SAMLベースのシングルサインオン認証
Workflow apps portalにSAMLベースのシングルサインオン(SSO)認証を適用すると、セキュリティとユーザーエクスペリエンスが向上します。
SAML SSOでは、信頼できるIDプロバイダー(IdP)が認証を管理し、強固なセキュリティ対策を実装して、パスワードに関連する侵害のリスクを軽減します。 組織はSAMLベースの認証を適用して、社内のセキュリティポリシーおよび規制要件に準拠し、許可されたユーザーのみが機密性の高いWorkflow appsにアクセスできるようにできます。
SAMLベースのSSOは、ユーザーが一度サインインすれば、個別にログインせずに複数のアプリケーションにアクセスできるようにすることで、ユーザーエクスペリエンスも効率化します。 さらに、IdPを通じてユーザーIDおよびアクセス制御を一元管理できるため、アクセスポリシーの一貫した適用を確保できます。
SAMLベースのSSOを通じてWorkflow apps portalにサインインする
Workflow apps向けSAMLベースのSSOの主な機能
Workflow apps向けのSAMLベースのSSOには、次の主な機能があります:
Just-in-Time(JIT)プロビジョニング
SAMLベースのSSOが適用されている場合、JITプロビジョニングを有効にして、ユーザーがSSOを通じて初めてサインインしたときに、Workflow apps portalにユーザーアカウントを自動的に作成できます。 これにより、管理者が手動でアカウントを作成する必要がなくなり、時間を節約できるうえ、ユーザー情報を常に最新の状態に保つことができます。
カスタマイズ可能な属性
SAMLベースのSSOでは、グループメンバーシップやタイムアウト期間などのカスタム属性を含めることができ、Workflow apps portalでのユーザーエクスペリエンスとアクセスレベルを調整できます。
選択的な適用
組織は、SAMLベースの認証をすべてのユーザーに適用するか、指定したドメインにのみ適用するかを選択できます。 この柔軟性により、IDプロバイダーのアカウントを持たない可能性がある外部ユーザーにも対応しながら、組織のポリシーに準拠できます。
互換性のあるIDプロバイダー
Workflow appsは、以下を含むがこれらに限定されない、さまざまなアイデンティティプロバイダー(IdP)でSAMLベースのSSOをサポートしています:
- Google Workspace
- Microsoft Entra ID
- CyberArk Identity
- Okta
- OneLogin
仕組み
SAMLベースのSSO認証を有効にするには、IdPとWorkflow apps portalがSAMLメタデータを交換する必要があります。 これには、シングルサインオンURLやメタデータURLなどの特定の値を使用して、IdPでSAMLアプリケーションを設定することが含まれます。 ユーザーグループ同期は、Workatoで設定してもすぐには有効になりません。 グループ同期は、ユーザーがIdPを通じてポータルにサインインするたびに適用されます。
SSOを有効にするプロセスは、使用するIdPによって異なる場合があります。 Oktaでこの機能を有効にする方法については、OktaのSAMLベースのSSO認証の適用ガイドを参照してください。 このガイドには、Workflow apps portalとIdPの間でグループ割り当てを同期できるユーザーグループ同期を有効にする手順が含まれています。
SAMLベースの認証の設定
Workflow appsのSAMLベースの認証を設定するには、次の手順を実行します:
VIRTUAL PRIVATE WORKATO (VPW)のお客様
この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。
WORKATO IDENTITY SAMLベースSSO用ではありません
このドキュメントはWorkflow apps専用です。 Agent Studio、Workato GO、MCPなどのWorkato Identity機能のSAML認証を設定するには、Workato Identity SAMLベースSSOを参照してください。
Workatoアカウントにサインインします。
プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。
Authentication methodフィールドで、SAML based SSOを選択します。
Workato SAML設定
SAML based SSOを選択すると、ポータル設定にSingle Sign-On URLとAudience URI (SP Entity ID) が表示されます。 これらの値を使用して、IdPでSAMLアプリケーションを設定します。
Single Sign-On URLとAudience URI (SP Entity ID) の形式は、お使いのWorkflow apps portalのサブドメイン/ドメインと、アカウントが所在するデータセンターによって異なり、それぞれに固有です。
IdPのメタデータを指定します。 Do you have your identity provider metadata URLフィールドで、YesまたはNoを選択します。
Enforce SAML authentication forフィールドで、すべてのWorkflow appsユーザーにSAML認証を適用するか、特定のドメインにのみ適用するかを決定します。
これらのドメイン外のユーザーは、パスワード認証を使用してサインインできます。 この方法は、IDプロバイダーアカウントを持たない外部ユーザーがWorkflow appsにアクセスできるようにしながら、組織のSSOポリシーに準拠する場合に役立ちます。
必要に応じて、Enable JIT (Just-In-Time) provisioningをクリックし、IDプロバイダー認証後にユーザーをポータルに自動的に追加します。
JITを有効にすると、初めてSSOを通じてWorkatoにサインインするユーザーはポータルに自動的に追加されます。
必要に応じて、Enable user groups syncingをクリックして、IdPからユーザーグループを同期します。 IdPを通じてユーザーグループを管理する場合、このステップは必須です。
ユーザーグループ同期はすぐには有効になりません。 グループ同期は、ユーザーがIdPを通じてポータルにサインインするたびに適用されます。
ユーザーグループ同期を有効にする場合
IDプロバイダーで次のSAML属性を指定します:
| 名前 | 値 | |
|---|---|---|
| 属性1 | workato_app_user_name | user.displayName |
| 属性2 | workato_app_user_groups | appuser.workato_app_user_groups |
必要に応じて、IDプロバイダーのSessionNotOnOrAfterパラメーターを変更し、Workflow apps portalのセッション期間をカスタマイズします。 それ以外の場合、IdPを通じたグループ同期を有効にしていない場合のデフォルトのセッションタイムアウトは7日間です。 IdPを通じたグループ同期が有効になっている場合、このパラメーターをカスタマイズしないと、デフォルトのセッションタイムアウトは1日です。
アプリ連携でこの機能を有効にする方法については、IdPのドキュメントを参照してください。
変更を保存をクリックします。
Last updated: