Workdayの要件

Workdayでエンタイトルメント管理を使用するには、WorkdayテナントとOkta Admin Consoleの両方で特定の構成手順を実行する必要があります。これにより、Okta Governance Engineはユーザー割り当てを管理するために必要な権限と接続性を確保できます。

開始する前の確認事項

• Workdayテナントへの管理アクセスと、セキュリティグループとドメインの変更に必要な権限がある。

• Workdayのビジネスプロセスでユーザー向けのユーザーベースのセキュリティグループイベント（User-Based Security Group Event For User）を作成済み。

• Oktaのスーパー管理者ロールがある。

• OktaにWorkdayのプロビジョニングがすでに構成されている場合は、Governance Engineの構成時にプロビジョニングを無効にした。

Workdayの構成タスク

Oktaがセキュリティグループ割り当てを管理できるようにするには、Okta統合システムユーザー（ISU）権限を付与する必要があります。

ユーザーベースのセキュリティグループ権限を構成する

必要な機能権限をOkta統合システムユーザー（ISU）に割り当て、ユーザーベースのセキュリティグループの読み取りおよび更新ができるようにします。

1. Workdayの検索バーに、Maintain Permissions for Security Groupと入力します。

2. ソースセキュリティグループ（Source Security Group）で、Oktaの統合システムユーザー（ISU）に関連付けられているセキュリティグループを選択します。

3. OKをクリックして選択内容を確定します。

4. ドメインセキュリティポリシー権限（Domain Security Policy Permissions）で、ユーザーベースのセキュリティグループ管理（User-Based Security Group Administration）ドメインを見つけます。

5. 必要な権限を割り当てます。

   • GET：既存のグループメンバーシップを読み出します。

   • PUT：グループのユーザーを追加または削除します。

6. OKをクリックしてから完了（Done）をクリックします。

ビジネスプロセス（SP）セキュリティを構成する

Okta統合システムユーザー（ISU）がセキュリティグループメンバーシップの変更をトリガーできるように、ビジネスプロセスポリシーを更新します。

1. Workdayの検索バーに、bp: User-Based Security Group Event For Userと入力します。

2. ビジネスプロセス名の横にある関連アクション（Related Actions）（省略記号アイコン）をクリックします。

3. ビジネスプロセスポリシー（Business Process Policy） > 編集（Edit）を選択します。

4. ユーザー向けのユーザーベースのセキュリティグループイベント（Webサービス）（User-Based Security Group Event for User (Web Service)）のアクションの開始（Initiating Action）セクションを見つけます。

5. セキュリティグループ（Security Groups）で、許可されたセキュリティグループのリストにOkta統合セキュリティセキュリティグループを追加します。

6. OKをクリックします。

セキュリティ変更を有効にする

ポリシーに割り当てた権限をアクティブ化する必要があります。

1. Workdayの検索バーに、Activate Pending Security Policy Changesと入力して選択します。

2. コメント（Comment）欄に、変更の簡単な説明（例：OIG Entitlement Managementの権限を有効化）を入力し、OKをクリックします。

3. 確認（Confirm）を選択して変更を承認します。

4. OKをクリックします。

Oktaの構成タスク

Workdayの権限を設定したら、エンタイトルメント管理を有効にし、Oktaでプロビジョニング設定を構成する必要があります。

Governance Engineを有効にする

Okta Governance Engineがセキュリティグループの割り当てを管理できるように、Workdayアプリインスタンスでエンタイトルメント管理を有効にします。

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. Workday アプリを選択し、一般（General）タブに移動します。

3. エンタイトルメント管理（Entitlement Management）セクションの編集（Edit）をクリックします。

4. エンタイトルメント管理（Entitlement management）ドロップダウンメニューから、有効（Enabled）を選択します。

   注:

   プロビジョニングが構成されている場合、プロビジョニング（Provisioning）タブでまずプロビジョニングを無効にします。エンタイトルメント管理を有効にした後、再度有効にするには、プロビジョニング（Provisioning）タブに戻る必要があります。

5. 保存（Save）をクリックします。

API統合とプロビジョニングを構成する

Governance Engineがセキュリティグループを検出し、ユーザーにエンタイトルメントの更新をプッシュできるように、Workday API設定を構成します。

1. Workdayアプリで、プロビジョニング（Provisioning）タブに移動し、統合（Integration）を選択します。

2. 編集（Edit）をクリックし、API統合を有効化（Enable API Integration）が選択されていることを確認します。

3. 統合設定（Integration settings）で、グループをインポート（Import Groups）がオンになっていることを確認します。これにより、Oktaはユーザーベースのセキュリティグループを検出できます。

4. 保存（Save）をクリックします。

5. 左側のメニューからアプリへ（To App）を選択し、編集（Edit）をクリックします。

6. ユーザー属性の更新（Update User Attributes）に移動し、有効化（Enable）を選択します。これにより、Oktaはエンタイトルメントの変更をWorkdayにプッシュして戻せます。

7. 保存（Save）をクリックします。

関連項目

プロビジョニング対応アプリを構成する

プロビジョニング対応アプリの制限事項