ステップ3:iOSおよびAndroidデバイス用に、Oktaでルーティング・ルール、デバイスの信頼、クライアントアクセスポリシーを構成する

これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[設定] > [機能]に移動し、モバイル・プラットフォームの[Workspace1デバイスの信頼]をオンにします。

前提条件:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する

Okta Device Trust機能は、Workspace™ ONE™とOktaの統合におけるiOSおよびAndroidデバイス用の条件付きアクセスポリシーの管理を簡素化します。アプリのデバイスの信頼とアクセスポリシーは、Okta管理コンソールでのみ構成されます。

iOSまたはAndroidのデバイスの信頼がOktaで構成されている場合、ユーザーはVMware Identity Managerにリダイレクトされ、モバイルSSO(iOS)またはモバイルSSO(Android)の認証方法を使用した認証を求められます。VMware Identity Managerは、SAMLレスポンスでデバイスポスチャ―の情報をOktaに返します。

次に、Oktaで構成したアクセスポリシーによって、アプリケーションにアクセスするためにデバイスを信頼するかが決まります。デバイスが信頼できない場合、デバイスの登録ページが表示されます。

この統合では、Okta管理コンソールで次のタスクを実行してデバイスの信頼機能を構成する必要があります:

  1. iOSおよびAndroidデバイス用のOkta IDプロバイダーのルーティング・ルールを構成します。
  2. Oktaでグローバルのデバイスの信頼の設定を有効化します。
  3. Oktaでアプリのサインオンポリシールールを構成します。
  4. VMware Identity Managerでデフォルトのアクセスポリシーを構成します。

重要:VMware Identity ManagerのOktaアプリケーションソース構成のDevice SSO ResponseEnable Force Authn RequestEnable Authentication Failure Notificationのプロパティが、Yes(はい)に設定されていることを確認します。これらのプロパティは、iOSおよびAndroidデバイス用のデバイスの信頼ソリューションでは必須です。詳細については、ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成するをご覧ください。

コンテンツ


Oktaでモバイルデバイス用のIDプロバイダーのルーティング・ルールを構成する

このVMware Workspace ONEとOktaの統合専用に、iOSおよびAndroid用のOkta IdPルーティング・ルールを構成します。構成すると、これらのルーティング・ルールはアプリケーションのサインオン・ポリシーと連携して、 iOSまたはAndroidデバイス、あるいはその両方のデバイスからの認証要求をWorkspace ONEにリダイレクトします。

画像をクリックすると拡大します


  1. Okta管理コンソールで、[セキュリティー] > [IDプロバイダー]に移動します。
  2. [ルーティング・ルール]タブをクリックし、[ルーティング・ルールを追加]をクリックします。
  3. 設定を次のように構成します。

設定アクション
[ルール名]作成するルールの名前を入力します。
[IFユーザーのIP:]実装に適している場合は、ルーティングを適用するネットワーク・ゾーンと適用しないネットワーク・ゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワーク・ゾーンがすでにOktaで定義されている必要があります。詳細については、 ネットワーク・ゾーン.
[ANDユーザーのデバイス・プラットフォーム:]

実装に応じて、[これらのデバイスのいずれか]を選択してから、[iOS]または[Android]、あるいはその両方を選択します。

[ANDユーザーがアクセスしています]

[次のいずれかのアプリケーション]を選択して、ルーティング・ルールを適用するアプリケーションを入力します。

[ANDユーザーが一致]

適切なアクションを選択します。

  • [すべて]。任意のユーザーを指定します。これはデフォルトです。
  • [ログインに関する正規表現]。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。詳細については、IDプロバイダーのルーティング・ルールを参照してください。
  • [ログインに関するドメイン・リスト]。一致するドメインのリストを指定します。たとえば、example.comとなります。 ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。
  • [ユーザー属性]。左側のリストで属性名を選択し、[次から開始:]リストで比較のタイプを選択して、右側のテキスト・フィールドに一致させる値を入力します。
[THEN:このIDプロバイダーを使用]「ステップ1: OktaでVMware Identity ManagerをIDプロバイダーとして構成する」 の説明に従って、 ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する.

  1. [ルールを作成]をクリックします。

次の手順

Oktaでデバイスの信頼の設定を有効化する

Oktaでデバイスの信頼の設定を有効化する

このセクションでは、VMware Workspace ONEと Oktaの統合用にデバイスの信頼を有効化する方法を説明します。構成された設定はIDP ルーティング・ルールと連携して、iOSおよび/またはAndroidデバイスとターゲットアプリケーションからの認証リクエストをWorkspace ONEにリダイレクトします。その他の認証リクエストは、デフォルトのルーティング・ルールを介して処理されます。

  1. Okta管理コンソールから、[セキュリティー] > [デバイスの信頼]に移動します。
  2. [iOSまたはAndroidデバイスの信頼]セクションで、[編集]をクリックします。
  3. [iOSまたはAndroidデバイスの信頼を有効化]を選択します。
  4. [信頼の確立元]で、[VMware]を選択します。
  5. [統合タイプ]で、[SAMLベース(Workspace ONE UEM + vIDM)]を選択します。
  6. [次へ]をクリックします。
  7. [デバイスIDプロバイダー]で、 の説明に従ってOktaでVMware Identity Manager用に作成したIDプロバイダーを選択します。
  8. (オプション)[モバイル・デバイス管理プロバイダー]フィールドには、Workspace ONEがデフォルトで事前入力されています。これは必要に応じて変更できます。ここに入力したMDMプロバイダーは、デバイスの登録時にエンド・ユーザーに表示されます。
  9. [登録リンク]フィールドに、管理対象外のデバイスがあるエンド・ユーザーをリダイレクトするためのWebアドレスを入力します。 たとえば、登録手順が記載されたページやWorkspace ONEの登録ページにこれらのユーザーを送ることができます。
  10. [保存]をクリックします。

次の手順

Oktaでアプリのサインオンポリシールールを構成する

Oktaでアプリのサインオンポリシールールを構成する

挙動とアプリのサインオン・ポリシー

[App Sign On Rule(アプリサインオンルール)] ダイアログボックス内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのアクセスをより細かく構成するには、以下を反映したルールを作成します。

  • ユーザーが誰であるか、または所属しているグループ
  • ネットワークに接続されているかいないか、または定義されたネットワークゾーン内か
  • デバイスで稼働しているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • デバイスが信頼されているか

サインオン・ポリシー・ルールへの許可リストによるアプローチ


手順

注:以下の許可リストの例は、Office 365へのアクセスを管理するためのDevice Trustルールを示しています。その他のアプリの場合、セクション[ユーザーのクライアントが次のいずれかに該当する場合]が存在しないことに注意してください。

  1. Oktaで[アプリケーション]に移動し、Device Trustで保護するSAMLまたはWS-Fed対応アプリをクリックします。
  2. [サインオン]タブをクリックし、[サインオン・ポリシー]まで下にスクロールして、[ルールを追加]をクリックします。
  3. 次の許可リストの例をガイドとして使用して、1つ以上のルールを構成します。

許可リストの例

信頼できないデバイスを使用しているユーザーは、Workspace ONEの登録を通じて案内されるか、手順③で構成した[登録]リンクの宛先にリダイレクトされます。

次の手順

VMware Identity Managerでデフォルトのアクセスポリシーを構成する

VMware Identity Managerでデフォルトのアクセスポリシーを構成する

VMware Identity Managerのデフォルトのアクセス・ポリシーを更新して、iOSおよびAndroidデバイスのポリシー・ルールを含めます。デフォルトのアクセス・ポリシーがWorkspace ONEカタログの動作を管理します。モバイルSSOポリシー・ルールの構成は必須です。これはデバイスの信頼情報をアプリに渡すアクションの一部であるためです。

認証方法としてモバイルSSOを使用し、フォールバック方法としてOkta認証を使用して、iOSおよびAndroidのポリシー・ルールを作成します。Workspace ONEアプリとハブ・アプリ、およびWebブラウザーのルールも構成します。ポリシー・ルールが正しい順序になっていることを確認してください。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [IDとアクセスの管理]タブをクリックして、[ポリシー]タブをクリックします。
  3. [デフォルトのアクセス・ポリシーを編集]をクリックします。
  4. [ポリシーを編集]ウィザードで、[構成]をクリックします。
  5. [ポリシー・ルールを追加]をクリックし、iOSデバイス用のポリシー・ルールを作成します。
    1. 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定します。
    2. ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:iOS

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:モバイルSSO(iOS)

      上記の方法が失敗するか該当しない場合:Okta認証方法

      注:Okta認証方法の場合は、 でOkta IdP用に作成した認証方法を選択します。

    3. [保存]をクリックします。
  6. [ポリシー・ルールを追加]をクリックし、Androidデバイス用の同様のポリシー・ルールを作成します。
    1. 最初の認証方法としてモバイルSSO(Android)を設定し、フォールバック認証方法としてOkta認証を設定します。

      ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:Android

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:モバイルSSO(Android)

      上記の方法が失敗するか該当しない場合:Okta認証方法

    2. [保存]をクリックします。
  7. Workspace ONEアプリとハブ・アプリのポリシー・ルールを構成します。
    1. Workspace ONEアプリとハブ・アプリのポリシー・ルールをクリックして編集します。
    2. ルールを構成します。

      ユーザーのネットワーク範囲:すべての範囲

      ユーザーがコンテンツにアクセスしている場所:Workspace ONEアプリまたはハブ・アプリ

      上記の場合は、次のアクションを実行します:次を使用して認証する

      ユーザーは次を使用して認証できます:モバイルSSO(iOS)

      上記の方法が失敗するか該当しない場合:モバイルSSO(Android)

      上記の方法が失敗するか該当しない場合:Okta認証方法

  8. ポリシー・ルールを次の順序で上から順に並べます:
    1. Workspace ONEアプリまたはハブ・アプリ
    2. iOSまたはAndroid
    3. iOSまたはAndroid
    4. Webブラウザー

次の手順

ネイティブAndroidアプリの構成に関する推奨事項

ネイティブAndroidアプリの構成に関する推奨事項

Androidデバイスのユーザーに最高のユーザー・エクスペリエンスを提供するために、AndroidモバイルSSOフローの特定の設定を構成できます。

ネイティブのAndroidアプリでは、VMwareトンネルをダウンロードしてエンド・ユーザーのデバイスにインストールする必要があります。Workspace ONEとOktaの統合環境のベスト・プラクティスとして、各ネイティブAndroidアプリの自動展開設定を構成して、ユーザーの登録後にアプリとトンネルが自動的にユーザーのデバイスに展開されるようにします。アプリの管理対象アクセスも有効にします。

これらの設定はVMware Workspace ONE UEMコンソールで構成します。

  1. Workspace ONE UEMで、[アプリとブック] > [アプリケーション] > [ネイティブ・ページ]に移動します。
  2. アプリ名をクリックします。
  3. [割り当て]をクリックします。
  4. [割り当てを追加]をクリックして新しい割り当てを追加するか、編集する割り当てを選択して[編集]をクリックします。
  5. 必要に応じて割り当てを構成し、ベスト・プラクティスとして次のように選択します。
    • [アプリの配信方法]:[自動]
    • [管理アクセス]:[有効]
    • [アプリのトンネリング]:[有効]
  6. 注: アプリのトンネリングを有効にする場合は、アプリに使用するVPN構成プロファイルも選択する必要があります。

    例:

  7. 割り当てを保存します。

ユーザーがデバイスを登録すると、アプリがカタログに表示されます。アプリのアイコンは、トンネルが含まれていることを示しています。ユーザーがアプリをインストールすると、アプリとトンネルの両方がインストールされます。