ステップ3:デスクトップデバイス用にVMwareでDevice Trustとアクセスポリシーを構成する

前提条件

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーションソースを構成する

デスクトップデバイスのアクセスポリシーを構成するには、OktaでIDプロバイダーのルーティングルールを構成し、VMware Identity Managerで条件付きアクセスポリシーを構成します。Okta Device Trustソリューションは、デスクトップデバイスではまだ利用できません。デスクトップデバイスのDevice Trustを構成するには、VMware Identity Managerアクセスポリシーの第2要素の認証方法として、デバイスコンプライアンスを使用できます。

デスクトップデバイス向けにOktaでIDプロバイダーのルーティングルールを構成する

  1. Okta Admin Consoleで[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。
  2. [Routing Rules(ルーティングルール)]タブをクリックします。
  3. [Add Routing Rule(ルーティングルールを追加)]をクリックします。
  4. 以下を構成します。
    設定アクション
    Rule Name(ルール名)作成するルールの名前を入力します。
    IF [User's IP is(ユーザーのIP)]実装に適している場合は、ルーティングを適用するネットワークゾーンと適用しないネットワークゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがすでにOktaで定義されている必要があります。詳細については、「ネットワークゾーン」を参照してください。
    AND[User's device platform is(ユーザーのデバイスプラットフォーム)]

    実装に応じて、[Any of these devices(これらのデバイスのいずれか)]を選択してから、[macOS]または[Windows]、あるいはその両方を選択します。

    AND[User is accessing(ユーザーがアクセスしています)]

    [Any of the following applications(次のアプリケーションのいずれか)]を選択してから、ルーティングルールを適用するアプリケーションを入力します。

    AND[User matches(ユーザーが一致)]

    適切なアクションを選択します。

    • [Anything(すべて)]。任意のユーザーを指定します。これはデフォルトです。
    • [Regex on login(ログインに関する正規表現)]。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。「IDプロバイダーのルーティングルール」を参照してください。
    • [Domain list on login(ログインに関するドメインリスト)]。一致するドメインの一覧を指定します(例:example.com)。ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。
    • [User attribute(ユーザー属性)]。左側のリストで属性名を選択し、[Starts with(次から開始:)]リストで比較のタイプを選択して、右側のテキストフィールドに一致させる値を入力します。
    THEN[Use this identity provider(このIDプロバイダーを使用)]ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する」の説明に従って、Oktaで作成したIDプロバイダーを[VMware Identity Manager]に選択します。
  5. [Create Rule(ルールを作成)]をクリックします。

デスクトップ​デバイス用にVMware Identity Managerで条件付きアクセスポリシーを構成する

デスクトップデバイスにSSOとDevice Trustを提供するには、VMware Identity Managerの追加のアクセスポリシールールが必要です。

認証方法として証明書(クラウド展開)とデバイスコンプライアンスを使用して、macOSとWindows 10のアクセスポリシーを作成します。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management(IDとアクセスの管理)]タブをクリックします。
  3. [Policies(ポリシー)]タブをクリックします。
  4. [Add Policy(ポリシーを追加)]をクリックします。
  5. ウィザードの[Definition(定義)]ページで、次の情報を入力します。
    オプション説明
    [Policy Name(ポリシー名)]ポリシーの名前です。
    [Description(説明)]ポリシーの説明です。
    [Applies to(次に適用:)][Okta]を選択します。Oktaアプリケーションソースに設定されたアクセスポリシーが割り当てられます。Oktaからのすべての認証要求は、このポリシールールセットを使用して評価されます。
  6. [Next(次へ)]をクリックします。
  7. [Configuration(構成)]ページで、[Add Policy Rule(ポリシールールを追加)]をクリックしてWindows 10用のポリシールールを構成します。
    1. 最初の認証方法として[Certificate (Cloud Deployment)(証明書(クラウドデプロイメント))]を設定し、フォールバック認証方法として[Device Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))]を設定します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]Windows 10からコンテンツにアクセスしているのであれば、ユーザーは[Certificate (Cloud Deployment)(証明書(クラウドデプロイメント))]を使って認証できます。

      前述の方法が失敗する、または適用できない場合は、ユーザーは認証に[Device Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))]を使用します。

    2. [Save(保存)]をクリックします。
  8. [Add Policy Rule(ポリシールールを追加)]をクリックして、macOS用のポリシールールを構成します。
    1. 最初の認証方法として[Certificate (Cloud Deployment)(証明書(クラウドデプロイメント))]を設定し、フォールバック認証方法として[Device Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))]を設定します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]macOSからコンテンツにアクセスしているのであれば、[Authenticate using(認証に使用)][Certificate (Cloud Deployment)(証明書(クラウドデプロイメント))]となります。

      前述の方法が失敗する、または適用できない場合は、認証は[Device Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))]にフォールバックします。

    2. [Save(保存)]をクリックします。
  9. この統合のモバイルバージョンも構成している場合は、モバイルポリシーを再作成する必要があります:

    この手順の前のステップで作成したポリシールールは、モバイルデバイス用のVMware Identity Managerで構成したデフォルトのアクセスポリシーを上書きするため、このアクションが必要になります。そのため、モバイルデバイス用のこのソリューションの構成時にデフォルトのアクセスポリシーに追加したルールと同様に、iOSAndroid(アンドロイド)Web browser(Webブラウザー)用のポリシールールをこの新しいポリシーに追加する必要があります。

    1. 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定して、iOSデバイスのポリシールールを作成します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]iOSからコンテンツにアクセスしているのであれば、[Authenticate using(認証に使用)][Mobile SSO (iOS)(モバイルSSO(iOS))]に設定されます。

      前述の方法が失敗する、または適用できない場合は、ユーザーは[Okta Auth(Okta認証)]で認証できます。

    2. 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定して、Androidデバイスのポリシールールを作成します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]Androidからコンテンツにアクセスしているのであれば、[Authenticate using(認証に使用)][Mobile SSO (Android)(モバイルSSO(Android))]に設定されます。

      前述の方法が失敗する、または適用できない場合は、ユーザーは[Okta Auth(Okta認証)]で認証できます。

    3. Oktaを認証方法として設定してWebブラウザーのポリシールールを作成します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]Webブラウザーからコンテンツにアクセスしているのであれば、[Authenticate using(認証に使用)][Okta Auth(Okta認証)]に設定されます。

  10. ポリシールールを上から順に次の順序で並べます。
    1. Workspace ONEアプリまたはHubアプリ
    2. Windows 10またはMac OS
    3. Windows 10またはMac OS
    4. iOSまたはAndroid
    5. iOSまたはAndroid
    6. Webブラウザー