チームコラボレーション - Just in time provisioning
Just-in-Time(JIT)provisioningにより、ワークスペース管理者がチームメンバーに代わってWorkatoユーザーアカウントを事前に作成する必要がなくなります。 従業員がSAML SSOを使用して新しいWorkatoアカウントにサインアップすると、組織のワークスペースに自動的に追加されます。
従業員のメールはすでに登録済みですか
従業員に既存のWorkatoアカウントがある場合、Workatoはその従業員を組織のワークスペースに自動的に追加します。
JIT provisioningを有効にする方法
ワークスペース管理者 > Settings > Authentication & provisioningでSAML Just-In-Time provisioningを有効にできます。
SAML Just-In-Time provisioningを有効化
JIT provisioningをカスタマイズする
JIT provisioningをカスタマイズして、ユーザー固有の情報をWorkatoに中継できます。 WorkatoはSAML属性(例:workato_role)を取得し、プロビジョニングされたWorkatoユーザーに適用します。 これにより、ワークフローに応じた適切な情報を使用して新しいユーザーをプロビジョニングできます。
Workatoは次の属性をサポートしています:
| Workatoユーザーフィールド | SAML属性 | デフォルト値 |
|---|---|---|
| ユーザー名 | NameID | WorkatoログインIDを設定します。 emailAddress形式を使用する必要があります。 |
| 表示名 | emailaddress要求 | UI表示名を設定します。 要求名はemailaddressです。 IdPは、どのディレクトリ属性が値を提供するかを制御します(例:user.displaynameまたはuserPrincipalName)。 |
| ユーザーチームロール | workato_role | 新しい権限モデルのワークスペースではデフォルトでMember、レガシー権限モデルを使用するワークスペースではOperatorになりますWorkato Environmentロールの詳細を確認してください。 |
| コラボレーターグループ | workato_user_groups | 空白または省略された場合、既存のグループメンバーシップは変更されません。 値にAll collaboratorsが含まれている場合、すべての明示的なコラボレーターグループメンバーシップが削除されます。 プロジェクトレベルのアクセス制御を備えた新しい権限モデルのワークスペースでのみサポートされます。 |
JIT provisioningをカスタマイズする理由
新しい権限モデルでは、WorkatoはEnvironmentロールとコラボレーターグループを使用してアクセスを管理します:
- Environmentロールは、Environment admin、Builder、Operatorなど、Environment内でユーザーが実行できる操作を定義します。
- コラボレーターグループは、有効になっている場合にプロジェクトレベルのアクセスを制御します。
レガシー権限モデルを使用するワークスペースでは、WorkatoはAdmin、Analyst、Operatorなどのデフォルトのワークスペースレベルのシステムロールのいずれかを割り当てます。 これらのロールは、新しい権限モデルのワークスペースでは使用されません。
JIT provisioningをカスタマイズすると、次のことが可能になります:
- ユーザーを適切なEnvironmentロールに自動的に割り当てます。
- プロジェクトレベルのアクセスのために、ユーザーをコラボレーターグループに配置します。
- 手動プロビジョニングを減らし、セキュリティコンプライアンスを向上させます。
このアプローチにより、一貫したアクセス制御を確保し、管理オーバーヘッドを最小限に抑え、効率的なユーザーオンボーディングをサポートできます。
JIT provisioningをカスタマイズする方法
JIT provisioning中にユーザー情報を割り当てるには、まず基本設定を完了する必要があります:
- SAML based SSOを有効にする
- WorkatoでSAML Just-in-Time provisioningを有効にする
- SAMLプロバイダーのアプリケーションページでSAML属性を構成する。
- (任意)カスタム権限を適用するために、Workatoでカスタムロールを作成します。 たとえば、ワークスペース内のMarketingフォルダへのアクセスのみを持つ
mktg_opsロールです。
SAMLプロバイダーでカスタム属性を構成する
JIT provisioningを設定する際は、Environmentロールと、必要に応じてプロジェクトレベルのコラボレーターグループを割り当てるために必要なSAML属性を構成します。 この例ではOktaを使用します。
Directory > Profile Editorに移動します。
Workato SAML Appプロファイルを選択します。
Add attributeを選択します。
Environmentロールを割り当てるための属性詳細を入力します:
| フィールド | 説明 |
|---|---|
| 変数名 | workato_roleを使用します。 これは大文字と小文字が区別されます。 |
| 属性メンバー | 各属性には、わかりやすいDisplay nameを使用し、Workato固有の値を指定します。 ValueはEnvironmentロールに対応します。 レガシー権限モデルを使用するワークスペースでは、引き続き Admin、Analyst、Operatorなどのロールを使用します。 これは大文字と小文字が区別されます。 |
ENVIRONMENT
組織でEnvironmentを使用している場合、Environment固有のロールも割り当てるように属性ステートメントを構成できます。 TEST Environmentには変数名をworkato_role_testに設定した追加属性を、PROD Environmentにはworkato_role_prodを追加するだけです。 デフォルトのworkato_role属性はDEV Environmentにマッピングされます。
任意です。 workato_user_groups属性を使用して、プロジェクトレベルのアクセスのためにユーザーをコラボレーターグループに割り当てます:
| フィールド | 説明 |
|---|---|
| 変数名 | workato_user_groupsを使用します。 これは大文字と小文字が区別されます。 |
| 属性メンバー | Display nameと、Workatoの既存のコラボレーターグループに一致するグループ名を指定します。 |
プロジェクトレベルのアクセス
この属性は、新しい権限モデルのワークスペースにのみ適用されます。 workato_user_groups属性が空白または省略された場合、既存のグループメンバーシップは変更されません。 値にAll collaboratorsが含まれている場合、すべての明示的なコラボレーターグループメンバーシップが削除されます。
Workato SAML appを見つけます。
SAML settings > editを選択します。
Configure SAMLまでスキップします。
App attribute statementを見つけます。
| フィールド | 説明 |
|---|---|
| 名前 | workato_roleやworkato_user_groupsなどの属性名を使用します。 これは大文字と小文字が区別されます。NameはWorkatoでサポートされる属性と一致している必要があります。 使用可能なフィールドを参照してください。 |
| 値 | appuser.workato_roleを使用します。valueは先ほど構成した属性です。 |
SAMLごとの属性値
各SAMLでは異なる構文を使用します。
| SAMLアプリケーション | 値 |
|---|---|
| Okta | appuser.<attribute_name> |
| Onelogin | appuser.<attribute_name> |
| Microsoft Entra ID | user.<attribute_name> |
| Google IDP | <attribute_name> |
Saveをクリックして変更を確認します
最後に、SAMLアプリケーションでカスタムロールを割り当てます。
ワークスペースメンバーのロールを割り当てる
OktaでWorkato用のカスタムSAML属性を割り当てましょう。
従業員がOktaでオンボーディングされるときに、workato_roleの値を選択します。
または、既存のOktaユーザーについては、そのプロファイルページでworkato_roleを割り当てます。 これは、このOktaユーザーが既存のWorkatoアカウントを持っていない場合にのみ適用されます。
これで、ユーザーがSSOを使用してWorkatoにログインすると、IDプロバイダーはこの新しいユーザーのworkato_roleを渡します。 Marketing部門の新入社員の場合、プロビジョニングされたWorkatoユーザーにはカスタムロールmktg_opsが構成されます。
複数のワークスペースにアクセスできるユーザーのJIT provisioning
状況によっては、複数のワークスペースへのアクセスを必要とするユーザーが1人以上いる場合があります。 たとえば、組織にFinance、Legal、HRの個別のワークスペースがあり、3つすべてのワークスペースでビルダーとして機能する専任ユーザーが1人いるシナリオを考えてみます。 この状況では、JIT provisioningを有効にするプロセスは同じですが、Workatoは組織のワークスペースへの不正アクセスを防ぐために、追加のセキュリティレイヤーを自動的に追加します。
ユーザーのJIT provisioningを有効にしてから複数のワークスペースへのアクセス権を付与すると、Workatoは通常、次のフローに従います。
組織のWorkato管理者は、IDプロバイダー内のWorkatoアプリケーションへのユーザーアクセスを割り当てます。 Financeという名前のこのワークスペースは、ユーザーが組織内で初めて参加したWorkatoワークスペースです。
ユーザーは、組織の認証プロバイダーでSAML SSOを使用して新しいWorkatoアカウントにサインアップします。
Workatoは、組織のIDプロバイダーを使用してユーザーのアカウントを自動的に作成します。
ユーザーはFinanceワークスペースに参加します。
組織のWorkato管理者は、IDプロバイダーで、ユーザーがこれまで使用したことのないHRワークスペースにユーザーを割り当てます。
JIT provisioningで作成されたアカウントをすでに持っているため、Workatoはユーザーに再度アカウントの作成を求めません。
代わりに、Workatoはアカウントに関連付けられているメールアドレスを使用して本人確認を行うようユーザーに求めます。
ユーザーが本人確認を完了すると、HRワークスペースに参加できます。
ユーザーは必要に応じて、FinanceワークスペースとHRワークスペースを切り替えることができます。
Last updated: