この記事の対象者:
- Organizationのセキュリティ管理者
以下の手順に従って、OrganizationのSAMLシングルサインオン設定を構成します。 SAMLシングルサインオン設定を構成するには、Organizationのセキュリティ管理者である必要があります。
SAMLベースのシングルサインオン(SSO)により、メンバーはIDプロバイダー(IdP)を介してWorkivaにアクセスすることができます。設定を構成する前に「SAMLシングルサインオンの基本事項」を確認してください。
ステップ1:SAMLシングルサインオンを有効にする
まず、OrganizationでSAMLを有効にする必要があります。 SAMLを有効にするには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [シングルサインオンを有効にする]のチェックボックスをオンにします。
- 4
- [変更を保存] をクリックして終了します。
ステップ2:SSOのURLを収集する
シングルサインオンを有効にすると、ログインURL、メタデータURL、コンシューマURL、およびログアウトサービスURLを収集することができます。これらのURLは各Organizationごとに異なり、変更することはできません。
サービスプロバイダーの詳細にアクセスするには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [IdP設定]をクリックします。
- 4
- [サービスプロバイダーの詳細]のセクションが表示されるまで下にスクロールします。
次に、メタデータURLとコンシューマーURLの値を保存し、コピーして保存できます。
ステップ3:SSO属性要件の設定(オプション)
送信するクレーム属性の選択に関しては、御社の方針におまかせします。ユーザー名を一致させることをお勧めします。通常の場合、ユーザー名は電子メールアドレスとなっていますが、各企業のポリシーに基づいて異なる場合があります。
デフォルトでは、[名前の識別子の設定]は [対象]のステートメントに要素を持つよう設定されています。名前の識別子を変更し、属性要素を使用することができます。
注:ほとんどの組織のセキュリティ管理者は、属性要件をデフォルトの設定から変更することはありません。デフォルトの設定を変更する前にWorkivaサポート までご連絡ください。
名前の識別子の設定を更新するには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [SAML設定]をクリックします。
- 4
- 名前の識別子の設定のセクションが表示されるまで下にスクロールします。
- 5
- オプションを選択し、詳細を入力します。
- 6
- [変更を保存] をクリックして終了します。
ステップ4:IDプロバイダー(IdP)の設定を構成する
SAMLシングルサインオンのIDプロバイダー(IdP)設定を構成できます。一般的に使用されるIDプロバイダーは次のとおりです。
- Okta
- Microsoft Azure
- G Suite
プロバイダーのメタデータをファイルにアップロードするか、またはIDプロバイダーのURL、発行者、およびCertificateの詳細を手作業で入力します。メタデータファイルをアップロードするには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [IdP設定]をクリックします。
- 4
- [ファイルを検索]をクリックし、目的のファイルを選択します。
- 5
- [アップロード] をクリックして終了します。
IdP設定を手作業で入力する必要がある場合は、上記の手順に従います。ただし、ファイルをアップロードする代わりに、フィールドに適切な詳細を入力して[変更を保存]をクリックします。
IdPメタデータXMLファイルをアップロードするか、または手作業で設定を入力し終わると、IdPの構成が完了します。[IdP主導のログアウトサービスURL]または[リダイレクトURL]を設定する必要がある場合は、これらを個別に貼り付けてください。
ステップ5:ユーザーIDオプションを設定する
Wdeskのユーザー名(大文字と小文字の区別なし)をSAMLサブジェクトIDと一致させることが推奨されます。例えば、[User.Name.Example
]と[user.name.example
]は一致することになります。このユーザー名マッピングは、SAMLのIDプロバイダーにより制御可能です。
SAMLユーザーID設定を更新するには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [SAML設定]をクリックします。
- 4
- [SAMLユーザーID設定]が表示されるまで下にスクロールします。
- 5
- 必要に応じ、[SAMLユーザーIDはWdeskユーザー名と同一]と[SAML ID(大文字と小文字の区別なし)]のチェックボックスをオンにします。
- 6
- [変更を保存] をクリックして終了します。
この設定が実行できない場合は、SAML IDをWdeskのユーザー名のマッピングに確立する必要があります。それ以外の場合、マッピングを確立するため、ユーザーは最初のSSOサインイン時にWdeskのユーザー名とパスワードを入力するように求められます。マッピングを確立するには、次の2つのオプションがあります。
- SAML ID.csv をアップロードします
- 各ユーザーのプロファイルにSAML IDを手作業で設定します。これにより、ユーザー名の一致チェックが上書きされます。
ユーザーマッピングを確立するには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [ユーザーマッピング]をクリックします。
- 4
- このセクションからマッピングファイルを参照してアップロードするか、ユーザーを個別に追加することができます。
ステップ6:SAMLオプションを更新する
SAMLセットアップの設定が完了したら、ユーザーまたは管理者にSAMLを義務づけるようSAMLオプションを更新できます。
- SAMLシングルサインオンを有効にする:ユーザーはSSOを使用してサインインするか、または引き続きユーザー名とパスワードでサインインすることができます。
- ユーザーにSAMLシングルサインオンを義務づける:管理者以外のユーザーにはSSOの使用が義務づけられますが、管理者は引き続きユーザー名とパスワードを使用してサインインできます。
- Organizationのセキュリティ管理者にSAMLシングルサインオンを義務づける:Organizationのセキュリティ管理者にシングルサインオンを義務づけます。このオプションを有効にするには、ユーザーにSAMLサインオンを義務づける必要があります。
SAMLサインオンオプションを更新するには、以下の手順に従ってください。
- 1
- Organization管理ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- SAML設定で、有効にするオプションをチェックします。
- 4
- [変更を保存] をクリックして終了します。
問題が発生した場合、またはSSOの設定についてサポートが必要な場合は、support @ workiva.com までお問い合わせください。