WorkatoワークスペースでSingle Sign-Onを有効にする

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

WorkatoはSAMLベースのSingle Sign-On(SSO)を使用した認証をサポートしており、複数のワークスペースメンバーにWorkatoへの承認済みアクセスを提供できます。

just-in-time(JIT)プロビジョニングを使用して、Workatoアカウントの事前プロビジョニングを不要にできます。

SAML認証の適用

ワークスペースにSAML SSOを適用できます。 適用すると、すべてのワークスペースメンバー(ワークスペースアカウントのオーナーを除く)はIDプロバイダーを通じて認証する必要があります。 Workatoのユーザー名とパスワードでログインして、ワークスペースとそのリソースにアクセスすることはできません。

ワークスペースのアカウントオーナーは、SAMLベースのSSOを使用してワークスペースで認証できないことに注意してください。 代わりにユーザー名とパスワードでサインインする必要があります。

VIRTUAL PRIVATE WORKATO (VPW)のお客様

この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。


前提条件

WorkatoのSSOを構成するには、次の情報が必要です。


ステップ1: Workato SAMLアプリケーションを作成する

WorkatoのSSOを有効にするには、SAMLプロバイダーでWorkato専用のSAMLアプリケーションを作成する必要があります。

開始するには、SAMLプロバイダーの手順を見つけます。

WORKATOデータセンターを把握していますか

続行する前に、Workatoアカウントがどのdata centerにあるかを確認します。

SAMLアプリケーションを設定するときは、データセンターに対応するSSO URLを使用してください。

Google Workspace

機能の提供状況

Google Workspaceは、中国データセンターのワークスペースではIdPとして使用できません。 これは現地の規制要件を反映したものであり、当社のマルチテナントおよびVirtual Private Workato(VPW)サービスに適用されます。

GOOGLE WORKSPACEの手順を表示

詳細については、Google Workspace Admin documentationを参照してください。

Workato内

1

ワークスペース管理者 > 設定 > ログイン方法に移動します。

2

認証方法ドロップダウンメニューを使用して、SAMLベースのSSOを選択します。

3

ワークスペースのワークスペースハンドルを指定します。 最大長は20文字です。 Workatoは、このフィールドに入力した大文字を小文字に変換します。

4

SAMLプロバイダードロップダウンメニューを使用して、その他のSAML IdPを選択します。

5

サービスプロバイダー(SP)エンティティIDをコピーします。

エンティティIDの取得エンティティIDの取得

Google管理コンソール内

1

アプリ > ウェブアプリとモバイルアプリに移動します。

2

アプリを追加 > カスタムSAMLアプリを追加をクリックします。

3

サービスプロバイダーの詳細セクションに移動し、次の構成情報を指定します。

  • ACS URL
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/consume
    • EUデータセンター:
    • https://app.eu.workato.com/saml/consume
    • JPデータセンター:
    • https://app.jp.workato.com/saml/consume
    • SGデータセンター:
    • https://app.sg.workato.com/saml/consume
    • AUデータセンター:
    • https://app.au.workato.com/saml/consume
    • ILデータセンター:
    • https://app.il.workato.com/saml/consume
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/consume
  • エンティティID
  • Workatoから取得したサービスプロバイダー(SP)エンティティIDを入力します。
  • 開始URL
  • 任意です。 これにより、SAMLリクエストのRelayStateパラメーターが設定されます。これは、認証後にユーザーをリダイレクトするURLにできます。 このフィールドは空のままにするか、ユーザーの誘導先として予定している最終宛先を指定することをお勧めします。
4

必要に応じてアプリの構成と設定の定義を完了します。

Workatoでセットアップを完了します。

Microsoft Entra ID

MICROSOFT ENTRA IDの手順を表示

Microsoft Entra IDでSAMLベースのSSOを構成する詳細なステップバイステップガイドについては、Microsoftのドキュメントに従ってください。

Workatoアカウント内

1

ワークスペース管理者 > 設定 > ログイン方法に移動します。

2

認証方法メニューでSAMLベースのSSOを選択します。

3

ワークスペースハンドルフィールドに入力します。 最大長は20文字です。 Workatoは、このフィールドに入力した大文字を小文字に変換します。

4

SAMLプロバイダーメニューでMicrosoft Entra IDを選択します。

5

サービスプロバイダー(SP)エンティティIDをコピーします:

