WorkatoワークスペースでSingle Sign-Onを有効にする
WorkatoはSAMLベースのSingle Sign-On(SSO)を使用した認証をサポートしており、複数のワークスペースメンバーにWorkatoへの承認済みアクセスを提供できます。
just-in-time(JIT)プロビジョニングを使用して、Workatoアカウントの事前プロビジョニングを不要にできます。
SAML認証の適用
ワークスペースにSAML SSOを適用できます。 適用すると、すべてのワークスペースメンバー(ワークスペースアカウントのオーナーを除く)はIDプロバイダーを通じて認証する必要があります。 Workatoのユーザー名とパスワードでログインして、ワークスペースとそのリソースにアクセスすることはできません。
ワークスペースのアカウントオーナーは、SAMLベースのSSOを使用してワークスペースで認証できないことに注意してください。 代わりにユーザー名とパスワードでサインインする必要があります。
VIRTUAL PRIVATE WORKATO (VPW)のお客様
この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。
前提条件
WorkatoのSSOを構成するには、次の情報が必要です。
WorkatoでのSAML SSO権限。
Workatoアカウントをサポートしているdata centerを把握していること。 一部の構成設定の値は、アカウントのデータセンターによって異なります。
SAMLアプリを構成するには、次のデータセンターURLを参照してください。
- USデータセンター(USDC):
https://www.workato.com - 欧州連合データセンター(EUDC):
https://app.eu.workato.com - 日本データセンター(JPDC):
https://app.jp.workato.com - シンガポールデータセンター(SGDC):
https://app.sg.workato.com - オーストラリアデータセンター(AUDC):
https://app.au.workato.com - イスラエルデータセンター(ILDC):
https://app.il.workato.com - 中国データセンター(CNDC):
https://app.workatoapp.cn - 韓国データセンター(KRDC):
https://app.kr.workato.com - 開発者トライアル:
https://app.trial.workato.com
- USデータセンター(USDC):
次のアクションを完了できるSAMLプロバイダーでの権限:
- SAMLアプリケーションを作成および変更する。
- アプリケーションをユーザーに割り当てる。
ステップ1: Workato SAMLアプリケーションを作成する
WorkatoのSSOを有効にするには、SAMLプロバイダーでWorkato専用のSAMLアプリケーションを作成する必要があります。
開始するには、SAMLプロバイダーの手順を見つけます。
WORKATOデータセンターを把握していますか
続行する前に、Workatoアカウントがどのdata centerにあるかを確認します。
SAMLアプリケーションを設定するときは、データセンターに対応するSSO URLを使用してください。
Google Workspace
機能の提供状況
Google Workspaceは、中国データセンターのワークスペースではIdPとして使用できません。 これは現地の規制要件を反映したものであり、当社のマルチテナントおよびVirtual Private Workato(VPW)サービスに適用されます。
GOOGLE WORKSPACEの手順を表示
詳細については、Google Workspace Admin documentationを参照してください。
Workato内
ワークスペース管理者 > 設定 > ログイン方法に移動します。
認証方法ドロップダウンメニューを使用して、SAMLベースのSSOを選択します。
ワークスペースのワークスペースハンドルを指定します。 最大長は20文字です。 Workatoは、このフィールドに入力した大文字を小文字に変換します。
SAMLプロバイダードロップダウンメニューを使用して、その他のSAML IdPを選択します。
サービスプロバイダー(SP)エンティティIDをコピーします。
エンティティIDの取得
Google管理コンソール内
アプリ > ウェブアプリとモバイルアプリに移動します。
アプリを追加 > カスタムSAMLアプリを追加をクリックします。
サービスプロバイダーの詳細セクションに移動し、次の構成情報を指定します。
- ACS URL
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/consume- EUデータセンター:
https://app.eu.workato.com/saml/consume- JPデータセンター:
https://app.jp.workato.com/saml/consume- SGデータセンター:
https://app.sg.workato.com/saml/consume- AUデータセンター:
https://app.au.workato.com/saml/consume- ILデータセンター:
https://app.il.workato.com/saml/consume- 開発者サンドボックス:
https://app.trial.workato.com/saml/consume
- エンティティID
- Workatoから取得したサービスプロバイダー(SP)エンティティIDを入力します。
- 開始URL
- 任意です。 これにより、SAMLリクエストのRelayStateパラメーターが設定されます。これは、認証後にユーザーをリダイレクトするURLにできます。 このフィールドは空のままにするか、ユーザーの誘導先として予定している最終宛先を指定することをお勧めします。
必要に応じてアプリの構成と設定の定義を完了します。
Workatoでセットアップを完了します。
Microsoft Entra ID
