SAMLロール同期: IDプロバイダーでWorkatoロールを維持する
Workatoなど、複数のSaaSアプリケーションにわたるアクセス管理は複雑でエラーが発生しやすくなる可能性があります。 たとえば、次の領域で課題に直面する場合があります:
ユーザーライフサイクル
組織の規模が拡大するにつれて、特に多数のカスタムロールが存在する場合、プロビジョニング、ユーザーロールの変更、およびプロビジョニング解除はますます困難になります。
セキュリティ
手動のロール設定手順があるため、Workatoに対して組織全体で一貫したセキュリティポリシーを適用することは難しい場合があります。
自動化の欠如
ほとんどのアプリケーションでは、ユーザープロビジョニングと権限を自動化するために設定が必要です。
これらの課題に対処するために、Workatoは従来の権限モデルを使用するワークスペースと新しい権限モデルを使用するワークスペースの両方でSAMLロール同期をサポートしています。 ロールとプロジェクトレベルのアクセスの割り当て方法は、ワークスペースの設定によって異なります。
SAMLロール同期の設定
Workatoでは、ワークスペースのセットアップに応じて2つの異なるSAMLロール同期設定をサポートしています:
従来の権限モデル:
workato_role、workato_role_test、およびworkato_role_prod属性を使用して、SAMLを通じてワークスペースレベルのロールを直接割り当てます。新しい権限モデル: 同じ
workato_role、workato_role_test、およびworkato_role_prod属性を使用して、DEV、TEST、およびPRODのEnvironmentロールを割り当てます。 さらに、workato_user_groups属性を使用して、プロジェクトレベルのアクセスのためにユーザーをコラボレーターグループに割り当てることができます。 Environmentロールとプロジェクトレベルのアクセスは個別に管理されます。
SAMLロール同期の仕組み
Workatoは、IDプロバイダー(IdP)で設定したSAML属性とユーザーロールを同期します:
- 従来の権限モデルを使用するワークスペースでは、属性
workato_role、workato_role_test、およびworkato_role_prodによって、ユーザーがワークスペースレベルのシステムロール(たとえば、管理者、アナリスト、オペレーター、またはカスタムロール)にマッピングされます。 - 新しい権限モデルを使用するワークスペースでは、同じ属性によってユーザーがEnvironmentロール(たとえば、Environment管理者、Environmentマネージャー、またはメンバー)にマッピングされます。
workato_user_groupsを使用して、プロジェクトレベルのアクセスのためにユーザーをコラボレーターグループに割り当てることもできます。
Workatoは、IDプロバイダーでマッピングされたSAML属性を更新するたびに、これらの割り当てを自動的に同期します。
たとえば、IdP内でユーザーのworkato_role属性をEnvironment管理者からメンバーに変更すると、WorkatoはそのユーザーのEnvironment権限を自動的に更新します。 同様に、workato_user_groupsを使用してユーザーをAnalytics_Teamコラボレーターグループに割り当てると、Workatoはそのユーザーをそのグループに追加し、ユーザーはそのグループに定義されたプロジェクトレベルの権限を継承します。
Workatoは、IDプロバイダーでSSOを有効化しているすべてのお客様に対してSAMLロール同期をサポートしています。 このドキュメントでは、次のIDプロバイダーでSAMLロール同期を使用する方法について説明します:
SAMLロール同期はすべてのリージョンでサポートされています。
推奨事項
Workatoでは、ロール同期を設定した後は、IDプロバイダーを通じてユーザーロールの割り当てを管理することを強くお勧めします。これは、システムが手動によるロール変更を上書きするためです。
Environment固有ロールのサポート
Workatoでenvironmentsが(Lifecycle Management機能を通じて)有効化されている場合、IdPからEnvironment固有のユーザーロールを同期できます。 Workatoでは、特定のEnvironmentロールにマッピングされる次のカスタム属性を定義しています:
- DEV
workato_role - TEST
workato_role_test - PROD
workato_role_prod
従来の権限モデルを使用するワークスペースでは、これらの属性はワークスペースレベルのロール(管理者、アナリスト、オペレーター、またはカスタムロール)に直接マッピングされます。
新しい権限モデルを使用するワークスペースでは、これらの属性はEnvironment管理者、Environmentマネージャー、またはメンバーなどのEnvironmentロールにマッピングされます。 プロジェクトレベルのアクセスにworkato_user_groupsも使用する場合でも、これらの属性は引き続き必要です。
コラボレーターグループを通じたプロジェクトレベルのアクセス
新しい権限モデルを使用するワークスペースでは、IDプロバイダーを通じてworkato_user_groups属性を同期することで、ユーザーをコラボレーターグループに割り当てることができます。
たとえば、OktaでユーザーをAnalytics_Teamコラボレーターグループにマッピングすると、Workatoはそのユーザーをそのグループに自動的に割り当て、ユーザーはWorkato内でそのグループに設定されたプロジェクトレベルの権限を継承します。
ロール同期を有効化する
IDプロバイダーでロール同期を使用するには、Workatoインターフェースでこの機能を有効化する必要があります。
推奨事項
まだオンになっていない場合は、SAML認証を強制オプションとSAML JITプロビジョニングを有効化オプションを同時に有効化することをお勧めします。
ワークスペース管理者 > 設定 > ログイン方法に移動します。
ロール同期を有効化トグルを有効化します。
Workatoでロール同期を有効化する
設定を検証をクリックします。
保存をクリックします。
次のステップ
IDプロバイダーでロール同期のセットアップを完了します。 このセクションでは、次のものへの接続方法について説明します:
Last updated: