SCIMプロビジョニング

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

SCIM(System for Cross-domain Identity Management)プロビジョニングは、IDプロバイダーとWorkatoの間でユーザーアカウントとグループを自動的に同期します。 これにより、管理者がアカウントを手動で作成または更新する必要がなくなり、既存のIDプロバイダーからWorkatoのユーザーとグループを完全に管理できます。

SCIMプロビジョニングの動作シナリオ

ユーザーがワークスペースにすでに存在するかどうかに応じて、Workatoの動作は異なります。

管理者がIDプロバイダーで新しいユーザーを作成する場合:

  • 新しいユーザーアカウントがWorkatoに自動的に作成されます
  • ユーザー名とメールフィールドにはSCIM属性から値が入力されます
  • ユーザーは、SCIMマッピングに基づいてグループとEnvironmentに割り当てられます

管理者がIDプロバイダーで既存のユーザーを更新する場合:

  • WorkatoはSCIM属性からユーザープロファイルを更新します
  • 権限とグループメンバーシップがIDプロバイダーと一致するように更新されます
  • 変更はユーザーのログインを必要とせずに即座に同期されます

グループの上書きによるメンバーシップ制御喪失の可能性

グループの変更がIdPからSCIM経由でプッシュされる場合、カスタムグループIDは保持されます。 ローカルグループを上書きする変更により、Workato Identity内のそのグループに対するメンバーシップ制御がただちに失われる可能性があります。 ローカルグループに対するメンバーシップ制御がWorkato Identity内で意図せず失われることを防ぐため、変更をプッシュする前に、IdPでグループが正しく設定されていることを確認してください。

SCIMプロビジョニングを有効化

SCIMプロビジョニングを設定し、SAMLベースの認証が必要なEnvironmentを選択できます。 各Environmentの認証方法をカスタマイズできます。 例:

  • Dev: Password auth
  • Test: SSO
  • Prod: SSO

Workflow apps向けのSAMLベースのSSOではありません

このドキュメントはWorkato Identity専用です。 Workflow appsのSAML認証を設定するには、SAMLベースのシングルサインオン認証を参照してください。

Environment認証のSCIMプロビジョニングとSAML設定を構成するには、次の手順を実行します。

1

Workatoアカウントにサインインし、ワークスペース管理者に移動します。

2

サイドバーで認証とグループをクリックします。

3

設定するEnvironmentを選択します。 Environmentのエンドユーザーグループページがデフォルトで表示されます。

Environmentの利用可能状況

Environmentがプロビジョニングされていないワークスペースでは、利用可能なEnvironmentは1つだけです。

4

認証タブを選択します。

5

SAMLベースのSSO認証トグルが有効になっていることを確認します。

SAMLトグルSAMLベースのSSO認証トグルが有効になっていることを確認します

6

IDプロバイダー(IdP)の選択セクションに移動し、+ 新しいプロバイダーを設定をクリックします。

7

IDプロバイダー(IdP)名フィールドにIdPの名前を入力します。 例: Okta Dev

8

SAML認証の適用対象セクションに移動し、すべてのドメインまたは選択したドメインを選択します。

9

次へをクリックします。

10

シングルサインオンURLの指定サービスプロバイダー(SP)エンティティIDの値をコピーし、それぞれの値をIdPに貼り付けて、Workatoを利用したアプリとサービスへのアクセスを有効にします。

Single sign-on URLを指定とサービスプロバイダー(SP)エンティティIDの値をコピーSingle sign-on URLを指定サービスプロバイダー(SP)エンティティIDの値をコピーします

11

IDプロバイダーのメタデータURLがありますか?フィールドを見つけ、IdPメタデータURLにアクセスできるかどうかに応じてはいまたはいいえを選択します。

12

Set upをクリックします。 設定したIdPが表示される認証タブにリダイレクトされます。

13

前の手順で設定したIdPに移動し、設定をクリックします。

セットアップをクリックします。セットアップをクリックします。

14

プロビジョニングモーダルでSCIMプロビジョニングをクリックします。

SCIMプロビジョニングを選択SCIMプロビジョニングを選択します。

15

ベースURLSCIMトークンをコピーします。 これらの値を使用して、IdPにエンドユーザーをプロビジョニングする権限を付与し、必要に応じてグループを同期します。 この設定により、エンドユーザーとグループのデータがIdPによって上書きされる場合があります。

グループの上書きによるメンバーシップ制御喪失の可能性

グループの変更がIdPからSCIM経由でプッシュされる場合、カスタムグループIDは保持されます。 ローカルグループを上書きする変更により、Workato Identity内のそのグループに対するメンバーシップ制御がただちに失われる可能性があります。 ローカルグループに対するメンバーシップ制御がWorkato Identity内で意図せず失われることを防ぐため、変更をプッシュする前に、IdPでグループが正しく設定されていることを確認してください。

16

保存をクリックします。

IdPでSCIMを設定

エンドユーザーとグループのプロビジョニング設定で提供されるベースURLSCIMトークンを使用してSCIMを使用するようにIdPを設定する必要があります。

SCIMトークン

SCIMトークンは、Authorization: Bearer [TOKEN]を使用してヘッダーで送信する必要があります。

ベースURLSCIMトークンを取得するには、次の手順を実行します。

1

Workato Identityの認証タブに移動します。

2

使用するIdPの省略記号メニューをクリックします。

3

エンドユーザーとグループのプロビジョニングを選択します。

4

ベースURLSCIMトークンの値をコピーします。

5

IdP固有のSCIMプロビジョニング設定情報と例については、次のIdPリソースを参照してください。

エラーのトラブルシューティング

Group PushマッピングターゲットAppグループを更新できない

IdPから、Workato Identity内にすでに存在するグループを同期しようとすると、Okta SCIMアカウントで次のエラーが表示される場合があります。

Unable to update Group Push mapping target App group

このエラーを解決するには、Oktaグループまたは既存のWorkato Identityグループのいずれかの名前を変更します。

既存グループエラー既存グループエラー

一致するユーザーが見つかりません

ユーザーの作成設定が有効になっていない場合、このエラーが表示されることがあります。

このエラーを解決するには、次の手順を実行します。

1

Okta SCIMアカウントに移動します。

2

設定をクリックします。

3

To App > Provisioningを選択します。

4

ユーザーの作成セクションに移動し、有効化チェックボックスを選択します。

ユーザーの作成を有効化ユーザーの作成を有効化

一意の識別子フィールド

Oktaでは、SCIM設定中に一意の識別子フィールドが必要です。 Workatoでは、ユーザーの一意の識別子フィールドフィールドの値としてメールを使用することをお勧めします。

ユーザーの一意の識別子フィールドフィールドの値としてメールを使用 ユーザーの一意の識別子フィールドフィールドの値としてメールを使用

HTTPヘッダー認証エラー

OktaでSCIMを設定する際は、HTTP Headerの認証方法を設定していることを確認してください。 WorkatoのSCIMエンドポイントは、プロビジョニング設定中に生成されたSCIMトークンを使用してリクエストを認証します。 このWorkatoトークンをOktaのベアラートークン値として指定する必要があります。

Last updated: