Adobe Workfront と SAML 2.0 の連携の設定
Adobe Workfront 管理者は、シングルサインオン(SSO)用の Security Assertion Markup Language(SAML)2.0 ソリューションと連携するように Workfront web アプリケーションおよびモバイルアプリケーションを設定できます。
次の節の説明に従って、Workfront に SAML 2.0 を設定した後、ID プロバイダーの SAML 2.0 メタデータの更新の説明に従って設定を維持できます。
アクセス要件
この記事の手順を実行するには、次のアクセス権が必要です。
| table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header | |
|---|---|
| Adobe Workfront プラン | 任意 |
| Adobe Workfront プラン |
新規:標準 または 現在:プラン |
| アクセスレベル設定 | Workfront 管理者である必要があります。 |
この表の情報について詳しくは、Workfront ドキュメントのアクセス要件を参照してください。
SAML 2.0 と連携する Workfront に対する認証の有効化
-
Adobe Workfront の右上隅にある メインメニュー アイコン
-
システム/シングルサインオン(SSO) をクリックします。
-
タイプ のドロップダウンリストで、「SAML 2.0.」を選択します。
-
表示されるオプションの上部付近にある「SAML 2.0 メタデータのダウンロード」をクリックして、お使いのコンピューターにファイルをダウンロードします。
SAML 2.0 ID プロバイダーを利用するには、Workfront インスタンスで生成された情報を含んだ XML ファイルが必要です。ファイルをダウンロードした後、SAML 2.0 ID プロバイダーのサーバーにアクセスし、そこに Workfront SAML 2.0 メタデータ XML ファイルをアップロードする必要があります。
-
Workfront で次の情報を指定します。
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 5-row-2 6-row-2 7-row-2 8-row-2 9-row-2 10-row-2 11-row-2 layout-auto html-authored no-header サービス プロバイダ ID この URL は既に入力されており、ID プロバイダーに対して Workfront を識別します。例: <yourcompany>.com/SAML2バインド タイプ IDP サーバーでサポートされている、認証情報の送信方法を次の中から選択します。
- 投稿する
- リダイレクト
IDプロバイダメタデータからフィールドを入力する SAML 2.0 ID プロバイダーソリューションで、サービスプロバイダーメタデータ XML ファイルを書き出し、それをコンピューター上の一時的な場所に保存します。「ファイルの選択」を選択したあと、保存したファイルを見つけて選択し、Workfront 設定に追加します。 ログイン ポータル URL 組織の共通のログインポータルを入力します。これは、SAML 2.0 と統合されている Workfront アプリケーションおよびその他すべてのアプリケーションにアクセスするためにユーザーがログインする URL です。 サインアウト URL IDP サーバーのログアウト URL を入力します。Workfront からログアウトする前に、Workfrontは この URL に HTTP リクエストを送信します。これにより、Workfront セッションが閉じると、リモートサーバー上のユーザーのセッションが閉じられます。
メモ:ユーザープロファイルで「SAML 2.0 認証のみを許可」オプションが有効になっている場合にのみ、ログアウト URL にリダイレクトされます。
パスワードの変更 URL パスワードを変更するためにユーザーがリダイレクトされる URL を指定します。
Workfront へのアクセスに SAML 2.0 資格情報が使用されるので、Workfront を通じてこのアクティビティを完了する代わりに、SAML 2.0 のパスワードを変更できるページにユーザーがリダイレクトされる必要があります。
セキュア ハッシュ アルゴリズム IDP でサポートされているセキュアハッシュアルゴリズム(SHA)を次の中から選択します。
- SHA-1
- SHA-256
ユーザーを自動設定する このオプションにより、新規ユーザーがディレクトリのユーザー名とパスワードを使用して初めて Workfront にログインしようとすると、システムにユーザーが自動的に作成されます。
Workfront にユーザーを作成するには、Workfront データ属性をディレクトリプロバイダーの次のユーザーデータ属性とマッピングする必要があります。
- 名
- 姓
- メールアドレス
このチェックボックスを選択すると、次のオプションが表示されます。
マッピングする Workfront ユーザー属性をドロップダウンリストから選択し、ユーザーディレクトリにおける対応するディレクトリ属性を指定します。
「ディレクトリ属性」フィールドには、SAML 2.0 設定のテストに成功したときに保存したユーザー属性テーブルのディレクトリ属性名を指定する必要があります。
「デフォルト値」フィールドには、Workfront のデフォルト値を入力します。また、SAML 2.0 ID プロバイダーの値に基づいて、ルールを設定することもできます。
警告:Workfront では、ユーザーがシステムにログインするたびに、以下に示す属性のマッピングを試みます。このため、アクセスレベルをマッピングすることはお勧めしません。属性が正しくマッピングされない場合は、管理アクセス権を容易に削除できます。「マッピングを追加」をクリックして、ルールを追加します。
次の Workfront 属性をマッピングできます。
-
アクセスレベル
-
住所
-
住所2
-
1時間当たりの請求
-
市区町村
-
会社
-
1時間当たりのコスト
-
メールアドレス
-
内線
-
名
-
ホーム グループ
-
ホーム チーム
-
担当業務
-
姓
-
レイアウトテンプレート
-
マネージャー
-
携帯電話
-
電話番号
-
郵便番号
-
スケジュール
-
状態
-
定期タイムシート
-
タイトル
ユーザー属性のマッピングが終了したら、「保存」をクリックします。
証明書 認証サービスと Workfront 間の安全な接続を確保するには、有効な SSL 証明書をアップロードします。OnDemand アカウントの場合は、証明書が常に必要です。この証明書は、SAML 2.0 システム管理者から取得できます。 管理の免除 Workfront 管理者が Workfront ログインを使用して Workfront にアクセスできるようにします。このオプションを選択しない場合、Workfront 管理者は SAML 2.0 のユーザー名とパスワードを使用する必要があります。
Workfront システム管理者のアクセスレベルを持つユーザーの場合、Workfront は、まず SAML 2.0 を使用して Workfront へのログインを試みます。SAML 2.0 認証が失敗した場合、Workfront は Workfront 管理者のローカル認証を使用します。
SAML 2.0 プロバイダーが一時的に使用できなくなった場合でも Workfront 管理者が Workfront にログインできるように、このオプションを常に選択しておくことをお勧めします。
有効にする Workfront システムで SSO をアクティブ化します。ログイン手順がユーザーに伝わっていることを確認します。
Workfront で SSO 設定を有効にした後、SAML 2.0 認証のみを許可 設定をすべてのユーザーに対して有効にして、SSO を使用できるようにします。
SSO のユーザーのアップデートについて詳しくは、シングルサインオンのユーザーをアップデートを参照してください。
ユーザー設定に関して詳しくは、ユーザーのプロファイルの編集を参照してください。
構成の確認 「接続をテスト」をクリックして、Workfront と SAML 2.0 ID プロバイダーが互いに通信できることを確認します。この接続は、XML ファイルを交換した場合にのみ成功します。
SAML 2.0 ID プロバイダーと Workfront 間のリンクのテストが成功すると、以下のような画面が表示されます。
メモ:この画面はブラウザーのポップアップに表示されるので、ブラウザーでポップアップブロッカーを無効にします。
表に示される情報を保存して、後で使用できるようにします。
-
「保存」をクリックして SAML 2.0 設定を保存します。