ステップ3:iOSおよびAndroidデバイス用にOktaでルーティングルール、デバイスの信頼、クライアントアクセスポリシーを構成する

これは早期アクセス機能です。有効にするには、Okta Admin Consoleで[設定] [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 デバイスの信頼]をオンにします。

前提条件

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する

Okta デバイスの信頼機能を使用すると、Workspace™ ONE™とOktaの統合におけるiOSおよびAndroidデバイスの条件付きアクセスポリシーの管理が簡素化されます。アプリのデバイスの信頼とアクセスポリシーは、Okta Admin Consoleでのみ構成できます。

OktaでiOSまたはAndroidのデバイスの信頼が構成されている場合、ユーザーは、モバイルSSO(iOS)またはモバイルSSO(Android)の認証方法を使用した認証のために、VMware Identity Managerにリダイレクトされます。VMware Identity Managerにより、SAMLレスポンスでデバイス状態情報がOktaに返されます。

次に、Oktaで構成したアクセスポリシーによって、アプリケーションにアクセスするためにデバイスを信頼する必要があるかどうかが決定されます。デバイスが信頼できない場合は、デバイス登録ページが表示されます。

この統合のために、Okta Admin Consoleでデバイスの信頼機能を構成するには、次のタスクを実行する必要があります。

  1. iOSおよびAndroidデバイス用にOkta IDプロバイダーのルーティングルールを構成します。
  2. Oktaでグローバルなデバイスの信頼設定を有効にします。
  3. アプリサインオンポリシールールを構成します。
  4. VMware Identity Managerでデフォルトのアクセスポリシーを構成します。

VMware Identity ManagerのOktaアプリケーション・ソースの構成で、[Device SSO Response(デバイスのSSO応答)]、[Enable Force Authn Request(強制認証要求を有効にする)]、および[Enable Authentication Failure Notification(認証失敗通知を有効にする)]のプロパティーが[Yes(はい)]に設定されていることを確認します。iOSおよびAndroidデバイスのデバイスの信頼ソリューションでは、これらのプロパティーは要件です。詳細については、「ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する」を参照してください。

モバイル・デバイス用にOktaでIDプロバイダーのルーティングルールを構成する

このVMware Workspace ONEOktaの統合専用に、iOSAndroid用のOkta IdPルーティングルールを構成します。構成すると、これらのルーティングルールはアプリケーションのサインオンポリシーと連携して、iOSまたはAndroidデバイス、あるいはその両方のデバイスからの認証要求をWorkspace ONEにリダイレクトします。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。
  2. [Routing Rules(ルーティングルール)]タブをクリックします。
  3. [Add Routing Rule(ルーティングルールを追加)]をクリックします。
  4. 以下を構成します。

    5. 設定 アクション
    [Rule Name(ルール名)] 作成するルールの名前を入力します。
    IF[User's IP is(ユーザーのIP)] 実装に適している場合は、ルーティングを適用するネットワーク・ゾーンと適用しないネットワーク・ゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがすでにOktaで定義されている必要があります。詳細については、「ネットワークゾーン」を参照してください。
    ユーザーのデバイス・プラットフォーム:

    実装に応じて、[Any of these devices(これらのデバイスのいずれか)]を選択してから、[iOS]または[Android]、あるいはその両方を選択します。
    AND[User is accessing(ユーザーがアクセスしています)]

    [Any of the following applications(次のアプリケーションのいずれか)]を選択してから、ルーティングルールを適用するアプリケーションを入力します。
    AND[User matches(ユーザーが一致)]

    適切なアクションを選択します。

    • [Anything(すべて)]。任意のユーザーを指定します。これはデフォルトです。
    • [Regex on login(ログインに関する正規表現)]。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。「IDプロバイダーのルーティングルール」を参照してください。
    • [Domain list on login(ログインに関するドメイン・リスト)]。一致するドメインの一覧を指定します(例:example.com)。ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。
    • [User attribute(ユーザー属性)]。左側のリストで属性名を選択し、[Starts with(次から開始:)]リストで比較のタイプを選択して、右側のテキスト・フィールドに一致させる値を入力します。
    THEN[Use this identity provider(このIDプロバイダーを使用)] ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する」の説明に従って、Oktaで作成したIDプロバイダーを[VMware Identity Manager]に選択します。

