Workato Identity SAMLベースのSSO

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

SAMLベースのシングルサインオン(SSO)認証は、Workato機能へのアクセス時のセキュリティを強化し、ユーザーエクスペリエンスを向上させます。

SAMLベースのSSOを使用すると、認証管理用のIDプロバイダー(IdP)を追加できます。 これにより、堅牢なセキュリティ対策が追加され、パスワード関連の侵害リスクが低減されます。 組織は、SAMLベースの認証を適用することで、社内のセキュリティポリシーおよび規制要件に準拠し、承認済みユーザーのみが機密データにアクセスできるようにできます。

SAMLベースのSSOでは、ユーザーが一度サインインするだけで、個別にログインせずに複数のWorkato機能にアクセスできるため、ユーザーエクスペリエンスも効率化されます。 さらに、IdPを通じてユーザーIDとアクセス制御を一元管理し、アクセスポリシーを一貫して適用できます。

SAMLベースのSSOの主な機能

Workato Identity は SAML ベースの SSO をサポートし、以下の主要機能を提供します:

  • Just-in-Time(JIT)プロビジョニング

  • JIT プロビジョニングを有効にすると、SSO を通じて初めてサインインした際にユーザーアカウントを自動的に作成できます。これにより、管理者が手動でアカウントを作成する必要がなくなり、ユーザー情報を最新の状態に保つことができます。

  • カスタマイズ可能な属性

  • ID プロバイダー(IdP)とサービスプロバイダー(SP)の両方を設定して、グループメンバーシップなどの SAML 属性を使用してユーザーグループ情報を同期できます。

  • 選択的適用

  • 組織はすべてのユーザーに SAML ベースの認証を適用するか、手動でユーザーを追加するかを選択できます。このオプションは、開発やテストの柔軟性を確保しながらコンプライアンス要件をサポートします。

SAMLベースのSSOワークフロー

IdPとWorkato IdentityはSAMLメタデータを交換して、SAMLベースのSSO認証を有効にします。 シングルサインオンURLやメタデータURLなどの特定の値を使用して、IdPでSAMLアプリケーションを設定する必要があります。 ユーザーグループ同期を設定することもできます。

SSO設定は、使用するIdPによって異なる場合があります。 Okta向けSAMLベースのSSO認証の適用ガイドを参照して、Oktaでこの機能を有効にする方法を確認してください。 このガイドには、Workflow apps portalとIdPの間でグループ割り当てを同期できるユーザーグループ同期を有効にする手順が含まれています。

SAMLベースの認証の設定

Workato IdentityでSAMLベースの認証を設定するには、次の手順を実行します。

Workflow apps向けのSAMLベースのSSOではありません

このドキュメントはWorkato Identity専用です。 Workflow appsのSAML認証を設定するには、SAMLベースのシングルサインオン認証を参照してください。

1

Workatoアカウントにサインインし、ワークスペース管理者に移動します。

2

サイドバーで認証とグループをクリックします。

3

設定するEnvironmentを選択します。 Environmentのエンドユーザーグループページがデフォルトで表示されます。

Environmentの利用可能状況

Environmentがプロビジョニングされていないワークスペースでは、利用可能なEnvironmentは1つだけです。

4

認証タブを選択します。

5

SAMLベースのSSO認証トグルが有効になっていることを確認します。

SAMLトグルSAMLベースのSSO認証トグルが有効になっていることを確認します

6

IDプロバイダー(IdP)の選択セクションに移動し、+ 新しいプロバイダーを設定をクリックします。

7

IDプロバイダー(IdP)名フィールドにIdPの名前を入力します。 例: Okta Prod

SAML認証の設定SAML認証の設定

8

SAML認証を適用する対象ドロップダウンメニューを使用して、SAMLベースの認証を使用する必要があるユーザーを選択します。

9

シングルサインオンURLを指定サービスプロバイダー(SP)エンティティIDの値をコピーします。

10

IDプロバイダーのメタデータURLをお持ちですか?セクションに移動し、該当するオプションを選択します。

11

Set upをクリックします。

IdPユーザーアクセスの設定

SAMLベースのSSO設定を完了した後、必要なユーザー属性をSAMLアサーションで送信するようにIdPを設定する必要があります。 Workatoはこれらの属性を使用して、ユーザープロファイルに値を設定し、グループメンバーシップを管理します。

IDPからの直接サインインはサポート対象外

IdPからWorkatoに直接サインインすることはできません。 認証は、接続済みのLLM内の会話を通じて開始された場合にのみサポートされます。

IdPのSAML属性ステートメントに次の属性を追加します。

名前説明
workato_end_user_nameuser.displayNameIdPのユーザー表示名をWorkatoプロファイルにマッピングします。
workato_end_user_groupsappuser.workato_
end_user_groups
IdPのユーザーのグループメンバーシップをWorkatoにマッピングします。 ユーザーグループ同期を有効にする予定がある場合にのみ必要です。

SAMLとSAML属性ステートメントの設定方法に関するステップバイステップのガイドについては、次のIdPガイドを参照してください。

トラブルシューティング

このセクションを使用して、発生する可能性のあるエラーをトラブルシューティングします。

Azure AD

問題のトラブルシューティングについては、次のAzure ADセクションを参照してください。

グループクレーム

Azure ADでは、SAMLアサーションでグループクレームを設定する必要があります。 Azure ADエンタープライズアプリケーションを開き、グループクレームを有効にします。 次に、ユーザーが属するすべてのグループを含めるか、アプリケーションに割り当てられたグループのみを含めるかを選択します。 Workatoでは、Genieデプロイメントには割り当てられたグループのみを使用することを推奨しています。 これにより、アサーションサイズが制限され、マッピング競合のリスクが低減されます。

グループオブジェクトIDと表示名

Azure ADは、グループ識別子をオブジェクトID(GUID)または表示名として送信します。 Workato Identityは、IDではなく名前でグループをマッピングします。 マッピングが正しく機能するように、オブジェクトIDではなくグループ表示名を送信するようAzure ADを設定する必要があります。

ネストされたグループメンバーシップ

Azure ADはデフォルトでは、SAMLアサーション内のネストされたグループメンバーシップをフラット化しません。 子グループを持つ親グループなど、ネストされたグループを含むユーザーグループ構造では、子グループのメンバーシップがアサーションに含まれない場合があります。 構造で必要な場合は、関連するグループメンバーシップをフラット化するか、推移的なグループメンバーシップを含めるようにAzure ADを設定します。

Last updated: