OktaはクラウドIDソリューションを組織に提供し、シングルサインオンプロバイダとして、 TMWSaaS に対するアクセスの管理を容易にします。
Okta認証では、OktaをIDプロバイダ (IdP) として使用して、ユーザ認証用のSAMLベースのシングルサインオンを実装し、System for Cross-domain Identity Management (SCIM) プロトコルを介して、Oktaから TMWSaaS へのユーザ同期を自動化します。ユーザには、既存のOktaユーザやオンプレミスのADユーザ、別の人事 (HR) 管理システムのユーザなどが含まれます。
このセクションでは、 TMWSaaS で使用できるよう、OktaをSAML (2.0) IDプロバイダとして設定する方法について説明します。
複数のドメインがある場合、各ドメインで同じ認証方式 (直接、AD FS、エージェント、Okta、Azure AD、Google) を使用します。Okta認証方式では、各ドメインで同じ設定を使用します。
この認証方式では、ホストされているユーザは TMWSaaS を介してWebサイトにアクセスできません。ホストされているユーザアカウントを管理する必要がある場合は、最初にそれらのアカウントをOkta管理ポータルに追加します。
Oktaの設定を開始する前に、以下を確認してください。
-
Oktaのサブスクリプションが有効であること。Oktaから TMWSaaS へのリアルタイムのユーザ同期を有効にするには、ご利用のOktaサブスクリプションにSCIMプロビジョニング権限が付与されていることを確認してください。
注:OktaサブスクリプションにSCIMプロビジョニング権限が付与されていない場合、またはOkta組織でSCIMプロビジョニングを有効にしない場合は、 TMWSaaS 管理コンソールで [同期されていないユーザを許可する] をオンにすると、既知の TMWSaaS ゲートウェイまたは組織の専用ポートを介してのみ、Okta内のユーザを認証できます。詳細については、 TMWSaaSでOktaの設定を行ってドメインを追加する を参照してください。
-
Okta組織にユーザプロファイルをすでに作成していること、またはOkta組織にWindows Server Active Directoryなどのユーザストアを統合しており、属性をマッピングしてOktaユーザプロファイルを作成し、Okta組織にユーザをインポートできること。
-
TMWSaaS 管理者として、管理コンソールにログオンしていること。
- Okta管理ポータルで、 TMWSaaS SSOを設定します。
- Oktaの設定を行い、 TMWSaaS 上のドメインを追加します。
- Okta管理ポータルで、 TMWSaaS プロビジョニングを設定します。
- ユーザプロファイルを設定し、ユーザストア、Okta、 TMWSaaS の間でユーザ属性をマッピングします。
- Okta管理ポータルで、ユーザとグループに TMWSaaS を割り当てます。
- TMWSaaS に対するシングルサインオンをテストします。