MICROSOFT ENTRA IDの手順を表示
Microsoft Entra IDでSAMLベースのSSOを構成する詳細なステップバイステップガイドについては、Microsoftのドキュメントに従ってください。
Workatoアカウント内
ワークスペース管理者 > 設定 > ログイン方法に移動します。
認証方法メニューでSAMLベースのSSOを選択します。
ワークスペースハンドルフィールドに入力します。 最大長は20文字です。 Workatoは、このフィールドに入力した大文字を小文字に変換します。
SAMLプロバイダーメニューでMicrosoft Entra IDを選択します。
サービスプロバイダー(SP)エンティティIDをコピーします:
エンティティIDの取得
Azureポータル内
Microsoft Entra ID SSOをWorkatoに接続するための非ギャラリーアプリケーションを作成します。
- Microsoft Entra ID > エンタープライズアプリケーションを選択します。
- 新しいアプリケーションを作成し、非ギャラリーアプリケーションを選択します。
詳細については、Azureドキュメントを参照してください。
新しいアプリケーションのシングルサインオンタブに移動し、SAMLを選択します。
構成の詳細を次のように入力します。
識別子(エンティティID)
Workatoから取得したサービスプロバイダー(SP)エンティティIDを入力します。
応答URL(Assertion Consumer Service URL)
WorkatoデータセンターのURLを使用します。
USデータセンター:
https://www.workato.com/saml/consumeEUデータセンター:
https://app.eu.workato.com/saml/consumeJPデータセンター:
https://app.jp.workato.com/saml/consumeSGデータセンター:
https://app.sg.workato.com/saml/consumeAUデータセンター:
https://app.au.workato.com/saml/consumeILデータセンター:
https://app.il.workato.com/saml/consumeCNデータセンター:
https://app.workatoapp.cn/saml/consume開発者サンドボックス:
https://app.trial.workato.com/saml/consume
サインオンURL
Workatoでワークスペースハンドルを見つけます。 次に、使用するデータセンターのURLを構成します。 次のURLの
{WORKSPACE_HANDLE}を実際のワークスペースハンドルに置き換えます。USデータセンター:
https://www.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}EUデータセンター:
https://app.eu.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}JPデータセンター:
https://app.jp.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}SGデータセンター:
https://app.sg.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}AUデータセンター:
https://app.au.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}ILデータセンター:
https://app.il.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}CNデータセンター:
https://app.workatoapp.cn/saml/init?team_handle={WORKSPACE_HANDLE}開発者サンドボックス:
https://app.trial.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}
Azure SAML構成
保存をクリックします。
SAML構成を保存した後にメールアドレスが小文字に変換されるように、属性とクレームセクションを構成する必要があります。 これにより、大文字と小文字を区別するログインの問題を防止できます。 属性とクレームを構成するには、次のステップを完了します。
属性とクレームセクションに移動します。
編集をクリックします。
一意のユーザー識別子 (Name ID) をクリックして、必要なクレームを開いて編集します。
必要なクレームの編集
クレームの管理ページで、ソースを変換に設定します。
ソースの設定
変換の管理ページの変換ドロップダウンメニューからToLowercase()を選択します。
変換を選択
パラメーターとして属性を選択します。
属性名フィールドにuser.mailを入力します。
追加をクリックして変換を追加します。
保存をクリックして構成を完了します。
次に、Azure AD Metadata URLを取得します。 これは、WorkatoでのSSOセットアップを完了するために必要です。
シングルサインオンタブに移動し、SAML証明書の詳細を見つけます。
アプリのフェデレーションメタデータURLをコピーします。
Microsoft Entra IDメタデータURL
前述のステップを完了したら、セットアップを完了するために次のステップに進みます。
CyberArk Identity
CYBERARK IDENTITYの手順を表示
CyberArk Identity内
CyberArk Identity管理コンソールにサインインします。
Apps & Widgetsサイドバーに移動し、カスタムSAMLアプリを追加を選択します。
アプリケーションにWorkatoという名前を付けます。
TrustをクリックしてSAML設定を構成します。
サービスプロバイダー構成セクションに移動し、手動構成を選択します。
SAML設定を次のように指定します。
- 対象者
