ステップ3:デスクトップ・デバイス用にVMwareでDevice Trustおよびアクセス・ポリシーを構成する

前提条件

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する

デスクトップ・デバイスのアクセス・ポリシーを構成するには、OktaでIDプロバイダーのルーティング・ルールを構成し、VMware Identity Managerで条件付きアクセス・ポリシーを構成します。Okta Device Trustソリューションは、デスクトップ・デバイスではまだ利用できません。デスクトップ・デバイスのデバイスの信頼を構成するには、VMware Identity Managerアクセス・ポリシーの第2要素の認証方法として、デバイス・コンプライアンスを使用できます。

デスクトップ・デバイス用にOktaでIDプロバイダーのルーティング・ルールを構成する

  1. Okta管理コンソールで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。
  2. [Routing Rules(ルーティングルール)]タブをクリックします。
  3. [Add Routing Rule(ルーティング・ルールを追加)]をクリックします。
  4. 以下を構成します。
  5. 設定 アクション
    [Rule Name(ルール名)] 作成するルールの名前を入力します。
    IF[User's IP is(ユーザーのIP)] 実装に適している場合は、ルーティングを適用するネットワーク・ゾーンと適用しないネットワーク・ゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワーク・ゾーンがすでにOktaで定義されている必要があります。詳細については、「ネットワークゾーン」を参照してください。
    AND[User's device platform is(ユーザーのデバイス・プラットフォーム)]

    実装に応じて、[Any of these devices(これらのデバイスのいずれか)]を選択してから、[macOS]または[Windows]、あるいはその両方を選択します。

    AND[User is accessing(ユーザーがアクセスしています)]

    [Any of the following applications(次のアプリケーションのいずれか)]を選択してから、ルーティング・ルールを適用するアプリケーションを入力します。

    AND[User matches(ユーザーが一致)]

    適切なアクションを選択します。

    • [Anything(すべて)]。任意のユーザーを指定します。これはデフォルトです。
    • [Regex on login(ログインに関する正規表現)]。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。「IDプロバイダーのルーティング・ルール」を参照してください。
    • [Domain list on login(ログインに関するドメイン・リスト)]。一致するドメインの一覧を指定します(例:example.com)。ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。
    • [User attribute(ユーザー属性)]。左側のリストで属性名を選択し、[Starts with(次から開始:)]リストで比較のタイプを選択して、右側のテキスト・フィールドに一致させる値を入力します。
    THEN[Use this identity provider(このIDプロバイダーを使用)] ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する」の説明に従って、Oktaで作成したIDプロバイダーを[VMware Identity Manager]に選択します。

  6. [Create Rule(ルールを作成)]をクリックします。

デスクトップ・デバイス用にVMware Identity Managerで条件付きアクセス・ポリシーを構成する

デスクトップ・デバイスにSSOとデバイスの信頼を提供するには、VMware Identity Managerの追加のアクセス・ポリシー・ルールが必要です。

認証方法として証明書(クラウド展開)とデバイス・コンプライアンスを使用して、macOSとWindows 10のアクセス・ポリシーを作成します。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management(IDとアクセスの管理)]タブをクリックします。
  3. [Policies(ポリシー)]タブをクリックします。
  4. [Add Policy(ポリシーを追加)]をクリックします。
  5. ウィザードの[Definition(定義)]ページで、次の情報を入力します。
オプション 説明
[Policy Name(ポリシー名)] ポリシーの名前です。
[Description(説明)] ポリシーの説明です。
[Applies to(次に適用:)] [Okta]を選択します。Oktaアプリケーションソースに設定されたアクセスポリシーが割り当てられます。Oktaからのすべての認証要求は、このポリシー・ルール・セットを使用して評価されます。
  1. [Next(次へ)]をクリックします。
  2. [Configuration(構成)]ページで、[Add Policy Rule(ポリシー・ルールを追加)]をクリックしてWindows 10用のポリシー・ルールを構成します。
    1. [Certificate (Cloud Deployment)(証明書(クラウド・デプロイメント))]を1番目の認証方法として、[Device Compliance (with AirWatch)(デバイス・コンプライアンス(AirWatchを使用))]をフォールバック認証方法として設定します。
    2. [If a user's network range is(ユーザーのネットワーク範囲)]:[ALL RANGES(すべての範囲)]

      ユーザーがコンテンツにアクセスしている場所:[Windows 10]

      [Then perform this action(上記の場合は、次のアクションを実行します)]:[Authenticate using(次を使用して認証する)]

