親トピック: Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する
ユースケース: OktaとVMware Workspace ONEを使用して、デバイスの信頼とSSOをモバイルデバイスに適用する
プラットフォーム: モバイル
ステップ3:iOSおよびAndroidデバイス用に、Oktaでルーティング・ルール、デバイスの信頼、クライアントアクセスポリシーを構成する
これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[Settings(設定)]> [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 Device Trust]をオンにします。
前提条件:
ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する
ステップ2:VMware Identity ManagerでOktaのアプリケーションソースを構成する
Okta Device Trust機能は、Workspace™ ONE™とOktaの統合におけるiOSおよびAndroidデバイス用の条件付きアクセスポリシーの管理を簡素化します。アプリのデバイスの信頼とアクセスポリシーは、Okta管理コンソールでのみ構成されます。
iOSまたはAndroidのデバイスの信頼がOktaで構成されている場合、ユーザーはVMware Identity Managerにリダイレクトされ、モバイルSSO(iOS)またはモバイルSSO(Android)の認証方法を使用した認証を求められます。VMware Identity Managerは、SAMLレスポンスでデバイスポスチャ―の情報をOktaに返します。
次に、Oktaで構成したアクセスポリシーによって、アプリケーションにアクセスするためにデバイスを信頼するかが決まります。デバイスが信頼できない場合、デバイスの登録ページが表示されます。
この統合では、Okta管理コンソールで次のタスクを実行してデバイスの信頼機能を構成する必要があります:
- iOSおよびAndroidデバイス用のOkta IDプロバイダーのルーティング・ルールを構成します。
- Oktaでグローバルのデバイスの信頼の設定を有効化します。
- Oktaでアプリのサインオンポリシールールを構成します。
- VMware Identity Managerでデフォルトのアクセスポリシーを構成します。
重要:VMware Identity ManagerのOktaアプリケーションソース構成のDevice SSO Response、Enable Force Authn Request、Enable Authentication Failure Notificationのプロパティが、Yes(はい)に設定されていることを確認します。これらのプロパティは、iOSおよびAndroidデバイス用のデバイスの信頼ソリューションでは必須です。詳細については、ステップ2:VMware Identity ManagerでOktaのアプリケーションソースを構成するをご覧ください。
Oktaでモバイルデバイス用のIDプロバイダーのルーティング・ルールを構成する
VMware Workspace ONEとOktaの統合用に、iOSおよびAndroidのOkta IdPルーティング・ルールを構成します。構成されたルーティング・ルールはアプリケーションのサインオンポリシーと連携して、 iOSおよび/またはAndroidデバイスからの認証リクエストをWorkspace ONEにリダイレクトします。
画像をクリックして拡大
- Okta管理コンソールで [Security(セキュリティ)]> [Identity Providers(IDプロバイダー)] に移動します。
- [Routing Rules(ルーティング・ルール)]タブをクリックして、[Add Routing Rule(ルーティング・ルールを追加)]をクリックします。
- 以下のように設定を構成します:
設定 | アクション |
---|---|
ルール名 | 作成するルールの名前を入力します。 |
IF User's IP is | 導入で適当な場合に、ルーティングを適用する、または適用しないネットワークゾーンを指定します。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがOktaで定義済みである必要があります。詳しくは、 ネットワーク ゾーン。 |
AND User's device platform is | [Any of these devices(これらのデバイスのいずれか)]を選択してから、iOS、Android、またはその両方を実装方法に応じて選択します。 |
AND User is accessing | [Any of the following applications(次のアプリケーションのいずれか)]を選択してから、ルーティング・ルールを適用するアプリケーションを入力します。 |
AND User matches | 適切なアクションを選択します:
|
THEN Use this identity provider | VMware Identity Manager用にOktaで作成した IDプロバイダーを選択します。 詳細は、 ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成するに記載されています。 |
- [Create Rule(ルールを作成)]をクリックします。
次の手順
Oktaでデバイスの信頼の設定を有効化する
Oktaでデバイスの信頼の設定を有効化する
このセクションでは、VMware Workspace ONEと Oktaの統合用にデバイスの信頼を有効化する方法を説明します。構成された設定はIDP ルーティング・ルールと連携して、iOSおよび/またはAndroidデバイスとターゲットアプリケーションからの認証リクエストをWorkspace ONEにリダイレクトします。その他の認証リクエストは、デフォルトのルーティング・ルールを介して処理されます。

信頼されたデバイスを許可するアプリ・サインオン・ポリシー([アプリケーション] > アプリ > [サインオン・ポリシー])も構成している場合は、[セキュリティー] > [Device Trust]ページでDevice Trustの設定を無効にしないでください。無効にした場合、Device Trustの構成が一貫性のない状態になります。組織のDevice Trustを無効にするには、まずDevice Trustの設定を含むアプリ・サインオン・ポリシーを削除してから、[セキュリティー] > [Device Trust]でDevice Trustを無効にします。
- Okta管理コンソールで、[Security(セキュリティ)]> [Device Trust(デバイスの信頼)]の順に移動します。
- iOSまたはAndroidの[Device Trust(デバイスの信頼)]セクションで、[Edit(編集)]をクリックします。
- [Enable [iOS or Android] Device Trust]を選択します。
- [Trust is established by(信頼の確立元)]で、[VMware]を選択します。
- [Integration type(統合タイプ)]で、[SAML-based (Workspace ONE UEM+vIDM)]を選択します。
- [Next(次へ)]をクリックします。
- [Device Identity provider(デバイスIDプロバイダー)]で、 の説明に従いVMware Identity Manager用にOktaで作成したIDプロバイダーを選択します。
- (オプション)デフォルトで、Mobile device management providerフィールドにWorkspace ONEが事前入力されます。これは必要に応じて変更できます。ここに入力するMDMプロバイダーは、デバイス登録時にエンドユーザーに表示されます。
- Enrollment linkフィールドに、アンマネージドデバイスを使用するエンドユーザーのリダイレクト先になるウェブアドレスを入力します。 たとえば、登録の指示が記載されたページにユーザーをリダイレクトしたり、Workspace ONEの登録ページにリダイレクトしたりできます。
- [Save(保存)]をクリックします。
次の手順
Oktaでアプリのサインオンポリシールールを構成する
Oktaでアプリのサインオンポリシールールを構成する

- アプリ管理者、組織管理者、スーパー 管理者のみがアプリのサインオンポリシーを構成できます。
信頼されたデバイスを許可するアプリ・サインオン・ポリシー([アプリケーション] > アプリ > [サインオン・ポリシー])も構成している場合は、[セキュリティー] > [Device Trust]ページでDevice Trustの設定を無効にしないでください。無効にした場合、Device Trustの構成が一貫性のない状態になります。組織のDevice Trustを無効にするには、まずDevice Trustの設定を含むアプリ・サインオン・ポリシーを削除してから、[セキュリティー] > [Device Trust]でDevice Trustを無効にします。
- このデバイスの信頼ソリューションを組織で無効にする場合( で有効化したデバイスの信頼設定とは別)、最初にアプリのサインオンポリシールールでデバイスの信頼設定を Any(任意)(Applications(アプリケーション)> app(アプリ) > Sign On(サインオン))に設定します。この変更を行わすに、組織で後からデバイスの信頼機能が再度有効にされると、アプリのサインオンポリシールールのデバイスの信頼設定がすぐに有効になりますが、これが想定外の動作となる可能性があります。
挙動とアプリのサインオン・ポリシー
[App Sign On Rule(アプリサインオンルール)] ダイアログボックス内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのアクセスをより細かく構成するには、以下を反映したルールを作成します。
- ユーザーが誰であるか、または所属しているグループ
- ネットワークに接続されているかいないか、または定義されたネットワークゾーン内か
- デバイスで稼働しているクライアントのタイプ(Office 365アプリのみ)
- 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
- デバイスが信頼されているか
サインオン・ポリシー・ルールへの許可リストによるアプローチ
- アプリへのアクセスを許可するシナリオをサポートする1つ以上の許容ルールを作成し、それらのルールに最高の優先度を割り当てます。
- ステップ1で作成した許容シナリオに一致しないユーザーに適用される、拒否キャッチオール・ルールを作成します。拒否キャッチオール・ルールには、Oktaのデフォルト・ルールの1つ上の最も低い優先度を割り当てます。 デフォルト・ルール. ここで説明する許可リストのアプローチでは、デフォルト・ルールは、拒否キャッチオール・ルールによって事実上無効化されるため、到達することはありません。

アプリのサインオン・ポリシー・ルールの作成に関する重要なセキュリティー情報については、を参照してください。 アプリサインオン ポリシーについて.
手順
注:以下の許可リストの例は、Office 365へのアクセスを管理するためのデバイスの信頼ルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。
- Oktaで[Applications(アプリケーション)]に移動して、デバイスの信頼で保護するSAMLまたはWS-Fed対応のアプリをクリックします。
- [Sign On(サインオン)]タブをクリックし、[Sign On Policy(サインオンポリシー)] セクションまで下方にスクロールして、[Add Rule(ルールを追加)]をクリックします。
- 次の許可リストの例を参考にしてルールを1つ以上作成します。
許可リストの例
非信頼デバイスを使用するユーザーは、Workspace ONEの登録に誘導されるか、ステップ3で構成した登録リンクの宛先にリダイレクトされます。

画像をクリックして拡大
- ルールのわかりやすい名前を入力します。
条件
- [People(ユーザー)]で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択するPeople(ユーザー)オプションは、この例で作成するすべてのルールで同じである必要があります。
- [Location(ロケーション)]で、ルールを適用するユーザーのロケーションを指定します。選択するLocation(ロケーション)オプションは、この例で作成するすべてのルールで同じである必要があります。
- クライアント設定を構成します:
- デバイスの信頼を構成します。
- Exchange ActiveSyncまたはレガシー認証クライアント
- その他のモバイル(BlackBerryなど)
- その他のデスクトップ(Linuxなど)
タイプ:
þ Web browser or Modern Auth clientを選択します。
¨ Exchange ActiveSync clientを選択解除します。
モバイル:
þ iOSを選択します。
および/または
þ Androidを選択します。
¨ Other mobileを選択解除します。
デスクトップ:
¨ Windowsを選択解除します。
¨ macOSを選択解除します。
¨ Other desktopを選択解除します。

[Device Trust]セクションの[信頼できる]および[信頼できない]オプションは、[クライアント]セクションで以下のすべてのオプションが選択されていない場合のみ選択できます。
¨ Any を選択解除します。
þ Trusted を選択します。
¨ Not trustedを選択解除します。
アクション
- アクセスを構成します。
- [Save(保存)]をクリックします。
- [Rule 2(ルール2)]を作成します。
Allowedを選択します。
þ Prompt for factorを選択します。

画像をクリックして拡大
- ルールのわかりやすい名前を入力します。
条件
- People(ユーザー)で、Rule 1(ルール1)で選択したものと同じPeople(ユーザー)オプションを選択します。 People(ユーザー)オプションは、この例のすべてのルールで同じである必要があります。
- Location(ロケーション)で、Rule 1(ルール1)で選択したものと同じLocation(ロケーション)オプションを選択します。 Location(ロケーション)オプションは、この例のすべてのルールで同じである必要があります。
- クライアント設定を構成します:
- デバイスの信頼を構成します。
- Exchange ActiveSyncまたはレガシー認証クライアント
- その他のモバイル(BlackBerryなど)
- その他のデスクトップ(Linuxなど)
タイプ:
þ Web browser or Modern Auth clientを選択します。
¨ Exchange ActiveSync clientを選択解除します。
モバイル:
¨ iOSを選択解除します。
および/または
¨ Androidを選択解除します。
þ Other mobileを選択します。
デスクトップ:
þ Windowsを選択します。
þ macOSを選択します。
þ Other desktopを選択します。

[Device Trust]セクションの[信頼できる]および[信頼できない]オプションは、[クライアント]セクションで以下のすべてのオプションが選択されていない場合のみ選択できます。
þ Any を選択します。
¨ Trusted を選択解除します。
¨ Not trustedを選択解除します。
アクション
- アクセスを構成します。
- [Save(保存)]をクリックします。
- [Rule 3(ルール3)]を作成します。
Allowedを選択します。
þ Prompt for factorを選択します。

画像をクリックして拡大
- ルールのわかりやすい名前を入力します。
条件
- People(ユーザー)で、Rule 1(ルール1)で選択したものと同じPeople(ユーザー)オプションを選択します。選択するPeople(ユーザー)オプションは、この例で作成するすべてのルールで同じである必要があります。
- Location(ロケーション)で、Rule 1(ルール1)で選択したものと同じLocation(ロケーション)オプションを選択します。選択するLocation(ロケーション)オプションは、この例で作成するすべてのルールで同じである必要があります。
- クライアント設定を構成します:
- デバイスの信頼を構成します。
- Exchange ActiveSyncまたはレガシー認証クライアント
- その他のモバイル(BlackBerryなど)
- その他のデスクトップ(Linuxなど)
タイプ:
þ Web browser or Modern Auth clientを選択します。
¨ Exchange ActiveSync clientを選択解除します。
モバイル:
þ iOSを選択します。
および/または
þ Androidを選択します。
¨ Other mobileを選択解除します。
デスクトップ:
¨ Windowsを選択解除します。
¨ macOSを選択解除します。
¨ Other desktopを選択解除します。