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/metadata- EUデータセンター:
https://app.eu.workato.com/saml/metadata- JPデータセンター:
https://app.jp.workato.com/saml/metadata- SGデータセンター:
https://app.sg.workato.com/saml/metadata- AUデータセンター:
https://app.au.workato.com/saml/metadata- ILデータセンター:
https://app.il.workato.com/saml/metadata- CNデータセンター:
https://app.workatoapp.cn/saml/metadata- 開発者サンドボックス:
https://app.trial.workato.com/saml/metadata
- 受信者
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/consume- EUデータセンター:
https://app.eu.workato.com/saml/consume- JPデータセンター:
https://app.jp.workato.com/saml/consume- SGデータセンター:
https://app.sg.workato.com/saml/consume- AUデータセンター:
https://app.au.workato.com/saml/consume- ILデータセンター:
https://app.il.workato.com/saml/consume- CNデータセンター:
https://app.workatoapp.cn/saml/consume- 開発者サンドボックス:
https://app.trial.workato.com/saml/consume
- ACS(Consumer)URLバリデーター
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
^https:\/\/www.workato.com\/saml\/*$- EUデータセンター:
^https:\/\/app.eu.workato.com\/saml\/*$- JPデータセンター:
^https:\/\/app.jp.workato.com\/saml\/*$- SGデータセンター:
^https:\/\/app.sg.workato.com\/saml\/*$- AUデータセンター:
^https:\/\/app.au.workato.com\/saml\/*$- ILデータセンター:
^https:\/\/app.il.workato.com\/saml\/*$- CNデータセンター:
^https:\/\/app.workatoapp.cn\/saml\/*$- 開発者サンドボックス:
^https:\/\/app.trial.workato.com\/saml\/*$
- ACS(Consumer)URL
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/consume- EUデータセンター:
https://app.eu.workato.com/saml/consume- JPデータセンター:
https://app.jp.workato.com/saml/consume- SGデータセンター:
https://app.sg.workato.com/saml/consume- AUデータセンター:
https://app.au.workato.com/saml/consume- ILデータセンター:
https://app.au.workato.com/saml/consume- CNデータセンター:
https://app.workatoapp.cn/saml/consume- 開発者サンドボックス:
https://app.trial.workato.com/saml/consume
Assertionを選択します。
Workato実装の詳細で特に指定されていない限り、その他の設定はデフォルトのままにします。
CyberArk Identityサービスプロバイダー構成
保存をクリックします。
基本的なSAML構成を保存した後、メールアドレスが小文字になるようにユーザーアカウントマッピングを構成する必要があります。
アカウントマッピングページに移動します。
アカウントマッピングスクリプトオプションを選択します。
ログインメールを小文字にマッピングするには、次のカスタムJavaScriptを追加します。
LoginUser.Username = LoginUser.Get('mail').toLowerCase();このスクリプトは、Active Directoryのmail属性からユーザーのメールを取得し、小文字に変換して、LoginUser.Usernameとして割り当てます。 これにより一貫性が確保され、Workatoで大文字と小文字を区別するログインの問題を防止できます。
テストをクリックしてスクリプトを確認します。
スクリプトの確認
保存をクリックしてアカウントマッピングの変更を適用します。
アカウントマッピングを構成した後、SAMLセットアップを完了するには次のステップを完了します。
CyberArk Identityから提供されたMetadata URLを見つけてコピーします。 これは、WorkatoでのSSOセットアップを完了するために必要です。
CyberArk IdentityメタデータURL構成
CyberArk IdentityからIdentity provider single sign-on URL、Identity provider issuer、およびSigning certificateを取得します。 これらの値は、WorkatoでのSSOセットアップを完了するために必要です。
Workato SAMLアプリをデプロイして、CyberArk Identityのユーザーが使用できるようにします。
CyberArk Identity管理コンソールのPermissionsセクションに移動します。
Addをクリックし、通常はアプリのデプロイメントを担当するシステム管理者などのユーザーを選択します。
SaveをクリックしてWorkato SAMLアプリをデプロイします。
ユーザーがWorkatoにアクセスできるように、Workato SAMLアプリにロール権限を割り当てる必要があります。 ロール権限を割り当てるには、次のステップを完了します。
CyberArk Identity管理コンソールでCore Services > Rolesに移動します。
Add Roleを選択し、Workatoを使用するユーザーの権限を定義するためにロールにWorkato Usersという名前を付けます。
Assigned Applicationsに移動し、Workato SAMLアプリを見つけ、Addをクリックして Workato Usersロールに関連付けます。
Saveをクリックしてロールの割り当てを確認し、セットアッププロセスを完了します。
Workato SAMLアプリをロールに割り当てる
Workato Usersロールが割り当てられたユーザーは、CyberArk IdentityユーザーポータルでWorkato SAMLアプリを見つけることができます。 このアプリをクリックすると、Workatoにサインインし、アカウントが自動的にプロビジョニングされます。
前述のステップを完了したら、Workatoでセットアップを完了するために次のステップに進みます。
Okta
OKTAの手順を表示
Okta内
Oktaインスタンスにサインインします。
Applications > Applicationsに移動します。
Sign on methodにSAML 2.0を選択します。
Oktaで新しいアプリケーションを作成
次へをクリックします。
SAMLアプリケーションのアプリ名を指定します。 これは任意の説明的な名前("Workato"など)にでき、Workatoワークスペースハンドルと一致する必要はありません。
SAMLアプリケーションのアプリ名を指定
NextをクリックしてSAML構成設定に進みます。
WorkatoデータセンターのSingle Sign-On URLを指定します。
- USデータセンター:
https://www.workato.com/saml/consume - EUデータセンター:
https://app.eu.workato.com/saml/consume - JPデータセンター:
https://app.jp.workato.com/saml/consume - SGデータセンター:
https://app.sg.workato.com/saml/consume - AUデータセンター:
https://app.au.workato.com/saml/consume - ILデータセンター:
https://app.il.workato.com/saml/consume - KRデータセンター:
https://app.kr.workato.com/saml/consume - CNデータセンター:
https://app.workatoapp.cn/saml/consume - 開発者サンドボックスデータセンター:
https://app.trial.workato.com/saml/consume
Use this for Recipient URL and Destination URLチェックボックスを選択します。
WorkatoデータセンターのAudience URI (SP Entity ID) を指定します:
- Workatoデータセンター
- USデータセンター:
https://www.workato.com/saml/metadata- EUデータセンター:
https://app.eu.workato.com/saml/metadata- JPデータセンター:
https://app.jp.workato.com/saml/metadata- SGデータセンター:
https://app.sg.workato.com/saml/metadata- AUデータセンター:
https://app.au.workato.com/saml/metadata- ILデータセンター:
https://app.il.workato.com/saml/metadata- CNデータセンター:
https://app.workatoapp.cn/saml/metadata- 開発者サンドボックス:
https://app.trial.workato.com/saml/metadata
Application usernameをCustomに設定し、ユーザーのメールアドレスを小文字に変換する次の式を入力します。
toLowerCase(user.email)
Application usernameをCustomに設定
任意です。 Show Advanced Settingsをクリックします。 Other Requestable SSO URLsフィールドで、Add Anotherをクリックし、WorkatoデータセンターのACS URLを指定します。
- Workatoデータセンター
- USデータセンター:
https://www.workato.com/saml/consume- EUデータセンター:
https://app.eu.workato.com/saml/consume- JPデータセンター:
https://app.jp.workato.com/saml/consume- SGデータセンター:
https://app.sg.workato.com/saml/consume- AUデータセンター:
https://app.au.workato.com/saml/consume- ILデータセンター:
https://app.il.workato.com/saml/consume- CNデータセンター:
https://app.workatoapp.cn/saml/consume- 開発者サンドボックス:
https://app.trial.workato.com/saml/consume
Nextをクリックし、次にFinishをクリックしてSAMLアプリケーションのセットアップを完了します。
OktaからMetadata URLをコピーします。
前述のステップを完了したら、Workatoでセットアップを完了するために次のステップに進みます。
OneLogin
ONELOGINの手順を表示
OneLogin内
OneLoginインスタンスにサインインします。
Applications > Applicationsに移動します。
Add Appをクリックします。
OneLoginでアプリケーションを追加
SAML Test Connector (IdP w/ attr w/ sign response)を検索して選択します。
SAMLテストコネクター
Application detailsで、構成の詳細を次のように入力します。
- 対象者
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/metadata- EUデータセンター:
https://app.eu.workato.com/saml/metadata- JPデータセンター:
https://app.jp.workato.com/saml/metadata- SGデータセンター:
https://app.sg.workato.com/saml/metadata- AUデータセンター:
https://app.au.workato.com/saml/metadata- ILデータセンター:
https://app.il.workato.com/saml/metadata- CNデータセンター:
https://app.workatoapp.cn/saml/metadata- 開発者サンドボックス:
https://app.trial.workato.com/saml/metadata
- 受信者
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/consume- EUデータセンター:
https://app.eu.workato.com/saml/consume- JPデータセンター:
https://app.jp.workato.com/saml/consume- SGデータセンター:
https://app.sg.workato.com/saml/consume- AUデータセンター:
https://app.au.workato.com/saml/consume- ILデータセンター:
https://app.il.workato.com/saml/consume- CNデータセンター:
https://app.workatoapp.cn/saml/consume- 開発者サンドボックス:
https://app.trial.workato.com/saml/consume
- ACS(Consumer)URLバリデーター
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
^https:\/\/www.workato.com\/saml\/*$- EUデータセンター:
^https:\/\/app.eu.workato.com\/saml\/*$- JPデータセンター:
^https:\/\/app.jp.workato.com\/saml\/*$- SGデータセンター:
^https:\/\/app.sg.workato.com\/saml\/*$- AUデータセンター:
^https:\/\/app.au.workato.com\/saml\/*$- ILデータセンター:
^https:\/\/app.il.workato.com\/saml\/*$- CNデータセンター:
^https:\/\/app.workatoapp.cn\/saml\/*$- 開発者サンドボックス:
^https:\/\/app.trial.workato.com\/saml\/*$
- ACS(Consumer)URL
- WorkatoデータセンターのURLを使用します。
- USデータセンター:
https://www.workato.com/saml/consume- EUデータセンター:
https://app.eu.workato.com/saml/consume- JPデータセンター:
https://app.jp.workato.com/saml/consume- SGデータセンター:
https://app.sg.workato.com/saml/consume- AUデータセンター:
https://app.au.workato.com/saml/consume- ILデータセンター:
https://app.il.workato.com/saml/consume- CNデータセンター:
https://app.workatoapp.cn/saml/consume- 開発者サンドボックス:
https://app.trial.workato.com/saml/consume
保存をクリックします。
次に、OneLogin Metadata URLを取得します。 これは、WorkatoでのSSOセットアップを完了するために必要です。
- アプリケーションのページで、More Actionsをクリックします。
- SAML Metadataを右クリックし、Copy link addressを選択します。
OneLoginメタデータURL
前述のステップを完了したら、セットアップを完了するために次のステップに進みます。
その他のIDプロバイダー
その他のIDプロバイダーの手順
使用しているIDプロバイダー(IdP)が一覧にない場合でも、共通のSAML 2.0標準を使用して、WorkatoでSAMLベースのSingle Sign-On(SSO)を構成できます。
その他のIDプロバイダーに対してSAML SSOを構成するには、次のステップを完了します。
IDプロバイダー(IdP)にサインインし、SAMLアプリケーションの設定を開始します。
SAML構成設定で、WorkatoデータセンターのAudience URI (SP Entity ID) を指定します:
USデータセンター:
https://www.workato.com/saml/metadataEUデータセンター:
