このドキュメントでは、SAML2 SSO設定のIDプロバイダー(IdP)ソリューションとしてMicrosoft Entra IDを使用してシングルサインオン(SSO)経由で認証するようにWorkvivoを設定する方法に関するガイドラインを提供します。このドキュメントに含まれる情報はガイドラインとしてのみ意図されており、特定のEntra ID設定には大きな違いがあり、異なるアプローチが必要になる場合があります。
注:セットアップに先立って、テクニカルコンサルタントは、どのチーム用語がどのSSOテナントに送信されるかを知る必要があります。これが、ユーザーを正しいログイン画面に誘導するために私たちの側で使用するロジックです。
1. EntraIDにWorkvivoをエンタープライズアプリケーションとして追加する
Entra IDでWorkvivoを構成する最初のステップは、EntraIDディレクトリにEnterpriseアプリケーションとして追加することです。Entra IDポータルで、Entra IDディレクトリのメインナビゲーションから[エンタープライズアプリケーション]を選択します。
次に、「新しいアプリケーション」をクリックして、新しいエンタープライズアプリケーションを作成します。
Microsoft Entra ギャラリー画面で、[独自のアプリケーションを作成する] を選択し、アプリケーションに名前を付けて、[ギャラリー以外] オプションを選択します。
2. SAMLを使用したSSOの設定
アプリケーションが作成されたら、ナビゲーションの [シングルサインオン] を選択して SSO を設定します。[Select a single sign-on method(シングルサインオン方式の選択)] 画面で、[SAML] オプションを選択します。
「SAML によるシングルサインオンの設定」画面が表示されます。
この設定には、4 つの主要なセクションがあります。ここには多くのオプションがあるように見えるかもしれませんが、変更する必要はほとんどありません。セクション1「基本的なSAML設定」の右上にある「編集」アイコンをクリックします。
この画面で、会社のWorkvivoインストールに関連する値を[識別子]フィールドと[返信URL]フィールドに追加します。これらは次のとおりで、必要に応じてドメイン名をWorkvivo環境のドメインに置き換えます。追加の URL は空のままにします。
識別子(エンティティID):https://[会社名].workvivo[.com][.us][.me]/saml/metadata-multi/[hashvalue]
返信URL(ACS URL):https://[会社名].workvivo[.com][.us][.me]/saml/acs-multi/[hashvalue]
「保存」ボタンを押して続行します。
*注 - WorkvivoインスタンスがEU、米国、またはUAEのデータセンターでホストされているかどうかに応じて、正しいドメインを入力していることを確認してください。workvivo.com、workvivo.us、または workvivo.me のいずれかになります。また、 組織がWorkvivoのカスタムドメイン名を設定している場合も、形式が異なる場合があります。Workvivoのドメイン名がわからない場合は、support@workvivo.com のサポートチームにお問い合わせください。
セクション2で「ユニークユーザー識別子」を変更する必要がある場合は、このセクションの「編集」ボタンをクリックし、「ユニークユーザー識別子(名前ID)」の横にある編集アイコンをクリックします。メールアドレスを含む属性(user.mailやuser.userprincipalnameなど)を選択していることを確認してくださいこれは、ユーザーがWorkvivoにSSO認証するためのメールアドレスとして入力する値になります。選択が完了したら、「保存」ボタンをクリックします。
3. Workvivoで設定を完了します
以下の情報またはメタデータURLを テクニカルコンサルタント と共有して、当社側で設定を完了してください。
1. Microsoft Entra 識別子 = SAML IDP エンティティ ID URL
2. ログインURL = SAMLシングルサインオンサービスURL
3. ログアウトURL = SAMLシングルログアウトサービスURL
4. 証明書 (Base64) = SAML X509 証明書
4. WorkvivoでのSSOのテスト
Workvivoでのシングルサインオンをテストするための「SAMLを使用したSSOの設定」画面のセクション5に「テスト」ボタンがあります。このボタンをクリックするのは、ステップ3の設定変更が行われ、テクニカルコンサルタントがこれを確認した後のみです。SSOをテストする前に、Entra ID SSOを使用してWorkvivoにサインインできるEntra IDユーザーおよび/またはグループにWorkvivoアプリケーションへのアクセスを許可する必要があります。これを行うには、Entra IDの画面左側にある「ユーザーとグループ」ナビゲーション項目を使用します。
また、サインインプロセスを正常にテストする前に、ユーザーアカウントがWorkvivoで設定され、正しいチームが割り当てられていること(通常はプロビジョニング中)を確認する必要があります。これは、テスト目的で手動で行うことも、Entra ID で SCIM プロビジョニングを設定して自動的に行うこともできます。Workvivo でプロビジョニングを開始する方法については、Microsoft Entra ID SCIM API の設定に関する別のドキュメントを参照してください。