OktaのSAMLベースのSSO認証を適用する
このガイドでは、Oktaを使用してWorkflow appsのSAMLベースのSSO認証を設定する方法について説明します。 Workflow appsとOkta間でユーザーグループの同期を有効にする手順も含まれており、Identity Provider(IdP)を通じて特定のWorkflow appsへのアクセスを管理できます。
WORKATO IDENTITY SAMLベースSSO用ではありません
このドキュメントはWorkflow apps専用です。 Agent Studio、Workato GO、MCPなどのWorkato Identity機能のSAML認証を設定するには、Workato Identity SAMLベースSSOを参照してください。
グループ同期は、ユーザーがIdPを通じてポータルにサインインするたびに適用されます。
デフォルトのセッション期間
グループ同期を有効にせずにSAMLベースのSSOを使用して認証する場合、デフォルトのセッション期間は7日間です。 グループ同期を有効にしている場合、デフォルトのセッションタイムアウトは1日です。 SessionNotOnOrAfterパラメータをカスタマイズすることで、セッション期間を延長できます。 詳細については、アプリインテグレーションを作成するセクションを参照してください。
前提条件
このガイドの手順を完了するには、以下が必要です。
Workato内:
- プロジェクト管理者、高度なビルダー、またはビルダーロール。
- レガシーのAdminまたはAnalystコラボレーターロール
- App access and role management権限を持つカスタムコラボレーターロール。
- Workflow apps
Oktaの場合:
- アプリインテグレーションを追加、編集、管理できる権限。
- ユーザーおよびグループを作成し、ユーザーをグループに割り当て、ユーザーおよびグループをアプリケーションに割り当てることができる権限。
ステップ1: アプリインテグレーションを作成する
VIRTUAL PRIVATE WORKATO (VPW)のお客様
この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。
Oktaアカウントにサインインします。
Applications > Applicationsに移動し、Create App Integrationをクリックします。
Oktaでアプリケーションを追加する
詳細については、Oktaドキュメントを参照してください。
Sign-in methodとしてSAML 2.0を選択します。
Oktaで新しいアプリケーションを作成する
General settingsタブで一意のApp nameを指定します。 例: Workflow apps。
次へをクリックします。
必要に応じて、App logoをアップロードし、このアプリのエンドユーザーへの表示設定を決定します。
次へをクリックします。
Single Sign-On URLを入力する
Workatoで、プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。
Single Sign-On URLをコピーし、Oktaの対応するフィールドに貼り付けます。
SSO URLの形式は異なります
Single Sign-On URL(SSO URL)の形式は、Workflow apps portalのサブドメイン/ドメイン、およびアカウントが配置されているデータセンターによって異なり、一意です。
デフォルトドメインを使用している場合、Single Sign-On URLは次の形式になります:
https://{subdomain}.workato.app/portal/sso/saml/acsここで、{subdomain}はポータルのサブドメインです。
カスタムドメインを使用している場合、Single Sign-On URLは次の形式になります:
https://{custom-domain}/portal/sso/saml/acsここで、{custom-domain}はカスタムドメイン名です。
Use this for Recipient URL and Destination URLを選択します。
Audience URI(SP Entity ID)を入力する
Workatoで、プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。
Service provider (SP) entity ID をコピーし、Oktaの Audience URI (SP Entity ID) フィールドに貼り付けます。
Audience URI(SP Entity ID)の形式は異なります
Audience URI (SP Entity ID) の形式は状況によって異なり、Workflow apps portalのサブドメイン/ドメインと、アカウントが配置されているデータセンターに固有です。
デフォルトドメインを使用している場合、Audience URI (SP Entity ID) は次の形式です:
https://{subdomain}.workato.app/portal/sso/saml/metadataここで、{subdomain}はポータルのサブドメインです。
カスタムドメインを使用している場合、Audience URI (SP Entity ID) は次の形式です:
https://{custom-domain}/portal/sso/saml/metadataここで、{custom-domain}はカスタムドメイン名です。
Name ID formatとしてEmailAddressを選択します。
Application usernameをCustomに設定し、次の式を入力します。 この式は、ユーザーのメールを小文字に変換します:
toLowerCase(user.email)
Application usernameをCustomに設定する
必要に応じて、セッション期間をカスタマイズできます。 デフォルトでは、グループ同期を有効にしていない場合のセッション期間は7日間です。 グループ同期を有効にしている場合、デフォルトのセッションタイムアウトは1日です。
セッション期間をカスタマイズする
Advanced optionsをクリックします。
Maximum app session lifetimeフィールドで、Send value in responseチェックボックスを選択します。
アプリセッションの最大有効期間を指定します。 たとえば、10 minutesと入力します。 これが新しいセッションタイムアウト期間になります。 上限は90日です。
セッションタイムアウトをカスタマイズする
アプリインテグレーションにAttribute Statementsを割り当てる
Attribute Statementsセクションで、次の属性ステートメントを追加します:
| 名前 | 値 | |
|---|---|---|
| 属性1 | workato_app_user_name | user.displayName |
| 属性2 | workato_app_user_groups | appuser.workato_app_user_groups |
結果の属性ステートメントは次のようになります:
アプリにAttribute Statementsを追加する
次へをクリックします。
必要に応じて、このインターフェイスをどのように使用したかについてOktaにフィードバックを提供し、Finishをクリックします。
ステップ2: Okta SAMLユーザーグループ同期を設定する
OktaをIDプロバイダー(IdP)として使用する場合、ユーザーグループ設定を同期できます。 ガイドのこのセクションでは、Workflow appsのユーザーグループ割り当てと同期するようにOktaを設定する方法について説明します。
このステップには次のタスクが含まれます:
ユーザーグループを設定する
Oktaでユーザーグループをすでに設定している場合は、以下の手順をスキップしてグループのカスタム属性の設定に進むことができます。
Oktaで、ディレクトリ>ユーザーに移動し、+ ユーザーを追加をクリックします。
ユーザーの詳細を入力し、保存をクリックします。 または、保存して別のユーザーを追加を選択して、追加のユーザーを追加できます。
ディレクトリ>グループに移動し、+ グループを追加をクリックして、Oktaインスタンスにグループを追加します。
1つ以上のグループを追加します。 たとえば、Managersという名前のグループを1つ作成し、Membersという名前の別のグループを作成できます。
Managersなどのグループを選択します。
ユーザーを割り当てるをクリックし、このグループに追加するユーザーを選択します。
グループへのユーザーの割り当て
グループ用のカスタム属性を設定する
Oktaはデフォルトで、string arrayの複数の値をカンマ区切り値の単一の文字列に連結します。 string arrayタイプが複数の値として返されるようにするには、アカウントでSAML_SUPPORT_ARRAY_ATTRIBUTESフラグを有効にしておく必要があります。 アカウントにSAML_SUPPORT_ARRAY_ATTRIBUTESフラグがまだ存在しない場合は、Oktaサポートに連絡して有効にしてください。
グループ用のカスタム属性を設定するには、次の手順を完了します:
Directory > Profile editor > {App name} Userに移動し、+ Add Attributeをクリックします。
Data typeとしてstring arrayを選択します。
属性を追加する
Display nameとしてWorkato app user groupsを入力します。
Variable nameとしてworkato_app_user_groupsを入力します。
Attribute typeとしてGroupを選択します。
必要に応じて、Group priorityをCombine values across groupsに設定します。
保存をクリックします。
グループをアプリに割り当てる
Oktaグループをアプリに割り当てるには、次の手順を完了します。 このプロセスでは、カスタム属性をグループに割り当てます。
Oktaで、Applications > Applicationsに移動し、アプリを選択します。
Assignments > Assignをクリックし、Assign to groupsを選択します。
Assignをクリックして、このアプリに割り当てるグループを選択する
割り当てるグループを選択します。
