Intégrer Okta Device Trust à Omnissa Workspace ONE pour les ordinateurs Windows et macOS
Cette intégration Okta et Workspace ONE pour les appareils de bureau est principalement basée sur les connexions de confiance SAML. Il permet aux administrateurs d'établir l'approbation de l'appareil en évaluant son niveau de sécurité avant d'autoriser les utilisateurs finaux à accéder aux applications sensibles. Pour déterminer si les appareils sont gérés et conformes, les politiques de niveau de sécurité de l'appareil établies dans Workspace ONE sont évaluées chaque fois qu'un utilisateur tente d'accéder à une application protégée.
Vous pouvez également configurer cette intégration pour offrir aux utilisateurs finaux une expérience d'enrôlement d'appareil simplifiée, tirer parti de l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.
Ce guide fournit des instructions étape par étape pour configurer et tester les cas d'utilisation pris en charge par Okta et Workspace ONE. Pour intégrer Okta à Workspace ONE, vous intégrez Workspace ONE Access à Okta. Workspace ONE Access est le composant d'identité de Workspace ONE.
Cette intégration ne prend en charge que les flux d'authentification initiés par le fournisseur de services. Les flux initiés par l'IdP (comme essayer d'accéder à des ressources en cliquant sur les applications SAML dans le tableau de bord d'utilisateur final Okta) ne sont pas pris en charge.
Cas d'utilisation
Les principaux cas d'utilisation pris en charge par l'intégration Okta + Workspace ONE sont les suivants :
- Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta et Omnissa Workspace ONE
- Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE pour les appareils de bureau à l'aide d'Okta
1. Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta et Omnissa Workspace ONE
Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta et Omnissa Workspace ONE
Ce cas d'utilisation permet aux administrateurs d'établir l'approbation de l'appareil en évaluant son niveau de sécurité, par exemple en vérifiant s'il est géré, avant d'autoriser les utilisateurs finaux à accéder aux applications sensibles. Il établit également Okta comme fournisseur d'identité de confiance pour Workspace ONE, permettant aux utilisateurs finaux de se connecter à l'application Workspace ONE, à l'application Intelligent Hub de Workspace ONE et au portail Web en utilisant les politiques de connexion aux applications Okta.
Flux d'authentification pour les appareils macOS et Windows :
Un flux d'approbation de l'appareil pour les appareils macOS et Windows 10 utilisant l'application Salesforce suivrait cette séquence :
- L'utilisateur final tente d'accéder au tenant Salesforce (initialisation par le fournisseur de services uniquement. L'initialisation par l'IdP n'est pas prise en charge. Consultez Remarques).
- Salesforce redirige vers Okta en tant que fournisseur d'identité configuré.
- Okta traite la demande entrante et achemine le client vers l'IdP de Workspace ONE en fonction des règles de routage configurées.
- Workspace ONE vérifie les informations d'identification sur l'appareil client.
- Workspace ONE vérifie le statut de conformité de l'appareil. Workspace ONE bloque accès si l'appareil est géré, mais non conforme. Si l'appareil n'est pas géré, Workspace ONE demande l'inscription de l'appareil. Remarque : Device Trust et les politiques d'accès pour les appareils de bureau sont définis dansVMware.
- Une fois l'authentification avec Workspace ONE réussie, l'appareil client est redirigé vers Okta.
- Okta valide l'assertion SAML depuis Workspace ONE et émet l'assertion SAML pour Salesforce.
Pour configurer ce cas d'utilisation :
Étape 1 : configurer Workspace ONE Access comme fournisseur d'identité dans Okta
Étape 2 : configurer la source d'application Okta dans Workspace ONE Access
2. Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE pour les appareils de bureau à l'aide d'Okta
Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE pour les appareils de bureau à l'aide d'Okta
Vous pouvez configurer ce cas d'utilisation pour offrir aux utilisateurs finaux une expérience d'inscription d'appareil simplifiée, tirer parti de l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.
Cette configuration est effectuée dans Workspace ONE Access, le composant d'identité de Workspace ONE.
Pour configurer ce cas d'utilisation :
Facultatif : vous pouvez continuer à accéder aux applications à partir du tableau de bord Okta ou du tableau de bord Workspace ONE. Les deux expériences sont entièrement prises en charge. Vous pouvez configurer le catalogue Workspace ONE pour publier des applications fédérées par Okta sans avoir à les importer au préalable dans Workspace ONE Access.
Pour plus d'informations, consultez Publier les applications Okta sur le catalogue Workspace ONE
Exigences
Assurez-vous que votre environnement répond aux exigences suivantes avant de commencer l'intégration Workspace ONE et Okta.
Composants
Workspace ONE
- Un tenant Workspace ONE Access avec un rôle d'administrateur système
- Un locataire Gestion des points de terminaison Workspace ONE Unified (UEM)
- ConnecteurWorkspace ONE Access
- Workspace ONE Access AirWatch Cloud Connector (ACC)
ACC est requis uniquement si vous utilisez Workspace ONE UEM.
Remarque : si votre déploiement existant synchronise les utilisateurs avec Workspace ONE Access depuis Workspace ONE UEM, le connecteur Workspace ONE Access n'est pas nécessaire. Pour les nouveaux déploiements, il est recommandé d'utiliser le connecteur Workspace ONE Access pour synchroniser les utilisateurs d'Active Directory vers Workspace ONE Access.
Okta
- Une organisation Okta (tenant) avec un rôle de super administrateur ou d'administrateur d'organisation
- Device Trust pour Workspace ONE activé par l'assistance Okta
- Règles de routage du fournisseur d'identité (découverte de l'IdP) activées par l'assistance Okta
Appareils et applications pris en charge
- Toute application cloud Windows ou macOS SAML ou WS-Fed
- Appareils fonctionnant avec des versions des systèmes d'exploitation Windows ou macOS prises en charge par Okta
Intégrer Workspace ONE et Workspace ONE Access
Intégrez vos tenants Workspace ONE UEM et Workspace ONE Access et configurez les méthodes d'authentification SSO mobile que vous comptez utiliser pour l'approbation de l'appareil.
Remarques
-
Seuls les flux d'authentification initiés par le fournisseur de services sont pris en charge : cette intégration basée sur SAML ne prend en charge que les flux d'authentification initiés par le fournisseur de services. Les flux initiés par l'IdP (comme essayer d'accéder à des ressources en cliquant sur les applications SAML dans le tableau de bord d'utilisateur final Okta) ne sont pas pris en charge.
- Ne sécurisez pas Workspace ONE avec cette solution Device Trust : cela empêcherait les nouveaux utilisateurs d'inscrire leur appareil dans Workspace ONE et d'accéder à d'autres applications sécurisées par Device Trust.
- Un problème de délai d'expiration peut provoquer une erreur de SSO : les utilisateurs finaux qui se connectent à des applications sécurisées à partir d'un appareil non sécurisé sont invités à inscrire leur appareil auprès de Workspace ONE. (C'est un comportement attendu.) Mais si les applications sont des applications natives et que l'inscription à Workspace ONE prend plus de 10 minutes, ou si l'utilisateur final attend plus de 10 minutes après l'inscription avant de réessayer d'accéder à l'application, une erreur SSO se produit car la session de l'application a expiré. Conseillez aux utilisateurs finaux concernés de réessayer d'accéder à l'application.