      [then the user may authenticate using(ユーザーは次を使用して認証できます)]: [Certificate (Cloud Deployment)(証明書(クラウド・デプロイメント))]

      [If the preceding method fails or is not applicable, then(前述の方法で失敗するかこの方法を適用できない場合)]:[Device Compliance (with AirWatch)(デバイス・コンプライアンス(AirWatchを使用))]

    3. [Save(保存)]をクリックします。
  3. [Add Policy Rule(ポリシー・ルールを追加)]をクリックして、macOS用のポリシー・ルールを構成します。
    1. [Certificate (Cloud Deployment)(証明書(クラウド・デプロイメント))]を1番目の認証方法として、[Device Compliance (with AirWatch)(デバイス・コンプライアンス(AirWatchを使用))]をフォールバック認証方法として設定します。
    2. [If a user's network range is(ユーザーのネットワーク範囲)]:[ALL RANGES(すべての範囲)]

      [and the user is accessing content from(ユーザーがコンテンツにアクセスしている場所)]:[macOS]

      [Then perform this action(上記の場合は、次のアクションを実行します)]:[Authenticate using(次を使用して認証する)]

      [then the user may authenticate using(ユーザーは次を使用して認証できます)]: [Certificate (Cloud Deployment)(証明書(クラウド・デプロイメント))]

      [If the preceding method fails or is not applicable, then(前述の方法で失敗するかこの方法を適用できない場合)]:[Device Compliance (with AirWatch)(デバイス・コンプライアンス(AirWatchを使用))]

    3. [Save(保存)]をクリックします。
  4. この統合のモバイル・バージョンも構成している場合は、モバイル・ポリシーを再作成する必要があります:
  5. この手順の前のステップで作成したポリシー・ルールは、モバイル・デバイス用のVMware Identity Managerで構成したデフォルトのアクセス・ポリシーを上書きするため、このアクションが必要になります。そのため、モバイルデバイス用のこのソリューションの構成時にデフォルトのアクセスポリシーに追加したルールと同様に、iOSAndroidWebブラウザー用のポリシールールをこの新しいポリシーに追加する必要があります。

    1. 最初の認証方法としてモバイルSSO(iOS)を使用し、フォールバック認証方法としてOkta認証を使用して、iOSデバイスのポリシー・ルールを作成します。

      [If a user's network range is(ユーザーのネットワーク範囲)]:[ALL RANGES(すべての範囲)]

      [and the user is accessing content from(ユーザーがコンテンツにアクセスしている場所)]:[iOS]

      [Then perform this action(上記の場合は、次のアクションを実行します)]:[Authenticate using(次を使用して認証する)]

      [then the user may authenticate using(ユーザーは次を使用して認証できます)]:[Mobile SSO (iOS)(モバイルSSO(iOS))]

      [If the preceding method fails or is not applicable, then(前述の方法で失敗するかこの方法を適用できない場合)]:[Okta Auth]

    2. 最初の認証方法としてモバイルSSO(iOS)を使用し、フォールバック認証方法としてOkta認証を使用して、Androidデバイスのポリシー・ルールを作成します。

      [If a user's network range is(ユーザーのネットワーク範囲)]:[ALL RANGES(すべての範囲)]

      [and the user is accessing content from(ユーザーがコンテンツにアクセスしている場所)]:[Android]

      [Then perform this action(上記の場合は、次のアクションを実行します)]:[Authenticate using(次を使用して認証する)]

      [then the user may authenticate using(ユーザーは次を使用して認証できます)]:[Mobile SSO (Android)(モバイルSSO(Android))]

      [If the preceding method fails or is not applicable, then(前述の方法で失敗するかこの方法を適用できない場合)]:[Okta Auth]

    3. Oktaを認証方法としてWebブラウザーのポリシー・ルールを作成します。

      [If a user's network range is(ユーザーのネットワーク範囲)]:[ALL RANGES(すべての範囲)]

      [and the user is accessing content from(ユーザーがコンテンツにアクセスしている場所)]:[Web Browser(Webブラウザー)]

      [Then perform this action(上記の場合は、次のアクションを実行します)]:[Authenticate using(次を使用して認証する)]

      [then the user may authenticate using(ユーザーは次を使用して認証できます)]:[Okta Auth]

  6. ポリシー・ルールを次の順序で上から順に並べます。
    1. Workspace ONEアプリまたはHubアプリ
    2. Windows 10またはMac OS
    3. Windows 10またはMac OS
    4. iOSまたはAndroid
    5. iOSまたはAndroid
    6. Webブラウザー