Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta + VMware Workspace ONE

Remarque importante

Important

Cette intégration ne prend en charge que les flux d'authentification initiés par le fournisseur de services. Les flux initiés par l'IdP (comme essayer d'accéder à des ressources en cliquant sur les applications SAML dans le tableau de bord d'utilisateur final Okta) ne sont pas pris en charge.


Ce cas d'utilisation permet aux administrateurs d'établir l'approbation de l'appareil en évaluant son niveau de sécurité, par exemple en vérifiant s'il est géré, avant d'autoriser les utilisateurs finaux à accéder aux applications sensibles. Il établit également Okta comme fournisseur d'identité de confiance pour Workspace ONE, permettant aux utilisateurs finaux de se connecter à l'application Workspace ONE, à l'application Intelligent Hub de Workspace ONE et au portail Web en utilisant les politiques de connexion aux applications Okta.

Flux d'authentification pour les appareils macOS et Windows :

Un flux d'approbation de l'appareil pour les appareils macOS et Windows 10 utilisant l'application Salesforce suivrait cette séquence :

  1. L'utilisateur final tente d'accéder au tenant Salesforce (initialisation par le fournisseur de services uniquement. L'initialisation par l'IdP n'est pas prise en charge. Consultez Remarques).
  2. Salesforce redirige vers Okta en tant que fournisseur d'identité configuré.
  3. Okta traite la demande entrante et achemine le client vers l'IdP de Workspace ONE en fonction des règles de routage configurées.
  4. Workspace ONE vérifie les informations d'identification sur l'appareil client.
  5. Workspace ONE vérifie le statut de conformité de l'appareil. Workspace ONE bloque accès si l'appareil est géré, mais non conforme. Si l'appareil n'est pas géré, Workspace ONE demande l'inscription de l'appareil. Remarque : Device Trust et les politiques d'accès pour les appareils de bureau sont définis dansVMware.
  6. Une fois l'authentification avec Workspace ONE réussie, l'appareil client est redirigé vers Okta.
  7. Okta valide l'assertion SAML depuis Workspace ONE et émet l'assertion SAML pour Salesforce.

Pour configurer ce cas d'utilisation :

Étape 1 : configurer VMware Identity Manager comme fournisseur d'identité dans Okta

Étape 2 : configurer la source des applications Okta dans VMware Identity Manager

Étape 3 : configurer Device Trust et les politiques d'accès dans VMware pour les appareils de bureau