https://app.eu.workato.com/saml/metadataJPデータセンター:
https://app.jp.workato.com/saml/metadataSGデータセンター:
https://app.sg.workato.com/saml/metadataAUデータセンター:
https://app.au.workato.com/saml/metadataILデータセンター:
https://app.il.workato.com/saml/metadataCNデータセンター:
https://app.workatoapp.cn/saml/metadata開発者サンドボックス:
https://app.trial.workato.com/saml/metadata
データセンターに基づいてACS URL (Assertion Consumer Service URL) を指定します:
USデータセンター:
https://www.workato.com/saml/consumeEUデータセンター:
https://app.eu.workato.com/saml/consumeJPデータセンター:
https://app.jp.workato.com/saml/consumeSGデータセンター:
https://app.sg.workato.com/saml/consumeAUデータセンター:
https://app.au.workato.com/saml/consumeILデータセンター:
https://app.il.workato.com/saml/consumeCNデータセンター:
https://app.workatoapp.cn/saml/consume開発者サンドボックス:
https://app.trial.workato.com/saml/consume
任意です。 SSO URL(Single Sign-On URL)を指定します。 このURLは、IDプロバイダーによっては任意の場合があります。 Workatoでワークスペースハンドルを見つけ、使用するデータセンターのURL内の{WORKSPACE_HANDLE}を置き換える必要があります。
USデータセンター:
https://www.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}EUデータセンター:
https://app.eu.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}JPデータセンター:
https://app.jp.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}SGデータセンター:
https://app.sg.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}AUデータセンター:
https://app.au.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}ILデータセンター:
https://app.il.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}CNデータセンター:
https://app.workatoapp.cn/saml/init?team_handle={WORKSPACE_HANDLE}開発者サンドボックス:
https://app.trial.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}
IDプロバイダーで必要な追加パラメーターを設定し、SAMLアプリケーションのセットアップを保存します。
IDプロバイダーからMetadata URLを取得します。 このURLは、WorkatoでSSOセットアップを完了するために必要です。
前述のステップを完了したら、セットアップを完了するためにWorkato SSOのセットアップに進みます。
ステップ2: Workatoでセットアップを完了する
Workatoにサインインし、ワークスペース管理者 > 設定 > ログイン方法に移動します。
認証方法ドロップダウンメニューを使用して、SAMLベースのSSOを選択します。
ワークスペースのワークスペースハンドルを指定します。 最大長は20文字です。 Workatoは、このフィールドの大文字を小文字に変換します。
SAMLプロバイダードロップダウンメニューを使用して、SAMLプロバイダーを選択します。 Google Workspaceを使用する場合は、その他のSAML IdPを選択します。
IDプロバイダーのメタデータURLがありますか?フィールドを見つけ、IdPメタデータURLにアクセスできるかどうかに応じてはいまたはいいえを選択します。
JITプロビジョニングを有効にします。 詳細については、Just-in-timeプロビジョニングガイドを参照してください。
すべてのユーザーにSAML SSOを適用します。 すべてのユーザーにSAML認証を適用トグルを有効にすると、Workatoはすべてのコラボレーター(ワークスペースオーナーを除く)にIDプロバイダーを通じた認証を要求します。 適用が有効な間は、個々のユーザーに対してSAMLを無効にできません。
ユーザーがSAML認証なしでワークスペースにアクセスできるようにするには、ワークスペースレベルですべてのユーザーにSAML認証を適用トグルを無効にする必要があります。
設定を検証をクリックします。
検証エラー
検証エラーが発生した場合は、次のアクションを実行します。
sslshopperなどのツールで証明書が有効であることを確認します。 証明書は-----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わる必要があります。
IdP SSO URL/メタデータURLが有効な形式であることを確認します。 IDプロバイダーのSAML構成ガイドを参照してください。
検証が成功したら、保存をクリックします。
ステップ3: ユーザーにSAMLを割り当てる
SSO構成を完了した後、SAMLアプリケーションをワークスペースメンバーに割り当てることができます。
