組織セキュリティ管理者は以下の手順に従って、 SAML シングルサインオン設定を組織に設定することができます。SAML ベースのシングルサインオン(SSO)により、メンバーは ID プロバイダー(IdP)を通じて Workiva にアクセスできる。設定を構成する前に、 SAML シングル・サインオンとはを確認してください。
注: 組織管理者にアクセスするには、組織セキュリティ管理者がワークスペース に追加されている必要があります。
ステップ 1: SAML SSO 設定に移動する
- 組織管理へ
- 左メニューの セキュリティ をクリックする。
- Single Sign-On タブをクリックする。
ステップ 2: SAML SSO を有効にする
-
Single Sign-On タブおよびSAML Settings セクションで、Enable SAML Single Sign-On オプションをチェックする。
注: Enable SAML Single Sign-On ボックスをチェックするだけでは、ユーザのサインイン体験には影響しません。SAML シングル・サインオン設定を完全に終了するまで、ユーザはユーザ名とパスワードでサインインできます。
- [変更を保存]をクリックします。
ステップ 3: SAML SSO URL にアクセスする
SAML SSO を有効にする:
- Single Sign-On タブで、IdP Settings をクリックする。
- Service Provider Details セクションまでスクロールダウンしてください。
- ログインURL 、メタデータURL 、コンシューマーURL 、ログアウトサービスURL が表示されます。これらのURLは各組織に固有で、変更することはできず、app.wdesk.com、eu.wdesk.com、またはapac.wdesk.comが含まれます。
- Metadata URL をブラウザウィンドウにコピー&ペーストすると、WorkivaのメタデータXMLファイルが自動的にダウンロードされます。これらのURL値をコピーして保存することもできる。
ステップ4:WorkivaとIDプロバイダの統合
Workiva を一般的な ID プロバイダと統合する方法については、以下の手順を参照してください。
OktaでSSOを設定するには
- Okta 管理ポータルにサインインし、Applications の下にある、Browse App Catalog を選択します。
- App Integration Catalog で、Workiva を検索し、選択する。そして、Add Integration をクリックする。
- ITポリシーと手順に従って、一般的な設定を行う。次に、Next をクリックします。
- SAML 2.0 セクションでは、Default Relay State を空白のままにする。ステップ 7: IdP 設定 で説明されているように、メタデータ XML ファイルをダウンロードして Workiva にアップロードします。XMLファイルをダウンロードする1つの方法は、メタデータのURLをコピーしてブラウザに貼り付け、ページをXMLファイルとして保存することだ。
-
ステップ 3: SAML SSO URL へのアクセス にある Workiva URL を使用する:
- WorkivaConsumer URL をコピーし、OktaACS URL フィールドに貼り付けます。
- WorkivaMetadata URL をコピーし、OktaAudience URL フィールドに貼り付ける。
- Oktaの属性とクレームでは、Workivaのユーザー名(大文字と小文字を区別しない)をプライマリNameID属性に一致させることを推奨します。そうすることで、ユーザーが初めてSSOでサインインしたときに、Workivaが自動的にその属性をWorkivaのユーザー名にマッピングします。ただし、このマッピングは特定のITポリシーに依存する。
- これらの属性が一致しない場合は、「Step 5: Set SAML SSO User ID settings 」の説明に従って、ユーザが SSO でサインインする 前に、属性を対応するユーザ名に手動でマッピングする必要がある。
AzureでSSOを設定するには
- Azure 管理ポータルにサインインし、Microsoft Entra ID > Enterprise applications にアクセスします。
- 新規アプリケーション をクリックする。
- Workiva を検索し、選択する。しかし、SCIMの導入を計画している場合は、カスタム・アプリケーションを作成する必要がある。
- アプリケーションに名前を付け、Create をクリックします。
- アプリケーションが作成されたら、Single sign-on > SAML にアクセスする。
- SAML 基本構成 を編集する。
-
ステップ 3:SAML SSO URL にアクセスする。
- WorkivaMetadata URL をコピーし、AzureIdentifier (Entity ID) フィールドに貼り付ける。
- WorkivaConsumer URL をコピーして、AzureReply URL (Assertion Consumer Service URL) フィールドに貼り付けます。
- Workivaログイン URL をコピーし、Azureサインオン URL フィールドに貼り付けます(オプション)。
- Relay State フィールドは空白のままにする。
- WorkivaLogout URL をコピーし、AzureLogout URL フィールドに貼り付けます(オプション)。
- 設定を保存したら、Attributes & Claims を編集する。Workivaのユーザー名(大文字と小文字を区別しない)をプライマリNameID属性に一致させ、ユーザーが初めてSSOでサインインするときに、Workivaが自動的にその属性をWorkivaのユーザー名にマッピングするようにすることを推奨します。ただし、このマッピングは特定のITポリシーに依存する。
- これらの属性が一致しない場合は、「Step 5: Set SAML SSO User ID settings 」の説明に従って、ユーザが SSO でサインインする前に、属性を対応するユーザ名に手動でマッピングする必要がある。
- Workiva は、必須クレームUnique User Identifier (NameID) のユーザーのみを調べ、それ以外のクレームは無視されます。
- 属性とクレームを設定した後、SAML 証明書 セクションで、フェデレーション・メタデータ XML の横にあるダウンロード をクリックし、ステップ 7: IdP 設定の構成 で説明されているように、Workiva にアップロードするメタデータ XML ファイルをダウンロードします。
ステップ 5: SAML SSO ユーザー ID の設定
- Single Sign-On タブで、SAML Settings をクリックする。
