親トピック: Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する
ユースケース: OktaとVMware Workspace ONEを使用してモバイル・デバイスにDevice TrustとSSOを適用する
プラットフォーム: モバイル
ステップ3:iOSおよびAndroidデバイス用に、Oktaでルーティング・ルール、デバイスの信頼、クライアントアクセスポリシーを構成する
これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[設定] > [機能]に移動し、モバイル・プラットフォームの[Workspace1デバイスの信頼]をオンにします。
前提条件:
ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する
ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する
Okta Device Trust機能は、Workspace™ ONE™とOktaの統合におけるiOSおよびAndroidデバイス用の条件付きアクセスポリシーの管理を簡素化します。アプリのデバイスの信頼とアクセスポリシーは、Okta管理コンソールでのみ構成されます。
iOSまたはAndroidのデバイスの信頼がOktaで構成されている場合、ユーザーはVMware Identity Managerにリダイレクトされ、モバイルSSO(iOS)またはモバイルSSO(Android)の認証方法を使用した認証を求められます。VMware Identity Managerは、SAMLレスポンスでデバイスポスチャ―の情報をOktaに返します。
次に、Oktaで構成したアクセスポリシーによって、アプリケーションにアクセスするためにデバイスを信頼するかが決まります。デバイスが信頼できない場合、デバイスの登録ページが表示されます。
この統合では、Okta管理コンソールで次のタスクを実行してデバイスの信頼機能を構成する必要があります:
- iOSおよびAndroidデバイス用のOkta IDプロバイダーのルーティング・ルールを構成します。
- Oktaでグローバルのデバイスの信頼の設定を有効化します。
- Oktaでアプリのサインオンポリシールールを構成します。
- VMware Identity Managerでデフォルトのアクセスポリシーを構成します。
重要:VMware Identity ManagerのOktaアプリケーションソース構成のDevice SSO Response、Enable Force Authn Request、Enable Authentication Failure Notificationのプロパティが、Yes(はい)に設定されていることを確認します。これらのプロパティは、iOSおよびAndroidデバイス用のデバイスの信頼ソリューションでは必須です。詳細については、ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成するをご覧ください。
Oktaでモバイルデバイス用のIDプロバイダーのルーティング・ルールを構成する
このVMware Workspace ONEとOktaの統合専用に、iOSおよびAndroid用のOkta IdPルーティング・ルールを構成します。構成すると、これらのルーティング・ルールはアプリケーションのサインオン・ポリシーと連携して、 iOSまたはAndroidデバイス、あるいはその両方のデバイスからの認証要求をWorkspace ONEにリダイレクトします。
画像をクリックすると拡大します
- Okta管理コンソールで、[セキュリティー] > [IDプロバイダー]に移動します。
- [ルーティング・ルール]タブをクリックし、[ルーティング・ルールを追加]をクリックします。
- 設定を次のように構成します。
| 設定 | アクション |
|---|---|
| [ルール名] | 作成するルールの名前を入力します。 |
| [IFユーザーのIP:] | 実装に適している場合は、ルーティングを適用するネットワーク・ゾーンと適用しないネットワーク・ゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワーク・ゾーンがすでにOktaで定義されている必要があります。詳細については、 ネットワーク・ゾーン. |
| [ANDユーザーのデバイス・プラットフォーム:] | 実装に応じて、[これらのデバイスのいずれか]を選択してから、[iOS]または[Android]、あるいはその両方を選択します。 |
| [ANDユーザーがアクセスしています] | [次のいずれかのアプリケーション]を選択して、ルーティング・ルールを適用するアプリケーションを入力します。 |
| [ANDユーザーが一致] | 適切なアクションを選択します。
|
| [THEN:このIDプロバイダーを使用] | 「ステップ1: OktaでVMware Identity ManagerをIDプロバイダーとして構成する」 の説明に従って、 ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する. |
- [ルールを作成]をクリックします。
次の手順
Oktaでデバイスの信頼の設定を有効化する
Oktaでデバイスの信頼の設定を有効化する
このセクションでは、VMware Workspace ONEと Oktaの統合用にデバイスの信頼を有効化する方法を説明します。構成された設定はIDP ルーティング・ルールと連携して、iOSおよび/またはAndroidデバイスとターゲットアプリケーションからの認証リクエストをWorkspace ONEにリダイレクトします。その他の認証リクエストは、デフォルトのルーティング・ルールを介して処理されます。
クリック: 開始する前に知っておくべき重要事項信頼されたデバイスを許可するアプリ・サインオン・ポリシー([アプリケーション] > アプリ > [サインオン・ポリシー])も構成している場合は、[セキュリティー] > [Device Trust]ページでDevice Trustの設定を無効にしないでください。無効にした場合、Device Trustの構成が一貫性のない状態になります。組織のDevice Trustを無効にするには、まずDevice Trustの設定を含むアプリ・サインオン・ポリシーを削除してから、[セキュリティー] > [Device Trust]でDevice Trustを無効にします。
- Okta管理コンソールから、[セキュリティー] > [デバイスの信頼]に移動します。
- [iOSまたはAndroidデバイスの信頼]セクションで、[編集]をクリックします。
- [iOSまたはAndroidデバイスの信頼を有効化]を選択します。
- [信頼の確立元]で、[VMware]を選択します。
- [統合タイプ]で、[SAMLベース(Workspace ONE UEM + vIDM)]を選択します。
- [次へ]をクリックします。
- [デバイスIDプロバイダー]で、 の説明に従ってOktaでVMware Identity Manager用に作成したIDプロバイダーを選択します。
- (オプション)[モバイル・デバイス管理プロバイダー]フィールドには、Workspace ONEがデフォルトで事前入力されています。これは必要に応じて変更できます。ここに入力したMDMプロバイダーは、デバイスの登録時にエンド・ユーザーに表示されます。
- [登録リンク]フィールドに、管理対象外のデバイスがあるエンド・ユーザーをリダイレクトするためのWebアドレスを入力します。 たとえば、登録手順が記載されたページやWorkspace ONEの登録ページにこれらのユーザーを送ることができます。
- [保存]をクリックします。
次の手順
Oktaでアプリのサインオンポリシールールを構成する
Oktaでアプリのサインオンポリシールールを構成する
クリック:開始する前に知っておくべき重要事項- アプリのサインオン・ポリシーを構成できるのは、アプリ管理者、組織管理者、およびスーパー 管理者のみです。
信頼されたデバイスを許可するアプリ・サインオン・ポリシー([アプリケーション] > アプリ > [サインオン・ポリシー])も構成している場合は、[セキュリティー] > [Device Trust]ページでDevice Trustの設定を無効にしないでください。無効にした場合、Device Trustの構成が一貫性のない状態になります。組織のDevice Trustを無効にするには、まずDevice Trustの設定を含むアプリ・サインオン・ポリシーを削除してから、[セキュリティー] > [Device Trust]でDevice Trustを無効にします。
- 組織に対してこのDevice Trustソリューションを無効にするようOktaに依頼する場合は( で有効にしたDevice Trust設定とは別のものです)、最初にアプリのサインオン・ポリシー・ルールでDevice Trust設定を[すべて]に変更してください([アプリケーション] > [アプリ] > [サインオン])。この変更を行わず、後でOktaに組織のDevice Trust機能の再有効化を依頼した場合、アプリのサインオン・ポリシー・ルールのDevice Trust設定がすぐに有効になるという予期しない動作が発生します。
挙動とアプリのサインオン・ポリシー
[App Sign On Rule(アプリサインオンルール)] ダイアログボックス内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのアクセスをより細かく構成するには、以下を反映したルールを作成します。
- ユーザーが誰であるか、または所属しているグループ
- ネットワークに接続されているかいないか、または定義されたネットワークゾーン内か
- デバイスで稼働しているクライアントのタイプ(Office 365アプリのみ)
- 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
- デバイスが信頼されているか
サインオン・ポリシー・ルールへの許可リストによるアプローチ
- アプリへのアクセスを許可するシナリオをサポートする1つ以上の許容ルールを作成し、それらのルールに最高の優先度を割り当てます。
- ステップ1で作成した許容シナリオに一致しないユーザーに適用される、拒否キャッチオール・ルールを作成します。拒否キャッチオール・ルールには、Oktaのデフォルト・ルールの1つ上の最も低い優先度を割り当てます。 デフォルト・ルール. ここで説明する許可リストのアプローチでは、デフォルト・ルールは、拒否キャッチオール・ルールによって事実上無効化されるため、到達することはありません。
アプリのサインオン・ポリシー・ルールの作成に関する重要なセキュリティー情報については、を参照してください。 アプリ・サインオン・ポリシーについて.
手順
注:以下の許可リストの例は、Office 365へのアクセスを管理するためのDevice Trustルールを示しています。その他のアプリの場合、セクション[ユーザーのクライアントが次のいずれかに該当する場合]が存在しないことに注意してください。
- Oktaで[アプリケーション]に移動し、Device Trustで保護するSAMLまたはWS-Fed対応アプリをクリックします。
- [サインオン]タブをクリックし、[サインオン・ポリシー]まで下にスクロールして、[ルールを追加]をクリックします。
- 次の許可リストの例をガイドとして使用して、1つ以上のルールを構成します。
許可リストの例
信頼できないデバイスを使用しているユーザーは、Workspace ONEの登録を通じて案内されるか、手順③で構成した[登録]リンクの宛先にリダイレクトされます。
画像をクリックすると拡大します
- ルールにわかりやすい名前を入力します。
条件
- [ユーザー]の下で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じにする必要があります。
- [場所]の下で、ルールを適用するユーザーのロケーションを指定します。選択する[場所]オプションは、この例で作成するすべてのルールで同じにする必要があります。
- クライアント設定を構成します。
- [Device Trust]を構成します。
- Exchange ActiveSyncまたはレガシー認証クライアント
- その他のモバイル(BlackBerryなど)
- その他のデスクトップ(Linuxなど)
タイプ:
þ[Webブラウザーまたはモダン認証クライアント]:選択します。
¨[Exchange ActiveSyncクライアント]:選択しません。
モバイル:
þ[iOS]:選択します。
および/または
þ[Android]:選択します。
¨[その他のモバイル]:選択しません。
デスクトップ:
¨[Windows]:選択しません。
¨[macOS]:選択しません。
¨[その他のデスクトップ]:選択しません。
ヒント:[信頼できる]と[信頼できない]オプションを選択可能にするには:[Device Trust]セクションの[信頼できる]および[信頼できない]オプションは、[クライアント]セクションで以下のすべてのオプションが選択されていない場合のみ選択できます。
¨[任意]:選択しません。
þ[信頼できる]:選択します。
¨[信頼できない]:選択しません。
アクション
- [アクセス]を構成します。
- [保存]をクリックします。
- ルール2を作成します。
[許可]を選択します。
þ[要素を求める]:選択します。
画像をクリックすると拡大します
- ルールにわかりやすい名前を入力します。
条件
- [ユーザー]の下で、ルール1で選択したものと同じ[ユーザー]オプションを選択します。 この例のすべてのルールで[ユーザー]オプションは同じにする必要があります。
- [場所]の下で、ルール1で選択したものと同じ[場所]オプションを選択します。 この例のすべてのルールで[場所]オプションは同じにする必要があります。
- クライアント設定を構成します。
- [Device Trust]を構成します。
- Exchange ActiveSyncまたはレガシー認証クライアント
- その他のモバイル(BlackBerryなど)
- その他のデスクトップ(Linuxなど)
タイプ:
þ[Webブラウザーまたはモダン認証クライアント]:選択します。
¨[Exchange ActiveSyncクライアント]:選択しません。
モバイル:
¨[iOS]:選択しません。
および/または
¨[Android]:選択しません。
þ[その他のモバイル]:選択します。
デスクトップ:
þ[Windows]:選択します。
þ[macOS]:選択します。
þ[その他のデスクトップ]:選択します。
ヒント:[信頼できる]と[信頼できない]オプションを選択可能にするには:[Device Trust]セクションの[信頼できる]および[信頼できない]オプションは、[クライアント]セクションで以下のすべてのオプションが選択されていない場合のみ選択できます。
þ[任意]:選択します。
¨[信頼済み]:選択しません。
¨[信頼できない]:選択しません。
アクション
- [アクセス]を構成します。
- [保存]をクリックします。
- ルール3を作成します。
[許可]を選択します。
þ[要素を求める]:選択します。
画像をクリックすると拡大します
- ルールにわかりやすい名前を入力します。
条件
- [ユーザー]の下で、ルール1で選択したものと同じ[ユーザー]オプションを選択します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じにする必要があります。
- [場所]の下で、ルール1で選択したものと同じ[場所]オプションを選択します。選択する[場所]オプションは、この例で作成するすべてのルールで同じにする必要があります。
- クライアント設定を構成します。
- [Device Trust]を構成します。
- Exchange ActiveSyncまたはレガシー認証クライアント
- その他のモバイル(BlackBerryなど)
- その他のデスクトップ(Linuxなど)
タイプ:
þ[Webブラウザーまたはモダン認証クライアント]:選択します。
¨[Exchange ActiveSyncクライアント]:選択しません。
モバイル:
þ[iOS]:選択します。
および/または
þ[Android]:選択します。
¨[その他のモバイル]:選択しません。
デスクトップ:
¨[Windows]:選択しません。
¨[macOS]:選択しません。
¨[その他のデスクトップ]:選択しません。
ヒント:[信頼できる]と[信頼できない]オプションを選択可能にするには:[Device Trust]セクションの[信頼できる]および[信頼できない]オプションは、[クライアント]セクションで以下のすべてのオプションが選択されていない場合のみ選択できます。
¨[任意]:選択しません。
¨[信頼できる]:選択しません。
þ[信頼できない]:選択します。
アクション
- [アクセス]を構成します。
- [保存]をクリックします。
[拒否]を選択します。
ルール4:デフォルトのサインオン・ルール:任意のクライアント、すべてのプラットフォーム、任意の信頼、アクセスを許可デフォルトのサインオン・ルールはすでに作成されており、編集できません。この例では、デフォルトのルールはルール3によって事実上無効になっているため、到達することはありません。
画像をクリックすると拡大します
次の手順
VMware Identity Managerでデフォルトのアクセスポリシーを構成する
VMware Identity Managerでデフォルトのアクセスポリシーを構成する
VMware Identity Managerのデフォルトのアクセス・ポリシーを更新して、iOSおよびAndroidデバイスのポリシー・ルールを含めます。デフォルトのアクセス・ポリシーがWorkspace ONEカタログの動作を管理します。モバイルSSOポリシー・ルールの構成は必須です。これはデバイスの信頼情報をアプリに渡すアクションの一部であるためです。
認証方法としてモバイルSSOを使用し、フォールバック方法としてOkta認証を使用して、iOSおよびAndroidのポリシー・ルールを作成します。Workspace ONEアプリとハブ・アプリ、およびWebブラウザーのルールも構成します。ポリシー・ルールが正しい順序になっていることを確認してください。
- システム管理者としてVMware Identity Managerコンソールにログインします。
- [IDとアクセスの管理]タブをクリックして、[ポリシー]タブをクリックします。
- [デフォルトのアクセス・ポリシーを編集]をクリックします。
- [ポリシーを編集]ウィザードで、[構成]をクリックします。
- [ポリシー・ルールを追加]をクリックし、iOSデバイス用のポリシー・ルールを作成します。
- 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定します。
- [保存]をクリックします。
ユーザーのネットワーク範囲:すべての範囲
ユーザーがコンテンツにアクセスしている場所:iOS
上記の場合は、次のアクションを実行します:次を使用して認証する
ユーザーは次を使用して認証できます:モバイルSSO(iOS)
上記の方法が失敗するか該当しない場合:Okta認証方法
- [ポリシー・ルールを追加]をクリックし、Androidデバイス用の同様のポリシー・ルールを作成します。
- 最初の認証方法としてモバイルSSO(Android)を設定し、フォールバック認証方法としてOkta認証を設定します。
ユーザーのネットワーク範囲:すべての範囲
ユーザーがコンテンツにアクセスしている場所:Android
上記の場合は、次のアクションを実行します:次を使用して認証する
ユーザーは次を使用して認証できます:モバイルSSO(Android)
上記の方法が失敗するか該当しない場合:Okta認証方法
- [保存]をクリックします。
- 最初の認証方法としてモバイルSSO(Android)を設定し、フォールバック認証方法としてOkta認証を設定します。
- Workspace ONEアプリとハブ・アプリのポリシー・ルールを構成します。
- Workspace ONEアプリとハブ・アプリのポリシー・ルールをクリックして編集します。
- ルールを構成します。
ユーザーのネットワーク範囲:すべての範囲
ユーザーがコンテンツにアクセスしている場所:Workspace ONEアプリまたはハブ・アプリ
上記の場合は、次のアクションを実行します:次を使用して認証する
ユーザーは次を使用して認証できます:モバイルSSO(iOS)
上記の方法が失敗するか該当しない場合:モバイルSSO(Android)
上記の方法が失敗するか該当しない場合:Okta認証方法
- ポリシー・ルールを次の順序で上から順に並べます:
- Workspace ONEアプリまたはハブ・アプリ
- iOSまたはAndroid
- iOSまたはAndroid
- Webブラウザー
次の手順
ネイティブAndroidアプリの構成に関する推奨事項
ネイティブAndroidアプリの構成に関する推奨事項
Androidデバイスのユーザーに最高のユーザー・エクスペリエンスを提供するために、AndroidモバイルSSOフローの特定の設定を構成できます。
ネイティブのAndroidアプリでは、VMwareトンネルをダウンロードしてエンド・ユーザーのデバイスにインストールする必要があります。Workspace ONEとOktaの統合環境のベスト・プラクティスとして、各ネイティブAndroidアプリの自動展開設定を構成して、ユーザーの登録後にアプリとトンネルが自動的にユーザーのデバイスに展開されるようにします。アプリの管理対象アクセスも有効にします。
これらの設定はVMware Workspace ONE UEMコンソールで構成します。
- Workspace ONE UEMで、[アプリとブック] > [アプリケーション] > [ネイティブ・ページ]に移動します。
- アプリ名をクリックします。
- [割り当て]をクリックします。
- [割り当てを追加]をクリックして新しい割り当てを追加するか、編集する割り当てを選択して[編集]をクリックします。
- 必要に応じて割り当てを構成し、ベスト・プラクティスとして次のように選択します。
- [アプリの配信方法]:[自動]、
- [管理アクセス]:[有効]、
- [アプリのトンネリング]:[有効]
- 割り当てを保存します。
例:
ユーザーがデバイスを登録すると、アプリがカタログに表示されます。アプリのアイコンは、トンネルが含まれていることを示しています。ユーザーがアプリをインストールすると、アプリとトンネルの両方がインストールされます。