OktaアプリをWorkspace ONEカタログに公開する

これは早期アクセス機能です。有効にするには、Okta管理コンソールで[Settings(設定)]>[Features(機能)]の順に移動して、モバイル・プラットフォームの[Workspace1 Device Trust]をオンにします。

前提条件

ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する

エンド・ユーザーは引き続きOktaダッシュボードまたはWorkspace ONEダッシュボードからアプリにアクセスできます。どちらのエクスペリエンスも完全にサポートされています。このセクションでは、Oktaを介してフェデレーションされたアプリケーションを最初にVMware Identity Managerにインポートすることなく公開するように、Workspace ONEカタログを構成する方法について説明します。これにより、管理者はOkta管理コンソールからフェデレーション・アプリケーションとユーザーの資格を完全に管理できます。

OktaアプリケーションをWorkspace ONEカタログに統合する場合、次の手順を実行します。

  1. VMware Identity ManagerでOktaをアプリケーション・ソースとして構成します(これは「ステップ2:VMware Identity ManagerでOktaアプリケーション・ソースを構成する」ですでに行っている必要があります)。
  2. 以下の手順の説明に従って、VMware Identity ManagerコンソールでOktaテナントの詳細を入力します。VMware Identity Managerカタログに個々のアプリケーションを追加する必要はありません。

エンド・ユーザーがWorkspace ONEにログインすると、資格のあるOktaアプリが、他のアプリとともにカタログに自動的に表示されます。

VMware Identity Managerでは、構成したOktaテナント情報が使用されてOktaテナントに接続され、ユーザーがWorkspace ONEにログインするたびにアプリとユーザーの資格が取得されます。ユーザーがWorkspace ONEのOktaアプリをクリックすると、VMware Identity Managerによってアプリケーションのソース構成が使用され、アプリが起動されます。

アプリとユーザーの資格は、VMware Identity Managerコンソールではなく、Okta管理コンソールで管理します。Okta管理コンソールでアプリまたは資格を追加または削除すると、変更がエンド・ユーザーのカタログに直接反映されます。Oktaアプリは、VMware Identity Manager管理コンソールには表示されません。

この統合では、次のタイプのOktaアプリがサポートされます。

  • SAML 2.0
  • WS-Federation
  • ブックマーク
  • OpenID Connect
注:SWAアプリはサポートされていません。

VMware Identity ManagerでOktaテナント情報を追加する

VMware Identity ManagerコンソールにOktaテナント情報とAPIトークンを追加して、VMware Identity ManagerがOktaテナントに接続し、Oktaアプリとユーザー資格を取得できるようにします。これは1回限りの初期構成タスクです。

VMware Identity Managerでテナント情報を構成する前に、Okta管理コンソールからAPIトークンを取得します。

Okta APIトークンを取得する

VMware Identity ManagerがOktaテナントに接続してアプリを取得するには、Okta APIトークンが必要です。

トークンは最後に使用されてから30日で有効期限が切れます。トークンが使用されるたびに、有効期限が

30日ずつ延長されます。

  1. Okta管理コンソールで、[Security(セキュリティ)]>[API]の順にクリックします。

  2. [Tokens(トークン)]タブをクリックします。

  3. [Create Token(トークンを作成する)]をクリックします。

  4. トークンの名前を入力します。

  5. [Create Token(トークンを作成する)]をクリックします。
  6. トークンをコピーしてテキスト・ファイルに保存します。
    7. 注:ウィンドウを閉じると、そのトークンを再度表示できなくなります。

VMware Identity ManagerでOktaテナント情報を構成する

VMware Identity Managerコンソールで、VMware Identity ManagerがOktaテナントに接続してアプリを取得するために必要なOktaテナント情報を入力します。Okta CloudのURL、APIトークン、ユーザー検索属性を指定する必要があります。

前提条件

Okta管理コンソールからAPIトークンを取得しました。

手順

  1. VMware Identity Managerコンソールで、[Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Setup(セットアップ)]をクリックします。
  2. [Okta]タブをクリックします。
  3. Oktaテナントの情報を入力します。
    4. オプション 説明
    [Okta Cloud URL(Okta CloudのURL)] OktaテナントのURLを入力します。例:https://mytenant.example.com
    [Okta API(Okta APIトークン)] APIトークンを取得するで作成したOkta APIトークンを入力します。
    [User Search Parameter(ユーザー検索パラメーター)] Oktaディレクトリでユーザーを検索するために使用するユーザー属性を選択します。userNameemail、またはuserPrincipalNameで検索できます。

    例:

  4. [Save(保存)]をクリックします。

Oktaでパスワード管理を処理する

OktaアプリケーションをVMware Identity Managerと統合すると、Workspace ONEユーザーのOktaパスワード管理も自動的に有効になります。VMware Identity Managerコンソールで構成する必要はありません。

エンド・ユーザーは、Workspace ONE Intelligent Hubアプリ、Workspace ONEアプリ、およびWebポータルで[Settings(設定)]に移動し、[Change Password(パスワードを変更)]リンクをクリックしてパスワードを変更できます。OktaアプリケーションがVMware Identity Managerと統合されている場合、このパスワードの変更はVMware Identity ManagerではなくOktaによって自動的に処理されます。

ユーザーがパスワードを変更すると、Okta管理コンソールで構成されたパスワード・ポリシーが適用されます。デフォルトでは、パスワード・ポリシーは[Change Password(パスワードを変更)]ページに表示されませんが、ユーザーがポリシーと一致しないパスワードを入力すると表示されます。