ステップ3:デスクトップ・デバイス用にVMwareでDevice Trustおよびアクセス・ポリシーを構成する

前提条件:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する

デスクトップ・デバイスのアクセス・ポリシーを構成するには、OktaでIDプロバイダーのルーティング・ルールを構成し、VMware Identity Managerで条件付きアクセス・ポリシーを構成します。Okta Device Trustソリューションは、デスクトップ・デバイスではまだ利用できません。デスクトップ・デバイスのデバイスの信頼を構成するには、VMware Identity Managerアクセス・ポリシーの第2要素の認証方法として、デバイス・コンプライアンスを使用できます。

内容


デスクトップ・デバイス用にOktaでIDプロバイダーのルーティング・ルールを構成する

画像をクリックすると拡大します


  1. Okta管理コンソールで、[セキュリティー] > [IDプロバイダー]に移動します。
  2. [ルーティング・ルール]タブをクリックし、[ルーティング・ルールを追加]をクリックします。
  3. 設定を次のように構成します。

設定アクション
[ルール名]作成するルールの名前を入力します。
[IFユーザーのIP:]実装に適している場合は、ルーティングを適用するネットワーク・ゾーンと適用しないネットワーク・ゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワーク・ゾーンがすでにOktaで定義されている必要があります。詳細については、 ネットワーク・ゾーン.
[ANDユーザーのデバイス・プラットフォーム:]

実装に応じて、[これらのデバイスのいずれか]を選択してから、[macOS]または[Windows]、あるいはその両方を選択します。

[ANDユーザーがアクセスしています]

[次のいずれかのアプリケーション]を選択して、ルーティング・ルールを適用するアプリケーションを入力します。

[ANDユーザーが一致]

適切なアクションを選択します。

  • [すべて]。任意のユーザーを指定します。これはデフォルトです。
  • [ログインに関する正規表現]。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。詳細については、IDプロバイダーのルーティング・ルールを参照してください。
  • [ログインに関するドメイン・リスト]。一致するドメインのリストを指定します。たとえば、example.comとなります。 ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。
  • [ユーザー属性]。左側のリストで属性名を選択し、[次から開始:]リストで比較のタイプを選択して、右側のテキスト・フィールドに一致させる値を入力します。
[THEN:このIDプロバイダーを使用]「ステップ1: OktaでVMware Identity ManagerをIDプロバイダーとして構成する」 の説明に従って、 ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する.

  1. [ルールを作成]をクリックします。

デスクトップ・デバイス用にVMware Identity Managerで条件付きアクセス・ポリシーを構成する

デスクトップ・デバイスにSSOとデバイスの信頼を提供するには、VMware Identity Managerの追加のアクセス・ポリシー・ルールが必要です。

認証方法として証明書(クラウド展開)とデバイス・コンプライアンスを使用して、macOSとWindows 10のアクセス・ポリシーを作成します。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [IDとアクセスの管理]タブをクリックします。
  3. [ポリシー]タブをクリックします。
  4. [ポリシーを追加]をクリックします。
  5. ウィザードの[定義]ページで、以下の情報を入力します。

オプション説明
ポリシー名ポリシーの名前です。
説明ポリシーの説明です。
次に適用:Oktaを選択します。これにより、 Oktaアプリケーション・ソースに設定されたアクセス・ポリシーが割り当てられます。Oktaからのすべての認証要求は、このポリシー・ルール・セットを使用して評価されます。

  1. [次へ]をクリックします。
  2. [構成]ページで、[ポリシー・ルールを追加]をクリックし、Windows 10のポリシー・ルールを構成します。
    1. 最初の認証方法として証明書(クラウド展開)を設定し、フォールバック認証方法としてデバイス・コンプライアンス(AirWatchを使用)を設定します。
    2. ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:Windows 10

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:証明書(クラウド展開)

      上記の方法が失敗するか該当しない場合:デバイス・コンプライアンス(AirWatchを使用)

    3. [保存]をクリックします。
  3. [ポリシー・ルールを追加]をクリックし、macOSのポリシー・ルールを構成します。
    1. 最初の認証方法として証明書(クラウド展開)を設定し、フォールバック認証方法としてデバイス・コンプライアンス(AirWatchを使用)を設定します。
    2. ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:macOS

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:証明書(クラウド展開)

      上記の方法が失敗するか該当しない場合:デバイス・コンプライアンス(AirWatchを使用)

    3. [保存]をクリックします。
  4. この統合のモバイル・バージョンも構成している場合は、モバイル・ポリシーを再作成する必要があります。
  5. この手順の前のステップで作成したポリシー・ルールは、モバイル・デバイス用のVMware Identity Managerで構成したデフォルトのアクセス・ポリシーを上書きするため、このアクションが必要になります。したがって、この新しいポリシーには、モバイル・デバイス向けにこのソリューションを構成したときにデフォルトのアクセス・ポリシーに追加したルールと同様の、iOSAndroidWebブラウザーのポリシー・ルールを 追加する必要があります。

    1. 最初の認証方法としてモバイルSSO(iOS)を使用し、フォールバック認証方法としてOkta認証を使用して、iOSデバイスのポリシー・ルールを作成します。

      ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:iOS

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:モバイルSSO(iOS)

      上記の方法が失敗するか該当しない場合:Okta認証

    2. 最初の認証方法としてモバイルSSO(iOS)を使用し、フォールバック認証方法としてOkta認証を使用して、Androidデバイスのポリシー・ルールを作成します。

      ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:Android

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:モバイルSSO(Android)

      上記の方法が失敗するか該当しない場合:Okta認証

    3. Oktaを認証方法としてWebブラウザーのポリシー・ルールを作成します。

      ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:Webブラウザー

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:Okta認証

  6. ポリシー・ルールを次の順序で上から順に並べます。
    1. Workspace ONEアプリまたはハブ・アプリ
    2. Windows 10またはMac OS
    3. Windows 10またはMac OS
    4. iOSまたはAndroid
    5. iOSまたはAndroid
    6. Webブラウザー