組織セキュリティ管理者は以下の手順に従って、 SAML シングルサインオン設定を組織に設定することができます。SAML ベースのシングルサインオン(SSO)により、メンバーは ID プロバイダー(IdP)を通じて Workiva にアクセスできる。設定を構成する前に、 SAML シングル・サインオンとはを確認してください。
注:組織セキュリティ管理者は、組織管理者にアクセスするためにワークスペースに追加する必要があります。
ステップ 1: SAML SSO 設定に移動します
- 組織管理へ移動します。
- 左側のメニューの セキュリティ をクリックしてください。
- シングルサインオン タブをクリックします。
既存のSSO設定がある場合、ページは次のようになります。
ステップ2:SAML SSO構成を作成し、IDプロバイダーを選択します。
- SSO構成の作成をクリックします。
- 構成名を入力し 、ドロップダウンリストから IDプロバイダー(IdP )を選択してください。
- 設定の作成 をクリックして続行してください。
ステップ3:WorkivaのメタデータをIDプロバイダーの管理者に送信する
- Workiva メタデータ セクションには、 識別子 (エンティティ ID) と 返信 URLが表示されます。
- 詳細オプション をクリックすると、 サインオンURL と ログアウトURLが表示されます。これらの URL は各組織に固有のものであり、変更することはできません。また
、[app.wdesk.com、eu.wdesk.com、またはapac.wdesk.comが含まれます。 - これらのWorkivaメタデータURLを、ご利用のIDプロバイダーの管理者宛に送信してください。
また、 Workiva メタデータ XML をダウンロード をクリックして、Workiva メタデータ XML ファイルをダウンロードし、ID プロバイダーの管理者に送信することもできます。 -
クロックスキュー許容値を調整できます。クロックスキュー許容値とは、SAML IDプロバイダーとWorkivaの間で許容される最大時間差のことです。デフォルト値は300秒(5分)です。
ヒント: 値が大きいほど、時間差の「許容範囲」が広がります。これは拒否されるリクエストを減らすことで信頼性を向上させる一方で、セキュリティとパフォーマンスのリスクも引き起こします。あるいは、値を小さくすると、タイムアウトによる認証失敗の確率が高くなります。
- ID プロバイダーとして Microsoft Azure を使用している場合は、ID プロバイダー管理者は ID プロバイダーとの SAML SSO の構成 [] の Azure タブの のステップ 2 を参照してください。
- Okta を ID プロバイダーとして使用している場合は、ID プロバイダー管理者は、 ] ID プロバイダーとの SAML SSO の設定 [] の Okta タブの のステップ 3 を参照してください。
- Microsoft AzureまたはOkta以外のIDプロバイダーを使用している場合は、サポートが必要な場合は、ご利用のIDプロバイダーのカスタマーサポートにお問い合わせください。
ステップ4:WorkivaにIDプロバイダーのメタデータを入力します。
前提条件: 先に進む前に、ID プロバイダーの管理者から必要な ID プロバイダーのメタデータ情報を取得する必要があります。
- ID プロバイダーとして Microsoft Azure を使用している場合は、ID プロバイダー管理者は ID プロバイダーとの SAML SSO の構成 の ] Azure タブの [のステップ 4 を参照してください。
- Okta を ID プロバイダーとして使用している場合は、ID プロバイダー管理者は、 ID プロバイダーとの SAML SSO の設定 ] の Okta タブの [のステップ 2 を参照してください。
- Microsoft AzureまたはOkta以外のIDプロバイダーを使用している場合は、IDプロバイダーのカスタマーサポートに問い合わせて情報を入手してください。
ID プロバイダーのメタデータセクション (例: Microsoft Azure メタデータ) に、ID プロバイダーのメタデータを入力します。
- まず、 優先入力方法 ドロップダウンで、IDプロバイダーのメタデータを入力する方法を選択します。 フェデレーションメタデータURLを入力するか、 メタデータXMLファイルをアップロードするか、または 手動入力でメタデータを入力できます。
-
ファイル選択ダイアログで、IDプロバイダーのメタデータ情報を含むファイルを選択し、 インポートをクリックします。
または、値を手動で入力することもできます。
ステップ5:ユーザーマッピングを設定する
ユーザーマッピング セクションで、ドロップダウンをクリックし、以下のいずれかを選択します。
- ユーザーをWorkivaのユーザー名にマッピングする (推奨)
- ユーザーをマニュアルでマップ
注: ID プロバイダーのメタデータ情報を手動で入力した場合は、このセクションの 詳細オプション をオンにする必要があります。
ユーザーをWorkivaのユーザー名にマッピングする
ドロップダウンで ユーザーを Workiva ユーザー名にマッピング を選択した場合、Workiva はユーザーがログインする際に、受信した Primary NameID 属性が Workiva ユーザー名と一致することを期待し、大文字と小文字の区別は無視します。例えば、User.Name.Example と、user.name.example をマッチさせることができます。
次に、 マッピングを設定 ドロップダウンをクリックし、 すべての SSO ID を Workiva ユーザー名に設定 を選択してテーブルにデータを入力します。
設定の作成 をクリックして続行してください。
ユーザーを手動でマッピングする
ドロップダウンメニューで ユーザーを手動でマッピング を選択した場合は、まず詳細オプションを確認してください。 NameIdentifier locationの下では、ほとんどの構成で NameIdentifier is in Subject statement オプションが選択されます。これは、WorkivaがSubjectステートメント内のNameIdentifier要素をチェックすることを意味します。
ただし、 NameIdentifier が別の要素属性にある オプションを選択し、 NameIdentifier 要素属性を入力すると、アプリケーションは SAML レスポンス内でその属性を検索します。
注: ほとんどの組織セキュリティ管理者は、NameIdentifier の場所をデフォルトから変更しません。変更を行う前に、 Workivaサポート に連絡してサポートを受けてください。
ファイルインポートによるユーザーマップ
マッピングの設定をクリックし、 ファイル経由で SSO ID をインポート を選択して、.csv マッピング ファイル内の SSO ID にユーザーをマッピングします ( SAML ID .csv マッピング ファイルの要件を参照)。
- マッピングファイルにはヘッダーは必要ありません。
- すべての行が処理され、無効な行はスキップされます。
- 重複するユーザー名がある場合は、そのユーザー名を含む最初の行のみが使用されます。
- 指定されたユーザー名に既にマッピングが存在する場合、そのマッピングはマッピングファイルに記載されている内容に更新されます。
- 行がスキップされた場合、失敗は SAMLシングルサインオンアクティビティログに記録されます。
地図利用者はそれぞれ
個々のユーザーの SSO ID を設定または編集する必要がある場合は、ユーザーを検索するか、 SSO ID ステータス フィルターを使用して、ユーザーをより簡単に見つけます。次に、表の中で、ユーザー名の横にあるSSO IDフィールドをダブルクリックし、正しいSSO IDを入力します。
ユーザーマッピングを設定したら、 構成の作成 をクリックして続行します。
SAML ID .csv マッピング・ファイルの要件
SAML ID .csv マッピング・ファイルの有効な行は、以下の形式に従います:
samlId,ユーザー名以下の場合、行は無効です:
- 2つ未満の項目が並んでいます。
- SAML ID および/またはユーザ名が提供されていません。
- 指定されたユーザー名が存在しません。
- 指定されたユーザー名のユーザーは組織のメンバーではありません。
- 指定されたユーザー名のユーザーの主組織が、現在変更されている組織と同じではありません。
- 指定された SAML ID は、別のユーザによって既に使用されています。
有効なマッピングファイルの例は次のようになります:
exampleSamlId、exampleUsername exampleSamlId2、exampleUsername2 exampleSamlId3、exampleUsername3
ステップ6:SAML SSO構成を有効化する
SAML SSOの設定を作成した後、設定を有効にするには、明示的に有効化する必要があります。
設定の 有効化 をクリックします。設定は 「アクティブ」と表示されます。
ステップ7:SAML SSO認証オプションを更新する
Workivaは、ログインプロセスを簡素化し、全体的なユーザーエクスペリエンスを向上させるためのベストプラクティスとして、ユーザーにSSO(シングルサインオン)によるサインインを強制することを強く推奨します。SAML SSO構成を作成して有効化した後:
- シングルサインオン タブの SSOの強制と例外 セクションには、2つの認証オプションが表示されます。
-
SSO を使用してユーザーにサインインを強制する (推奨): 管理者以外のユーザーは SSO の使用を強制されますが、組織セキュリティ管理者は引き続きユーザー名とパスワードを使用してサインインできます。このオプションは、会社がSSOを強制的に適用したいが、SSOに問題が発生した場合に組織セキュリティ管理者がプラットフォームにアクセスできるようにしたい場合に最適です。
注: このオプションを有効にする前に、包括的なテストを実施し、SAML SSO の設定に完全に自信があることを確認してください。
- 組織セキュリティ管理者に SSO を使用してサインインすることを強制する: 組織セキュリティ管理者は SSO の使用を強制されます。このオプションは、企業のセキュリティポリシーでユーザーをSSO要件から除外したくない場合に最適です。このオプションを有効にするには、 SSO を使用してユーザーにサインインを強制する [もチェックする必要があります。
-
- オプションを選択したら、 保存をクリックしてください。
必要に応じて、特定のユーザーが SAML SSO を使用せずにサインインできるように、SSO 例外リストにを追加します。
注: SAML SSO を強制する前に、ユーザーがアカウントから締め出されないように、必要なユーザーを SSO 例外リストに追加してください。
IDプロバイダーでSAML SSOを設定する
IDプロバイダーの管理者は、一般的なIDプロバイダーでSAML SSOを設定する方法について、以下の手順を参照してください。
対応機能
- SP開始型SSO
- IdP主導のSSO
- IdP開始型SLO(シングルログアウト)
- SSO例外リスト
- オプションのアサーション暗号化
ステップ1:統合を追加する
- Okta 管理ポータルにサインインし、 アプリケーションの下にある アプリカタログの参照を選択します。
- アプリ統合カタログで、 Workiva を検索し、選択します。次に、 統合を追加をクリックします。
- ITポリシーと手順に従って、一般的な設定を行います。次に次へをクリックします。
ステップ2:OktaのメタデータをWorkivaに入力する
