが停止された場合...
- 次を選択します: です。
プロビジョニングを有効にする
SCIMプロビジョニングを通じてOneLoginからWorkatoユーザーロールを更新するには、OneLoginで標準JSONスキーマを設定する必要があります。
SCIM JSONテンプレートを展開し、次を追加します。
- "schemas"の一部として、
urn:ietf:params:scim:schemas:workato:1.0:WorkatoRoleを追加します - emailsの後に、スキーマの残りの部分内で次のコードを追加します。
"urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole": {
"workato_role": "{$user.custom_fields.workato_role}",
"workato_role_test": "{$user.custom_fields.workato_role_test}",
"workato_role_prod": "{$user.custom_fields.workato_role_prod}"
}
Workatoユーザーロールの更新
SAML Roles Syncを通じてWorkatoロールを更新するためのカスタムユーザーフィールドを設定していない場合は、次の手順に進む前に、“workato_role”、“workato_role_test”、“workato_role_prod”などのカスタムユーザー属性の設定を完了します。 SAMLロール同期を参照してください。
これらのロール属性を参照するようにパラメーターを設定します。
Parametersインターフェースに移動し、workato_role属性値を参照するために次のフィールドを追加してworkato_roleを編集します。
- Field nameの下にある+(プラス)アイコンを選択し、値がカスタムユーザー属性に設定したshort nameに対応していることを確認します。
- Include in SAML Assertionオプションを選択します。
- Include in User Provisioningオプションを選択します。
保存をクリックします。
ロール属性パラメーターの設定
組織でWorkatoのEnvironment機能を使用している場合は、workato_role_prod、workato_role_testなどのEnvironment固有のすべてのロール、および追加のカスタムロールについてこの手順を繰り返します。
パラメーターの設定が完了すると、インターフェースは次の例のように表示されます。
パラメーター
再度、Configurationインターフェースに戻ります。
API connectionで、Enableを選択します。
APIコネクションを有効化
ユーザーのプロビジョニング
SAML SSO用にWorkatoアプリケーションにすでにユーザーを割り当てている場合は、プロビジョニングジョブをトリガーして、OneLoginとWorkatoの間で既存のユーザーを同期できます。 これにより、Workatoワークスペースに重複するアカウントを意図せず作成することを防げます。
OneLoginで、Workatoアプリケーションを見つけます。
Usersに移動し、Apply to allを選択してから、Reapply Mappingsを選択し、Approveをクリックして確認します。
ユーザーのプロビジョニング
このアクションにより、WorkatoとOneLoginの間で一括同期がトリガーされ、既存のすべてのコラボレーターがSCIMを通じて管理されるようになります。
Usersインターフェースに移動して、すべてのユーザーのProvisioning Stateを確認します。
ユーザーの更新されたプロビジョニング状態
Workatoに新しいユーザーを割り当てる場合、アプリケーションをユーザーに割り当てるか、必要なアクセスポリシーを持つOneLogin Roleを割り当てることができます。
Workatoは選択したユーザーにメール招待を送信します。 メール内のリンクをクリックしてメールアドレスを確認するようユーザーに指示します。
ワークスペースに参加するためのメール招待
その後、コラボレーターは設定されたロールで、割り当てられたワークスペースにサインインできます。
トラブルシューティング
招待メールをクリックすると組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合は、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。
ユーザーの追加を確認するには、Workatoの活動監査ログを確認できます。
ユーザーが招待を承諾したことを示す活動監査ログ
ユーザーの更新
OneLoginからWorkatoロールを更新するには、ユーザーのカスタム属性を更新する必要があります。
OneLoginで、Usersインターフェースに移動します。
更新するユーザーを選択します。
プロビジョニングするロールの名前を入力します。
TIP
ロール名では大文字と小文字が区別されます。
保存をクリックします。
Workatoでロールの変更を確認するには、活動監査ログダッシュボードを調べることができます。
SCIMを通じて行われた変更はscim_auto_syncとして示されます。
SCIMによるロール変更の確認
ユーザーのプロビジョニング解除
ユーザーをプロビジョニング解除するには、状況とユースケースに応じて、利用可能な3つの方法のいずれかを使用できます。 これらのいずれの状況でも、ユーザーはWorkatoワークスペースにアクセスできません。 ユーザーのレシピとコネクションは、チームの他のメンバーが引き続き使用できます。
OneLoginでのこれらの各シナリオは、Workatoでプロビジョニング解除イベントをトリガーします。
- アプリへのアクセス権の削除
- OneLoginで、Workatoアプリケーションに移動します。
- Usersを選択します。
- プロビジョニング解除するユーザーを見つけます。
- Deleteをクリックします。
- 確認します。
- ユーザーの非アクティブ化
- OneLoginで、Usersインターフェースに移動します。
- 非アクティブ化するユーザーを選択します。
- ActiveスイッチをInactiveに切り替えます。
- Saveをクリックします。
- ユーザーの削除
- OneLoginで、Usersインターフェースに移動します。
- 削除するユーザーを選択します。
- More Actionsをクリックし、Deleteを選択します。
- Saveをクリックします。
INFO
アクティブなセッション中にユーザーがプロビジョニング解除された場合、次のアクションでワークスペースからロックアウトされます。 レシピやコネクションなどのデータは、ワークスペース内の他のユーザーが引き続きアクセスできます。
SCIMの無効化
SCIMを無効にするには、OneLoginで次の手順に従います。 または、WorkatoでSCIMを無効にすることもできます。:
OneLoginで、Workatoアプリケーションを見つけます。
Provisioningインターフェースで、Enable provisioningオプションの選択を解除します。
Enable SCIM provisioningオプションの選択を解除してSCIMを無効にし、アクションをSaveします。
このアクションにより、SCIMコネクションが切断されます。 OneLoginとWorkatoの間でユーザーデータを同期できなくなります。
SCIMの無効化
Last updated:
WorkatoからBase URLとSCIMトークンを指定