- SAML User ID Settings セクションまでスクロールダウンする。
-
SAML User ID is Wdesk Usernameおよび Case-insensitive SAML ID 設定を確認することを強く推奨する。これらにより、Wdeskはユーザがログインする際に、大文字と小文字の区別を無視して、入力されるプライマリNameID属性がWdeskのユーザ名と一致することを期待することができます。例えば、
User.Name.Example
と、user.name.example
をマッチさせることができます。 - 次にSave Changes をクリックします。
ただし、ポリシーによってこれを構成できない場合は、SAML ID と Wdesk ユーザ名のマッピングを手動で確立する必要があります:
- Single Sign-On タブの下で、User Mapping をクリックする。
- SAML ID .csv マッピング・ファイルをアップロードするか(SAML ID .csv マッピング・ファイルの要件 を参照)、各ユーザのプロファイルに SAML ID を手動で設定する(これにより、ユーザ名の一致チェックがオーバーライドされる)。
SAML ID .csv マッピング・ファイルの要件
SAML ID .csv マッピング・ファイルの有効な行は、以下の形式に従います:
samlId,ユーザー名
以下の場合、行は無効です:
- 2つ未満の項目が並んでいます。
- SAML ID および/またはユーザ名が提供されていません。
- 指定されたユーザー名が存在しません。
- 指定されたユーザー名のユーザーは組織のメンバーではありません。
- 指定されたユーザー名のユーザーの主組織が、現在変更されている組織と同じではありません。
- 指定された SAML ID は、別のユーザによって既に使用されています。
有効なマッピングファイルの例は次のようになります:
exampleSamlId,exampleUsername
exampleSamlId2,exampleUsername2
exampleSamlId3,exampleUsername3
その他の注意点:
- マッピングファイルにヘッダーは必要ありません
- すべての行が処理され、無効な行はスキップされます。
- ユーザ名が重複している場合、そのユーザ名を持つ最初の行のみが使用されます。
- 提供されたユーザ名がすでに既存のマッピングを持っている場合、そのマッピングはマッピングファイルで提供されたものに更新されます。
- 行がスキップされた場合は、失敗が SAML シングル・サインオン・アクティビティ・ログに記録されます。
ステップ6:NameIdentifierの設定(オプション)
Single Sign-On タブとSAML Settings の下に、NameIdentifier Settings セクションがある。
既定では、ほとんどの構成で Subject 文のNameIdentifier 要素 設定がチェックされています。これは、WdeskがSubject文のNameIdentifier要素をチェックすることを意味します。
ただし、NameIdentifier element is Attribute オプションを選択し、必要な場所に貼り付けることで、アプリケーションが SAML 応答で属性を検索するように、この設定を変更できる。その後、Save Changes をクリックして、この設定を保存します。
注:ほとんどの組織セキュリティ管理者は、NameIdentifierの設定をデフォルトから変更することはありません。変更する前に、Workiva Support 。
ステップ7:IdP設定の構成
IdP メタデータ XML ファイルをアップロードします:
- Single Sign-On タブで、IdP Settings をクリックする。
- ファイルを検索 をクリックし、目的のファイルを選択します。
- [アップロード]をクリックします。アップロードに成功すると、変更は自動的に保存されます。
注:ID プロバイダーとして Azure を使用している場合は、IdP Initiated Sign-in URL フィールドが空白のままであることを確認してください。そうでない場合はサインインエラーが発生します。
- IdP Sign-out Service URL およびSign-out Redirect URL が必要で、アップロードした XML メタデータファイルにこれらの値がない場合は、Identity Provider Information セクションのそれぞれのフィールドにこれらの値を個別に貼り付ける必要があります。
IdP 設定を手動で入力する必要がある場合は、ファイルをアップロードする代わりに、「Identity Provider Information」( )フィールドに適切な詳細を入力する。必須フィールドは、Identity Provider URL 、Binding 、Issuer 、Certificate である。その後、Save Changes をクリックして終了します。
ステップ 8: SAML SSO 要件オプションの更新
SAML 設定を構成し、正しく動作することを確認したら、SAML 要件オプションを更新する。
-
Single Sign-On タブとSAML Settings セクションの下に、SAML 要件オプションが表示される:
- Enable SAML Single Sign-On: ユーザは、SAML SSO を使用してサインインするか、ユーザ名とパスワードを引き続き使用することができる。
注:SSOを正しく動作させるためには、このオプションをチェックする必要があります。
- ユーザに SAML シングルサインオンを要求する :非管理者ユーザは SAML SSO を使用する必要がある(つまり、ユーザ名とパスワードを使用できなくなる)。
注:このオプションを有効にする前に、包括的なテストを実施し、SAML SSO 設定に完全に自信があることを確認する。
- 組織セキュリティ管理者に SAML シングルサインオンを要求する :組織セキュリティ管理者は、SAML SSO を使用する必要がある(つまり、ユーザ名とパスワードを使用できなくなる)。このオプションを有効にするには、Require SAML Single Sign-On for Users もチェックする必要があります。
- Enable SAML Single Sign-On: ユーザは、SAML SSO を使用してサインインするか、ユーザ名とパスワードを引き続き使用することができる。
- [変更を保存]をクリックします。
必要に応じて、特定のユーザをバイパス・ユーザ として追加することで、SAML SSO なしでサインインできるようにすることができます。
注:SAML SSO を要求する前に、必要なバイパス・ユーザを追加して、ユーザがアカウントからロックアウト されないようにしてください。