[Device Trust]セクションの[信頼できる]および[信頼できない]オプションは、[クライアント]セクションで以下のすべてのオプションが選択されていない場合のみ選択できます。
¨ Any を選択解除します。
¨ Trusted を選択解除します。
þ Not trustedを選択します。
アクション
- アクセスを構成します。
- [Save(保存)]をクリックします。
Deniedを選択します。
次の手順
VMware Identity Managerでデフォルトのアクセスポリシーを構成する
VMware Identity Managerでデフォルトのアクセスポリシーを構成する
VMware Identity Managerのデフォルトのアクセスポリシーをアップデートして、iOSおよびAndroidデバイス用のポリシールールを含めます。デフォルトのアクセスポリシーは、Workspace ONEカタログの動作を管理します。モバイルSSOポリシールールの構成は、デバイスの信頼情報をアプリに渡すことの一部であるため、必須です。
モバイルSSOを認証方法として、Okta認証をフォールバックの方法として設定してiOSおよびAndroid用のポリシールールを作成します。また、Workspace ONEアプリ、Hubアプリ、ウェブブラウザ用のルールも構成します。ポリシールールが適切な順番になっていることを確認します。
- システム管理者としてVMware Identity Managerコンソールにログインします。
- [Identity & Access Management]タブをクリックしてから、[Policies(ポリシー)]タブをクリックします。
- [Edit Default Access Policy(デフォルトのアクセスポリシーの編集)]をクリックします。
- [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。
- [Add Policy Rule(ポリシールールを追加)]をクリックしてiOSデバイス用のポリシールールを作成します。
- モバイルSSO(iOS)を1番目の認証方法として設定して、Okta認証をフォールバック認証方法として設定します。
- [Save(保存)]をクリックします。
If a user's network range is:ALL RANGES(すべての範囲)
and the user is accessing content from:iOS
Then perform this action:Authenticate using(~による認証)
then the user may authenticate using:Mobile SSO (iOS)(モバイルSSO(iOS))
If the preceding method fails or is not applicable, then:Okta Auth Method(Okta認証方法)
- [Add Policy Rule(ポリシールールを追加)]をクリックして、Androidデバイス用に同様のポリシールールを作成します。
- モバイルSSO(Android)を1番目の認証方法として設定して、Okta認証をフォールバック認証方法として設定します。
If a user's network range is:ALL RANGES(すべての範囲)
and the user is accessing content from:Android
Then perform this action:Authenticate using(~による認証)
then the user may authenticate using:Mobile SSO (Android)(モバイルSSO(Android))
If the preceding method fails or is not applicable, then:Okta Auth Method(Okta認証方法)
- [Save(保存)]をクリックします。
- モバイルSSO(Android)を1番目の認証方法として設定して、Okta認証をフォールバック認証方法として設定します。
- Workspace ONEアプリとHubアプリ用のポリシールールを構成します。
- Workspace ONEアプリとHubアプリ用のポリシールールをクリックして編集します。
- ルールを構成します。
If a user's network range is:ALL RANGES(すべての範囲)
and the user is accessing content from:Workspace ONE app or Hub app(Workspace ONEアプリまたはHubアプリ)
Then perform this action:Authenticate using(~による認証)
then the user may authenticate using:Mobile SSO (iOS)(モバイルSSO(iOS))
If the preceding method fails or is not applicable, then:Mobile SSO (Android)(モバイルSSO(Android))
If the preceding method fails or is not applicable, then:Okta Auth Method(Okta認証方法)
- ポリシールールを次の順番で配置します(上から下):
- Workspace ONEアプリまたはHubアプリ
- iOSまたはAndroid
- iOSまたはAndroid
- ウェブブラウザ
次の手順
ネイティブAndroidアプリの構成に関する推奨事項
ネイティブAndroidアプリの構成に関する推奨事項
Androidデバイスを使用するユーザーに最高のユーザーエクスペリエンスを提供するために、AndroidモバイルSSOフロー用の特別な設定を構成できます。
ネイティブAndroidアプリの場合、VMware Tunnelをエンドユーザーのデバイスでダウンロードしてインストールする必要があります。Workspace ONEとOktaの統合環境のベストプラクティスとして、各ネイティブAndroidアプリで自動デプロイメント設定を構成して、アプリとトンネルが登録後に自動的にユーザーのデバイスにデプロイされるようにします。また、アプリでマネージドアクセスを有効にします。
これらの設定は、VMware Workspace ONE UEMコンソールで構成します。
- Workspace ONE UEMで、[Apps & Books(アプリケーションとブック)]>[Applications(アプリケーション)]>[Native page(ネイティブページ)]の順に移動します。
- アプリ名をクリックします。
- [Assign(割り当て)]をクリックします。
- [Add Assignment(割り当てを追加)]をクリックして新しい割り当てを追加するか、編集する割り当てを選択して[Edit(編集)]をクリックします。
- 必要に応じて割り当てを構成し、ベストプラクティスとして次の選択を指定します:
- App Delivery Method: AUTO
- Managed Access: ENABLED
- App Tunneling: ENABLED
- 割り当てを保存します。
例:
ユーザーがデバイスを登録すると、カタログにアプリが表示されます。アプリのアイコンは、トンネルが含まれることを示します。ユーザーがアプリをインストールすると、アプリとトンネルの両方がインストールされます。