Étape 3 : configurer Device Trust et les politiques d'accès dans VMware pour les appareils de bureau
Conditions préalables
Étape 1 : configurer VMware Identity Manager comme fournisseur d'identité dans Okta
Étape 2 : configurer la source des applications Okta dans VMware Identity Manager
Pour configurer les stratégies d'accès aux appareils de bureau, configurez les règles de routage du fournisseur d'identité dans Okta et les stratégies d'accès conditionnel dans VMware Identity Manager. La solution Okta Device Trust n'est pas encore disponible pour les appareils de bureau. Pour configurer l'approbation de l'appareil pour les appareils de bureau, vous pouvez utiliser Conformité des appareils comme méthode d'authentification à second facteur dans les stratégies d'accès de VMware Identity Manager.
Configurer les règles de routage du fournisseur d'identité dans Okta pour les appareils de bureau
- Dans Okta Admin Console, accédez à .
- Cliquez sur l'onglet Routing Rules (Règles de routage).
- Cliquez sur Ajouter une règle de routage.
- Configurez ce qui suit :
Paramètre Action Nom de la règle Saisissez un nom pour la règle que vous créez. SI L'adresse IP de l'utilisateur est Si cela est approprié pour votre implémentation, vous pouvez spécifier les zones réseau auxquelles le routage s'applique ou non. Pour spécifier une zone ici, au moins une zone réseau doit être déjà définie dans Okta. Pour obtenir plus d'informations, consultez Zones du réseau. ET La plateforme de l'appareil de l'utilisateur est Sélectionnez L'un de ces appareils, puis sélectionnez macOS ou Windows, ou les deux, en fonction de votre implémentation.
ET L'utilisateur accède à Sélectionnez Any of the following applications (N'importe laquelle des applications suivantes), puis saisissez la ou les applications auxquelles vous souhaitez que la règle de routage s'applique.
ET L'utilisateur correspond à Sélectionnez l'action appropriée :
- N'importe quel élément. Spécifie n'importe quel utilisateur. Il s'agit de la valeur par défaut.
- Expression régulière lors de la connexion. Vous permet de saisir une expression régulière valide basée sur la connexion utilisateur à utiliser pour la correspondance. Cette option est utile lorsque le domaine ou si un attribut utilisateur ne suffit pas pour établir une correspondance. Pour plus de détails, consultez Règles de routage du fournisseur d'identité.
- La liste de domaine lors de la connexion. Indiquez une liste des domaines à faire correspondre ; par exemple example.com. N'ajoutez pas le symbole @ au nom de domaine. Vous pouvez ajouter plusieurs domaines. Remarque : il n'est pas nécessaire d'échapper les caractères.
- Attribut utilisateur. Sélectionnez un nom d'attribut dans la liste de gauche, un type de comparaison dans la liste Commence par, puis saisissez une valeur que vous souhaitez faire correspondre dans le champ de texte de droite.
ALORS Utiliser ce fournisseur d'identité Sélectionnez le fournisseur d'identité que vous avez créé dans Okta pour VMware Identity Manager comme indiqué dans Étape 1 : configurer VMware Identity Manager comme fournisseur d'identité dans Okta. - Cliquez sur Créer une règle.
Configurer les stratégies d'accès conditionnel dans VMware Identity Manager pour les appareils de bureau
Pour fournir une SSO et une approbation de l'appareil pour les appareils de bureau, des règles de stratégie d'accès supplémentaires sont requises dans VMware Identity Manager.
Créez la stratégie d'accès pour macOS et Windows 10 avec le certificat (déploiement cloud) et la conformité des appareils comme méthodes d'authentification.
- Connectez-vous à la console VMware Identity Manager en tant qu'administrateur système.
- Cliquez sur l'onglet Gestion des identités et des accès.
- Cliquez sur l'onglet Stratégies.
- Cliquez sur Ajouter une stratégie.
- Dans la page Définition de l'assistant, saisissez les informations suivantes.
Option Description Nom de la stratégie Un nom pour la stratégie. Description Une description de la stratégie. S'applique à Sélectionnez Okta. Cela affecte l'ensemble de la politique d'accès à la source des applications Okta. Toutes les demandes d'authentification provenant d'Okta sont évaluées avec cet ensemble de règles de stratégie. - Cliquez sur Suivant.
- Dans la page Configuration, cliquez sur Add Policy Rule (Ajouter une règle de stratégie) et configurez la règle de stratégie pour Windows 10.
- Définissez Certificat (déploiement cloud) comme première méthode d'authentification et Conformité des appareils (avec AirWatch) comme méthode d'authentification de secours.
Si la plage de réseau d'un utilisateur est définie sur TOUTES LES PLAGES et que l'utilisateur accède au contenu depuis Windows 10, l'utilisateur peut s'authentifier à l'aide de Certificat (déploiement cloud).
Si la méthode précédente échoue ou n'est pas applicable, alors les utilisateurs s'authentifient avec Conformité des appareils (avec AirWatch)
- Cliquez sur Enregistrer.
- Définissez Certificat (déploiement cloud) comme première méthode d'authentification et Conformité des appareils (avec AirWatch) comme méthode d'authentification de secours.
- Cliquez sur Add Policy Rule (Ajouter une règle de stratégie) et configurez la règle de stratégie pour macOS.
- Définissez Certificat (déploiement cloud) comme première méthode d'authentification et Conformité des appareils (avec AirWatch) comme méthode d'authentification de secours.
Si la plage de réseau d'un utilisateur est définie sur TOUTES LES PLAGES et que l'utilisateur accède au contenu depuis macOS, l'action S'authentifier avec est Certificat (déploiement cloud).
Si la méthode précédente échoue ou n'est pas applicable, alors les utilisateurs s'authentifient avec Conformité des appareils (avec AirWatch)
- Cliquez sur Enregistrer.
- Définissez Certificat (déploiement cloud) comme première méthode d'authentification et Conformité des appareils (avec AirWatch) comme méthode d'authentification de secours.
- Si vous avez également configuré la version mobile de cette intégration, vous devez recréer des stratégies mobiles :
Cela est nécessaire, car les règles de stratégie que vous avez créées aux étapes précédentes de cette procédure remplacent la stratégie d'accès par défaut que vous avez configurée dans VMware Identity Manager pour les appareils mobiles. Par conséquent, vous devez ajouter des règles de politiques pour iOS, Androidet Navigateur Web à cette nouvelle politique, tout comme les règles que vous avez ajoutées à la politique d'accès par défaut lorsque vous avez configuré cette solution pour les appareils mobiles.
Créez une règle de politique pour les appareils iOS avec Mobile SSO (iOS) comme première méthode d'authentification et l'authentification Okta comme méthode d'authentification de secours.
Si la plage de réseau d'un utilisateur est TOUTES LES PLAGES et qu'il accède au contenu depuis iOS, l'action S'authentifier avec est Mobile SSO (iOS).
Si la méthode précédente échoue ou n'est pas applicable, alors les utilisateurs s'authentifient avec Okta Auth.
Créez une règle de politique pour les appareils Android avec Mobile SSO (iOS) comme première méthode d'authentification et l'authentification Okta comme méthode d'authentification de secours.
Si la plage de réseau d'un utilisateur est TOUTES LES PLAGES et qu'il accède au contenu depuis Android, l'action S'authentifier avec est Mobile SSO (Android).
Si la méthode précédente échoue ou n'est pas applicable, alors les utilisateurs s'authentifient avec Okta Auth.
Créez une règle de politique pour les navigateurs Web avec Okta comme méthode d'authentification.
Si la plage de réseau d'un utilisateur est TOUTES LES PLAGES et qu'il accède au contenu depuis Navigateur Web, l'action S'authentifier avec est défini sur Okta Auth.
- Organisez les règles de politique dans l'ordre suivant, de haut en bas :
- Application Workspace ONE ou application Hub
- Windows 10 ou Mac OS
- Windows 10 ou Mac OS
- iOS ou Android
- iOS ou Android
- Navigateur Web