チームコラボレーション - Just in time provisioning

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

Just-in-Time(JIT)provisioningにより、ワークスペース管理者がチームメンバーに代わってWorkatoユーザーアカウントを事前に作成する必要がなくなります。 従業員がSAML SSOを使用して新しいWorkatoアカウントにサインアップすると、組織のワークスペースに自動的に追加されます。

従業員のメールはすでに登録済みですか

従業員に既存のWorkatoアカウントがある場合、Workatoはその従業員を組織のワークスペースに自動的に追加します。


JIT provisioningを有効にする方法

ワークスペース管理者 > Settings > Authentication & provisioningでSAML Just-In-Time provisioningを有効にできます。

SAML Just-In-Time provisioningを有効化SAML Just-In-Time provisioningを有効化

JIT provisioningをカスタマイズする

JIT provisioningをカスタマイズして、ユーザー固有の情報をWorkatoに中継できます。 WorkatoはSAML属性(例:workato_role)を取得し、プロビジョニングされたWorkatoユーザーに適用します。 これにより、ワークフローに応じた適切な情報を使用して新しいユーザーをプロビジョニングできます。

Workatoは次の属性をサポートしています:

WorkatoユーザーフィールドSAML属性デフォルト値
ユーザー名NameIDWorkatoログインIDを設定します。 emailAddress形式を使用する必要があります。
表示名emailaddress要求UI表示名を設定します。 要求名はemailaddressです。 IdPは、どのディレクトリ属性が値を提供するかを制御します(例:user.displaynameまたはuserPrincipalName)。
ユーザーチームロールworkato_role新しい権限モデルのワークスペースではデフォルトでMember、レガシー権限モデルを使用するワークスペースではOperatorになります
Workato Environmentロールの詳細を確認してください。
コラボレーターグループworkato_user_groups空白または省略された場合、既存のグループメンバーシップは変更されません。 値にAll collaboratorsが含まれている場合、すべての明示的なコラボレーターグループメンバーシップが削除されます。 プロジェクトレベルのアクセス制御を備えた新しい権限モデルのワークスペースでのみサポートされます。

JIT provisioningをカスタマイズする理由

新しい権限モデルでは、WorkatoはEnvironmentロールとコラボレーターグループを使用してアクセスを管理します:

  • Environmentロールは、Environment adminBuilderOperatorなど、Environment内でユーザーが実行できる操作を定義します。
  • コラボレーターグループは、有効になっている場合にプロジェクトレベルのアクセスを制御します。

レガシー権限モデルを使用するワークスペースでは、WorkatoはAdminAnalystOperatorなどのデフォルトのワークスペースレベルのシステムロールのいずれかを割り当てます。 これらのロールは、新しい権限モデルのワークスペースでは使用されません。

JIT provisioningをカスタマイズすると、次のことが可能になります:

  • ユーザーを適切なEnvironmentロールに自動的に割り当てます。
  • プロジェクトレベルのアクセスのために、ユーザーをコラボレーターグループに配置します。
  • 手動プロビジョニングを減らし、セキュリティコンプライアンスを向上させます。

このアプローチにより、一貫したアクセス制御を確保し、管理オーバーヘッドを最小限に抑え、効率的なユーザーオンボーディングをサポートできます。

JIT provisioningをカスタマイズする方法

JIT provisioning中にユーザー情報を割り当てるには、まず基本設定を完了する必要があります:

SAMLプロバイダーでカスタム属性を構成する

JIT provisioningを設定する際は、Environmentロールと、必要に応じてプロジェクトレベルのコラボレーターグループを割り当てるために必要なSAML属性を構成します。 この例ではOktaを使用します。

1

Directory > Profile Editorに移動します。

2

Workato SAML Appプロファイルを選択します。

3

Add attributeを選択します。

4

Environmentロールを割り当てるための属性詳細を入力します:

フィールド説明
変数名workato_roleを使用します。 これは大文字と小文字が区別されます。
属性メンバー各属性には、わかりやすいDisplay nameを使用し、Workato固有の値を指定します。

ValueEnvironmentロールに対応します。 レガシー権限モデルを使用するワークスペースでは、引き続きAdminAnalystOperatorなどのロールを使用します。 これは大文字と小文字が区別されます。

