Workato Identity SAMLベースのSSO
SAMLベースのシングルサインオン(SSO)認証は、Workato機能へのアクセス時のセキュリティを強化し、ユーザーエクスペリエンスを向上させます。
SAMLベースのSSOを使用すると、認証管理用のIDプロバイダー(IdP)を追加できます。 これにより、堅牢なセキュリティ対策が追加され、パスワード関連の侵害リスクが低減されます。 組織は、SAMLベースの認証を適用することで、社内のセキュリティポリシーおよび規制要件に準拠し、承認済みユーザーのみが機密データにアクセスできるようにできます。
SAMLベースのSSOでは、ユーザーが一度サインインするだけで、個別にログインせずに複数のWorkato機能にアクセスできるため、ユーザーエクスペリエンスも効率化されます。 さらに、IdPを通じてユーザーIDとアクセス制御を一元管理し、アクセスポリシーを一貫して適用できます。
SAMLベースのSSOの主な機能
Workato Identity は SAML ベースの SSO をサポートし、以下の主要機能を提供します:
Just-in-Time(JIT)プロビジョニング
JIT プロビジョニングを有効にすると、SSO を通じて初めてサインインした際にユーザーアカウントを自動的に作成できます。これにより、管理者が手動でアカウントを作成する必要がなくなり、ユーザー情報を最新の状態に保つことができます。
カスタマイズ可能な属性
ID プロバイダー(IdP)とサービスプロバイダー(SP)の両方を設定して、グループメンバーシップなどの SAML 属性を使用してユーザーグループ情報を同期できます。
選択的適用
組織はすべてのユーザーに SAML ベースの認証を適用するか、手動でユーザーを追加するかを選択できます。このオプションは、開発やテストの柔軟性を確保しながらコンプライアンス要件をサポートします。
SAMLベースのSSOワークフロー
IdPとWorkato IdentityはSAMLメタデータを交換して、SAMLベースのSSO認証を有効にします。 シングルサインオンURLやメタデータURLなどの特定の値を使用して、IdPでSAMLアプリケーションを設定する必要があります。 ユーザーグループ同期を設定することもできます。
SSO設定は、使用するIdPによって異なる場合があります。 Okta向けSAMLベースのSSO認証の適用ガイドを参照して、Oktaでこの機能を有効にする方法を確認してください。 このガイドには、Workflow apps portalとIdPの間でグループ割り当てを同期できるユーザーグループ同期を有効にする手順が含まれています。
SAMLベースの認証の設定
Workato IdentityでSAMLベースの認証を設定するには、次の手順を実行します。
Workflow apps向けのSAMLベースのSSOではありません
このドキュメントはWorkato Identity専用です。 Workflow appsのSAML認証を設定するには、SAMLベースのシングルサインオン認証を参照してください。
Workatoアカウントにサインインし、ワークスペース管理者に移動します。
サイドバーで認証とグループをクリックします。
設定するEnvironmentを選択します。 Environmentのエンドユーザーグループページがデフォルトで表示されます。
Environmentの利用可能状況
Environmentがプロビジョニングされていないワークスペースでは、利用可能なEnvironmentは1つだけです。
認証タブを選択します。
SAMLベースのSSO認証トグルが有効になっていることを確認します。
SAMLベースのSSO認証トグルが有効になっていることを確認します
IDプロバイダー(IdP)の選択セクションに移動し、+ 新しいプロバイダーを設定をクリックします。
IDプロバイダー(IdP)名フィールドにIdPの名前を入力します。 例: Okta Prod。
SAML認証の設定
SAML認証を適用する対象ドロップダウンメニューを使用して、SAMLベースの認証を使用する必要があるユーザーを選択します。
シングルサインオンURLを指定とサービスプロバイダー(SP)エンティティIDの値をコピーします。
IDプロバイダーのメタデータURLをお持ちですか?セクションに移動し、該当するオプションを選択します。
Set upをクリックします。
IdPユーザーアクセスの設定
SAMLベースのSSO設定を完了した後、必要なユーザー属性をSAMLアサーションで送信するようにIdPを設定する必要があります。 Workatoはこれらの属性を使用して、ユーザープロファイルに値を設定し、グループメンバーシップを管理します。
IDPからの直接サインインはサポート対象外
IdPからWorkatoに直接サインインすることはできません。 認証は、接続済みのLLM内の会話を通じて開始された場合にのみサポートされます。
IdPのSAML属性ステートメントに次の属性を追加します。
| 名前 | 値 | 説明 |
|---|---|---|
workato_end_user_name | user.displayName | IdPのユーザー表示名をWorkatoプロファイルにマッピングします。 |
workato_end_user_groups | appuser.workato_ | IdPのユーザーのグループメンバーシップをWorkatoにマッピングします。 ユーザーグループ同期を有効にする予定がある場合にのみ必要です。 |
SAMLとSAML属性ステートメントの設定方法に関するステップバイステップのガイドについては、次のIdPガイドを参照してください。
トラブルシューティング
このセクションを使用して、発生する可能性のあるエラーをトラブルシューティングします。
Azure AD
問題のトラブルシューティングについては、次のAzure ADセクションを参照してください。
グループクレーム
Azure ADでは、SAMLアサーションでグループクレームを設定する必要があります。 Azure ADエンタープライズアプリケーションを開き、グループクレームを有効にします。 次に、ユーザーが属するすべてのグループを含めるか、アプリケーションに割り当てられたグループのみを含めるかを選択します。 Workatoでは、Genieデプロイメントには割り当てられたグループのみを使用することを推奨しています。 これにより、アサーションサイズが制限され、マッピング競合のリスクが低減されます。
グループオブジェクトIDと表示名
Azure ADは、グループ識別子をオブジェクトID(GUID)または表示名として送信します。 Workato Identityは、IDではなく名前でグループをマッピングします。 マッピングが正しく機能するように、オブジェクトIDではなくグループ表示名を送信するようAzure ADを設定する必要があります。
ネストされたグループメンバーシップ
Azure ADはデフォルトでは、SAMLアサーション内のネストされたグループメンバーシップをフラット化しません。 子グループを持つ親グループなど、ネストされたグループを含むユーザーグループ構造では、子グループのメンバーシップがアサーションに含まれない場合があります。 構造で必要な場合は、関連するグループメンバーシップをフラット化するか、推移的なグループメンバーシップを含めるようにAzure ADを設定します。
Last updated:
メタデータURLを指定
IdP情報を指定