SCIMプロビジョニング
SCIM(System for Cross-domain Identity Management)プロビジョニングは、IDプロバイダーとWorkatoの間でユーザーアカウントとグループを自動的に同期します。 これにより、管理者がアカウントを手動で作成または更新する必要がなくなり、既存のIDプロバイダーからWorkatoのユーザーとグループを完全に管理できます。
SCIMプロビジョニングの動作シナリオ
ユーザーがワークスペースにすでに存在するかどうかに応じて、Workatoの動作は異なります。
管理者がIDプロバイダーで新しいユーザーを作成する場合:
- 新しいユーザーアカウントがWorkatoに自動的に作成されます
- ユーザー名とメールフィールドにはSCIM属性から値が入力されます
- ユーザーは、SCIMマッピングに基づいてグループとEnvironmentに割り当てられます
管理者がIDプロバイダーで既存のユーザーを更新する場合:
- WorkatoはSCIM属性からユーザープロファイルを更新します
- 権限とグループメンバーシップがIDプロバイダーと一致するように更新されます
- 変更はユーザーのログインを必要とせずに即座に同期されます
グループの上書きによるメンバーシップ制御喪失の可能性
グループの変更がIdPからSCIM経由でプッシュされる場合、カスタムグループIDは保持されます。 ローカルグループを上書きする変更により、Workato Identity内のそのグループに対するメンバーシップ制御がただちに失われる可能性があります。 ローカルグループに対するメンバーシップ制御がWorkato Identity内で意図せず失われることを防ぐため、変更をプッシュする前に、IdPでグループが正しく設定されていることを確認してください。
SCIMプロビジョニングを有効化
SCIMプロビジョニングを設定し、SAMLベースの認証が必要なEnvironmentを選択できます。 各Environmentの認証方法をカスタマイズできます。 例:
Dev: Password authTest: SSOProd: SSO
Workflow apps向けのSAMLベースのSSOではありません
このドキュメントはWorkato Identity専用です。 Workflow appsのSAML認証を設定するには、SAMLベースのシングルサインオン認証を参照してください。
Environment認証のSCIMプロビジョニングとSAML設定を構成するには、次の手順を実行します。
Workatoアカウントにサインインし、ワークスペース管理者に移動します。
サイドバーで認証とグループをクリックします。
設定するEnvironmentを選択します。 Environmentのエンドユーザーグループページがデフォルトで表示されます。
Environmentの利用可能状況
Environmentがプロビジョニングされていないワークスペースでは、利用可能なEnvironmentは1つだけです。
認証タブを選択します。
SAMLベースのSSO認証トグルが有効になっていることを確認します。
SAMLベースのSSO認証トグルが有効になっていることを確認します
IDプロバイダー(IdP)の選択セクションに移動し、+ 新しいプロバイダーを設定をクリックします。
IDプロバイダー(IdP)名フィールドにIdPの名前を入力します。 例: Okta Dev。
SAML認証の適用対象セクションに移動し、すべてのドメインまたは選択したドメインを選択します。
次へをクリックします。
シングルサインオンURLの指定とサービスプロバイダー(SP)エンティティIDの値をコピーし、それぞれの値をIdPに貼り付けて、Workatoを利用したアプリとサービスへのアクセスを有効にします。
Single sign-on URLを指定とサービスプロバイダー(SP)エンティティIDの値をコピーします
IDプロバイダーのメタデータURLがありますか?フィールドを見つけ、IdPメタデータURLにアクセスできるかどうかに応じてはいまたはいいえを選択します。
Set upをクリックします。 設定したIdPが表示される認証タブにリダイレクトされます。
前の手順で設定したIdPに移動し、設定をクリックします。
セットアップをクリックします。
プロビジョニングモーダルでSCIMプロビジョニングをクリックします。
SCIMプロビジョニングを選択します。
ベースURLとSCIMトークンをコピーします。 これらの値を使用して、IdPにエンドユーザーをプロビジョニングする権限を付与し、必要に応じてグループを同期します。 この設定により、エンドユーザーとグループのデータがIdPによって上書きされる場合があります。
グループの上書きによるメンバーシップ制御喪失の可能性
グループの変更がIdPからSCIM経由でプッシュされる場合、カスタムグループIDは保持されます。 ローカルグループを上書きする変更により、Workato Identity内のそのグループに対するメンバーシップ制御がただちに失われる可能性があります。 ローカルグループに対するメンバーシップ制御がWorkato Identity内で意図せず失われることを防ぐため、変更をプッシュする前に、IdPでグループが正しく設定されていることを確認してください。
保存をクリックします。
IdPでSCIMを設定
エンドユーザーとグループのプロビジョニング設定で提供されるベースURLとSCIMトークンを使用してSCIMを使用するようにIdPを設定する必要があります。
SCIMトークン
SCIMトークンは、Authorization: Bearer [TOKEN]を使用してヘッダーで送信する必要があります。
ベースURLとSCIMトークンを取得するには、次の手順を実行します。
Workato Identityの認証タブに移動します。
使用するIdPの省略記号メニューをクリックします。
エンドユーザーとグループのプロビジョニングを選択します。
ベースURLとSCIMトークンの値をコピーします。
IdP固有のSCIMプロビジョニング設定情報と例については、次のIdPリソースを参照してください。
- OktaでのSCIMプロビジョニング
- Oktaでユーザーの作成設定を有効にする必要があります。 詳細については、一致するユーザーが見つかりませんセクションを参照してください。
- Microsoft Entra ID(Azure Active Directory)でのSCIMプロビジョニング
- OneLoginでのSCIMプロビジョニング
エラーのトラブルシューティング
Group PushマッピングターゲットAppグループを更新できない
IdPから、Workato Identity内にすでに存在するグループを同期しようとすると、Okta SCIMアカウントで次のエラーが表示される場合があります。
Unable to update Group Push mapping target App group
このエラーを解決するには、Oktaグループまたは既存のWorkato Identityグループのいずれかの名前を変更します。
既存グループエラー
一致するユーザーが見つかりません
ユーザーの作成設定が有効になっていない場合、このエラーが表示されることがあります。
このエラーを解決するには、次の手順を実行します。
Okta SCIMアカウントに移動します。
設定をクリックします。
To App > Provisioningを選択します。
ユーザーの作成セクションに移動し、有効化チェックボックスを選択します。
ユーザーの作成を有効化
一意の識別子フィールド
Oktaでは、SCIM設定中に一意の識別子フィールドが必要です。 Workatoでは、ユーザーの一意の識別子フィールドフィールドの値としてメールを使用することをお勧めします。
ユーザーの一意の識別子フィールドフィールドの値としてメールを使用
HTTPヘッダー認証エラー
OktaでSCIMを設定する際は、HTTP Headerの認証方法を設定していることを確認してください。 WorkatoのSCIMエンドポイントは、プロビジョニング設定中に生成されたSCIMトークンを使用してリクエストを認証します。 このWorkatoトークンをOktaのベアラートークン値として指定する必要があります。
Last updated:
メタデータURLを指定
IdP情報を指定