ユーザ同期なしの Workday から Adaptive Planning への SAML SSO
この SAML SSO 構成は、次の要件がある場合にのみ有効です。また、これは Workday Adaptive Planningがサポートする唯一の SSO 構成です。
- ユーザ アカウントの同期、通知の有効化、Workday への計画の公開は行わないでください。
- Workday からのシングル サインオンのみを使用します。詳細については、Workday コミュニティを参照してください。If you do not have a community account, request one at https://community.workday.com/user/register.
Workday から SAML SSO を設定する前に、Oktaなど、すでに設定済みの IDP プロバイダがあることを確認してください。また、[管理] > [SAML SSO 設定] > [SAML の有効化] で、[SAML SSO のみ許可する] のオプションが選択されていることを確認します。
Adaptive Planningユーザでもある Workday ユーザが Workday ワークレットをクリックし、Adaptive Planningに自動ログインできるように、Adaptive Planningで SAML SSO を構成できます。
このプロセスでは、Workday からAdaptive Planningへのシングル サインオンのみを設定します。これは、ユーザ同期、通知または計画の公開を有効化しません。
基本ステップ
- Adaptive PlanningのSAML SSO を有効にします。
- SSO の構成を担当するWorkday セキュリティ管理者にAdaptive PlanningへのWorkday ID を追加します。
- ユーザーに Adaptive PlanningへのWorkdayフェデレーションIDを追加します。
- SSO 構成が完了した後、Workday ユーザのAdaptive Planningワークレットを有効にします。
この構成を完了した後、Adaptive Planningユーザー名およびパスワードで認証するAdaptive PlanningへのAPI呼び出しは成功しません。
開始前に
Okta などの IDP プロバイダが構成されていることを確認してください。「SAML SSO 設定」を参照してください。Adaptive Planning, の IDP プロバイダがない場合は、この記事の最後の記載どおりにAdaptive Planningを起動するようワークレットを構成できます。
Adaptive Planningにおいて、
- Workdayの [テナントID]、[環境]、[UI URL]、および [REST URL] を使用して Workday のインスタンスが構成されたことを確認します。「Workday での Adaptive Planning の使用」を参照してください。
- カスタマーサクセスマネージャーで、インスタンスに対して [SAMLを有効にする] がオンになっており、IDPプロバイダが既に構成されていることを確認します。
- 次のロール権限を持つ管理者ロールを作成したことまたは既にあることを確認します。このユーザは、次のユーザ サインオンを有効にして、Workday.の SSO を構成します。
- ユーザー
- ロール
- グローバルユーザグループを管理
- 一般設定
Workdayにおいて、
- Adaptive Planningユーザがシングル サインオンを使用してログインできるようドメインを有効にします。
- Adaptive Planningへのアクセス: Adaptive Planningワークレットドメインに同期する [制約のないセキュリティ] グループユーザーが含まれます
- これらのWorkdayドメインへのアクセス権があることを確認します。
- [システム] 機能エリアの [セキュリティ構成]
- 設定: [システム] 機能エリアのシステム。
- 設定: テナント設定 [システム] 機能エリアのAdaptive Planning 。
- 設定: テナント設定 [システム] 機能エリアの [一般]。
- 設定: テナント設定 [システム] 機能エリアの [ワークレット]。
- [システム] 機能エリアのWorkday科目。
- セキュリティ管理者として、[WorkdayID ] フィールドの追加の行列を持つ [すべてのWorkday科目] 標準レポートをコピーして編集したことを確認します。Adaptive PlanningへのSSOを必要とするすべての計画ユーザーの [WorkdayフェデレーションID] を取得します。ユーザ名は、このパターンに従うWorkdayフェデレーション ID の一部です。workdayUserName@TenantID.Environment
Adaptive Planningでユーザ サインオンを有効化する
Workday のセキュリティ管理者と、Workday からAdaptive Planningにアクセスする必要のあるすべてのユーザを設定します。
- [管理者] ロールを持つユーザーとしてAdaptive Planningにログインします。
- [管理] に移動し、[ユーザとロール] の下の [SAML SSO 設定] を選択します。
- [管理> ユーザー] に移動します。
- 管理者ユーザー(SSO設定を行うWorkdayセキュリティ管理者)を検索して編集し、そのWorkday IDを入力します。
- WorkdayからAdaptive Planningへのログインアクセスが必要なすべてのユーザーのWorkdayフェデレーションIDを入力します。SSOを有効にするセキュリティ管理者がアクセスを必要とする場合、WorkdayフェデレーションIDも入力する必要があります。Workdayユーザのフェデレーション ID は、次のパターンに従います。
workdayUserName@TenantID.Environment
Workdayでユーザ サインオン タスクを有効にする
- セキュリティ管理者としてWorkdayにログインします(これはAdaptive Planning内のWID情報を持つユーザーです)。
- テナント設定を検索して選択します。
- Adaptive Planningタブの [ユーザ サインオン] タブを選択します。
- Adaptive Planningで [ユーザ サインオンの有効化] を選択して確認します。
- [OK] を選択します。
- [完了] を選択します。
Workdayでワークレットを設定する
Adaptive Planningへのアクセスドメインを有効にしドメイン セキュリティポリシーを編集して、ユーザがAdaptive Planningワークレットにアクセスできるようにします。このドメインでは、セキュリティグループタイプ [制約されていないグループ] を使用できます。
- Adaptive Planning ユーザーを含むセキュリティグループを持つ [Adaptive Planningへのアクセス] ドメインを設定します。
- セキュリティ管理者は、組織に適切なセキュリティグループを作成できます。
- 推奨セットアップ:
- ユーザーベースの [セキュリティグループ 'All Adaptive Planners'] を作成する
- ユーザーをユーザーベースのセキュリティグループに割り当てる
- Adaptive Planning ドメインの [ドメインセキュリティポリシーの編集] タスクにアクセスし、作成後に [すべてのAdaptive入力者] セキュリティグループを追加します。
- [ダッシュボードの保守] タスクにアクセスし、Adaptive Planning ユーザーに自動的に表示するAdaptive Planning ワークレットを設定します。
- [ダッシュボード] 列ヘッダーフィルターを使用して [ホーム] ダッシュボードを検索します。
- [編集] を選択します。
- [コンテンツ] タブの [ワークレット] セクションを展開します。新しい行を追加し、[ワークレット] プロンプトで [Adaptive Planning ] を選択します。[グループに必要] 列には、ワークレットを表示できるセキュリティグループが表示されます。作成したセキュリティ グループを選択します。
- ユーザーにワークレットを常に表示するには [必須] を選択します。
ワークレット ドメインに追加されたプランニング ユーザのAdaptive Planningワークレットが表示されます。
このプロセスを完了すると、WorkdayユーザーはAdaptive PlanningワークレットをクリックすることによってAdaptive Planningにのみログインする必要があります。
Adaptive Planning OfficeConnect をインストールした場合は、IDプロバイダのユーザー名と認証情報を使用して引き続きOfficeConnectにログインできます。
IDPプロバイダなしでAdaptive Planningを起動するようワークレットを設定する
Workday内:
- [ワークレットの構成] タスクにアクセスします。
- [Adaptive Planning] を選択します。
- [外部リンク] セクションで、[作成した SAML SSO リンク] を選択します。
または
- [外部リンク] セクションで、[クイックリンクの作成] を選択します。
- Adaptive Planningインスタンスの名前とURLを入力し、[OK] を選択して保存します。