# OneLoginでSCIMを設定する

Workatoは、OneLoginアイデンティティプロバイダーとSCIM 2.0プロトコルをサポートしています。


# 前提条件

  • あなたの組織は高度なセキュリティとコンプライアンスアドオンを持っている必要があります。
  • SAML SSOが正常にアイデンティティプロバイダーで設定されている必要があります。
  • すでにWorkatoでSCIMを設定しています。

# 一般的なSAMLアプリケーションの設定

OneLoginでプロビジョニングを行わない一般的なSAMLアプリケーションを使用している場合、まずOneLoginアプリカタログからプロビジョニングをサポートする新しいアプリケーションを追加する必要があります。

推奨事項

アプリケーションのSAML SSOも設定し、その後SCIMを設定することをお勧めします。

以下の手順に従ってください:

1

OneLoginにログインします。

2

Apps > Add Appに移動します。

3

「SCIM」と検索し、SAML with SCIM Provisioner (core user 2.0) オプションを選択します。

4

アプリケーションを追加します。

# SCIMを設定する

1

Provisioningインターフェースに移動し、以下のオプションを選択します:

プロビジョニングを有効にする
このオプションを選択します。
ユーザーが削除された場合...
Suspendを選択します。
ユーザーアカウントが一時停止された場合...
Suspendを選択します。

プロビジョニングを有効にする

2

Configurationインターフェースに移動し、以下のフィールドに値を追加します:

SCIMベースURL
これは、WorkatoでSCIMを設定する際にコピーしたベースURLです。
SCIMベアラトークン
これは、WorkatoでSCIMを設定する際にコピーしたSCIMトークンです。

WorkatoからベースURLとSCIMトークンを入力

3

OneLoginでWorkatoのユーザーロールをSCIMプロビジョニングを介して更新するために、標準のJSONスキーマを設定する必要があります。

SCIM JSONテンプレートを展開し、以下を追加します:

  • "schemas"の一部として、urn:ietf:params:scim:schemas:workato:1.0:WorkatoRoleを追加します。
  • スキーマの残りの部分の中で、emailsの後に以下のコードを追加します:
  "urn:ietf:params:scim:schemas:workato:1.0:WorkatoRole": {
  "workato_role": "{$user.custom_fields.workato_role}",
  "workato_role_test": "{$user.custom_fields.workato_role_test}",
  "workato_role_prod": "{$user.custom_fields.workato_role_prod}"
  }

Workatoのユーザーロールを更新

4

SAMLロール同期を介してWorkatoのロールを更新するためにカスタムユーザーフィールドを設定していない場合は、次のステップに進む前に「workato_role」、「workato_role_test」、「workato_role_prod」といったカスタムユーザーアトリビュートの設定を完了してください。SAMLロール同期を参照してください。

5

これらのロール属性を参照するためのパラメータを設定します。

Parametersインターフェースに移動し、workato_roleを編集します。以下のフィールドを追加してworkato_role属性の値を参照します:

  • Field nameの下に**+(プラス)アイコンを選択し、値がカスタムユーザーアトリビュートのshort name**に対応していることを確認します。
  • Include in SAML Assertionオプションを選択します。
  • Include in User Provisioningオプションを選択します。

Saveをクリックします。

ロール属性のパラメータを設定

もし組織がWorkatoでEnvironment機能を持っている場合は、workato_role_prodworkato_role_test、およびその他のカスタムロールに対してもこの手順を繰り返してください。

6

パラメータの設定が完了したら、インターフェースは次の例のように表示されるはずです:

パラメータ

7

再びConfigurationインターフェースに移動します。

API connectionの下でEnableを選択します。

API接続を有効にする

# ユーザーをプロビジョニングする

すでにSAML SSOのためにWorkatoアプリケーションに割り当てられているユーザーがある場合、プロビジョニングジョブをトリガーしてOneLoginとWorkatoの既存のユーザーを同期させることができます。これにより、Workatoワークスペースで重複したアカウントが意図せず作成されることを防ぎます。

1

OneLoginでWorkatoアプリケーションを見つけます。

2

Usersに移動し、Apply to allを選択し、Reapply Mappingsを選択してApproveをクリックします。

ユーザーをプロビジョニング

この操作により、WorkatoとOneLoginの間で一括同期がトリガーされ、すべての既存の共同作業者がSCIMを介して管理されるようになります。

3

Usersインターフェースに移動し、ユーザーをプロビジョニングします。

# ユーザーのプロビジョニング状態を確認する

ユーザーのプロビジョニング状態を確認するには、次の手順を実行します。

1

ユーザーのプロビジョニング状態を確認するために、ユーザーページに移動します。

2

ユーザーのプロビジョニング状態を確認するために、ユーザーを選択します。

3

ユーザーのプロビジョニング状態を確認するために、プロビジョニング状態をクリックします。

TIP

プロビジョニング状態は、ユーザーが正常にプロビジョニングされたかどうかを示します。

4

ユーザーのプロビジョニング状態が更新されました。

ユーザーのプロビジョニング状態が更新されました

4

新しいユーザーをWorkatoに割り当てる場合、アプリケーションを割り当てるか、必要なアクセスポリシーを持つOneLoginのロールを割り当てることができます。

5

Workatoは、選択したユーザーにメール招待を送信します。ユーザーには、メール内のリンクをクリックしてメールアドレスを確認するように指示します。

ワークスペースへの招待メール ワークスペースへの招待メール

その後、共同作業者は割り当てられたワークスペースに設定したロールでサインインできます。

トラブルシューティング

招待メールのリンクをクリックすると、組織のワークスペースではなくWorkatoのログインページにリダイレクトされる場合、同じメールアドレスに関連付けられたWorkatoアカウントがすでに存在している可能性があります。ログインの資格情報を忘れた場合は、パスワードをリセットしてください。

6

ユーザーの追加が確認できるように、Workatoのアクティビティ監査ログを確認できます。

ユーザーが招待を受け入れたことを示すアクティビティ監査ログ ユーザーが招待を受け入れたことを示すアクティビティ監査ログ

# ユーザーの更新

OneLoginからWorkatoのロールを更新するには、ユーザーのカスタム属性を更新する必要があります。

1

OneLoginでユーザーインターフェースに移動します。

2

更新するユーザーを選択します。

3

プロビジョニングするロールの名前を入力します。

TIP

ロール名は大文字と小文字を区別します。

4

保存をクリックします。

5

Workatoでのロールの変更を確認するために、アクティビティ監査ログのダッシュボードを確認できます。

SCIMを介して行われた変更は、scim_auto_syncとして表示されます。

SCIMを介したロールの変更の確認

# ユーザーの非プロビジョニング

ユーザーの非プロビジョニングには、状況とユースケースに応じて利用可能な3つの方法のいずれかを使用できます。これらの状況では、ユーザーはWorkatoワークスペースにアクセスできませんが、ユーザーのレシピと接続はチームの他のメンバーに利用できます。

これらのシナリオは、OneLogin上でユーザーの非プロビジョニングイベントをトリガーします。

アプリのアクセスを削除する
  1. OneLoginでWorkatoアプリケーションに移動します。
  2. ユーザーを選択します。
  3. 非プロビジョニングするユーザーを見つけます。
  4. 削除をクリックします。
  5. 確認します。
ユーザーを非アクティブにする
  1. OneLoginでユーザーインターフェースに移動します。
  2. 非アクティブにするユーザーを選択します。
  3. アクティブスイッチを非アクティブに切り替えます。
  4. 保存をクリックします。
ユーザーを削除する
  1. OneLoginでユーザーインターフェースに移動します。
  2. 削除するユーザーを選択します。
  3. その他のアクションをクリックし、削除を選択します。
  4. 保存をクリックします。

NOTE

アクティブなセッション中にユーザーが非プロビジョニングされると、次のアクションでワークスペースへのアクセスがロックされます。ユーザーのデータ(レシピや接続など)は、ワークスペースの他のユーザーからアクセスできる状態になります。

# SCIMの無効化

SCIMを無効にするには、OneLoginで次の手順に従います。または、WorkatoでSCIMを無効にすることもできます。

1

OneLoginでWorkatoアプリケーションを見つけます。

2

プロビジョニングインターフェースで、プロビジョニングを有効にするオプションを選択解除します。

3

SCIMプロビジョニングを有効にするオプションを選択解除し、その後、アクションを保存します。

この操作により、SCIM接続が切断されます。ユーザーデータはOneLoginとWorkatoの間で同期されません。

SCIMの無効化


Last updated: 2024/2/13 16:59:53