エンティティIDの取得エンティティIDの取得

Azureポータル内

1

Microsoft Entra ID SSOをWorkatoに接続するための非ギャラリーアプリケーションを作成します。

  • Microsoft Entra ID > エンタープライズアプリケーションを選択します。
  • 新しいアプリケーションを作成し、非ギャラリーアプリケーションを選択します。

詳細については、Azureドキュメントを参照してください。

2

新しいアプリケーションのシングルサインオンタブに移動し、SAMLを選択します。

3

構成の詳細を次のように入力します。

  • 識別子(エンティティID)

  • Workatoから取得したサービスプロバイダー(SP)エンティティIDを入力します。

  • 応答URL(Assertion Consumer Service URL)

  • WorkatoデータセンターのURLを使用します。

    • USデータセンター:

    • https://www.workato.com/saml/consume

    • EUデータセンター:

    • https://app.eu.workato.com/saml/consume

    • JPデータセンター:

    • https://app.jp.workato.com/saml/consume

    • SGデータセンター:

    • https://app.sg.workato.com/saml/consume

    • AUデータセンター:

    • https://app.au.workato.com/saml/consume

    • ILデータセンター:

    • https://app.il.workato.com/saml/consume

    • CNデータセンター:

    • https://app.workatoapp.cn/saml/consume

    • 開発者サンドボックス:

    • https://app.trial.workato.com/saml/consume

  • サインオンURL

  • Workatoでワークスペースハンドルを見つけます。 次に、使用するデータセンターのURLを構成します。 次のURLの{WORKSPACE_HANDLE}を実際のワークスペースハンドルに置き換えます。

    • USデータセンター:

    • https://www.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

    • EUデータセンター:

    • https://app.eu.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

    • JPデータセンター:

    • https://app.jp.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

    • SGデータセンター:

    • https://app.sg.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

    • AUデータセンター:

    • https://app.au.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

    • ILデータセンター:

    • https://app.il.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

    • CNデータセンター:

    • https://app.workatoapp.cn/saml/init?team_handle={WORKSPACE_HANDLE}

    • 開発者サンドボックス:

    • https://app.trial.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

Azure SAML構成Azure SAML構成

4

保存をクリックします。

SAML構成を保存した後にメールアドレスが小文字に変換されるように、属性とクレームセクションを構成する必要があります。 これにより、大文字と小文字を区別するログインの問題を防止できます。 属性とクレームを構成するには、次のステップを完了します。