Workflow app user groupsの横にあるAdd anotherをクリックし、Workflow apps portalのグループ名を入力します。 これにより、OktaとWorkflow apps portal間でグループ割り当てが同期され、指定したグループに付与されているアプリアクセス権がこのOktaグループに付与されます。 この例では、MembersをSalesグループに割り当てています。
グループを割り当てる
グループはWORKFLOW APPS PORTALに存在している必要があります
Oktaグループに割り当てるには、ユーザーグループがすでにWorkatoに存在している必要があります。
必要に応じて、Add anotherをクリックして1つ以上の追加グループを割り当てます。
Save and go backをクリックしてから、Doneをクリックします。
必要に応じて、追加のOktaグループをこのアプリケーションに割り当てます。
SAMLアサーションを確認する
SAML SSOが正しく設定されていることを確認するには、次の手順を実行します。 このステップでは、SAML SSOを適用するためにアプリ間で送信されるSAMLアサーションをプレビューします。
Applications > Applicationsに移動し、対象のアプリを選択します。
Generalタブで、SAML Settingsに移動し、Editをクリックします。
Configure SAMLに移動し、Preview SAML assertionをクリックします。
生成されたアサーションを確認します。 このアサーションには、前のステップで作成したAttribute Statementsが含まれている必要があります。 例:
プレビューアサーションの表示
<saml2:AttributeStatement>
<saml2:Attribute Name="workato_app_user_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute Name="workato_app_user_groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">managers
</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>ステップ3: Workatoで設定を完了する
Workatoアカウントにサインインします。
プラットフォーム > Workflow apps portal > 設定 > セキュリティに移動します。
Authentication methodフィールドで、SAML based SSOを選択します。
Workato SAML設定
IdPのメタデータを指定します。 Do you have your identity provider metadata URLフィールドで、YesまたはNoを選択します。
Enforce SAML authentication forフィールドで、すべてのWorkflow appsユーザーにSAML認証を適用するか、特定のドメインにのみ適用するかを決定します。
これらのドメイン外のユーザーは、パスワード認証を使用してサインインできます。 この方法は、IDプロバイダーアカウントを持たない外部ユーザーがWorkflow appsにアクセスできるようにしながら、組織のSSOポリシーに準拠する場合に役立ちます。
必要に応じて、Enable JIT (Just-In-Time) provisioningをクリックし、IDプロバイダー認証後にユーザーをポータルに自動的に追加します。
JITを有効にすると、初めてSSOを通じてWorkatoにサインインするユーザーはポータルに自動的に追加されます。
Enable user groups syncingをクリックし、IdPからユーザーグループを同期します。 IdPを通じてユーザーグループを管理する場合、このステップは必須です。
ユーザーグループ同期はすぐには有効になりません。 グループ同期は、ユーザーがIdPを通じてポータルにサインインするたびに適用されます。
ユーザーグループ同期を有効にする場合
ステップ1: アプリインテグレーションを作成するのすべての手順を完了している場合、このプロセスはすでに完了しています。
Oktaで次のSAML属性を指定します:
| 名前 | 値 | |
|---|---|---|
| 属性1 | workato_app_user_name | user.displayName |
| 属性2 | workato_app_user_groups | appuser.workato_app_user_groups |
必要に応じて、OktaのSessionNotOnOrAfter属性を変更して、Workflow apps portalのセッション期間をカスタマイズします。 デフォルトでは、グループ同期を有効にしていない場合のセッション期間は7日間です。 グループ同期を有効にしている場合、デフォルトのセッションタイムアウトは1日です。
ステップ1: アプリインテグレーションを作成するのすべての手順を完了している場合、このプロセスはすでに完了しています。
変更を保存をクリックします。
Last updated:
メタデータURLをコピーする
証明書をダウンロードする