この記事の対象者:
- 組織のセキュリティ管理者
以下の手順に従って、組織の SAML シングルサインオン設定を構成する。SAML シングルサインオン設定を構成するには、組織のセキュリティ管理者になる必要がある。
SAML ベースのシングルサインオン(SSO)により、メンバーは ID プロバイダー(IdP)を通じて Workiva にアクセスできる。設定を構成する前に、SAML シングルサインオンの基本 をレビューしてください。
ステップ1:SAMLシングルサインオンを有効にする
まず、組織で SAML を有効にする必要がある。SAML を有効にする手順:
- 1
- 組織管理者ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
-
シングルサインオンを有効にするのチェックボックスをオンにします。
- 4
- [変更を保存] をクリックして終了します。
ステップ2:SSOのURLを収集する
シングルサインオンを有効にすると、ログインURL、メタデータURL、消費者URL、およびログアウトサービスURLを収集できます。これらのURLは各組織に固有であり、変更することはできない。
サービスプロバイダーの詳細にアクセスするには、以下の手順に従ってください。
- 1
- 組織管理者ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
-
IdP Settings をクリックする。
- 4
- サービスプロバイダーの詳細までスクロールダウンしてください。
次に、メタデータURLと消費者URLの値を保存し、コピーして保存できます。
ステップ3:SSO属性要件の設定(オプション)
送信するクレーム属性の選択に関しては、貴社の方針次第です。ユーザー名を一致させることをお勧めします。通常、これはEメールアドレスですが、会社のポリシーによって異なる場合があります。
デフォルトでは、[名前の識別子の設定]は[対象]のステートメントに要素を持つように設定されています。属性要素を使用するように名前の識別子を変更できます。
注: ほとんどの組織のセキュリティ管理者は、属性要件をデフォルト設定から変更することはありません。デフォルト設定を変更する前に、Workiva Support までお問い合わせください。
名前の識別子の設定を更新するには、以下の手順に従ってください。
- 1
- 組織管理者ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [SAML設定]をクリックします。
- 4
- 名前の識別子の設定のセクションが表示されるまで下にスクロールします。
- 5
- オプションを選択し、詳細を入力します。
- 6
- [変更を保存] をクリックして終了します。
ステップ4:IDプロバイダー(IdP)の設定を構成する
SAML シングルサインオンの ID プロバイダー(IdP)設定を構成できる。ここでは、一般的に使用されている ID プロバイダーをいくつか紹介する:
- Okta
- Microsoft Azure
- G Suite
プロバイダーのメタデータをファイルにアップロードするか、ID プロバイダーの URL、発行者、および証明書の詳細を手動で入力することができる。メタデータファイルをアップロードするには:
- 1
- 組織管理者ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
-
IdP Settings をクリックする。
- 4
-
ファイルを検索 をクリックし、目的のファイルを選択します。
- 5
- [アップロード] をクリックして終了します。
IdP設定を手作業で入力する必要がある場合は、上記の手順に従います。ただし、ファイルをアップロードする代わりに、フィールドに適切な詳細を入力して[変更を保存]をクリックします。
IdP Metadata XML ファイルをアップロードするか、手動で設定を入力すると、IdP 構成が完了します。「IdP Initiated Logout Service URL」または「Redirect URL」を設定する必要がある場合は、別途貼り付けます。
ステップ5:ユーザーIDオプションの設定
好ましいセットアップは、Wdesk Username (大文字と小文字を区別しない) を SAML Subject ID に一致させることである。例えば、User.Name.Example と、user.name.example をマッチさせることができます。このユーザ名のマッピングは、SAML ID プロバイダーによってコントロールできる。
SAMLユーザーID設定を更新するには、以下の手順に従ってください。
- 1
- 組織管理者ページで、[セキュリティ]をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- [SAML設定]をクリックします。
- 4
- [SAMLユーザーID設定]が表示されるまで下にスクロールします。
- 5
- 必要に応じ、[SAMLユーザーIDはWdeskユーザー名と同一]と[SAML ID(大文字と小文字の区別なし)]のチェックボックスをオンにします。
- 6
- [変更を保存] をクリックして終了します。
これを構成できない場合は、SAML ID と Wdesk ユーザ名のマッピングを確立する必要があります。そうしないと、ユーザは最初のSSOサインイン時にWdeskのユーザ名とパスワードを入力してマッピングを確立するよう促されます。マッピングの確立には2つのオプションがある:
- SAML ID.csv をアップロードします
- 各ユーザーのプロファイルに SAML ID を手動で設定する。これはユーザー名の一致チェックを上書きする。
ユーザーマッピングを確立するには、以下の手順に従ってください。
- 1
- 組織管理者ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
-
ユーザーマッピング をクリックする。
- 4
- このセクションからマッピングファイルを参照してアップロードするか、ユーザーを個別に追加することができます。
ステップ 6:SAML オプションを更新する
SAMLセットアップの設定が完了したら、ユーザーまたは管理者にSAMLを義務づけるようSAMLオプションを更新できます。
- SAMLシングルサインオンを有効にする:ユーザーはSSOを使用してサインインするか、または引き続きユーザー名とパスワードでサインインすることができます。
- ユーザーにSAMLシングルサインオンを義務づける:管理者以外のユーザーにはSSOの使用が義務づけられますが、管理者は引き続きユーザー名とパスワードを使用してサインインできます。
注: Require SAML Single Sign-On for Users オプションを有効にする前に、包括的なテストを実施し、SAML シングル・サインオン(SSO)セットアップに完全に自信があることを確認する。
- 組織のセキュリティ管理者にSAMLシングルサインオンを義務づける:組織のセキュリティ管理者にシングルサインオンを義務付けます。このオプションを有効にするには、ユーザに SAML サインオンを要求する必要がある。
SAMLサインオンオプションを更新するには、以下の手順に従ってください。
- 1
- 組織管理者ページで、[セキュリティ] をクリックします。
- 2
- [シングルサインオン設定]をクリックします。
- 3
- 「SAML 設定」で、有効にするオプションをチェックする。
- 4
- [変更を保存] をクリックして終了します。