ステップ3:VMwareでデスクトップデバイス用にデバイスの信頼とアクセスポリシーを構成する

前提条件:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaのアプリケーションソースを構成する

デスクトップデバイス用のアクセスポリシーを構成するために、OktaでIDプロバイダーのルーティング・ルールを構成して、VMware Identity Managerで条件付きアクセスポリシーを構成します。Okta Device Trustソリューションは、デスクトップデバイスではまだ利用できません。VMware Identity Managerアクセスポリシーでデバイスコンプライアンスを二要素認証方式として使用して、デスクトップデバイス用のデバイスの信頼を構成できます。

コンテンツ


Oktaでデスクトップデバイス用のIDプロバイダーのルーティング・ルールを構成する

画像をクリックして拡大


  1. Okta管理コンソールで [Security(セキュリティ)]> [Identity Providers(IDプロバイダー)] に移動します。
  2. [Routing Rules(ルーティング・ルール)]タブをクリックして、[Add Routing Rule(ルーティング・ルールを追加)]をクリックします。
  3. 以下のように設定を構成します:

設定アクション
ルール名作成するルールの名前を入力します。
IF User's IP is導入で適当な場合に、ルーティングを適用する、または適用しないネットワークゾーンを指定します。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがOktaで定義済みである必要があります。詳しくは、 ネットワーク ゾーン
AND User's device platform is

[Any of these devices(これらのデバイスのいずれか)]を選択してから、macOS、Windows、またはその両方を実装方法に応じて選択します。

AND User is accessing

[Any of the following applications(次のアプリケーションのいずれか)]を選択してから、ルーティング・ルールを適用するアプリケーションを入力します。

AND User matches

適切なアクションを選択します:

  • Anything。任意のユーザーを指定します。これはデフォルトです。
  • Regex on login。ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインを指定する場合や、ユーザー属性だけでは照合に不十分である場合に便利です。詳しくは、IDプロバイダーのルーティング・ルールをご覧ください。
  • Domain list on login。一致するドメインの一覧を指定します(例:example.com)。ドメインの名前に@の記号を付けないでください。ドメインは複数追加できます。文字をエスケープする必要はありません。
  • User attribute。左側のリストで属性名を、[Starts with(次から開始)]リストで比較のタイプを選択してから、右側のテキストフィールドで一致させる値を入力します。
THEN Use this identity providerVMware Identity Manager用にOktaで作成した IDプロバイダーを選択します。 詳細は、 ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成するに記載されています。

  1. [Create Rule(ルールを作成)]をクリックします。

デスクトップデバイス用にVMware Identity Managerで条件付きアクセスポリシーを構成する

デスクトップデバイスにSSOとデバイスの信頼を提供するには、VMware Identity Managerで追加のアクセスポリシールールが必要です。

証明書(クラウドデプロイメント)とデバイスコンプライアンスを認証方法として設定して、macOSとWindows 10用のアクセスポリシーを作成します。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management]タブをクリックします。
  3. [Policies(ポリシー)]タブをクリックします。
  4. [Add Policy(ポリシーを追加)]をクリックします。
  5. ウィザードの[Definition(定義)]ページで、次の情報を入力します。

オプション説明
Policy Nameポリシーの名前です。
Descriptionポリシーの説明です。
Applies to[Okta]を選択します。これは、 アクセスポリシーセットをOktaアプリケーションソースに割り当てます。Oktaからのすべての認証リクエストは、このポリシールールセットで評価されます。

  1. [Next(次へ)]をクリックします。
  2. [Configuration(構成)]ページで、[Add Policy Rule(ポリシールールを追加)]をクリックしてWindows 10用のポリシールールを構成します。
    1. 証明書(クラウドデプロイメント)を1番目の認証方法として、デバイスコンプライアンス(AirWatch)をフォールバック認証方法として設定します。 
    2. If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:Windows 10

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Certificate (Cloud Deployment)(証明書(クラウドデプロイメント))

      If the preceding method fails or is not applicable, then:Device Compliance (with AirWatch)(デバイスコンプライアンス (AirWatch))

    3. [Save(保存)]をクリックします。
  3. [Add Policy Rule(ポリシールールを追加)]をクリックして、macOS用のポリシールールを構成します。
    1. 証明書(クラウドデプロイメント)を1番目の認証方法として、デバイスコンプライアンス(AirWatch)をフォールバック認証方法として設定します。 
    2. If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:macOS

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Certificate (Cloud Deployment)(証明書(クラウドデプロイメント))

      If the preceding method fails or is not applicable, then:Device Compliance (with AirWatch)(デバイスコンプライアンス (AirWatch))

    3. [Save(保存)]をクリックします。
  4. この統合のモバイルバージョンも構成している場合は、モバイルポリシーも再作成する必要があります:
  5. この手順の前のステップで作成したポリシールールが、VMware Identity Managerでモバイルデバイス用に構成したデフォルトのアクセスポリシーをオーバーライドするため、これは必須です。 そのため、モバイルデバイス用のこのソリューションの構成時にデフォルトのアクセスポリシーに追加したルールと同様に、iOSAndroidウェブブラウザ用のポリシールールをこの新しいポリシーに追加する必要があります。

    1. モバイルSSO(iOS)を1番目の認証方法として、Okta認証をフォールバック認証方法として設定してiOSデバイス用のポリシールールを作成します。

      If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:iOS

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Mobile SSO (iOS)(モバイルSSO(iOS))

      If the preceding method fails or is not applicable, then:Okta Auth(Okta認証)

    2. モバイルSSO(iOS)を1番目の認証方法として、Okta認証をフォールバック認証方法として設定してAndroidデバイス用のポリシールールを作成します。

      If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:Android

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Mobile SSO (Android)(モバイルSSO(Android))

      If the preceding method fails or is not applicable, then:Okta Auth(Okta認証)

    3. Oktaを認証方法として設定してウェブブラウザ用のポリシールールを作成します。

      If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:Web Browser(ウェブブラウザ)

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Okta Auth(Okta認証)

  6. 次の順番でポリシールールを配置します(上から下):
    1. Workspace ONEアプリまたはHubアプリ
    2. Windows 10またはMac OS
    3. Windows 10またはMac OS
    4. iOSまたはAndroid
    5. iOSまたはAndroid
    6. ウェブブラウザ