この文書では、SAML2 SSO構成でMicrosoft Entra IDをIDプロバイダー(IdP)ソリューションとして使用し、シングルサインオン(SSO)経由で認証するようWorkvivoを構成する方法について説明します。この文書に含まれる情報はガイドラインとしてのみ提供されています。Entra IDの構成によって方法に大きな違いがあり、異なるアプローチが必要になる場合があります。
説明動画をご希望の場合は、このセクションに進んでください。
注:設定前に、テクニカルコンサルタントは、どのチーム用語をどのSSOテナントに割り当てるかを知る必要があります。これは、ユーザーを正しいログイン画面に誘導するために当社側で使用するロジックです。チームはユーザープロビジョニングによって維持される必要があります。
1. WorkvivoをエンタープライズアプリケーションとしてExtra IDに追加する
Entra IDでWorkvivoを構成する最初のステップは、EntraIDディレクトリにEnterpriseアプリケーションとして追加することです。Entra IDポータルで、Entra IDディレクトリのメインナビゲーションから[エンタープライズアプリケーション]を選択します。
次に、「New Application(新しいアプリケーション)」をクリックして、エンタープライズアプリケーションを新規作成します。
Microsoft Entraのギャラリー画面で「Create your own application(自分のアプリケーションを作成)」を選択し、アプリケーションに名前を付けてから、「Non-gallery(非ギャラリー)」オプションを選択します。
2. SAMLを使用したSSOの設定
アプリケーションが作成されたら、ナビゲーションの [シングルサインオン] を選択して SSO を設定します。[Select a single sign-on method(シングルサインオン方式の選択)] 画面で、[SAML] オプションを選択します。
「SAML によるシングルサインオンの設定」画面が表示されます。
この設定には、4 つの主要なセクションがあります。ここには多くのオプションがあるように見えるかもしれませんが、変更する必要はほとんどありません。セクション1「基本的なSAML設定」の右上にある「編集」アイコンをクリックします。
この画面で、会社のWorkvivoインストールに関連する値を[識別子]フィールドと[返信URL]フィールドに追加します。これらは次のとおりで、必要に応じてドメイン名をWorkvivo環境のドメインに置き換えます。追加の URL は空のままにします。
Identifier (Entity ID)(識別子「Entitiy ID」):https://「companyname」.workvivo「.com」「.us」「.me」/saml/metadata-multi/「hashvalue」
Reply URL (ACS URL)(返信URL「ACS URL」):https://「companyname」.workvivo「.com」「.us」「.me」/saml/acs-multi/「hashvalue」
「Save(保存)」ボタンを押して続行します。
*注意 - Workvivoインスタンスが、EU、米国、UAEのどのデータセンターでホストされているかに応じて、正しいドメインを入力してください。workvivo.com、workvivo.us、workvivo.meのいずれかになります。組織が、Workvivoにカスタムドメイン名で設定している場合、フォーマットも異なる場合があります。Workvivoのドメイン名がわからない場合は、「Submit a request(リクエストを送信)」からサポートチームにお問い合わせください。
セクション2で「ユニークユーザー識別子」を変更する必要がある場合は、このセクションの「編集」ボタンをクリックし、「ユニークユーザー識別子(名前ID)」の横にある編集アイコンをクリックします。メールアドレスを含む属性(user.mailやuser.userprincipalnameなど)を選択していることを確認してくださいこれは、ユーザーがWorkvivoにSSO認証するためのメールアドレスとして入力する値になります。選択が完了したら、「保存」ボタンをクリックします。
3. Workvivoで設定を完了します
以下の情報、またはメタデータURLを技術コンサルタントと共有して、当社側での設定を完了してください。
1. Microsoft Entra 識別子 = SAML IDP エンティティ ID URL
2. ログインURL = SAMLシングルサインオンサービスURL
3. ログアウトURL = SAMLシングルログアウトサービスURL
4. 証明書 (Base64) = SAML X509 証明書
4. WorkvivoでSSOをテストする
Workvivoでのシングルサインオンをテストするための「SAMLを使用したSSOの設定」画面のセクション5に「テスト」ボタンがあります。このボタンをクリックするのは、ステップ3の設定変更が行われ、テクニカルコンサルタントがこれを確認した後のみです。SSOをテストする前に、Entra ID SSOを使用してWorkvivoにサインインできるEntra IDユーザーおよび/またはグループにWorkvivoアプリケーションへのアクセスを許可する必要があります。これを行うには、Entra IDの画面左側にある「ユーザーとグループ」ナビゲーション項目を使用します。
また、サインインプロセスを正常にテストする前に、ユーザーアカウントがWorkvivoで設定され、正しいチームが割り当てられていること(通常はプロビジョニング中)を確認する必要があります。これは、テスト目的で手動で行うことも、Entra ID で SCIM プロビジョニングを設定して自動的に行うこともできます。Workvivo でプロビジョニングを開始する方法については、Microsoft Entra ID SCIM API の設定に関する別のドキュメントを参照してください。