Okta Device TrustとWindowsおよびmacOSコンピューター用のVMware Workspace ONEを統合する

このOktaとデスクトップ・デバイス用のWorkspace ONEの統合は、主にSAML信頼接続に基づいています。これにより、管理者は、エンド・ユーザーに機密性の高いアプリケーションへのアクセスを許可する前にデバイスの状態を評価することで、デバイスの信頼を確立することができます。デバイスが管理されて準拠しているかどうかを判断するために、ユーザーが保護されたアプリケーションにアクセスしようとするたびに、Workspace ONEで確立されたデバイスの状態のポリシーが評価されます。

この統合を構成することで、エンド・ユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することもできます。

このガイドでは、OktaとWorkspace ONEでサポートされているユース・ケースを構成してテストするための詳細な手順を示します。OktaをWorkspace ONEと統合するには、VMware Identity ManagerをOktaと統合します。VMware Identity Managerは、Workspace ONEのIDコンポーネントです。


重要な注意事項

重要

この統合では、SP開始認証フローのみがサポートされています。IdP開始フロー(Okta End User DashboardでSAMLアプリをクリックしてリソースにアクセスしようとするなど)はサポートされていません。



対象者

この情報は、OktaとVMware Identity Managerに精通している経験豊富な管理者を対象としています。


ユース・ケース

OktaとWorkspace ONEの統合でサポートされる主なユース・ケースは次のとおりです。

ユース・ケース1:OktaとVMware Workspace ONEを使用してデスクトップ・デバイスにDevice TrustとSSOを適用する

ユース・ケース2:Oktaを使用してデスクトップ・デバイス用に合理化されたデバイス登録とWorkspace ONEログインを構成する


ユース・ケース1:OktaとVMware Workspace ONEを使用してデスクトップ・デバイスにDevice TrustとSSOを適用する

このユース・ケースでは、管理者は、エンド・ユーザーに機密性の高いアプリケーションへのアクセスを許可する前に、デバイスが管理されているかどうかなどのデバイスの状態を評価することで、デバイスの信頼を確立することができます。また、OktaをWorkspace ONEへの信頼できるIDプロバイダーとして確立し、エンド・ユーザーがOkta認証ポリシーを使用してWorkspace ONEアプリ、Workspace ONE Integrated Hubアプリ、およびWebポータルにログインできるようにします。



このユース・ケースを構成するには:



ユース・ケース2:Oktaを使用してデスクトップ・デバイス用に合理化されたデバイス登録とWorkspace ONEログインを構成する

このユース・ケースを構成することで、エンド・ユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することができます。

この構成は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで構成されます。


このユース・ケースを構成するには:


注:両方のユース・ケースを組み合わせる場合は、最初にこのユース・ケースを構成してから、「OktaとVMware Workspace ONEを使用してデスクトップ・デバイスにDevice TrustとSSOを適用する」を構成します。

 


 

オプション: エンド・ユーザーがOktaダッシュボードまたはWorkspace ONEダッシュボードからアプリにアクセスできるようにします。どちらのエクスペリエンスも完全にサポートされています。Oktaを介してフェデレーションされたアプリケーションを最初にVMware Identity Managerにインポートすることなく公開するように、 Workspace ONEカタログを構成することができます。

詳細については、 (オプション)OktaアプリをWorkspace ONEカタログに公開するを参照してください。


要件

Workspace ONEとOktaの統合を開始する前に、環境が以下の要件を満たしていることを確認してください。

コンポーネント

VMware

  • システム管理者ロールを持つVMware Identity Managerテナント
  • Workspace ONE統合エンドポイント管理(UEM)テナント
  • VMware Identity Manager Connector
  • VMware Identity Manager AirWatch Cloud Connector(ACC)
  • ACCは、Workspace ONE UEMを使用する場合にのみ必要です。

    注:既存の展開でユーザーがWorkspace ONE UEMからVMware Identity Managerに同期される場合、VMware Identity Manager Connectorは必要ありません。新しい展開では、VMware Identity Manager Connectorを使用してActive DirectoryからVMware Identity Managerにユーザーを同期することをお勧めします。

Okta

  • スーパー管理者または組織管理者のロールを持つOkta組織(テナント)
  • Oktaサポートにより有効化されたWorkspace ONEのDevice Trust
  • Oktaサポートにより有効化されたIDプロバイダーのルーティング・ルール(IdPディスカバリー)

サポートされているアプリとデバイス

  • WindowsまたはmacOS SAMLあるいはWS-Fedクラウド・アプリ
  • OktaでサポートされているWindowsまたはmacOS オペレーティング・システムのバージョンを実行しているデバイス

Workspace ONEとVMware Identity Managerを統合する

Workspace ONE UEMとVMware Identity Managerのテナントを統合し、デバイスの信頼に使用するモバイルSSO認証方法を構成します。



注意事項

  • SP開始認証フローのみがサポートされます :このSAMLベースの統合では、SP開始認証フローのみがサポートされます。IdP開始フロー(Okta End User DashboardでSAMLアプリをクリックしてリソースにアクセスしようとするなど)はサポートされていません。

  • このDevice TrustソリューションではWorkspace ONEは保護されません:これを行うと、新規ユーザーが自分のデバイスをWorkspace ONEに登録したり、デバイスの信頼で保護された他のアプリにアクセスすることができなくなります。
  • タイムアウトの問題によりSSOエラーが発生する可能性があります :信頼できないデバイスからデバイスの信頼で保護されたアプリにサインインするエンド・ユーザーは、Workspace ONEにデバイスを登録するよう求められます。 これは予想される動作ですが、アプリがネイティブ・アプリであり、Workspace ONEの登録に10分以上かかる場合、またはエンド・ユーザーが登録後に10分以上待ってからアプリへのアクセスを再試行した場合、アプリ・セッションがタイムアウトしているため、SSOエラーが発生します。該当するエンド・ユーザーにアプリへのアクセスをもう一度行うように伝えてください。

追加のドキュメント

Okta

Okta Device Trust

IDプロバイダーのルーティング・ルール

IDプロバイダー

Office 365サインオン ポリシーの開始

VMware

VMwareのDevice Trust

VMware Identity Managerのドキュメント

VMwareWorkspace ONE UEMのドキュメント