OktaをVMware Identity ManagerのIDプロバイダーとして構成する

このセクションでは、OktaをWorkspace™ ONE™にIDプロバイダーとして構成する方法について説明します。この構成を使用することで、合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証(MF)をWorkspace ONEのアプリケーションに提供することや、エンド・ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することができます。

この手順は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで実行します。

VMware Identity Managerで新しいIDプロバイダーの作成を開始する

VMware Identity Managerコンソールで新しいサードパーティーIDプロバイダーを作成し、SAMLメタデータ情報を見つけます。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Identity Providers(IDプロバイダー)]をクリックします。
  3. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Create Third Party IDP(サードパーティIDPの作成)]を選択します。
  4. ページの一番下の[SAML Signing Certificate(SAML署名証明書)]セクションまでスクロールします。
  5. [Service Provider (SP) Metadata(サービス・プロバイダーのメタデータ)]リンクを右クリックして、新しいタブで開きます。
  6. SAMLメタデータ・ファイルで、次の値を検索します。
    • entityID:たとえば、https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    • HTTP-POSTバインディングのAssertionConsumerService Location:たとえば、https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    これらの値は、「Oktaで新しいSAMLアプリを作成する」の手順で使用します。

Oktaで新しいSAMLアプリを作成する

Okta開発者ダッシュボードを使用している場合は、最初にClassic UIに切り替えます。左上に<>開発者プロンプトが表示された場合は、そのプロンプトをクリックしてClassic UIを選択し、Classic UIに切り替えます。このドキュメントのすべてのOktaタスクにはClassic UIを使用します。
  1. 管理コンソールで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。
  2. [Create App Integration(アプリ統合の作成)]をクリックします。
  3. [SAML 2.0]を選択します。
  4. [Next(次へ)]をクリックします。
  1. [General settings(一般設定)]で、アプリの名前(例:Workspace ONE SAML)を入力します。
  2. [Next(次へ)]をクリックします。
  3. [SAML Settings(SAMLの設定)]で、次の設定を構成します。
    オプション説明
    [Single sign on URL(シングル・サインオンURL)]「VMware Identity Managerで新しいIDプロバイダーの作成を開始する」で入力したHTTP-POST AssertionConsumerService Location URLをコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response
    [Audience URI (SP Entity ID)(対象URI(SPエンティティID))]「VMware Identity Managerで新しいIDプロバイダーの作成を開始する」で入力したエンティティIDをコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    [Name ID format(名前IDのフォーマット)][Unspecified(指定なし)]を選択します。
    [Application username(アプリケーションのユーザー名)]

    [Okta username(Oktaユーザー名)]を選択します。これは、Workspace ONEのユーザー・プリンシパル名(UPN)にマッピングされます。

  1. [Next(次へ)]をクリックします。
  2. [I'm an Okta customer adding an internal app(社内アプリを追加するOktaユーザーです)]を選択します。
  3. [This is an internal app that we have created(これは当社で作成した社内アプリです)]を選択します。
  4. [Finish(終了)]をクリックします。
  5. [Sign On(サインオン)]タブの[Settings(設定)]セクションで、IDプロバイダーのメタデータのURLを特定し、コピーします。

VMware Identity Managerでの新しいIDプロバイダーの作成を完了する

  1. 新しいIDプロバイダーのページで、次の情報を入力します。
    オプション説明
    [Identity Provider Name(IDプロバイダー名)]新しいIDプロバイダーの名前を入力します(Okta SAML IdPなど)
    identityProvider.idpForm.saml[HTTP POST]を選択します。
    このフィールドは、[SAML Metadata(SAMLメタデータ)]セクションでメタデータURLを入力し、[Process IdP Metadata(IdPメタデータの処理)]をクリックすると表示されます。
    SAMLメタデータ
    1. [Identity Provider Metadata(IDプロバイダーのメタデータ)]テキスト・ボックスに、OktaからコピーしたメタデータURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata
    2. [Process IdP Metadata(IdPメタデータの処理)]をクリックします。
    3. [Name ID format mapping from SAML Response(SAMLレスポンスからの名前ID形式のマッピング)]セクションで、+アイコンをクリックして、次の値を選択します。
    4. [Name ID Format(名前IDフォーマット)]urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      [Name ID Value(名前ID値)]userPrincipalName

      Oktaで定義されたアプリケーションの値と一致するユーザー属性を選択します。
    [Users(ユーザー)]

    このIDプロバイダーを使用して認証するディレクトリを選択します。

    [Network(ネットワーク)]このIDプロバイダーにアクセスできるネットワークを選択します。
    認証方法

    以下を入力します。

    [Authentication Methods(認証方法)]Okta認証方法など、Okta認証方法に対する名前を入力します。

    [SAML Context(SAMLコンテキスト)]urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

  2. [Add(追加)]をクリックします。

VMware Identity Managerでアクセス・ポリシーにOkta認証方法を追加する

VMware Identity ManagerでIDプロバイダーとしてOktaを設定した後、VMware Identity Managerのポリシーにアクセスするために新しく作成した認証方法を追加します。デフォルトのアクセス・ポリシーおよびその他のポリシーを必要に応じて更新します。

OktaがWorkspace ONEカタログのサインイン・プロバイダーとして使用されるように、Okta認証方法をデフォルトのアクセス・ポリシーに追加する必要があります。デフォルトのアクセス・ポリシーは、カタログへのログインと、VMware Identity Managerで構成され、別のポリシー定義がまだないアプリへのログインを管理します。

  1. VMware Identity Managerコンソールで、[Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Policies(ポリシー)]をクリックします。
  2. [Edit Default Access Policy(デフォルトのアクセス・ポリシーの編集)]をクリックします。
  3. [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。
  4. Webブラウザーのポリシー・ルールをクリックします。
    • 認証方法としてOkta認証を設定します。
    • ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]で、ユーザーが[Web Browser(Webブラウザー)]からコンテンツにアクセスしており、ユーザーが空(すべてのユーザー)グループに属している場合は、 [Authenticate using . . .(認証方法)]のアクションを実行します。エンド・ユーザーはOkta認証方法を使用して認証できます

      [Okta Auth Method(Okta認証方法)]では、「VMware Identity Managerで新しいIDプロバイダーの作成を完了する」でIdP用に作成した認証方法を選択します。

      [Okta Auth Method(Okta認証方法)]では、「VMware Identity Managerで新しいIDプロバイダーの作成を完了する」でIdP用に作成した認証方法を選択します。

    • [Save(保存)]をクリックします。
  5. 必要に応じてほかのポリシーを編集し、Okta認証方式を追加します。

Oktaでエンド・ユーザーにアプリを割り当てる

セットアップが完了したら、Okta orgに戻り、新しく作成したWorkspace ONEアプリケーションをエンド・ユーザーに割り当てます。最初にアプリケーションを数人のエンド・ユーザーに割り当ててから、統合をテストします。詳細については、「アプリの統合を割り当てる」を参照してください。