ENVIRONMENT

組織でEnvironmentを使用している場合、Environment固有のロールも割り当てるように属性ステートメントを構成できます。 TEST Environmentには変数名をworkato_role_testに設定した追加属性を、PROD Environmentにはworkato_role_prodを追加するだけです。 デフォルトのworkato_role属性はDEV Environmentにマッピングされます。

5

任意です。 workato_user_groups属性を使用して、プロジェクトレベルのアクセスのためにユーザーをコラボレーターグループに割り当てます:

フィールド説明
変数名workato_user_groupsを使用します。 これは大文字と小文字が区別されます。
属性メンバーDisplay nameと、Workatoの既存のコラボレーターグループに一致するグループ名を指定します。

プロジェクトレベルのアクセス

この属性は、新しい権限モデルのワークスペースにのみ適用されます。 workato_user_groups属性が空白または省略された場合、既存のグループメンバーシップは変更されません。 値にAll collaboratorsが含まれている場合、すべての明示的なコラボレーターグループメンバーシップが削除されます。

6

Workato SAML appを見つけます。

7

SAML settings > editを選択します。

8

Configure SAMLまでスキップします。

9

App attribute statementを見つけます。

フィールド説明
名前workato_roleworkato_user_groupsなどの属性名を使用します。 これは大文字と小文字が区別されます。

NameはWorkatoでサポートされる属性と一致している必要があります。 使用可能なフィールドを参照してください。
appuser.workato_roleを使用します。

value先ほど構成した属性です。

SAMLごとの属性値

各SAMLでは異なる構文を使用します。

SAMLアプリケーション
Oktaappuser.<attribute_name>
Oneloginappuser.<attribute_name>
Microsoft Entra IDuser.<attribute_name>
Google IDP<attribute_name>
10

Saveをクリックして変更を確認します

最後に、SAMLアプリケーションでカスタムロールを割り当てます


ワークスペースメンバーのロールを割り当てる

OktaでWorkato用のカスタムSAML属性を割り当てましょう。

1

従業員がOktaでオンボーディングされるときに、workato_roleの値を選択します。

2

または、既存のOktaユーザーについては、そのプロファイルページでworkato_roleを割り当てます。 これは、このOktaユーザーが既存のWorkatoアカウントを持っていない場合にのみ適用されます。

3

これで、ユーザーがSSOを使用してWorkatoにログインすると、IDプロバイダーはこの新しいユーザーのworkato_roleを渡します。 Marketing部門の新入社員の場合、プロビジョニングされたWorkatoユーザーにはカスタムロールmktg_opsが構成されます。


複数のワークスペースにアクセスできるユーザーのJIT provisioning

状況によっては、複数のワークスペースへのアクセスを必要とするユーザーが1人以上いる場合があります。 たとえば、組織にFinance、Legal、HRの個別のワークスペースがあり、3つすべてのワークスペースでビルダーとして機能する専任ユーザーが1人いるシナリオを考えてみます。 この状況では、JIT provisioningを有効にするプロセスは同じですが、Workatoは組織のワークスペースへの不正アクセスを防ぐために、追加のセキュリティレイヤーを自動的に追加します。

ユーザーのJIT provisioningを有効にしてから複数のワークスペースへのアクセス権を付与すると、Workatoは通常、次のフローに従います。

1

組織のWorkato管理者は、IDプロバイダー内のWorkatoアプリケーションへのユーザーアクセスを割り当てます。 Financeという名前のこのワークスペースは、ユーザーが組織内で初めて参加したWorkatoワークスペースです。

2

ユーザーは、組織の認証プロバイダーでSAML SSOを使用して新しいWorkatoアカウントにサインアップします。

3

Workatoは、組織のIDプロバイダーを使用してユーザーのアカウントを自動的に作成します。

4

ユーザーはFinanceワークスペースに参加します。

5

組織のWorkato管理者は、IDプロバイダーで、ユーザーがこれまで使用したことのないHRワークスペースにユーザーを割り当てます。

6

JIT provisioningで作成されたアカウントをすでに持っているため、Workatoはユーザーに再度アカウントの作成を求めません。

代わりに、Workatoはアカウントに関連付けられているメールアドレスを使用して本人確認を行うようユーザーに求めます。

7

ユーザーが本人確認を完了すると、HRワークスペースに参加できます。

8

ユーザーは必要に応じて、FinanceワークスペースとHRワークスペースを切り替えることができます。

Last updated: