OktaWorkspace ONE AccessのIDプロバイダーとして構成する

このトピックでは、OktaWorkspace™ ONE™のIDプロバイダー(IdP)として構成する方法について説明します。この構成を使用することで、合理化されたデバイス登録エクスペリエンスを提供することや、拡張多要素認証(MFA)をWorkspace ONEのアプリに提供すること、エンドユーザーと管理者に一貫した使い慣れたサインインフローを提供することができます。

この手順は、Workspace ONEのIDコンポーネントであるWorkspace ONE Accessで実行します。

Workspace ONE AccessIdPを作成する

Workspace ONE AccessコンソールでサードパーティIdPを作成し、SAMLメタデータを見つけます。

  1. システム管理者として、Workspace ONE Accessコンソールにサインインします。

  2. [Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Identity Providers(IDプロバイダー)]をクリックします。

  3. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Create Third Party IDP(サードパーティIDPの作成)]を選択します。

  4. ページの一番下の[SAML Signing Certificate(SAML署名証明書)]セクションまでスクロールします。

  5. [Service Provider (SP) Metadata(サービスプロバイダーのメタデータ)]リンクを右クリックして、新しいタブで開きます。

  6. SAMLメタデータファイルで、次の値を検索します。

    • [entityID(エンティティID)]:グローバルに一意な名前、通常はURLの形式で、IdPを識別します。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml

    • [HTTP-POST]バインディングの[AssertionConsumerService Location(AssertionConsumerServiceのロケーション)]。例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    これらの値は次のタスクで必要になります。

OktaでSAMLアプリを作成する

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. [Create App Integration(アプリ統合を作成)] をクリックします。

  3. [SAML 2.0]を選択します。

  4. [Next(次へ)]をクリックします。

  5. [General settings(一般設定)]で、アプリ名(例:Workspace ONE SAML)を入力します。

  6. [Next(次へ)]をクリックします。

  7. [SAML Settings(SAMLの設定)]で、次の設定を構成します。

    • [Single sign on URL(シングルサインオンURL)]:前のタスクの[HTTP-POST][AssertionConsumerService Location(AssertionConsumerServiceのロケーション)]URLをコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    • [Audience URI (SP Entity ID)(オーディエンスURI(SPエンティティID))]:前のタスクの[entityID(エンティティID)]をコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml

    • [Name ID format(名前IDの形式)][Unspecified(指定なし)]を選択します。

    • [Application username(アプリケーションのユーザー名)][Okta username(Oktaユーザー名)]を選択します。これは、Workspace ONEのユーザープリンシパル名(UPN)にマッピングされます。

  8. [Next(次へ)]をクリックします。

  9. [I'm an Okta customer adding an internal app(社内アプリを追加しているOktaユーザーです)]を選択します

  10. [This is an internal app that we have created(これは当社で作成した社内アプリです)]を選択します。

  11. [Finish(終了)]をクリックします。

  12. [Sign On(サインオン)]タブの[Settings(設定)]セクションで、[Identity Provider metadata(IDプロバイダーのメタデータ)]のURLをコピーします。

Workspace ONE Accessの新しいIdPを完了させる

  1. 新しいIDプロバイダーのページで、次の情報を入力します。

    • [Identity Provider Name(IDプロバイダー名)]:新しいIDプロバイダーの名前を入力します(Okta SAML IdPなど)

    • [identityProvider.idpForm.saml]HTTP Postを選択します。このフィールドは、[SAML Metadata(SAMLメタデータ)]セクションでメタデータURLを入力し、[Process IdP Metadata(IdPメタデータの処理)]をクリックすると表示されます。

    • [SAML Metadata(SAMLメタデータ)]

      1. [Identity Provider Metadata(IDプロバイダーのメタデータ)]テキストボックスに、OktaからコピーしたメタデータURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata

      2. [Process IdP Metadata(IdPメタデータの処理)]をクリックします。

      3. [Name ID format mapping from SAML Response(SAMLレスポンスからの名前ID形式のマッピング)]セクションで、[+]アイコンをクリックして、次の値を選択します。

        [Name ID Format(名前IDのフォーマット)]urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

        [Name ID Value(名前ID値)]userPrincipalName

        Oktaで定義されたアプリの値と一致する[User Attribute(ユーザー属性)]を選択します。

    • [Users(ユーザー)]:このIDプロバイダーを使用して認証するディレクトリを選択します。

    • [Network(ネットワーク)]:このIDプロバイダーにアクセスできるネットワークを選択します。

    • [Authentication Methods(認証方法)]

      1. [Authentication Methods(認証方法)]Okta Auth Methodなど、Okta認証方法の名前を入力します。

      2. [SAML Context(SAMLコンテキスト)]urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

  2. [Add(追加)]をクリックします。

Workspace ONE AccessのアクセスポリシーにOkta認証方法を追加する

Workspace ONE AccessIdPとしてOktaを設定した後、Workspace ONE Accessのアクセスポリシーに新しく作成した認証方法を追加します。デフォルトのアクセスポリシーとその他のポリシーを必要に応じて更新します。

OktaWorkspace ONEカタログのサインインプロバイダーとして使用されるように、Okta認証方法をデフォルトのアクセスポリシーに追加します。デフォルトのアクセスポリシーは、カタログへのサインインアクションと、Workspace ONE Accessで構成され、別のポリシー定義がまだないアプリへのサインインアクションを管理します。

  1. Workspace ONE Accessコンソールで、[Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Policies(ポリシー)]をクリックします。

  2. [Edit Default Access Policy(デフォルトのアクセスポリシーの編集)]をクリックします。

  3. [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。

  4. Webブラウザーのポリシールールをクリックします。

    • 認証方法としてOkta認証を設定します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]で、ユーザーが[Web Browser(Webブラウザー)]からコンテンツにアクセスしており、ユーザーが[Empty (all users)(空(すべてのユーザー))]グループに属している場合は、 [Authenticate using . . .(認証方法)]のアクションを実行します。エンドユーザーはOkta認証方法を使用して認証できます

      [Okta Auth Method(Okta認証方法)]では、「Workspace ONE Accessの新しいIDプロバイダーを完了させる」でIdP用に作成した認証方法を選択します。

    • [Save(保存)]をクリックします。

  5. 必要に応じて他のポリシーを編集し、Okta認証方式を追加します。

Oktaでエンドユーザーにアプリを割り当てる

セットアップが完了したら、Okta orgに戻り、新しく作成したWorkspace ONEアプリケーションをエンドユーザーに割り当てます。最初にアプリケーションを数人のエンドユーザーに割り当ててから、統合をテストします。詳細については、「アプリの統合を割り当てる」を参照してください。