1

属性とクレームセクションに移動します。

2

編集をクリックします。

3

一意のユーザー識別子 (Name ID) をクリックして、必要なクレームを開いて編集します。

必要なクレームの編集必要なクレームの編集

4

クレームの管理ページで、ソース変換に設定します。

ソースの設定ソースの設定

5

変換の管理ページの変換ドロップダウンメニューからToLowercase()を選択します。

変換を選択変換を選択

6

パラメーターとして属性を選択します。

7

属性名フィールドにuser.mailを入力します。

8

追加をクリックして変換を追加します。

9

保存をクリックして構成を完了します。

次に、Azure AD Metadata URLを取得します。 これは、WorkatoでのSSOセットアップを完了するために必要です。

1

シングルサインオンタブに移動し、SAML証明書の詳細を見つけます。

2

アプリのフェデレーションメタデータURLをコピーします。

Microsoft Entra IDメタデータURLMicrosoft Entra IDメタデータURL

前述のステップを完了したら、セットアップを完了するために次のステップに進みます。

CyberArk Identity

CYBERARK IDENTITYの手順を表示

CyberArk Identity内

1

CyberArk Identity管理コンソールにサインインします。

2

Apps & Widgetsサイドバーに移動し、カスタムSAMLアプリを追加を選択します。

3

アプリケーションにWorkatoという名前を付けます。

4

TrustをクリックしてSAML設定を構成します。

5

サービスプロバイダー構成セクションに移動し、手動構成を選択します。

6

SAML設定を次のように指定します。

  • 対象者
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/metadata
    • EUデータセンター:
    • https://app.eu.workato.com/saml/metadata
    • JPデータセンター:
    • https://app.jp.workato.com/saml/metadata
    • SGデータセンター:
    • https://app.sg.workato.com/saml/metadata
    • AUデータセンター:
    • https://app.au.workato.com/saml/metadata
    • ILデータセンター:
    • https://app.il.workato.com/saml/metadata
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/metadata
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/metadata
  • 受信者
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/consume
    • EUデータセンター:
    • https://app.eu.workato.com/saml/consume
    • JPデータセンター:
    • https://app.jp.workato.com/saml/consume
    • SGデータセンター:
    • https://app.sg.workato.com/saml/consume
    • AUデータセンター:
    • https://app.au.workato.com/saml/consume
    • ILデータセンター:
    • https://app.il.workato.com/saml/consume
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/consume
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/consume
  • ACS(Consumer)URLバリデーター
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • ^https:\/\/www.workato.com\/saml\/*$
    • EUデータセンター:
    • ^https:\/\/app.eu.workato.com\/saml\/*$
    • JPデータセンター:
    • ^https:\/\/app.jp.workato.com\/saml\/*$
    • SGデータセンター:
    • ^https:\/\/app.sg.workato.com\/saml\/*$
    • AUデータセンター:
    • ^https:\/\/app.au.workato.com\/saml\/*$
    • ILデータセンター:
    • ^https:\/\/app.il.workato.com\/saml\/*$
    • CNデータセンター:
    • ^https:\/\/app.workatoapp.cn\/saml\/*$
    • 開発者サンドボックス:
    • ^https:\/\/app.trial.workato.com\/saml\/*$
  • ACS(Consumer)URL
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/consume
    • EUデータセンター:
    • https://app.eu.workato.com/saml/consume
    • JPデータセンター:
    • https://app.jp.workato.com/saml/consume
    • SGデータセンター:
    • https://app.sg.workato.com/saml/consume
    • AUデータセンター:
    • https://app.au.workato.com/saml/consume
    • ILデータセンター:
    • https://app.au.workato.com/saml/consume
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/consume
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/consume
7

Assertionを選択します。

8

Workato実装の詳細で特に指定されていない限り、その他の設定はデフォルトのままにします。

メタデータURL構成2CyberArk Identityサービスプロバイダー構成

9

保存をクリックします。

基本的なSAML構成を保存した後、メールアドレスが小文字になるようにユーザーアカウントマッピングを構成する必要があります。

1

アカウントマッピングページに移動します。

2

アカウントマッピングスクリプトオプションを選択します。

3

ログインメールを小文字にマッピングするには、次のカスタムJavaScriptを追加します。

LoginUser.Username = LoginUser.Get('mail').toLowerCase();

このスクリプトは、Active Directoryのmail属性からユーザーのメールを取得し、小文字に変換して、LoginUser.Usernameとして割り当てます。 これにより一貫性が確保され、Workatoで大文字と小文字を区別するログインの問題を防止できます。

4

テストをクリックしてスクリプトを確認します。

スクリプトの確認スクリプトの確認

5

保存をクリックしてアカウントマッピングの変更を適用します。

アカウントマッピングを構成した後、SAMLセットアップを完了するには次のステップを完了します。

1

CyberArk Identityから提供されたMetadata URLを見つけてコピーします。 これは、WorkatoでのSSOセットアップを完了するために必要です。

メタデータURL構成CyberArk IdentityメタデータURL構成

2

CyberArk IdentityからIdentity provider single sign-on URLIdentity provider issuer、およびSigning certificateを取得します。 これらの値は、WorkatoでのSSOセットアップを完了するために必要です。

3

Workato SAMLアプリをデプロイして、CyberArk Identityのユーザーが使用できるようにします。

4

CyberArk Identity管理コンソールのPermissionsセクションに移動します。

5

Addをクリックし、通常はアプリのデプロイメントを担当するシステム管理者などのユーザーを選択します。

6

SaveをクリックしてWorkato SAMLアプリをデプロイします。

ユーザーがWorkatoにアクセスできるように、Workato SAMLアプリにロール権限を割り当てる必要があります。 ロール権限を割り当てるには、次のステップを完了します。

1

CyberArk Identity管理コンソールでCore Services > Rolesに移動します。

2

Add Roleを選択し、Workatoを使用するユーザーの権限を定義するためにロールにWorkato Usersという名前を付けます。

3

Assigned Applicationsに移動し、Workato SAMLアプリを見つけ、Addをクリックして Workato Usersロールに関連付けます。

4

Saveをクリックしてロールの割り当てを確認し、セットアッププロセスを完了します。

ロールへのアプリの割り当てWorkato SAMLアプリをロールに割り当てる

5

Workato Usersロールが割り当てられたユーザーは、CyberArk IdentityユーザーポータルでWorkato SAMLアプリを見つけることができます。 このアプリをクリックすると、Workatoにサインインし、アカウントが自動的にプロビジョニングされます。

前述のステップを完了したら、Workatoでセットアップを完了するために次のステップに進みます。

Okta

OKTAの手順を表示

Okta内

1

Oktaインスタンスにサインインします。

2

Applications > Applicationsに移動します。

3

Create App Integrationをクリックします。

Oktaでアプリケーションを追加Oktaでアプリケーションを追加

詳細については、Oktaドキュメントを参照してください。

4

Sign on methodSAML 2.0を選択します。

Oktaで新しいアプリケーションを作成Oktaで新しいアプリケーションを作成

5

次へをクリックします。

6

SAMLアプリケーションのアプリ名を指定します。 これは任意の説明的な名前("Workato"など)にでき、Workatoワークスペースハンドルと一致する必要はありません。

SAMLアプリケーションのアプリ名を指定SAMLアプリケーションのアプリ名を指定

7

NextをクリックしてSAML構成設定に進みます。

8

WorkatoデータセンターのSingle Sign-On URLを指定します。

  • USデータセンター: https://www.workato.com/saml/consume
  • EUデータセンター: https://app.eu.workato.com/saml/consume
  • JPデータセンター: https://app.jp.workato.com/saml/consume
  • SGデータセンター: https://app.sg.workato.com/saml/consume
  • AUデータセンター: https://app.au.workato.com/saml/consume
  • ILデータセンター: https://app.il.workato.com/saml/consume
  • KRデータセンター: https://app.kr.workato.com/saml/consume
  • CNデータセンター: https://app.workatoapp.cn/saml/consume
  • 開発者サンドボックスデータセンター: https://app.trial.workato.com/saml/consume
9

Use this for Recipient URL and Destination URLチェックボックスを選択します。

10

WorkatoデータセンターのAudience URI (SP Entity ID) を指定します:

  • Workatoデータセンター
    • USデータセンター:
    • https://www.workato.com/saml/metadata
    • EUデータセンター:
    • https://app.eu.workato.com/saml/metadata
    • JPデータセンター:
    • https://app.jp.workato.com/saml/metadata
    • SGデータセンター:
    • https://app.sg.workato.com/saml/metadata
    • AUデータセンター:
    • https://app.au.workato.com/saml/metadata
    • ILデータセンター:
    • https://app.il.workato.com/saml/metadata
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/metadata
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/metadata
11

Application usernameCustomに設定し、ユーザーのメールアドレスを小文字に変換する次の式を入力します。

text
toLowerCase(user.email)

Application usernameをCustomに設定Application usernameをCustomに設定

12

任意です。 Show Advanced Settingsをクリックします。 Other Requestable SSO URLsフィールドで、Add Anotherをクリックし、WorkatoデータセンターのACS URLを指定します。

  • Workatoデータセンター
    • USデータセンター:
    • https://www.workato.com/saml/consume
    • EUデータセンター:
    • https://app.eu.workato.com/saml/consume
    • JPデータセンター:
    • https://app.jp.workato.com/saml/consume
    • SGデータセンター:
    • https://app.sg.workato.com/saml/consume
    • AUデータセンター:
    • https://app.au.workato.com/saml/consume
    • ILデータセンター:
    • https://app.il.workato.com/saml/consume
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/consume
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/consume
13

Nextをクリックし、次にFinishをクリックしてSAMLアプリケーションのセットアップを完了します。

14

OktaからMetadata URLをコピーします。

前述のステップを完了したら、Workatoでセットアップを完了するために次のステップに進みます。

OneLogin

ONELOGINの手順を表示

OneLogin内

1

OneLoginインスタンスにサインインします。

2

Applications > Applicationsに移動します。

3

Add Appをクリックします。

OneLoginでアプリケーションを追加OneLoginでアプリケーションを追加

4

SAML Test Connector (IdP w/ attr w/ sign response)を検索して選択します。

SAMLテストコネクターSAMLテストコネクター

5

Application detailsで、構成の詳細を次のように入力します。

  • 対象者
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/metadata
    • EUデータセンター:
    • https://app.eu.workato.com/saml/metadata
    • JPデータセンター:
    • https://app.jp.workato.com/saml/metadata
    • SGデータセンター:
    • https://app.sg.workato.com/saml/metadata
    • AUデータセンター:
    • https://app.au.workato.com/saml/metadata
    • ILデータセンター:
    • https://app.il.workato.com/saml/metadata
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/metadata
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/metadata
  • 受信者
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/consume
    • EUデータセンター:
    • https://app.eu.workato.com/saml/consume
    • JPデータセンター:
    • https://app.jp.workato.com/saml/consume
    • SGデータセンター:
    • https://app.sg.workato.com/saml/consume
    • AUデータセンター:
    • https://app.au.workato.com/saml/consume
    • ILデータセンター:
    • https://app.il.workato.com/saml/consume
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/consume
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/consume
  • ACS(Consumer)URLバリデーター
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • ^https:\/\/www.workato.com\/saml\/*$
    • EUデータセンター:
    • ^https:\/\/app.eu.workato.com\/saml\/*$
    • JPデータセンター:
    • ^https:\/\/app.jp.workato.com\/saml\/*$
    • SGデータセンター:
    • ^https:\/\/app.sg.workato.com\/saml\/*$
    • AUデータセンター:
    • ^https:\/\/app.au.workato.com\/saml\/*$
    • ILデータセンター:
    • ^https:\/\/app.il.workato.com\/saml\/*$
    • CNデータセンター:
    • ^https:\/\/app.workatoapp.cn\/saml\/*$
    • 開発者サンドボックス:
    • ^https:\/\/app.trial.workato.com\/saml\/*$
  • ACS(Consumer)URL
  • WorkatoデータセンターのURLを使用します。
    • USデータセンター:
    • https://www.workato.com/saml/consume
    • EUデータセンター:
    • https://app.eu.workato.com/saml/consume
    • JPデータセンター:
    • https://app.jp.workato.com/saml/consume
    • SGデータセンター:
    • https://app.sg.workato.com/saml/consume
    • AUデータセンター:
    • https://app.au.workato.com/saml/consume
    • ILデータセンター:
    • https://app.il.workato.com/saml/consume
    • CNデータセンター:
    • https://app.workatoapp.cn/saml/consume
    • 開発者サンドボックス:
    • https://app.trial.workato.com/saml/consume
6

保存をクリックします。

7

次に、OneLogin Metadata URLを取得します。 これは、WorkatoでのSSOセットアップを完了するために必要です。

  1. アプリケーションのページで、More Actionsをクリックします。
  2. SAML Metadataを右クリックし、Copy link addressを選択します。

OneLoginメタデータURLOneLoginメタデータURL

前述のステップを完了したら、セットアップを完了するために次のステップに進みます。

その他のIDプロバイダー

その他のIDプロバイダーの手順

使用しているIDプロバイダー(IdP)が一覧にない場合でも、共通のSAML 2.0標準を使用して、WorkatoでSAMLベースのSingle Sign-On(SSO)を構成できます。

その他のIDプロバイダーに対してSAML SSOを構成するには、次のステップを完了します。

1

IDプロバイダー(IdP)にサインインし、SAMLアプリケーションの設定を開始します。

2

SAML構成設定で、WorkatoデータセンターのAudience URI (SP Entity ID) を指定します:

  • USデータセンター:

  • https://www.workato.com/saml/metadata

  • EUデータセンター:

  • https://app.eu.workato.com/saml/metadata

  • JPデータセンター:

  • https://app.jp.workato.com/saml/metadata

  • SGデータセンター:

  • https://app.sg.workato.com/saml/metadata

  • AUデータセンター:

  • https://app.au.workato.com/saml/metadata

  • ILデータセンター:

  • https://app.il.workato.com/saml/metadata

  • CNデータセンター:

  • https://app.workatoapp.cn/saml/metadata

  • 開発者サンドボックス:

  • https://app.trial.workato.com/saml/metadata

3

データセンターに基づいてACS URL (Assertion Consumer Service URL) を指定します:

  • USデータセンター:

  • https://www.workato.com/saml/consume

  • EUデータセンター:

  • https://app.eu.workato.com/saml/consume

  • JPデータセンター:

  • https://app.jp.workato.com/saml/consume

  • SGデータセンター:

  • https://app.sg.workato.com/saml/consume

  • AUデータセンター:

  • https://app.au.workato.com/saml/consume

  • ILデータセンター:

  • https://app.il.workato.com/saml/consume

  • CNデータセンター:

  • https://app.workatoapp.cn/saml/consume

  • 開発者サンドボックス:

  • https://app.trial.workato.com/saml/consume

4

任意です。 SSO URL(Single Sign-On URL)を指定します。 このURLは、IDプロバイダーによっては任意の場合があります。 Workatoでワークスペースハンドルを見つけ、使用するデータセンターのURL内の{WORKSPACE_HANDLE}を置き換える必要があります。

  • USデータセンター:

  • https://www.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

  • EUデータセンター:

  • https://app.eu.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

  • JPデータセンター:

  • https://app.jp.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

  • SGデータセンター:

  • https://app.sg.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

  • AUデータセンター:

  • https://app.au.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

  • ILデータセンター:

  • https://app.il.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

  • CNデータセンター:

  • https://app.workatoapp.cn/saml/init?team_handle={WORKSPACE_HANDLE}

  • 開発者サンドボックス:

  • https://app.trial.workato.com/saml/init?team_handle={WORKSPACE_HANDLE}

5

IDプロバイダーで必要な追加パラメーターを設定し、SAMLアプリケーションのセットアップを保存します。

6

IDプロバイダーからMetadata URLを取得します。 このURLは、WorkatoでSSOセットアップを完了するために必要です。

前述のステップを完了したら、セットアップを完了するためにWorkato SSOのセットアップに進みます。

ステップ2: Workatoでセットアップを完了する

1

Workatoにサインインし、ワークスペース管理者 > 設定 > ログイン方法に移動します。

2

認証方法ドロップダウンメニューを使用して、SAMLベースのSSOを選択します。

3

ワークスペースのワークスペースハンドルを指定します。 最大長は20文字です。 Workatoは、このフィールドの大文字を小文字に変換します。

4

SAMLプロバイダードロップダウンメニューを使用して、SAMLプロバイダーを選択します。 Google Workspaceを使用する場合は、その他のSAML IdPを選択します。

5

IDプロバイダーのメタデータURLがありますか?フィールドを見つけ、IdPメタデータURLにアクセスできるかどうかに応じてはいまたはいいえを選択します。

6

JITプロビジョニングを有効にします。 詳細については、Just-in-timeプロビジョニングガイドを参照してください。

7

すべてのユーザーにSAML SSOを適用します。 すべてのユーザーにSAML認証を適用トグルを有効にすると、Workatoはすべてのコラボレーター(ワークスペースオーナーを除く)にIDプロバイダーを通じた認証を要求します。 適用が有効な間は、個々のユーザーに対してSAMLを無効にできません。

ユーザーがSAML認証なしでワークスペースにアクセスできるようにするには、ワークスペースレベルですべてのユーザーにSAML認証を適用トグルを無効にする必要があります。

8

設定を検証をクリックします。

検証エラー

検証エラーが発生した場合は、次のアクションを実行します。

1

sslshopperなどのツールで証明書が有効であることを確認します。 証明書は-----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わる必要があります。

2

IdP SSO URL/メタデータURLが有効な形式であることを確認します。 IDプロバイダーのSAML構成ガイドを参照してください。

9

検証が成功したら、保存をクリックします。


ステップ3: ユーザーにSAMLを割り当てる

SSO構成を完了した後、SAMLアプリケーションをワークスペースメンバーに割り当てることができます。

次の例ではOktaアプリケーションを使用します。

1

Oktaで新しく作成したSAMLアプリケーションに移動します。

  • Applications > Workato > Assignments > Assign Users to App
2

リストを使用して、ワークスペースメンバーをアプリケーションに割り当てます。


SSO対応のWorkatoワークスペースにサインインする

ワークスペースアカウントオーナー

ワークスペースオーナーは、SAMLベースのSSOを使用してワークスペースで認証できません。 代わりにユーザー名とパスワードを使用する必要があります。

WorkatoでSSOを有効にすると、SAMLプロバイダーがWorkatoワークスペースへのアクセスを制御します。 Workatoワークスペースへのアクセスを許可するには、ワークスペースメンバーにSAMLアプリケーションを割り当てる必要があります。 その後、ワークスペースメンバーは、次のようなSAMLプロバイダーからWorkatoアカウントにアクセスできます。

  • Google Workspace
  • 会社または組織のサインインURLを使用します。 例: google.com/abc-example
  • Microsoft Entra ID
  • https://myapps.microsoft.com/
  • Okta
  • 会社または組織のサインインURLを使用します。 例: 123-example.okta.com
  • OneLogin
  • 会社または組織のサインインURLを使用します。 例: xyz-example.onelogin.com

管理者にSSO URLをリクエストする

会社または組織のSSO URLをリクエストするには、管理者にお問い合わせください。

SSO対応のWorkatoワークスペースにサインインするステップは、SAMLプロバイダーおよび管理者が設定した構成によって異なる場合があります。 たとえば、OktaとOneLoginのアカウントには通常、SSOが有効なWorkato(およびその他の)アプリケーションを選択できるダッシュボードが用意されています。 Oktaダッシュボードで、Workatoアプリケーションをクリックしてサインインできます。

Okta上のWorkatoアプリOkta上のWorkatoアプリ

ワークスペースメンバーが個人アカウントからSSO対応ワークスペースアカウントに切り替える場合、SAMLプロバイダーを通じて認証する必要があります。 このプロセスは、SAMLプロバイダーおよび管理者が選択した構成によって異なります。 次の例は、このプロセスを示しています。

Oktaによるワークスペース切り替えOkta認可でワークスペースアカウントに切り替える

SAML JITプロビジョニングのメール確認

SP開始SSOまたはIdP開始SSOのいずれかを通じて初めてログインするユーザーは、SAML JITプロビジョニングのためにメールアドレスを確認する必要があります。

Workatoは、ユーザーが初めてワークスペースにアクセスするときにメールの確認を求めます。

ワークスペースの確認

招待メールを受信: Workatoは選択したユーザーに招待メールを送信します。 メール内のリンクをクリックしてメールアドレスを確認するようユーザーに指示します。

ワークスペースに参加するためのメール招待 ワークスペースに参加するためのメール招待

その後、コラボレーターは、構成済みのロールで割り当てられたワークスペースにサインインできます。

トラブルシューティング

招待をクリックして、組織のワークスペースではなくWorkatoログインページにリダイレクトされる場合、同じメールに関連付けられたWorkatoアカウントがすでに存在する可能性があります。 ログイン認証情報を忘れた場合は、パスワードをリセットしてください。

活動監査ログを確認: Workatoの活動監査ログを確認して、ユーザーの追加を確認できます。

ユーザーが招待を承諾したことを示す活動監査ログ ユーザーが招待を承諾したことを示す活動監査ログ

IdP開始SSOフロー

IdPは、IdP開始フロー(IdPによって直接生成されたSAML Responsesを受け入れる)を実行するために、GETパラメーターとしてteam_idを提供する場合があります。 これにより、Workatoはユーザーがアクセスしようとしているワークスペースを識別できます。 Workatoにteam_id情報がない場合、SAML Responseは無視され、Workatoは新しいSP開始SSOフローを開始します。

IdPで次の値を構成します。

  • ACS URL: WorkatoデータセンターのURLを使用します
  • USデータセンター: https://www.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • EUデータセンター: https://app.eu.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • JPデータセンター: https://app.jp.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • SGデータセンター: https://app.sg.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • AUデータセンター: https://app.au.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • ILデータセンター: https://app.il.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • KRデータセンター: https://app.kr.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}
  • CNデータセンター: https://app.workatoapp.cn/saml/consume?team_id={WORKSPACE_HANDLE}
  • 開発者サンドボックスデータセンター: https://app.trial.workato.com/saml/consume?team_id={WORKSPACE_HANDLE}

ここで、{WORKSPACE_HANDLE}ワークスペース管理者 > 設定 > ログイン方法で構成されたワークスペースハンドルです。


Last updated: