クロスドメインアイデンティティ管理システム（SCIM 2.0）

概要

• Workatoは、Okta、OneLogin、Azure Active Directory（AD）などのアイデンティティプロバイダとの間でSCIM 2.0をサポートしています。
• SCIM 2.0は、アイデンティティプロバイダを介してユーザー属性の自動プロビジョニング、デプロビジョニング、および更新を提供します。
• SCIM 2.0の使用には、Workatoでの有効化とアイデンティティプロバイダでのSAML SSOの有効化が必要です。
• SCIMの使用には、Workatoとアイデンティティプロバイダの設定、ユーザーの管理、不要な場合のSCIMの無効化が含まれます。

Workatoは、IETF SCIM仕様 (opens new window)に準拠して、クロスドメインアイデンティティ管理システム（SCIM 2.0）を使用してユーザーのアイデンティティ情報を管理します。SCIM 2.0プロトコルの実装により、組織のアイデンティティプロバイダとWorkatoの間でユーザーのアイデンティティデータの安全な自動交換が可能となります。これにより、OktaやOneLoginなどのアイデンティティプロバイダからのアカウントの自動プロビジョニング、デプロビジョニング、およびユーザープロファイルの管理が可能となります。

SCIM 2.0は、組織に以下の利点をもたらします：

1. Workatoを介してユーザーを自動的にプロビジョニングします。
2. アイデンティティプロバイダから直接workato_roleなどのカスタムユーザー属性を更新します。
3. アイデンティティプロバイダを介してWorkatoからユーザーを自動的にデプロビジョニングします。

NOTE

SCIMサポートは、Workatoの追加機能です。

---

前提条件

• Workatoでの有効化: SCIM 2.0は高度なセキュリティとコンプライアンスアドオンの一部です。組織でSCIM 2.0を使用する詳細については、アカウント担当者にお問い合わせください。
• アイデンティティプロバイダでの有効化: アイデンティティプロバイダでSAML SSOが有効になっていること

---

SCIMの使用方法

SCIMを使用するには、次の一般的な手順に従ってください：

1. WorkatoでSCIMを設定する

2. Oktaアイデンティティプロバイダの場合：

   • OktaでSCIMを設定する
   • Workatoのロールを設定する
   • ユーザーをプロビジョニングする
   • ユーザーアサインメントをグループに変換する
   • ユーザーを更新する
   • ユーザーをデプロビジョニングする

   OneLoginアイデンティティプロバイダの場合：

   • 汎用SAMLアプリケーションの設定
   • OneLoginでSCIMを設定する
   • ユーザーをプロビジョニングする
   • ユーザーを更新する
   • ユーザーをデプロビジョニングする

   Azure Active Directoryアイデンティティプロバイダの場合：

   • 前提条件
   • ステップ1：カスタム拡張属性の設定
   • ステップ2：Azure ADでの自動プロビジョニングの設定
   • ステップ3：Azure ADとWorkatoの属性マッピングの設定
   • ステップ4：ユーザーをプロビジョニングする

3. WorkatoでSCIMを無効にする、OktaでSCIMを無効にする、OneLoginでSCIMを無効にする、またはAzure ADでSCIMを無効にする

FAQ

• SCIMが有効になっており、ロールがWorkatoで手動で更新された場合、どうなりますか？
• SCIMが有効になっており、共同作業者がWorkatoから手動で削除された場合、どうなりますか？
• SCIMプロビジョニングをオフにする方法はありますか？
• SCIMを使用した場合、Workatoでのデプロビジョニングはどのように処理されますか？

SCIMが有効になっており、ロールがWorkatoで手動で更新された場合、どうなりますか？

ユーザープロファイルデータに保存されているユーザープロファイルデータから一時的なロール変更が上書きされます。同期は次のシナリオで発生します：

• ユーザーがSAML SSOを介してログインすると、'saml_auto_sync'によってロールが変更されます。
• ユーザープロファイルがIdPから更新されると、'scim_auto_sync'によってロールが変更されます。

SCIMが有効になっており、共同作業者がWorkatoから手動で削除された場合、どうなりますか？

次回のログイン時に、SCIM接続が有効であり、組織のアイデンティティプロバイダでユーザーがデプロビジョニングされていない場合、ユーザーはワークスペースに再プロビジョニングされます。

SCIMプロビジョニングをオフにする方法はありますか？

SCIMプロビジョニングをオフにする方法は2つあります：

• 推奨: アイデンティティプロバイダで、プロビジョニング設定からSCIMの設定を無効にします。詳細な情報については、個々のアイデンティティプロバイダの手順を参照してください：Okta、OneLogin、およびAzure AD。
• WorkatoでSCIMトークンの値を更新します。### WorkatoにおけるSCIMを使用したデプロビジョニングの処理方法

Workatoでは、アイデンティティプロバイダーから無効化されたり一時的に停止されたり、またはWorkatoアプリへのアクセスが削除されたりしたユーザーに対して、同じ方法でデプロビジョニングが処理されます。すべてのシナリオで、Workato上でデプロビジョニングイベントがトリガーされ、ユーザーはWorkatoのワークスペースにアクセスできなくなります。彼らのレシピと接続は他の共同作業者に引き続きアクセス可能です。