OneLoginでのSCIMの設定

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

Workatoは、OneLoginアイデンティティプロバイダーでSCIM 2.0プロトコルをサポートしています。


前提条件

  • 組織には、Data Monitoring/Advanced Security & Compliance機能が必要です。
  • アイデンティティプロバイダーでSAML SSOが正常に設定されている必要があります。
  • すでにWorkatoでSCIMを設定済みである必要があります。

汎用SAMLアプリケーションの設定

OneLoginでプロビジョニングなしの汎用SAMLアプリケーションを使用している場合は、まずOneLoginアプリカタログからプロビジョニングをサポートする新しいアプリケーションを追加する必要があります。

推奨

アプリケーションにSAML SSOも設定してから、SCIMの設定に進むことをお勧めします。

次の手順に従います。

1

OneLoginにログインします。

2

Apps > Add Appに移動します。

3

“SCIM”を検索し、SAML with SCIM Provisioner (core user 2.0) オプションを選択します。

4

アプリケーションを追加します。

SCIMの設定

1

Provisioningインターフェースに移動し、次のオプションを選択します。

プロビジョニングを有効にする
このオプションを選択します。
ユーザーが削除された場合...
次を選択します: です。
ユーザーアカウントが停止された場合...
次を選択します: です。

プロビジョニングを有効にする

2

Configurationインターフェースに移動し、次のフィールドに値を追加します。

SCIM Base URL
これは、WorkatoでSCIMを設定するときにコピーした、Workato SCIM APIエンドポイントのBase URLです。
SCIM Bearer Token
これは、WorkatoでSCIMを設定するときにコピーしたSCIMトークンです。

WorkatoからBase URLとSCIMトークンを指定

3

SCIMプロビジョニングを通じてOneLoginからWorkatoユーザーロールを更新するには、OneLoginで標準JSONスキーマを設定する必要があります。

SCIM JSONテンプレートを展開し、次を追加します。

  • "schemas"の一部として、urn:ietf:params:scim:schemas:workato:1.0:WorkatoRoleを追加します
  • emailsの後に、スキーマの残りの部分内で次のコードを追加します。
  "urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole": {
  "workato_role": "{$user.custom_fields.workato_role}",
  "workato_role_test": "{$user.custom_fields.workato_role_test}",
  "workato_role_prod": "{$user.custom_fields.workato_role_prod}"
  }

Workatoユーザーロールの更新

4

SAML Roles Syncを通じてWorkatoロールを更新するためのカスタムユーザーフィールドを設定していない場合は、次の手順に進む前に、“workato_role”、“workato_role_test”、“workato_role_prod”などのカスタムユーザー属性の設定を完了します。 SAMLロール同期を参照してください。

5

これらのロール属性を参照するようにパラメーターを設定します。

Parametersインターフェースに移動し、workato_role属性値を参照するために次のフィールドを追加してworkato_roleを編集します。

  • Field nameの下にある+(プラス)アイコンを選択し、値がカスタムユーザー属性に設定したshort nameに対応していることを確認します。
  • Include in SAML Assertionオプションを選択します。
  • Include in User Provisioningオプションを選択します。

保存をクリックします。

ロール属性パラメーターの設定

組織でWorkatoのEnvironment機能を使用している場合は、workato_role_prodworkato_role_testなどのEnvironment固有のすべてのロール、および追加のカスタムロールについてこの手順を繰り返します。

6

パラメーターの設定が完了すると、インターフェースは次の例のように表示されます。

パラメーター

7

再度、Configurationインターフェースに戻ります。

API connectionで、Enableを選択します。

APIコネクションを有効化

ユーザーのプロビジョニング

SAML SSO用にWorkatoアプリケーションにすでにユーザーを割り当てている場合は、プロビジョニングジョブをトリガーして、OneLoginとWorkatoの間で既存のユーザーを同期できます。 これにより、Workatoワークスペースに重複するアカウントを意図せず作成することを防げます。

1

OneLoginで、Workatoアプリケーションを見つけます。

2

Usersに移動し、Apply to allを選択してから、Reapply Mappingsを選択し、Approveをクリックして確認します。

ユーザーのプロビジョニング

このアクションにより、WorkatoとOneLoginの間で一括同期がトリガーされ、既存のすべてのコラボレーターがSCIMを通じて管理されるようになります。

3

Usersインターフェースに移動して、すべてのユーザーのProvisioning Stateを確認します。

ユーザーの更新されたプロビジョニング状態

4

Workatoに新しいユーザーを割り当てる場合、アプリケーションをユーザーに割り当てるか、必要なアクセスポリシーを持つOneLogin Roleを割り当てることができます。

5

Workatoは選択したユーザーにメール招待を送信します。 メール内のリンクをクリックしてメールアドレスを確認するようユーザーに指示します。

ワークスペースに参加するためのメール招待 ワークスペースに参加するためのメール招待

その後、コラボレーターは設定されたロールで、割り当てられたワークスペースにサインインできます。

トラブルシューティング

招待メールをクリックすると組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合は、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。

6

ユーザーの追加を確認するには、Workatoの活動監査ログを確認できます。

ユーザーが招待を承諾したことを示す活動監査ログ ユーザーが招待を承諾したことを示す活動監査ログ

ユーザーの更新

OneLoginからWorkatoロールを更新するには、ユーザーのカスタム属性を更新する必要があります。

1

OneLoginで、Usersインターフェースに移動します。

2

更新するユーザーを選択します。

3

プロビジョニングするロールの名前を入力します。

TIP

ロール名では大文字と小文字が区別されます。

4

保存をクリックします。

5

Workatoでロールの変更を確認するには、活動監査ログダッシュボードを調べることができます。

SCIMを通じて行われた変更はscim_auto_syncとして示されます。

SCIMによるロール変更の確認

ユーザーのプロビジョニング解除

ユーザーをプロビジョニング解除するには、状況とユースケースに応じて、利用可能な3つの方法のいずれかを使用できます。 これらのいずれの状況でも、ユーザーはWorkatoワークスペースにアクセスできません。 ユーザーのレシピとコネクションは、チームの他のメンバーが引き続き使用できます。

OneLoginでのこれらの各シナリオは、Workatoでプロビジョニング解除イベントをトリガーします。

アプリへのアクセス権の削除
  1. OneLoginで、Workatoアプリケーションに移動します。
  2. Usersを選択します。
  3. プロビジョニング解除するユーザーを見つけます。
  4. Deleteをクリックします。
  5. 確認します。
ユーザーの非アクティブ化
  1. OneLoginで、Usersインターフェースに移動します。
  2. 非アクティブ化するユーザーを選択します。
  3. ActiveスイッチをInactiveに切り替えます。
  4. Saveをクリックします。
ユーザーの削除
  1. OneLoginで、Usersインターフェースに移動します。
  2. 削除するユーザーを選択します。
  3. More Actionsをクリックし、Deleteを選択します。
  4. Saveをクリックします。

INFO

アクティブなセッション中にユーザーがプロビジョニング解除された場合、次のアクションでワークスペースからロックアウトされます。 レシピやコネクションなどのデータは、ワークスペース内の他のユーザーが引き続きアクセスできます。

SCIMの無効化

SCIMを無効にするには、OneLoginで次の手順に従います。 または、WorkatoでSCIMを無効にすることもできます。:

1

OneLoginで、Workatoアプリケーションを見つけます。

2

Provisioningインターフェースで、Enable provisioningオプションの選択を解除します。

3

Enable SCIM provisioningオプションの選択を解除してSCIMを無効にし、アクションをSaveします。

このアクションにより、SCIMコネクションが切断されます。 OneLoginとWorkatoの間でユーザーデータを同期できなくなります。

SCIMの無効化

Last updated: