OktaのSAMLベースのSSO認証を適用する

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

このガイドでは、Oktaを使用してWorkflow appsのSAMLベースのSSO認証を設定する方法について説明します。 Workflow appsとOkta間でユーザーグループの同期を有効にする手順も含まれており、Identity Provider(IdP)を通じて特定のWorkflow appsへのアクセスを管理できます。

WORKATO IDENTITY SAMLベースSSO用ではありません

このドキュメントはWorkflow apps専用です。 Agent StudioWorkato GOMCPなどのWorkato Identity機能のSAML認証を設定するには、Workato Identity SAMLベースSSOを参照してください。

グループ同期は、ユーザーがIdPを通じてポータルにサインインするたびに適用されます。

デフォルトのセッション期間

グループ同期を有効にせずにSAMLベースのSSOを使用して認証する場合、デフォルトのセッション期間は7日間です。 グループ同期を有効にしている場合、デフォルトのセッションタイムアウトは1日です。 SessionNotOnOrAfterパラメータをカスタマイズすることで、セッション期間を延長できます。 詳細については、アプリインテグレーションを作成するセクションを参照してください。

前提条件

このガイドの手順を完了するには、以下が必要です。

Workato内:

Oktaの場合:

  • アプリインテグレーションを追加、編集、管理できる権限。
  • ユーザーおよびグループを作成し、ユーザーをグループに割り当て、ユーザーおよびグループをアプリケーションに割り当てることができる権限。

ステップ1: アプリインテグレーションを作成する

VIRTUAL PRIVATE WORKATO (VPW)のお客様

この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。

1

Oktaアカウントにサインインします。

2

Applications > Applicationsに移動し、Create App Integrationをクリックします。

Oktaでアプリケーションを追加するOktaでアプリケーションを追加する

詳細については、Oktaドキュメントを参照してください。

3

Sign-in methodとしてSAML 2.0を選択します。

Oktaで新しいアプリケーションを作成するOktaで新しいアプリケーションを作成する

4

General settingsタブで一意のApp nameを指定します。 例: Workflow apps

5

次へをクリックします。

6

必要に応じて、App logoをアップロードし、このアプリのエンドユーザーへの表示設定を決定します。

7

次へをクリックします。

8
Single Sign-On URLを入力する
1

Workatoで、プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。

2

Single Sign-On URLをコピーし、Oktaの対応するフィールドに貼り付けます。

SSO URLの形式は異なります

Single Sign-On URL(SSO URL)の形式は、Workflow apps portalのサブドメイン/ドメイン、およびアカウントが配置されているデータセンターによって異なり、一意です。

デフォルトドメインを使用している場合、Single Sign-On URLは次の形式になります:

html
https://{subdomain}.workato.app/portal/sso/saml/acs

ここで、{subdomain}はポータルのサブドメインです。

カスタムドメインを使用している場合、Single Sign-On URLは次の形式になります:

html
https://{custom-domain}/portal/sso/saml/acs

ここで、{custom-domain}はカスタムドメイン名です。

9

Use this for Recipient URL and Destination URLを選択します。

10
Audience URI(SP Entity ID)を入力する
1

Workatoで、プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。

2

Service provider (SP) entity ID をコピーし、Oktaの Audience URI (SP Entity ID) フィールドに貼り付けます。

Audience URI(SP Entity ID)の形式は異なります

Audience URI (SP Entity ID) の形式は状況によって異なり、Workflow apps portalのサブドメイン/ドメインと、アカウントが配置されているデータセンターに固有です。

デフォルトドメインを使用している場合、Audience URI (SP Entity ID) は次の形式です:

html
https://{subdomain}.workato.app/portal/sso/saml/metadata

ここで、{subdomain}はポータルのサブドメインです。

カスタムドメインを使用している場合、Audience URI (SP Entity ID) は次の形式です:

html
https://{custom-domain}/portal/sso/saml/metadata

ここで、{custom-domain}はカスタムドメイン名です。

11

Name ID formatとしてEmailAddressを選択します。

12

Application usernameCustomに設定し、次の式を入力します。 この式は、ユーザーのメールを小文字に変換します:

text
toLowerCase(user.email)

Application usernameをCustomに設定するApplication usernameをCustomに設定する

13

必要に応じて、セッション期間をカスタマイズできます。 デフォルトでは、グループ同期を有効にしていない場合のセッション期間は7日間です。 グループ同期を有効にしている場合、デフォルトのセッションタイムアウトは1日です。

セッション期間をカスタマイズする
1

Advanced optionsをクリックします。

2

Maximum app session lifetimeフィールドで、Send value in responseチェックボックスを選択します。

3

アプリセッションの最大有効期間を指定します。 たとえば、10 minutesと入力します。 これが新しいセッションタイムアウト期間になります。 上限は90日です。

セッションタイムアウトをカスタマイズするセッションタイムアウトをカスタマイズする

14
アプリインテグレーションにAttribute Statementsを割り当てる
1

Attribute Statementsセクションで、次の属性ステートメントを追加します:

名前
属性1workato_app_user_nameuser.displayName
属性2workato_app_user_groupsappuser.workato_app_user_groups

結果の属性ステートメントは次のようになります:

Attribute StatementsアプリにAttribute Statementsを追加する

15

次へをクリックします。

16

必要に応じて、このインターフェイスをどのように使用したかについてOktaにフィードバックを提供し、Finishをクリックします。

ステップ2: Okta SAMLユーザーグループ同期を設定する

OktaをIDプロバイダー(IdP)として使用する場合、ユーザーグループ設定を同期できます。 ガイドのこのセクションでは、Workflow appsのユーザーグループ割り当てと同期するようにOktaを設定する方法について説明します。

このステップには次のタスクが含まれます:

  1. ユーザーグループを設定する
  2. グループ用のカスタム属性を設定する
  3. グループをアプリに割り当てる
  4. SAMLアサーションを確認する

ユーザーグループを設定する

Oktaでユーザーグループをすでに設定している場合は、以下の手順をスキップしてグループのカスタム属性の設定に進むことができます。

1

Oktaで、ディレクトリ>ユーザーに移動し、+ ユーザーを追加をクリックします。

2

ユーザーの詳細を入力し、保存をクリックします。 または、保存して別のユーザーを追加を選択して、追加のユーザーを追加できます。

3

ディレクトリ>グループに移動し、+ グループを追加をクリックして、Oktaインスタンスにグループを追加します。

4

1つ以上のグループを追加します。 たとえば、Managersという名前のグループを1つ作成し、Membersという名前の別のグループを作成できます。

5

Managersなどのグループを選択します。

6

ユーザーを割り当てるをクリックし、このグループに追加するユーザーを選択します。

グループへのユーザーの割り当てグループへのユーザーの割り当て

グループ用のカスタム属性を設定する

Oktaはデフォルトで、string arrayの複数の値をカンマ区切り値の単一の文字列に連結します。 string arrayタイプが複数の値として返されるようにするには、アカウントでSAML_SUPPORT_ARRAY_ATTRIBUTESフラグを有効にしておく必要があります。 アカウントにSAML_SUPPORT_ARRAY_ATTRIBUTESフラグがまだ存在しない場合は、Oktaサポートに連絡して有効にしてください。

グループ用のカスタム属性を設定するには、次の手順を完了します:

1

Directory > Profile editor > {App name} Userに移動し、+ Add Attributeをクリックします。

2

Data typeとしてstring arrayを選択します。

属性を追加する属性を追加する

3

Display nameとしてWorkato app user groupsを入力します。

4

Variable nameとしてworkato_app_user_groupsを入力します。

5

Attribute typeとしてGroupを選択します。

6

必要に応じて、Group priorityCombine values across groupsに設定します。

7

保存をクリックします。

グループをアプリに割り当てる

Oktaグループをアプリに割り当てるには、次の手順を完了します。 このプロセスでは、カスタム属性をグループに割り当てます。

1

Oktaで、Applications > Applicationsに移動し、アプリを選択します。

2

Assignments > Assignをクリックし、Assign to groupsを選択します。

このアプリにグループを割り当てるAssignをクリックして、このアプリに割り当てるグループを選択する

3

割り当てるグループを選択します。

4

Workflow app user groupsの横にあるAdd anotherをクリックし、Workflow apps portalのグループ名を入力します。 これにより、OktaとWorkflow apps portal間でグループ割り当てが同期され、指定したグループに付与されているアプリアクセス権がこのOktaグループに付与されます。 この例では、MembersSalesグループに割り当てています。

アプリグループをOktaグループに割り当てるグループを割り当てる

グループはWORKFLOW APPS PORTALに存在している必要があります

Oktaグループに割り当てるには、ユーザーグループがすでにWorkatoに存在している必要があります。

5

必要に応じて、Add anotherをクリックして1つ以上の追加グループを割り当てます。

6

Save and go backをクリックしてから、Doneをクリックします。

7

必要に応じて、追加のOktaグループをこのアプリケーションに割り当てます。

SAMLアサーションを確認する

SAML SSOが正しく設定されていることを確認するには、次の手順を実行します。 このステップでは、SAML SSOを適用するためにアプリ間で送信されるSAMLアサーションをプレビューします。

1

Applications > Applicationsに移動し、対象のアプリを選択します。

2

Generalタブで、SAML Settingsに移動し、Editをクリックします。

3

Configure SAMLに移動し、Preview SAML assertionをクリックします。

4

生成されたアサーションを確認します。 このアサーションには、前のステップで作成したAttribute Statementsが含まれている必要があります。 例:

プレビューアサーションの表示
xml
 <saml2:AttributeStatement>
        <saml2:Attribute Name="workato_app_user_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
            <saml2:AttributeValue
                xmlns:xs="http://www.w3.org/2001/XMLSchema"
                xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
            </saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute Name="workato_app_user_groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
            <saml2:AttributeValue
                xmlns:xs="http://www.w3.org/2001/XMLSchema"
                xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">managers
            </saml2:AttributeValue>
        </saml2:Attribute>
    </saml2:AttributeStatement>

ステップ3: Workatoで設定を完了する

1

Workatoアカウントにサインインします。

2

プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。

3

Authentication methodフィールドで、SAML based SSOを選択します。

Workato SAML設定Workato SAML設定

4

IdPのメタデータを指定します。 Do you have your identity provider metadata URLフィールドで、YesまたはNoを選択します。

5

Enforce SAML authentication forフィールドで、すべてのWorkflow appsユーザーにSAML認証を適用するか、特定のドメインにのみ適用するかを決定します。

これらのドメイン外のユーザーは、パスワード認証を使用してサインインできます。 この方法は、IDプロバイダーアカウントを持たない外部ユーザーがWorkflow appsにアクセスできるようにしながら、組織のSSOポリシーに準拠する場合に役立ちます。

6

必要に応じて、Enable JIT (Just-In-Time) provisioningをクリックし、IDプロバイダー認証後にユーザーをポータルに自動的に追加します。

JITを有効にすると、初めてSSOを通じてWorkatoにサインインするユーザーはポータルに自動的に追加されます。

7

Enable user groups syncingをクリックし、IdPからユーザーグループを同期します。 IdPを通じてユーザーグループを管理する場合、このステップは必須です。

ユーザーグループ同期はすぐには有効になりません。 グループ同期は、ユーザーがIdPを通じてポータルにサインインするたびに適用されます。

ユーザーグループ同期を有効にする場合

ステップ1: アプリインテグレーションを作成するのすべての手順を完了している場合、このプロセスはすでに完了しています。

1

Oktaで次のSAML属性を指定します:

名前
属性1workato_app_user_nameuser.displayName
属性2workato_app_user_groupsappuser.workato_app_user_groups
8

必要に応じて、OktaのSessionNotOnOrAfter属性を変更して、Workflow apps portalのセッション期間をカスタマイズします。 デフォルトでは、グループ同期を有効にしていない場合のセッション期間は7日間です。 グループ同期を有効にしている場合、デフォルトのセッションタイムアウトは1日です。

ステップ1: アプリインテグレーションを作成するのすべての手順を完了している場合、このプロセスはすでに完了しています。

9

変更を保存をクリックします。

Last updated: