Intégrer Okta Device Trust à VMware Workspace ONE pour les appareils iOS et Android

Cette fonctionnalité est disponible en accès anticipé. Pour l'activer, dans Okta Admin Console, accédez à ParamètresFonctionnalités, puis activez Workspace1 Device Trust pour votre ou vos plateformes mobiles.

Cette intégration est basée sur les connexions de confiance SAML. Elle allie l'efficacité du framework de politique de gestion d'accès contextuelle Okta aux indices d'appareils de VMware Workspace ONE, afin de créer une expérience sécurisée et fluide pour l'utilisateur final. En permettant à Workspace ONE d'ajouter le contexte de l'appareil à l'assertion SAML, les entreprises peuvent utiliser le framework de politique d'Okta pour exiger des utilisateurs qu'ils inscrivent leur appareil non géré ou qu'ils effectuent une vérification par MFA.

Vous pouvez également configurer cette intégration pour offrir aux utilisateurs finaux une expérience d'inscription d'appareil simplifiée, tirer parti de l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.

Ce guide fournit des instructions étape par étape pour configurer et tester les cas d'utilisation pris en charge par Okta + Workspace ONE. Pour intégrer Okta à Workspace ONE, vous intégrez VMware Identity Manager à Okta. VMware Identity Manager est le composant d'identité de Workspace ONE.

Public visé

Ces informations sont destinées aux administrateurs expérimentés qui connaissent bien Okta et VMware Identity Manager.

Cas d'utilisation

Les principaux cas d'utilisation pris en charge par l'intégration Okta + Workspace ONE sont les suivants :

  1. Installation forcée de Device Trust et de la SSO pour les appareils mobiles avec Okta + VMware Workspace ONE
  2. Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE à l'aide d'Okta

1. Installation forcée de Device Trust et de la SSO pour les appareils mobiles avec Okta + VMware Workspace ONE

Installation forcée de Device Trust et de la SSO pour les appareils mobiles avec Okta + VMware Workspace ONE

L'intégration d'Okta à Workspace ONE permet aux administrateurs d'établir l'approbation de l'appareil en évaluant son niveau de sécurité, par exemple en vérifiant s'il est géré, avant d'autoriser les utilisateurs finaux à accéder aux applications sensibles. Pour les appareils iOS et Android, les politiques de niveau de sécurité des appareils sont configurées dans Okta et évaluées chaque fois qu'un utilisateur se connecte à une application protégée.

Ce cas d'utilisation établit également Okta comme fournisseur d'identité de confiance pour Workspace ONE, permettant aux utilisateurs finaux de se connecter à l'application Workspace ONE, à l'application Intelligent Hub de Workspace ONE et au portail Web en utilisant les politiques de connexion aux applications Okta.

Flux d'authentification pour les appareils iOS et Android

Un flux d'approbation de l'appareil pour les appareils iOS et Android utilisant l'application Salesforce suivrait cette séquence :

  1. L'utilisateur final tente d'accéder au tenant Salesforce
  2. Salesforce redirige vers Okta en tant que fournisseur d'identité configuré.
  3. Okta traite la demande entrante et achemine le client vers le fournisseur d'identité de Workspace ONE en fonction des règles de routage configurées.
  4. Workspace ONE invite l'utilisateur à utiliser la vérification par authentification en utilisant Mobile SSO pour iOS ou Mobile SSO pour Android.
  5. Workspace ONE redirige vers Okta avec le statut d'approbation de l'appareil.
  6. Okta émet l'assertion SAML pour Salesforce si la règle d'approbation de l'appareil est satisfaite sur la base de la réponse d'assertion SAML reçue de Workspace ONE.

Pour configurer ce cas d'utilisation :

2. Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE à l'aide d'Okta

Configurer l'inscription simplifiée des appareils et la connexion à Workspace ONE à l'aide d'Okta

Vous pouvez configurer ce cas d'utilisation pour offrir aux utilisateurs finaux une expérience d'inscription d'appareil simplifiée, tirer parti de l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.

Cette configuration est effectuée dans VMware Identity Manager, le composant d'identité de Workspace ONE.

Pour configurer ce cas d'utilisation :

Si vous souhaitez combiner les deux cas d'utilisation, configurez d'abord ce cas d'utilisation, puis appliquez Device Trust et SSO avec Okta + VMware Workspace ONE.

Facultatif : vous pouvez continuer à accéder aux applications à partir du tableau de bord Okta ou du tableau de bord Workspace ONE. Les deux expériences sont entièrement prises en charge. Vous pouvez configurer le catalogue Workspace ONE pour publier des applications fédérées par Okta sans avoir à les importer au préalable dans VMware Identity Manager.

Pour plus d'informations, consultez Publier les applications Okta sur le catalogue Workspace ONE

Exigences

Assurez-vous que votre environnement répond aux exigences suivantes avant de commencer l'intégration Workspace ONE et Okta.

Composants

VMware

  • Un tenant VMware Identity Manager avec un rôle d'administrateur système
  • Un tenant Workspace ONE Unified Endpoint Management (UEM)
  • Connecteur VMware Identity Manager
  • VMware Identity Manager AirWatch Cloud Connector (ACC)

    ACC est requis uniquement si vous utilisez Workspace ONE UEM.

    Si votre déploiement existant synchronise les utilisateurs avec VMware Identity Manager depuis Workspace ONE UEM, le connecteur VMware Identity Manager n'est pas nécessaire. Pour les nouveaux déploiements, il est recommandé d'utiliser le connecteur VMware Identity Manager pour synchroniser les utilisateurs d'Active Directory vers VMware Identity Manager.

Okta

  • Une organisation Okta (tenant) avec un rôle de super administrateur ou d'administrateur d'organisation
  • Device Trust pour Workspace ONE activé par l'assistance Okta
  • Règles de routage du fournisseur d'identité (découverte de l'IdP) activées par l'assistance Okta

Appareils et applications pris en charge

  • Toute application cloud iOS ou Android SAML ou WS-Fed
  • Appareils fonctionnant avec des versions des systèmes d'exploitation iOS et Android prises en charge par Okta

Intégrer Workspace ONE et VMware Identity Manager

Intégrez vos tenants Workspace ONE UEM et VMware Identity Manager et configurez les méthodes d'authentification SSO mobile que vous comptez utiliser pour l'approbation de l'appareil.

Remarques

  • Device Trust ne s'applique pas aux applications accessibles depuis Okta Mobile.
  • Inscrivez les appareils dans Workspace ONE pour une meilleure expérience de l'utilisateur final : vos utilisateurs finaux bénéficieront d'une meilleure expérience lors de l'accès aux ressources de votre entreprise si leur appareil Android ou iOS est déjà inscrit dans Workspace ONE UEM. Dans le cas contraire, les utilisateurs finaux dont les appareils iOS et Android ne sont pas inscrits sont guidés à travers le processus d'inscription à Workspace ONE UEM avant de pouvoir accéder aux applications sécurisées de l'appareil.
  • Ne sécurisez pas Workspace ONE avec cette solution Device Trust : cela empêcherait les nouveaux utilisateurs d'inscrire leur appareil dans Workspace ONE et d'accéder à d'autres applications sécurisées par Device Trust.
  • Un problème de délai d'expiration peut provoquer une erreur de SSO : les utilisateurs finaux qui se connectent à des applications sécurisées à partir d'un appareil iOS ou Android non sécurisé sont invités à inscrire leur appareil auprès de Workspace ONE. (C'est un comportement attendu.) Mais si les applications sont des applications natives et que l'inscription à Workspace ONE prend plus de 10 minutes, ou si l'utilisateur final attend plus de 10 minutes après l'inscription avant de réessayer d'accéder à l'application, une erreur SSO se produit car la session de l'application a expiré. Conseillez aux utilisateurs finaux concernés de réessayer d'accéder à l'application.

  • Les applications sécurisées par Device Trust sont affichées comme verrouillées sur le tableau de bord d'utilisateur final Okta. Une icône de verrouillage s'affiche à côté des applications sécurisées par Device Trust dans ces conditions :

    • Les utilisateurs finaux ont accédé au tableau de bord dans un navigateur de bureau ou mobile (pas dans Okta Mobile).
    • Device Trust est activé pour l'organisation.
    • L'appareil n'est pas de confiance.
    • L'utilisateur final a essayé d'accéder à une application sécurisée par Device Trust depuis son tableau de bord.