SAML 2.0 セクションでは、デフォルトのリレーステートを空白のままにします。 Workivaの手順4:WorkivaにIDプロバイダーのメタデータを入力するで説明されているように、メタデータXMLファイルをダウンロードしてWorkivaにアップロードします。
XMLファイルをダウンロードする方法の一つは、メタデータURLをコピーしてブラウザに貼り付け、ページをXMLファイルとして保存することです。
ステップ3:WorkivaのメタデータをOktaに入力する
で見つかったWorkiva URLを使用して、Workivaのステップ3:WorkivaメタデータをIDプロバイダー管理者に送信します。
- Workiva ACS URL を Okta ACS URLフィールドにコピー&ペーストしてください。
- Workivaの オーディエンスURL をOktaの オーディエンスURLフィールドにコピー&ペーストしてください。
ステップ4:属性とクレームを編集する
Oktaの属性とクレームでは、Workivaのユーザー名(大文字と小文字を区別しない)をプライマリNameID属性に一致させ、ユーザーが初めてSSOでサインインしたときに、Workivaが自動的にその属性をWorkivaのユーザー名にマッピングするようにすることを推奨します。ただし、このマッピングは貴社の具体的なITポリシーによって異なります。
これらの属性が一致しない場合は、ユーザーが SSO でサインインする前に、 Workiva: ユーザーマッピングの設定 の手順 5 で説明されているように、属性を対応するユーザー名に手動でマッピングする必要があります。
SP開始型SSOプロセス
サインインプロセスは、所属組織のSP URLであるapp.wdesk.com、eu.wdesk.com、またはapac.wdesk.comから開始されます。
- ブラウザからWorkivaのサインインページにアクセスしてください。
- Workivaのユーザー名を入力してください。
- 「シングルサインオンでサインイン」をクリックしてください。
- 組織のサインインページにリダイレクトされます。
- 組織の規定に従って、認証情報を入力し、追加の課題をすべてクリアしてください。
- Workivaのサイトにリダイレクトされ、インターフェースにログインされます。
ステップ1:アプリケーションを作成する
- Azure 管理ポータルにサインインし、 Microsoft Entra ID > エンタープライズ アプリケーションに移動します。
- 新規アプリケーションをクリックします。
- Workiva を検索し、選択します。
SCIMを導入する予定がある場合は、カスタムアプリケーションを作成する必要があることに注意してください。 - アプリケーションに名前を付け、作成をクリックします。
- アプリケーションが作成されたら、 シングルサインオン > SAMLに移動します。
ステップ2:WorkivaのメタデータをMicrosoft Azureに入力する
- 基本 SAML 設定を編集します。
- で見つかったWorkiva URLを使用して、Workivaのステップ3:WorkivaメタデータをIDプロバイダー管理者に送信します。
- Workiva 識別子 (エンティティ ID) をコピーして、Azure 識別子 (エンティティ ID) フィールドに貼り付けます。
- Workiva Reply URL をコピーして、Azure Reply URL (Assertion Consumer Service URL) フィールドに貼り付けます。
- (オプション)Workiva サインオン URL をコピーして、Azure サインオン URL フィールドに貼り付けます。
- リレーステートフィールドは空白のままにしておきます。
- (オプション)Workiva ログアウト URL をコピーして、Azure ログアウト URL フィールドに貼り付けます。
ステップ3:属性とクレームを編集する
設定を保存したら、 属性とクレームを編集します。Workivaのユーザー名(大文字小文字を区別しない)をプライマリNameID属性に一致させることをお勧めします。そうすることで、ユーザーが初めてSSOでサインインしたときに、Workivaが自動的にその属性をWorkivaのユーザー名にマッピングします。ただし、このマッピングは貴社の具体的なITポリシーによって異なります。
- これらの属性が一致しない場合は、ユーザーが SSO でサインインする前に、 Workiva: ユーザーマッピングの設定 の手順 5 で説明されているように、属性を対応するユーザー名に手動でマッピングする必要があります。
- Workiva は、必須クレーム固有のユーザー識別子 (NameID) のユーザーのみを調べ、それ以外のクレームは無視されます。
ステップ4:Microsoft AzureのメタデータをWorkivaに入力する
Microsoft AzureのメタデータをフェデレーションメタデータURL経由でWorkivaに入力する場合は、Azure SAML SSO構成内でフェデレーションメタデータURLを確認できます。
Microsoft Azure のメタデータをメタデータ XML ファイル経由で Workiva に入力する場合は、 SAML 証明書 セクションで、 フェデレーション メタデータ XMLの横にある ダウンロード をクリックします。次に、メタデータXMLファイルをWorkivaにアップロードします。
注: ID プロバイダーとして Microsoft Azure を使用している場合は、[詳細オプション] の Workiva [] ログイン URL フィールドを空白のままにしてください。そうしないと、サインイン エラーが発生します。
詳細オプションでログアウトURLを設定したいのに 、アップロードしたXMLメタデータファイルにその値が見つからない場合は、その値を手動で貼り付ける必要があります。