OktaはクラウドIDソリューションを組織に提供し、シングルサインオンプロバイダとして、TMWSaaSに対するアクセスの管理を容易にします。
Okta認証では、OktaをIDプロバイダ (IdP) として使用して、ユーザ認証用のSAMLベースのシングルサインオンを実装し、System for Cross-domain
Identity Management (SCIM) プロトコルを介して、OktaからTMWSaaSへのユーザ同期を自動化します。ユーザには、既存のOktaユーザやオンプレミスのADユーザ、別の人事 (HR) 管理システムのユーザなどが含まれます。
このセクションでは、TMWSaaSで使用できるよう、OktaをSAML (2.0) IDプロバイダとして設定する方法について説明します。
複数のドメインがある場合、各ドメインで同じ認証方式 (直接、AD FS、エージェント、Okta、Azure AD、Google) を使用します。Okta認証方式では、各ドメインで同じ設定を使用します。
 |
注意この認証方式では、ホストされているユーザはTMWSaaSを介してWebサイトにアクセスできません。ホストされているユーザアカウントを管理する必要がある場合は、最初にそれらのアカウントをOkta管理ポータルに追加します。
|
Oktaの設定を開始する前に、以下を確認してください。
-
Oktaのサブスクリプションが有効であること。OktaからTMWSaaSへのリアルタイムのユーザ同期を有効にするには、ご利用のOktaサブスクリプションにSCIMプロビジョニング権限が付与されていることを確認してください。
注意
OktaサブスクリプションにSCIMプロビジョニング権限が付与されていない場合、またはOkta組織でSCIMプロビジョニングを有効にしない場合は、TMWSaaS管理コンソールで [同期されていないユーザを許可する] をオンにすると、既知のTMWSaaSゲートウェイまたは組織の専用ポートを介してのみ、Okta内のユーザを認証できます。詳細については、TMWSaaSでOktaの設定を行ってドメインを追加するを参照してください。 -
Okta組織にユーザプロファイルをすでに作成していること、またはOkta組織にWindows Server Active Directoryなどのユーザストアを統合しており、属性をマッピングしてOktaユーザプロファイルを作成し、Okta組織にユーザをインポートできること。
-
TMWSaaS管理者として、管理コンソールにログオンしていること。
手順
- Okta管理ポータルで、TMWSaaS SSOを設定します。
- Oktaの設定を行い、TMWSaaS上のドメインを追加します。
- Okta管理ポータルで、TMWSaaSプロビジョニングを設定します。
- ユーザプロファイルを設定し、ユーザストア、Okta、TMWSaaSの間でユーザ属性をマッピングします。
- Okta管理ポータルで、ユーザとグループにTMWSaaSを割り当てます。
- TMWSaaSに対するシングルサインオンをテストします。