ステップ3:iOSおよびAndroidデバイス用に、Oktaでルーティング・ルール、デバイスの信頼、クライアントアクセスポリシーを構成する

これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[Settings(設定)]> [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 Device Trust]をオンにします。

前提条件:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaのアプリケーションソースを構成する

Okta Device Trust機能は、Workspace™ ONE™とOktaの統合におけるiOSおよびAndroidデバイス用の条件付きアクセスポリシーの管理を簡素化します。アプリのデバイスの信頼とアクセスポリシーは、Okta管理コンソールでのみ構成されます。

iOSまたはAndroidのデバイスの信頼がOktaで構成されている場合、ユーザーはVMware Identity Managerにリダイレクトされ、モバイルSSO(iOS)またはモバイルSSO(Android)の認証方法を使用した認証を求められます。VMware Identity Managerは、SAMLレスポンスでデバイスポスチャ―の情報をOktaに返します。

次に、Oktaで構成したアクセスポリシーによって、アプリケーションにアクセスするためにデバイスを信頼するかが決まります。デバイスが信頼できない場合、デバイスの登録ページが表示されます。

この統合では、Okta管理コンソールで次のタスクを実行してデバイスの信頼機能を構成する必要があります:

  1. iOSおよびAndroidデバイス用のOkta IDプロバイダーのルーティング・ルールを構成します。
  2. Oktaでグローバルのデバイスの信頼の設定を有効化します。
  3. Oktaでアプリのサインオンポリシールールを構成します。
  4. VMware Identity Managerでデフォルトのアクセスポリシーを構成します。

重要:VMware Identity ManagerのOktaアプリケーションソース構成のDevice SSO ResponseEnable Force Authn RequestEnable Authentication Failure Notificationのプロパティが、Yes(はい)に設定されていることを確認します。これらのプロパティは、iOSおよびAndroidデバイス用のデバイスの信頼ソリューションでは必須です。詳細については、ステップ2:VMware Identity ManagerでOktaのアプリケーションソースを構成するをご覧ください。

コンテンツ


Oktaでモバイルデバイス用のIDプロバイダーのルーティング・ルールを構成する

VMware Workspace ONEとOktaの統合用に、iOSおよびAndroidのOkta IdPルーティング・ルールを構成します。構成されたルーティング・ルールはアプリケーションのサインオンポリシーと連携して、 iOSおよび/またはAndroidデバイスからの認証リクエストをWorkspace ONEにリダイレクトします。

画像をクリックして拡大


  1. Okta管理コンソールで [Security(セキュリティ)]> [Identity Providers(IDプロバイダー)] に移動します。
  2. [Routing Rules(ルーティング・ルール)]タブをクリックして、[Add Routing Rule(ルーティング・ルールを追加)]をクリックします。
  3. 以下のように設定を構成します:

設定アクション
ルール名作成するルールの名前を入力します。
IF User's IP is導入で適当な場合に、ルーティングを適用する、または適用しないネットワークゾーンを指定します。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがOktaで定義済みである必要があります。詳しくは、 ネットワーク ゾーン
AND User's device platform is

[Any of these devices(これらのデバイスのいずれか)]を選択してから、iOS、Android、またはその両方を実装方法に応じて選択します。

AND User is accessing

[Any of the following applications(次のアプリケーションのいずれか)]を選択してから、ルーティング・ルールを適用するアプリケーションを入力します。

AND User matches

適切なアクションを選択します:

  • Anything。任意のユーザーを指定します。これはデフォルトです。
  • Regex on login。ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインを指定する場合や、ユーザー属性だけでは照合に不十分である場合に便利です。詳しくは、IDプロバイダーのルーティング・ルールをご覧ください。
  • Domain list on login。一致するドメインの一覧を指定します(例:example.com)。ドメインの名前に@の記号を付けないでください。ドメインは複数追加できます。文字をエスケープする必要はありません。
  • User attribute。左側のリストで属性名を、[Starts with(次から開始)]リストで比較のタイプを選択してから、右側のテキストフィールドで一致させる値を入力します。
THEN Use this identity providerVMware Identity Manager用にOktaで作成した IDプロバイダーを選択します。 詳細は、 ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成するに記載されています。

  1. [Create Rule(ルールを作成)]をクリックします。

次の手順

Oktaでデバイスの信頼の設定を有効化する

Oktaでデバイスの信頼の設定を有効化する

このセクションでは、VMware Workspace ONEと Oktaの統合用にデバイスの信頼を有効化する方法を説明します。構成された設定はIDP ルーティング・ルールと連携して、iOSおよび/またはAndroidデバイスとターゲットアプリケーションからの認証リクエストをWorkspace ONEにリダイレクトします。その他の認証リクエストは、デフォルトのルーティング・ルールを介して処理されます。

  1. Okta管理コンソールで、[Security(セキュリティ)]> [Device Trust(デバイスの信頼)]の順に移動します。
  2. iOSまたはAndroidの[Device Trust(デバイスの信頼)]セクションで、[Edit(編集)]をクリックします。
  3. [Enable [iOS or Android] Device Trust]を選択します。
  4. [Trust is established by(信頼の確立元)]で、[VMware]を選択します。
  5. [Integration type(統合タイプ)]で、[SAML-based (Workspace ONE UEM+vIDM)]を選択します。
  6. [Next(次へ)]をクリックします。
  7. [Device Identity provider(デバイスIDプロバイダー)]で、 の説明に従いVMware Identity Manager用にOktaで作成したIDプロバイダーを選択します。
  8. (オプション)デフォルトで、Mobile device management providerフィールドにWorkspace ONEが事前入力されます。これは必要に応じて変更できます。ここに入力するMDMプロバイダーは、デバイス登録時にエンドユーザーに表示されます。
  9. Enrollment linkフィールドに、アンマネージドデバイスを使用するエンドユーザーのリダイレクト先になるウェブアドレスを入力します。 たとえば、登録の指示が記載されたページにユーザーをリダイレクトしたり、Workspace ONEの登録ページにリダイレクトしたりできます。
  10. [Save(保存)]をクリックします。

次の手順

Oktaでアプリのサインオンポリシールールを構成する

Oktaでアプリのサインオンポリシールールを構成する

挙動とアプリのサインオン・ポリシー

[App Sign On Rule(アプリサインオンルール)] ダイアログボックス内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのアクセスをより細かく構成するには、以下を反映したルールを作成します。

  • ユーザーが誰であるか、または所属しているグループ
  • ネットワークに接続されているかいないか、または定義されたネットワークゾーン内か
  • デバイスで稼働しているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • デバイスが信頼されているか

サインオン・ポリシー・ルールへの許可リストによるアプローチ


手順

注:以下の許可リストの例は、Office 365へのアクセスを管理するためのデバイスの信頼ルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。

  1. Oktaで[Applications(アプリケーション)]に移動して、デバイスの信頼で保護するSAMLまたはWS-Fed対応のアプリをクリックします。
  2. [Sign On(サインオン)]タブをクリックし、[Sign On Policy(サインオンポリシー)] セクションまで下方にスクロールして、[Add Rule(ルールを追加)]をクリックします。
  3. 次の許可リストの例を参考にしてルールを1つ以上作成します。

許可リストの例

非信頼デバイスを使用するユーザーは、Workspace ONEの登録に誘導されるか、ステップ3で構成した登録リンクの宛先にリダイレクトされます。

次の手順

VMware Identity Managerでデフォルトのアクセスポリシーを構成する

VMware Identity Managerでデフォルトのアクセスポリシーを構成する

VMware Identity Managerのデフォルトのアクセスポリシーをアップデートして、iOSおよびAndroidデバイス用のポリシールールを含めます。デフォルトのアクセスポリシーは、Workspace ONEカタログの動作を管理します。モバイルSSOポリシールールの構成は、デバイスの信頼情報をアプリに渡すことの一部であるため、必須です。

モバイルSSOを認証方法として、Okta認証をフォールバックの方法として設定してiOSおよびAndroid用のポリシールールを作成します。また、Workspace ONEアプリ、Hubアプリ、ウェブブラウザ用のルールも構成します。ポリシールールが適切な順番になっていることを確認します。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management]タブをクリックしてから、[Policies(ポリシー)]タブをクリックします。
  3. [Edit Default Access Policy(デフォルトのアクセスポリシーの編集)]をクリックします。
  4. [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。
  5. [Add Policy Rule(ポリシールールを追加)]をクリックしてiOSデバイス用のポリシールールを作成します。
    1. モバイルSSO(iOS)を1番目の認証方法として設定して、Okta認証をフォールバック認証方法として設定します。
    2. If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:iOS

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Mobile SSO (iOS)(モバイルSSO(iOS))

      If the preceding method fails or is not applicable, then:Okta Auth Method(Okta認証方法)

      注: [Okta Auth Method(Okta認証方法)]で、 でOkta IdP用に作成した認証方法を選択します。

    3. [Save(保存)]をクリックします。
  6. [Add Policy Rule(ポリシールールを追加)]をクリックして、Androidデバイス用に同様のポリシールールを作成します。
    1. モバイルSSO(Android)を1番目の認証方法として設定して、Okta認証をフォールバック認証方法として設定します。

      If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:Android

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Mobile SSO (Android)(モバイルSSO(Android))

      If the preceding method fails or is not applicable, then:Okta Auth Method(Okta認証方法)

    2. [Save(保存)]をクリックします。
  7. Workspace ONEアプリとHubアプリ用のポリシールールを構成します。
    1. Workspace ONEアプリとHubアプリ用のポリシールールをクリックして編集します。
    2. ルールを構成します。

      If a user's network range is:ALL RANGES(すべての範囲)

      and the user is accessing content from:Workspace ONE app or Hub app(Workspace ONEアプリまたはHubアプリ)

      Then perform this action:Authenticate using(~による認証)

      then the user may authenticate using:Mobile SSO (iOS)(モバイルSSO(iOS))

      If the preceding method fails or is not applicable, then:Mobile SSO (Android)(モバイルSSO(Android))

      If the preceding method fails or is not applicable, then:Okta Auth Method(Okta認証方法)

  8. ポリシールールを次の順番で配置します(上から下):
    1. Workspace ONEアプリまたはHubアプリ
    2. iOSまたはAndroid
    3. iOSまたはAndroid
    4. ウェブブラウザ

次の手順

ネイティブAndroidアプリの構成に関する推奨事項

ネイティブAndroidアプリの構成に関する推奨事項

Androidデバイスを使用するユーザーに最高のユーザーエクスペリエンスを提供するために、AndroidモバイルSSOフロー用の特別な設定を構成できます。

ネイティブAndroidアプリの場合、VMware Tunnelをエンドユーザーのデバイスでダウンロードしてインストールする必要があります。Workspace ONEとOktaの統合環境のベストプラクティスとして、各ネイティブAndroidアプリで自動デプロイメント設定を構成して、アプリとトンネルが登録後に自動的にユーザーのデバイスにデプロイされるようにします。また、アプリでマネージドアクセスを有効にします。

これらの設定は、VMware Workspace ONE UEMコンソールで構成します。

  1. Workspace ONE UEMで、[Apps & Books(アプリケーションとブック)]>[Applications(アプリケーション)]>[Native page(ネイティブページ)]の順に移動します。
  2. アプリ名をクリックします。
  3. [Assign(割り当て)]をクリックします。
  4. [Add Assignment(割り当てを追加)]をクリックして新しい割り当てを追加するか、編集する割り当てを選択して[Edit(編集)]をクリックします。
  5. 必要に応じて割り当てを構成し、ベストプラクティスとして次の選択を指定します:
    • App Delivery Method: AUTO
    • Managed Access: ENABLED
    • App Tunneling: ENABLED
  6. 注: App Tunnelingを有効にする場合、アプリで使用するVPN構成プロファイルも選択する必要があります。

    例:

  7. 割り当てを保存します。

ユーザーがデバイスを登録すると、カタログにアプリが表示されます。アプリのアイコンは、トンネルが含まれることを示します。ユーザーがアプリをインストールすると、アプリとトンネルの両方がインストールされます。