JITプロビジョニング
Just-in-Time (JIT)プロビジョニングは、ユーザーがSAMLベースのシングルサインオンで初回認証するときにユーザーアカウントを自動的に作成します。 これにより、管理者が事前にアカウントを手動作成する必要がなくなり、ユーザー情報をアイデンティティプロバイダーと最新の状態に保つことができます。
JITプロビジョニングの動作シナリオ
ユーザーがワークスペースにすでに存在するかどうかに応じて、Workatoの動作は異なります: Workatoに存在しないユーザーが初めてサインインする場合:
- 新しいユーザーアカウントが自動的に作成されます
- ユーザー名とメールフィールドにSAML属性から値が入力されます
- ユーザーにはJITが有効なEnvironmentへのアクセス権が付与されます
ユーザーアカウントがWorkatoにすでに存在する場合:
- WorkatoはSAML属性からユーザープロファイルを更新しません
- 既存の権限とグループメンバーシップは保持されます
- ユーザーは通常どおり認証されます
デフォルトのユーザー権限
JITでプロビジョニングされたユーザーには、次のデフォルト設定が適用されます:
- アカウントステータス: 有効
- 認証方法: SAMLベースのSSO(必須)
- Environmentアクセス: JITプロビジョニングが有効なすべてのEnvironment
- グループメンバーシップ: 初回作成時にSAMLグループメンバーシップが同期されます
- 権限: Environmentのデフォルトエンドユーザー権限に基づきます
JITプロビジョニングの有効化
Just-in-Time (JIT)プロビジョニングを設定し、SAMLベースの認証を必要とするユーザーを選択できます。 各Environmentの認証方法をカスタマイズできます。 例:
Dev: Password authTest: SSOProd: SSO
Workflow apps向けのSAMLベースのSSOではありません
このドキュメントはWorkato Identity専用です。 Workflow appsのSAML認証を設定するには、SAMLベースのシングルサインオン認証を参照してください。
Environment認証のSAML設定を構成するには、次の手順を実行します:
Workatoアカウントにサインインし、ワークスペース管理者に移動します。
サイドバーで認証とグループをクリックします。
設定するEnvironmentを選択します。 Environmentのエンドユーザーグループページがデフォルトで表示されます。
Environmentの利用可能状況
Environmentがプロビジョニングされていないワークスペースでは、利用可能なEnvironmentは1つだけです。
認証タブを選択します。
SAMLベースのSSO認証トグルが有効になっていることを確認します。
SAMLベースのSSO認証トグルが有効になっていることを確認します
IDプロバイダー(IdP)の選択セクションに移動し、+ 新しいプロバイダーを設定をクリックします。
IDプロバイダー(IdP)名フィールドにIdPの名前を入力します。 例: Okta Prod。
SAML認証の設定
SAML認証の適用対象セクションに移動し、すべてのドメインまたは選択したドメインを選択します。
次へをクリックします。
シングルサインオンURLの指定とサービスプロバイダー(SP)エンティティIDの値をコピーし、それぞれの値をIdPに貼り付けて、Workatoを利用したアプリとサービスへのアクセスを有効にします。
Single sign-on URLを指定とサービスプロバイダー(SP)エンティティIDの値をコピーします
次へをクリックします。
IDプロバイダーのメタデータURLがありますか?フィールドを見つけ、IdPメタデータURLにアクセスできるかどうかに応じてはいまたはいいえを選択します。
Set upをクリックします。 設定したIdPが表示される認証タブにリダイレクトされます。
前の手順で設定したIdPに移動し、設定をクリックします。
セットアップをクリックします。
プロビジョニングモーダルでJITプロビジョニングをクリックします。
JITプロビジョニングを選択
初回ログイン時にアカウントを作成トグルを使用して、初回ログイン時のアカウント作成を有効または無効にします。
自動アカウントのEnvironmentアクセス
デフォルトでは、ユーザーアカウントは前の手順で選択したEnvironmentへのアクセス権を持って作成されます。
グループメンバーシップを同期トグルをクリックして、アイデンティティプロバイダーからユーザーグループを更新します。 詳細については、ユーザーグループ同期を参照してください。
グループメンバーシップ同期はWorkato GOでのみサポート
ユーザーグループ同期はWorkato GOでのみ利用できます。 同期プロセスは、ユーザーのログイン時にトリガーされます。 SlackおよびMicrosoft Teamsユーザーは、再ログインのプロンプトなしでプラットフォームセッションを通じて認証された状態を維持するため、ユーザーグループ同期がトリガーされません。
Last updated:
メタデータURLを指定
IdP情報を指定