  5. [ルールを作成]をクリックします。

Oktaでデバイスの信頼の設定を有効化する

このセクションでは、特にこのVMwareWorkspace ONEOktaの統合用にデバイスの信頼を有効にする方法について説明します。構成すると、これらの設定がIDPルーティングルールと連携して、iOSまたはAndroidデバイス、あるいはその両方のデバイスとターゲット・アプリケーションからの認証要求をWorkspace ONEにリダイレクトします。その他の認証要求は、デフォルトのルーティングルールで処理されます。

信頼されたデバイスを許可するアプリサインオンポリシー([Applications(アプリケーション)]>[app(アプリ)]>[Sign On(サインオン)])も構成している場合は、[セキュリティ]>[デバイスの信頼]ページでデバイスの信頼設定を無効にしないでください。無効にすると、デバイスの信頼の設定に矛盾が生じた状態になります。orgのデバイスの信頼を無効にするには、まず、デバイスの信頼の設定を含むアプリのサインオンポリシーをすべて削除してから、[Security(セキュリティ)]>[デバイスの信頼]でデバイスの信頼を無効にします。

  1. Admin Consoleで、[セキュリティ][デバイスの信頼]に移動します。
  2. [iOS デバイスの信頼]または[Android Device Trus]セクションで、[編集]をクリックします。
  3. [Enable [iOS or Android] デバイスの信頼([iOSまたはAndroid]のデバイスの信頼を有効化)]を選択します。
  4. [Trust is established by(信頼の確立元)]で、[VMware]を選択します。
  5. [Integration type(統合タイプ)]で、[SAML-based (Workspace ONE UEM+vIDM)]を選択します。

  6. [次へ]をクリックします。
  7. [Device Identity provider(デバイスIDプロバイダー)]で、「Oktaでモバイル・デバイス用のIDプロバイダーのルーティングルールを構成する」の説明に従いVMware Identity Manager用にOktaで作成したIDプロバイダーを選択します。
  8. (オプション)[Mobile device management provider(モバイル・デバイス管理プロバイダー)]フィールドには、Workspace ONEがデフォルトで事前入力されています。これは必要に応じて変更できます。ここに入力したMDMプロバイダーは、デバイス登録時にエンドユーザーに表示されます。
  9. [Enrollment link(登録リンク)]フィールドに、未登録のデバイスがあるエンドユーザーをリダイレクトするためのWebアドレスを入力します。たとえば、登録手順が記載されたページやWorkspace ONEの登録ページにこれらのユーザーを送ることができます。
  10. [保存]をクリックします。

Oktaでアプリサインオンポリシールールを構成する

  • アプリのサインオンポリシーを構成できるのは、アプリ管理者、Org管理者、およびスーパー管理者のみです。

  • 信頼されたデバイスを許可するアプリサインオンポリシー([Applications(アプリケーション)]>[app(アプリ)]>[Sign On(サインオン)])も構成している場合は、[セキュリティ]>[デバイスの信頼]ページでデバイスの信頼設定を無効にしないでください。無効にすると、デバイスの信頼の設定に矛盾が生じた状態になります。Orgのデバイスの信頼を無効にするには、まず、デバイスの信頼の設定を含むアプリのサインオン・ポリシーをすべて削除してから、[セキュリティ]>[デバイスの信頼]でデバイスの信頼を無効にします。

  • このデバイスの信頼ソリューションをOrgで無効にするようOktaに依頼する場合は(「Oktaでデバイスの信頼の設定を有効化する」で有効化したデバイスの信頼設定とは別)、最初にアプリサインオンポリシールールでデバイスの信頼設定を[Any(任意)]([Applications(アプリケーション)]>[app(アプリ)]>[Sign On(サインオン)])に変更します。この変更を行わず、後でOktaにOrgのデバイスの信頼機能の再有効化を依頼した場合、アプリのアプリサインオンポリシールールのデバイスの信頼設定がすぐに有効になるという予期しない動作が発生します。

アプリサインオンポリシールールについて

[App Sign On Rule(アプリ・サインオン・ルール)]ダイアログ・ボックス内のすべてのクライアント・オプションはデフォルトで事前選択されています。アプリへのアクセスを詳細設定するには、以下を反映させるルールを作成します。

  • 対象となるユーザー、または対象者が属するグループ
  • 対象者がネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
  • 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • 対象者のデバイスが信頼されているかどうか

サインオン・ポリシー・ルールへの許可リストによるアプローチ

    1. アプリへのアクセスを許可するシナリオをサポートする1つまたは複数の許可ルールを作成し、これらのルールに最高優先度を割り当てます。
    2. ステップ1で作成した許可シナリオに一致しないユーザーに適用するキャッチオール拒否ルールを作成します。キャッチオール拒否ルールに、デフォルトルールのすぐ上の最低優先度を割り当てます。ここで説明した許可リストのアプローチでは、デフォルトルールは事実上キャッチオール拒否ルールで否定されるため、これに達することはありません。

    アプリサインオンポリシールールの作成に関する重要なセキュリティ情報については、「アプリのサインオンポリシー」を参照してください。

手順

注:以下の許可リストの例は、Office 365へのアクセスを管理するためのデバイスの信頼ルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。

  1. Admin Consoleで、[アプリケーション][アプリケーション]に移動します。
  2. デバイスの信頼で保護するSAMLまたはWS-Fed対応のアプリをクリックします。
  3. [Sign On(サインオン)]タブをクリックします。
  4. 下にスクロールして[Sign On Policy(サインオン・ポリシー)]に移動し、[ルールを追加]をクリックします。
  5. 次の許可リストの例を参考にしてルールを1つ以上作成します。

許可リストの例

非信頼デバイスを使用するユーザーは、Workspace ONEの登録に誘導されるか、このステップで構成した登録リンクの宛先にリダイレクトされます。

ルール例1:Webブラウザー、先進認証、iOSまたはAndroidあるいはその両方、信頼できる、アクセスを許可 +多要素認証

  1. ルールにわかりやすい名前を付けて入力します。
  1. [ユーザー]で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。このオプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、ルールを適用するユーザーのロケーションを指定します。このオプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。

    4. [Web browser(Webブラウザー)]:選択

    [Modern Auth client(Modern Authクライアント)]:選択

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]:選択解除

    [Mobile(モバイル)]

    [iOS]:選択

    [Android]:選択

    [Other mobile(他のモバイル)]:選択解除

    [Desktop(デスクトップ)]

    [Windows]:選択解除

    [macOS]:選択解除

    [Other desktop(他のデスクトップ)]:選択解除

  4. [デバイスの信頼]で以下を構成します。

    5. [デバイスの信頼] セクションの[Trusted(信頼)][Not trusted(非信頼)]オプションは、[Client(クライアント)]セクションの以下のオプションがどれも選択されていない場合にのみ選択可能です。

    • [Exchange ActiveSync or Legacy Auth client(Exchange ActiveSyncまたはレガシー認証クライアント)]
    • [Other mobile (for example, BlackBerry)(他のモバイル(BlackBerryなど))]
    • [Other desktop (for example, Linux)(他のデスクトップ(Linuxなど))]

    [Any(すべて)]:選択解除

    [Trusted(信頼)]:選択解除

    [Not trusted(非信頼)]:選択解除

  1. [Access(アクセス)]を構成します。

    2. [Allowed(許可)]:選択

    [Prompt for factor(要素をプロンプト)]:選択

  2. [保存]をクリックします。
  3. ルール2を作成します。

ルール例2:Webブラウザー、先進認証、iOSおよび/またはAndroidを除くすべてのプラットフォーム、任意の信頼、アクセスを許可 + 多要素認証

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、[Rule 1(ルール1)]で選択したものと同じ[ユーザー]オプションを選択します。このオプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。このオプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。

    4. [Web browser(Webブラウザー)]:選択

    [Modern Auth client(Modern Authクライアント)]:選択

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]:選択解除

    [Mobile(モバイル)]

    [iOS]:選択解除

    [Android]:選択

    [Other mobile(他のモバイル)]:選択

    [Desktop(デスクトップ)]

    [Windows]:選択

    [macOS]:選択

    [Other desktop(他のデスクトップ)]:選択

  4. [デバイスの信頼]で以下を構成します。

    5. [デバイスの信頼] セクションの[Trusted(信頼)][Not trusted(非信頼)]オプションは、[Client(クライアント)]セクションの以下のオプションがどれも選択されていない場合にのみ選択可能です。

    • [Exchange ActiveSync or Legacy Auth client(Exchange ActiveSyncまたはレガシー認証クライアント)]
    • [Other mobile (for example, BlackBerry)(他のモバイル(BlackBerryなど))]
    • [Other desktop (for example, Linux)(他のデスクトップ(Linuxなど))]

    [Any(すべて)]:選択

    [Trusted(信頼)]:選択解除

    [Not trusted(非信頼)]:選択解除

[Actions(アクション)]

  1. [Access(アクセス)]を構成します。

    2. [Allowed(許可)]を選択します。

    [Prompt for factor(要素をプロンプト)]を選択します。

  2. [保存]をクリックします。
  3. [Rule 3(ルール3)]を作成します。

ルール例3:Webブラウザー、先進認証、iOSまたはAndroidあるいはその両方、信頼できない、アクセスを拒否

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、[Rule 1(ルール1)]で選択したものと同じ[ユーザー]オプションを選択します。このオプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。このオプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。

    4. [Web browser(Webブラウザー)]:選択

    [Modern Auth client(Modern Authクライアント)]:選択

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]:選択解除

    [Mobile(モバイル)]

    [iOS]:選択

    [Android]:選択

    [Other mobile(他のモバイル)]:選択解除

    [Desktop(デスクトップ)]

    [Windows]:選択解除

    [macOS]:選択解除

    [Other desktop(他のデスクトップ)]:選択解除

  4. [デバイスの信頼]で以下を構成します。

    5. [デバイスの信頼] セクションの[Trusted(信頼)][Not trusted(非信頼)]オプションは、[Client(クライアント)]セクションの以下のオプションがどれも選択されていない場合にのみ選択可能です。

    • [Exchange ActiveSync or Legacy Auth client(Exchange ActiveSyncまたはレガシー認証クライアント)]
    • [Other mobile (for example, BlackBerry)(他のモバイル(BlackBerryなど))]
    • [Other desktop (for example, Linux)(他のデスクトップ(Linuxなど))]

    [Any(すべて)]:選択解除

    [Trusted(信頼)]:選択解除

    [Not trusted(非信頼)]:選択解除

[Actions(アクション)]

  1. [Access(アクセス)]を構成します。

    2. [Denied(拒否)]を選択します。

  2. [保存]をクリックします。

例:Rule 4 - Default sign on rule – Any client, All platforms; Any Trust; Allow access

デフォルトのサインオン・ルールはすでに作成されており、編集できません。この例では、デフォルト・ルールがルール3により実質的に無効化されているため、デフォルト・ルールに到達することはありません。


VMware Identity Managerでデフォルトのアクセスポリシーを構成する

VMware Identity Managerのデフォルトのアクセスポリシーを更新して、iOSおよびAndroidデバイスのポリシールールを含めます。デフォルトのアクセスポリシーがWorkspace ONEカタログの動作を管理します。モバイルSSOポリシールールの構成は必須です。これはデバイスの信頼情報をアプリに渡すアクションの一部であるためです。

認証方法としてモバイルSSOを使用し、フォールバック方法としてOkta認証を使用して、iOSおよびAndroidのポリシールールを作成します。Workspace ONEアプリとハブ・アプリ、およびWebブラウザーのルールも構成します。ポリシールールが正しい順序になっていることを確認してください。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Policies(ポリシー)]タブをクリックします。
  3. [Edit Default Access Policy(デフォルトのアクセスポリシーの編集)]をクリックします。
  4. [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。
  5. [Add Policy Rule(ポリシー・ルールを追加)]をクリックしてiOSデバイス用のポリシー・ルールを作成します。
    1. 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定します。