次の例ではOktaアプリケーションを使用します。
Oktaで新しく作成したSAMLアプリケーションに移動します。
- Applications > Workato > Assignments > Assign Users to App。
リストを使用して、ワークスペースメンバーをアプリケーションに割り当てます。
SSO対応のWorkatoワークスペースにサインインする
ワークスペースアカウントオーナー
ワークスペースオーナーは、SAMLベースのSSOを使用してワークスペースで認証できません。 代わりにユーザー名とパスワードを使用する必要があります。
WorkatoでSSOを有効にすると、SAMLプロバイダーがWorkatoワークスペースへのアクセスを制御します。 Workatoワークスペースへのアクセスを許可するには、ワークスペースメンバーにSAMLアプリケーションを割り当てる必要があります。 その後、ワークスペースメンバーは、次のようなSAMLプロバイダーからWorkatoアカウントにアクセスできます。
- Google Workspace
- 会社または組織のサインインURLを使用します。 例:
google.com/abc-example - Microsoft Entra ID
https://myapps.microsoft.com/- Okta
- 会社または組織のサインインURLを使用します。 例:
123-example.okta.com - OneLogin
- 会社または組織のサインインURLを使用します。 例:
xyz-example.onelogin.com
管理者にSSO URLをリクエストする
会社または組織のSSO URLをリクエストするには、管理者にお問い合わせください。
SSO対応のWorkatoワークスペースにサインインするステップは、SAMLプロバイダーおよび管理者が設定した構成によって異なる場合があります。 たとえば、OktaとOneLoginのアカウントには通常、SSOが有効なWorkato(およびその他の)アプリケーションを選択できるダッシュボードが用意されています。 Oktaダッシュボードで、Workatoアプリケーションをクリックしてサインインできます。
Okta上のWorkatoアプリ
ワークスペースメンバーが個人アカウントからSSO対応ワークスペースアカウントに切り替える場合、SAMLプロバイダーを通じて認証する必要があります。 このプロセスは、SAMLプロバイダーおよび管理者が選択した構成によって異なります。 次の例は、このプロセスを示しています。
Okta認可でワークスペースアカウントに切り替える
SAML JITプロビジョニングのメール確認
SP開始SSOまたはIdP開始SSOのいずれかを通じて初めてログインするユーザーは、SAML JITプロビジョニングのためにメールアドレスを確認する必要があります。
Workatoは、ユーザーが初めてワークスペースにアクセスするときにメールの確認を求めます。

招待メールを受信: Workatoは選択したユーザーに招待メールを送信します。 メール内のリンクをクリックしてメールアドレスを確認するようユーザーに指示します。
ワークスペースに参加するためのメール招待
その後、コラボレーターは、構成済みのロールで割り当てられたワークスペースにサインインできます。
トラブルシューティング
招待をクリックして、組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。
活動監査ログを確認: Workatoの活動監査ログを確認して、ユーザーの追加を確認できます。
ユーザーが招待を承諾したことを示す活動監査ログ
IdP開始SSOフロー
IdPは、IdP開始フロー(IdPによって直接生成されたSAML Responsesを受け入れる)を実行するために、GETパラメーターとしてteam_idを提供する場合があります。 これにより、Workatoはユーザーがアクセスしようとしているワークスペースを識別できます。 Workatoにteam_id情報がない場合、SAML Responseは無視され、Workatoは新しいSP開始SSOフローを開始します。
IdPで次の値を構成します。
- ACS URL: WorkatoデータセンターのURLを使用します
- USデータセンター:
https://www.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - EUデータセンター:
https://app.eu.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - JPデータセンター:
https://app.jp.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - SGデータセンター:
https://app.sg.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - AUデータセンター:
https://app.au.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - ILデータセンター:
https://app.il.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - KRデータセンター:
https://app.kr.workato.com/saml/consume?team_id={WORKSPACE_HANDLE} - CNデータセンター:
https://app.workatoapp.cn/saml/consume?team_id={WORKSPACE_HANDLE} - 開発者サンドボックスデータセンター:
https://app.trial.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
ここで、{WORKSPACE_HANDLE}はワークスペース管理者 > 設定 > ログイン方法で構成されたワークスペースハンドルです。
Last updated:
Oktaでアプリケーションを追加
メタデータURLを指定
IdP情報を指定