OktaとVMware Workspace ONEを使用してデスクトップデバイスにDevice TrustとSSOを適用する

重要事項

重要

この統合では、SP開始認証フローのみがサポートされています。IdP開始フロー(Okta End-User DashboardでSAMLアプリをクリックしてリソースにアクセスしようとするなど)はサポートされていません。


このユース・ケースでは、管理者は、エンド・ユーザーに機密性の高いアプリケーションへのアクセスを許可する前に、デバイスが管理されているかどうかなどのデバイスの状態を評価することで、デバイスの信頼を確立することができます。また、OktaをWorkspace ONEへの信頼できるIDプロバイダーとして確立し、エンドユーザーがOkta認証ポリシーを使用してWorkspace ONEアプリ、Workspace ONE Integrated Hubアプリ、およびWebポータルにログインできるようにします。

macOSおよびWindowsデバイスの認証フロー

Salesforceアプリケーションを使用したmacOSおよびWindows 10デバイスのデバイス信頼フローは、次の順序で実行されます。

  1. エンド・ユーザーがSalesforceテナントへのアクセスを試行します(SP-initのみ。IdP-initはサポートされていません。を参照)。
  2. Salesforceは、構成済みのIDプロバイダーとしてOktaにリダイレクトします。
  3. Oktaは、受信した要求を処理し、構成されたルーティング・ルールに基づいてクライアントをWorkspace ONE IdPにルーティングします。
  4. Workspace ONEは、クライアント・デバイスに資格情報を要求します。
  5. Workspace ONEは、デバイスのコンプライアンスステータスをチェックします。デバイスが管理対象であってもコンプライアンスに反する場合、Workspace ONEはアクセスをブロックします。デバイスが管理対象でない場合、Workspace ONEはデバイスの登録を促します。デスクトップデバイスのDevice Trustとアクセスポリシーは、VMWareに定義されていることに注意してください。
  6. Workspace ONEでの認証が成功すると、クライアントデバイスはOktaにリダイレクトされます。
  7. Oktaは、Workspace ONEからのSAMLアサーションを検証し、SalesforceのSAMLアサーションを発行します。

このユース・ケースを構成するには:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する

ステップ3:デスクトップデバイス用にVMwareでDevice Trustとアクセスポリシーを構成する