      2. ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]iOSからコンテンツにアクセスしているのであれば、[Authenticate using(認証に使用)]アクションを実行すると、ユーザーは[Mobile SSO (iOS)(モバイルSSO(iOS))]で認証できるようになります。

      前述の方法が失敗する、または適用できない場合は、ユーザーは[Okta Auth Method(Okta認証方法)]で認証できます。

      注:[Okta Auth Method(Okta認証方法)]については、「VMware Identity Managerで新しいIDプロバイダーの作成を完了する」でOkta IdP用に作成した認証方法を選択します。
    2. [保存]をクリックします。
  6. [Add Policy Rule(ポリシー・ルールを追加)]をクリックしてAndroidデバイス用に同様のポリシー・ルールを作成します。
    1. 最初の認証方法としてモバイルSSO(Android)を設定し、フォールバック認証方法としてOkta認証を設定します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]Androidからコンテンツにアクセスしているのであれば、[Mobile SSO (Android)(モバイルSSO(Android))][Authenticate using(認証に使用)]アクションを実行します。

      前述の方法が失敗する、または適用できない場合は、ユーザーは[Okta Auth Method(Okta認証方法)]で認証できます。

    2. [保存]をクリックします。
  7. Workspace ONEアプリとハブ・アプリのポリシー・ルールを構成します。
    1. Workspace ONEアプリとハブ・アプリのポリシー・ルールをクリックして編集します。
    2. ルールを構成します。

      ユーザーのネットワーク範囲が[ALL RANGES(すべての範囲)]Workspace ONEアプリまたはハブアプリからコンテンツにアクセスしているのであれば、[Authenticate using(認証に使用)]アクションを実行します。

      [Mobile SSO (for iOS)(モバイルSSO(iOS向け))]

      前述の方法が失敗する、または適用できない場合は、ユーザーは[Mobile SSO (for Android)(モバイルSSO(Android向け))]で認証できます。

      前述の方法が失敗する、または適用できない場合は、[Okta Auth Method(Okta認証方法)]を使用します。

  8. ポリシールールを上から順に次の順序で並べます。
    1. Workspace ONEアプリまたはHubアプリ iOSまたはAndroid
    2. iOSまたはAndroid
    3. [Web browser(Webブラウザー)]

ネイティブAndroidアプリの構成設定方法の例

Androidデバイスのユーザーに最高のユーザー・エクスペリエンスを提供するために、AndroidモバイルSSOフローの特定の設定を構成できます。

ネイティブのAndroidアプリでは、VMwareトンネルをダウンロードしてエンドユーザーのデバイスにインストールする必要があります。Workspace ONEとOktaの統合環境のベスト・プラクティスとして、各ネイティブAndroidアプリの自動展開設定を構成して、ユーザーの登録後にアプリとトンネルが自動的にユーザーのデバイスに展開されるようにします。アプリの管理対象アクセスも有効にします。

これらの設定は、VMwareWorkspace ONE UEMコンソールで構成します。

  1. Workspace ONE UEMで、[Apps & Books(アプリケーションとブック)]>[Applications(アプリケーション)]>[Native page(ネイティブ)]ページに移動します。
  2. アプリ名をクリックします。
  3. [Assign(割り当て)]をクリックします。
  4. [Add Assignment(割り当てを追加)]をクリックして新しい割り当てを追加するか、編集する割り当てを選択して[編集]をクリックします。
  5. 必要に応じて割り当てを構成し、ベスト・プラクティスとして次のように選択します。
    • [App Delivery Method(アプリの配信方法)]:[AUTO(自動)]
    • [Managed Access(管理アクセス)]:[ENABLED(有効)]
    • [App Tunneling(アプリのトンネリング)]:[ENABLED(有効)]
    6. [App Tunneling(アプリのトンネリング)]を有効にする場合は、アプリで使用するVPN構成プロファイルも選択する必要があります。

    例:

  6. 割り当てを保存します。

ユーザーがデバイスを登録すると、アプリがカタログに表示されます。アプリのアイコンは、トンネルが含まれていることを示しています。ユーザーがアプリをインストールすると、アプリとトンネルの両方がインストールされます。