Intégrer Okta Device Trust à VMwareWorkspace ONE pour les ordinateurs Windows et macOS

Cette intégration Okta + Workspace ONE pour les appareils de bureau est principalement basée sur les connexions de confiance SAML. Il permet aux administrateurs d'établir l'approbation de l'appareil en évaluant son niveau de sécurité avant d'autoriser les utilisateurs finaux à accéder aux applications sensibles. Pour déterminer si les appareils sont gérés et conformes, les politiques de niveau de sécurité de l'appareil établies dans Workspace ONE sont évaluées chaque fois qu'un utilisateur tente d'accéder à une application protégée.

Vous pouvez également configurer cette intégration pour offrir aux utilisateurs finaux une expérience d'enrôlement d'appareil simplifiée, tirer parti de l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.

Ce guide fournit des instructions étape par étape pour configurer et tester les cas d'utilisation pris en charge par Okta + Workspace ONE. Pour intégrer Okta à Workspace ONE, vous intégrez VMware Identity Manager à Okta. VMware Identity Manager est le composant d'identité de Workspace ONE.

Remarque importante

Important

Cette intégration ne prend en charge que les flux d'authentification initiés par le fournisseur de services. Les flux initiés par l'IdP (comme essayer d'accéder à des ressources en cliquant sur les applications SAML dans le tableau de bord d'utilisateur final Okta) ne sont pas pris en charge.

Cas d'utilisation

Les principaux cas d'utilisation pris en charge par l'intégration Okta + Workspace ONE sont les suivants :

  1. Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta + VMware Workspace ONE
  2. Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE pour les appareils de bureau à l'aide d'Okta

1. Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta + VMware Workspace ONE

Installation forcée d'Okta Device Trust et de la SSO pour les appareils de bureau avec Okta + VMware Workspace ONE

Ce cas d'utilisation permet aux administrateurs d'établir l'approbation de l'appareil en évaluant son niveau de sécurité, par exemple en vérifiant s'il est géré, avant d'autoriser les utilisateurs finaux à accéder aux applications sensibles. Il établit également Okta comme fournisseur d'identité de confiance pour Workspace ONE, permettant aux utilisateurs finaux de se connecter à l'application Workspace ONE, à l'application Intelligent Hub de Workspace ONE et au portail Web en utilisant les politiques de connexion aux applications Okta.

Flux d'authentification pour les appareils macOS et Windows :

Un flux d'approbation de l'appareil pour les appareils macOS et Windows 10 utilisant l'application Salesforce suivrait cette séquence :

  1. L'utilisateur final tente d'accéder au tenant Salesforce (initialisation par le fournisseur de services uniquement. L'initialisation par l'IdP n'est pas prise en charge. Consultez Remarques).
  2. Salesforce redirige vers Okta en tant que fournisseur d'identité configuré.
  3. Okta traite la demande entrante et achemine le client vers l'IdP de Workspace ONE en fonction des règles de routage configurées.
  4. Workspace ONE vérifie les informations d'identification sur l'appareil client.
  5. Workspace ONE vérifie le statut de conformité de l'appareil. Workspace ONE bloque accès si l'appareil est géré, mais non conforme. Si l'appareil n'est pas géré, Workspace ONE demande l'inscription de l'appareil. Remarque : Device Trust et les politiques d'accès pour les appareils de bureau sont définis dansVMware.
  6. Une fois l'authentification avec Workspace ONE réussie, l'appareil client est redirigé vers Okta.
  7. Okta valide l'assertion SAML depuis Workspace ONE et émet l'assertion SAML pour Salesforce.

Pour configurer ce cas d'utilisation :

Étape 1 : configurer VMware Identity Manager comme fournisseur d'identité dans Okta

Étape 2 : configurer la source des applications Okta dans VMware Identity Manager

Étape 3 : configurer Device Trust et les stratégies d'accès dans VMware pour les appareils de bureau

2. Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE pour les appareils de bureau à l'aide d'Okta

Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE pour les appareils de bureau à l'aide d'Okta

Vous pouvez configurer ce cas d'utilisation pour offrir aux utilisateurs finaux une expérience d'inscription d'appareil simplifiée, tirer parti de l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.

Cette configuration est effectuée dans VMware Identity Manager, le composant d'identité de Workspace ONE.

Pour configurer ce cas d'utilisation :

Remarque : si vous souhaitez combiner les deux cas d'utilisation, configurez d'abord ce cas d'utilisation, puis appliquez Device Trust et SSO pour les appareils de bureau avec Okta + VMware Workspace ONE.

Facultatif : vous pouvez continuer à accéder aux applications à partir du tableau de bord Okta ou du tableau de bord Workspace ONE. Les deux expériences sont entièrement prises en charge. Vous pouvez configurer le catalogue Workspace ONE pour publier des applications fédérées par Okta sans avoir à les importer au préalable dans VMware Identity Manager.

Pour plus d'informations, consultez Publier les applications Okta sur le catalogue Workspace ONE

Exigences

Assurez-vous que votre environnement répond aux exigences suivantes avant de commencer l'intégration Workspace ONE et Okta.

Composants

VMware

  • Un tenant VMware Identity Manager avec un rôle d'administrateur système
  • Un locataire Gestion des points de terminaison Workspace ONE Unified (UEM)
  • Connecteur VMware Identity Manager
  • VMware Identity Manager AirWatch Cloud Connector (ACC)

    ACC est requis uniquement si vous utilisez Workspace ONE UEM.

    Remarque : si votre déploiement existant synchronise les utilisateurs avec VMware Identity Manager depuis Workspace ONE UEM, le connecteur VMware Identity Manager n'est pas nécessaire. Pour les nouveaux déploiements, il est recommandé d'utiliser le connecteur VMware Identity Manager pour synchroniser les utilisateurs d'Active Directory vers VMware Identity Manager.

Okta

  • Une organisation Okta (tenant) avec un rôle de super administrateur ou d'administrateur d'organisation
  • Device Trust pour Workspace ONE activé par l'assistance Okta
  • Règles de routage du fournisseur d'identité (découverte de l'IdP) activées par l'assistance Okta

Appareils et applications pris en charge

  • Toute application cloud Windows ou macOS SAML ou WS-Fed
  • Appareils fonctionnant avec des versions des systèmes d'exploitation Windows ou macOS prises en charge par Okta

Intégrer Workspace ONE et VMware Identity Manager

Intégrez vos tenants Workspace ONE UEM et VMware Identity Manager et configurez les méthodes d'authentification SSO mobile que vous comptez utiliser pour l'approbation de l'appareil.

Remarques

  • Seuls les flux d'authentification initiés par le fournisseur de services sont pris en charge : cette intégration basée sur SAML ne prend en charge que les flux d'authentification initiés par le fournisseur de services. Les flux initiés par l'IdP (comme essayer d'accéder à des ressources en cliquant sur les applications SAML dans le tableau de bord d'utilisateur final Okta) ne sont pas pris en charge.

  • Ne sécurisez pas Workspace ONE avec cette solution Device Trust : cela empêcherait les nouveaux utilisateurs d'inscrire leur appareil dans Workspace ONE et d'accéder à d'autres applications sécurisées par Device Trust.
  • Un problème de délai d'expiration peut provoquer une erreur de SSO : les utilisateurs finaux qui se connectent à des applications sécurisées à partir d'un appareil non sécurisé sont invités à inscrire leur appareil auprès de Workspace ONE. (C'est un comportement attendu.) Mais si les applications sont des applications natives et que l'inscription à Workspace ONE prend plus de 10 minutes, ou si l'utilisateur final attend plus de 10 minutes après l'inscription avant de réessayer d'accéder à l'application, une erreur SSO se produit car la session de l'application a expiré. Conseillez aux utilisateurs finaux concernés de réessayer d'accéder à l'application.