Okta SAML設定
このガイドでは、Workato IdentityのSAMLアイデンティティプロバイダー(IdP)としてOktaを設定する方法について説明します。
SAMLにより、OktaなどのIdPとWorkatoのようなサービスプロバイダー間で安全な認証が可能になります。 ユーザーはOktaを通じて一度認証するだけで、アプリケーションごとに個別の認証情報を管理する代わりに、1回のログインでWorkatoにアクセスできます。
前提条件
Workato Identityは、Agent Studio、Workato GO、MCP、およびAPI開発者ポータルで利用できます。
開始する前に、Workato IdentityでSAMLベースの認証を設定します。 以降の手順を完了するには、その設定で取得したシングルサインオンURLの指定とサービスプロバイダー(SP)エンティティIDの値が必要です。
OktaでSAML認証を設定する
OktaでSAML認証を設定するには、次の手順を完了します。
Workflow apps向けのSAMLベースのSSOではありません
このドキュメントはWorkato Identity専用です。 Workflow appsのSAML認証を設定するには、SAMLベースのシングルサインオン認証を参照してください。
Sign in to your Okta account.
Go to Applications > Applications and click Create App Integration.
Add application in Okta
Refer to the Okta documentation for more information.
Select SAML 2.0 as the Sign-in method and click Next.
Create a new application in Okta
Enter a name for the app in the App name field. For example, Workato Agentic or MCP Servers.
Click Next.
Paste your Workato Specify Single sign-on URL into the corresponding field in Okta.
Select the Use this for Recipient URL and Destination URL checkbox.
Paste the Service provider (SP) entity ID into the Audience URI (SP Entity ID) field.
Set Name ID format to EmailAddress.
Go to the Attribute Statements section and add the following attributes:
| Name | Value |
|---|---|
workato_end_user_name | user.displayName |
workato_end_user_groups | appuser.workato_end_user_groups |
Click Next.
Use the App type drop-down menu to choose This is an internal app that we have created.
Click Finish.
Go to Directory > People and add one or more users. You must complete the verification steps for each user.
Go to Applications > My App > Assignments.
Click Assign > Assign to People and add one or more users for My App.
Click Done.
Go to Applications > [Your App] > Sign On in Okta.
Copy the Metadata URL. You must use this URL in the Do you have your identity provider metadata URL? section of the Set up a new provider wizard in Workato Identity.
Click Save changes.
Set your Okta app visibility to hide the application icon from users. This prevents users from attempting IdP-initiated login which isn't supported for Workato features.
DIRECT SIGN-IN FROM IDP UNSUPPORTED
You can't sign in to Workato directly from your IdP. Authentication is only supported when initiated through a conversation in your connected LLM.
トラブルシューティング
このセクションでは、発生する可能性のあるOktaエラーのトラブルシューティングを行います。
複数のOktaグループの問題
Oktaのデフォルトの動作では、ユーザーが複数のOktaグループのメンバーである場合、SAMLグループ属性内でグループ名がカンマ区切りの文字列として連結されます。 Workato Identityでは、グループ属性は連結された文字列ではなく、個々のグループ値の配列であることが想定されています。 連結された文字列形式によりグループマッピングが失敗し、ユーザーは正しいWorkatoユーザーグループの割り当てを受け取れません。
解決策
string arrayタイプが複数の値として返されるようにするには、アカウントでSAML_SUPPORT_ARRAY_ATTRIBUTESフラグを有効にしておく必要があります。 アカウントにSAML_SUPPORT_ARRAY_ATTRIBUTESフラグがまだ存在しない場合は、Oktaサポートに連絡して有効にしてください。
Last updated: