親トピック: Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する

ユースケース: Oktaを使用して、効率化されたデバイスの登録とWorkspace ONEログインを構成する

プラットフォーム: モバイル

OktaをVMware Identity ManagerのIDプロバイダーとして構成する

これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[Settings(設定)]> [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 Device Trust]をオンにします。

このセクションでは、Workspace™ ONE™のIDプロバイダーとしてOktaを構成する方法を説明します。この構成を使用して、効率化されたデバイス登録エクスペリエンスを提供し、Oktaの拡張可能な多要素認証(MF)をWorkspace ONEのアプリケーションに提供し、一貫性のある身近なログインエクスペリエンスをエンドユーザーと管理者に提供できます。

この手順は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで実行します。

コンテンツ

VMware Identity Managerで新しいIDプロバイダーの作成を開始する

VMware Identity Managerコンソールで新しいサードパーティのIDプロバイダーを作成してSAMLメタデータ情報を確認する

ヒント:この手順を実行する際に、VMware Identity ManagerとOkta管理コンソールを同時に開きます。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Identity & Access Management]タブをクリックしてから、[Identity Providers(IDプロバイダー)]をクリックします。
  3. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Create Third Party IDP(サードパーティIDPの作成)]を選択します。

  4. ページの一番下の[SAML Signing Certificate(SAML署名証明書)]セクションまでスクロールします。
  5. [Service Provider (SP) Metadata(サービスプロバイダーのメタデータ)]リンクを右クリックして、新しいタブで開きます。
  6. SAMLメタデータファイルで、以下の値を確認します:
    • entityID – 例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    • HTTP-POSTバインディングのAssertionConsumerService Location – 例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    の手順で、これらの値を使用します。

次の手順

Oktaで新しいSAML アプリを作成する

Oktaで 新しいSAMLアプリを作成する

注: Okta開発者ダッシュボードを使用している場合は、最初にClassic UIに切り替えます。左上に <> デベロッパープロンプトが表示される場合は、クリックしてClassic UIを選択し、Classic UIに切り替えます。このドキュメントのすべてのOktaタスクでは、Classic UIを使用します。
  1. Okta orgにサインインします。
  2. [Applications(アプリケーション)]> [Applications(アプリケーション)]の順に移動します。
  3. [Add Application(アプリケーションの追加)]をクリックします。
  4. [Add New App(新しいアプリの追加)]をクリックします。
  5. Create a New Application Integration(新しいアプリケーション統合を作成)ダイアログボックス:
    • Platform(プラットフォーム): Web(ウェブ)
    • Sign on method(サインイン方法): SAML 2.0
    で、
  1. [Create(作成)]をクリックします。
  2. [General settings(一般設定)]で、アプリの名前(例:Workspace ONE SAML)を入力します。
  3. [Next(次へ)]をクリックします。
  4. [ SAML Settings(SAML設定)]で、以下を構成します:

    オプション説明
    シングルサインオンURL で入力したHTTP-POST AssertionConsumerService LocationのURLをコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response
    オーディエンスURI(SPエンティティID) で入力したentityIDをコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    名前IDフォーマット[Unspecified(指定なし)]を選択します。
    アプリケーションユーザー名

    [Okta username(Oktaユーザー名)]を選択します。これは、Workspace ONEのユーザープリンシパル名(UPN)にマッピングされます。

  1. [Next(次へ)]をクリックします。
  2. [Feedback(フィードバック)]セクションで、以下を構成します:

    Are you an Okta customer[I'm an Okta customer adding an internal app(社内アプリを追加しているOktaユーザーです)]を選択します

    App type[This is an internal app that we have created(これは当社で作成した社内アプリです)]を選択します

  3. [Finish(完了)]をクリックします。
  4. [Sign On(サインオン)]タブの[Settings(設定)]セクションで、IDプロバイダーのメタデータのURLを見つけてコピーします。

次の手順

VMware Identity Managerで新しいIDプロバイダーの作成を完了する

VMware Identity Managerで新しいIDプロバイダーの作成を完了する

  1. 新しいIDプロバイダーのページで、次の情報を入力します:

    オプション説明
    Identity Provider Name新しいIDプロバイダーの名前(Okta SAML IdPなど)を入力します。
    identityProvider.idpForm.saml[HTTP Post]を選択します。

     

    注: このフィールドは、[SAML Metadata(SAMLメタデータ)]セクションにメタデータURLを入力して、[Process IdP Metadata(IdPメタデータの処理)]をクリックすると表示されます。
    SAMLメタデータ
    1. [Identity Provider Metadata(IDプロバイダーのメタデータ)]テキストボックスに、OktaからコピーしたメタデータURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata
    2. [Process IdP Metadata(IdPメタデータの処理)]をクリックします。
    3. [Name ID format mapping from SAML Response(SAMLレスポンスからの名前ID形式のマッピング)]セクションで、+アイコンをクリックして、次の値を選択します:

      4. Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      Name ID ValueuserPrincipalName

      注:Oktaで定義されたアプリケーションの値と一致するユーザー属性を選択します。
    ユーザー

    このIDプロバイダーを使用して認証するディレクトリを選択します。

    ネットワークこのIDプロバイダーにアクセスできるネットワークを選択します。
    認証方法 

    以下を入力します:

    認証方法Okta認証方法の名前( Okta Auth Methodなど)を入力します。

    SAMLコンテキストurn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

     

  2. [Add(追加)]をクリックします

次の手順

VMware Identity ManagerでOktaの認証方法をアクセスポリシーに追加する

VMware Identity ManagerでOktaの認証方法をアクセスポリシーに追加する

OktaをVMware Identity ManagerのIDプロバイダーとして設定したら、新しく作成した認証方法をVMware Identity Managerのアクセスポリシーに追加します。デフォルトのアクセスポリシーをアップデートして、必要に応じて他のポリシーも変更します。

デフォルトのアクセスポリシーにOkta認証方法を追加して、OktaがWorkspace ONEカタログのサインインプロバイダーとして使用されるようにする必要があります。デフォルトのアクセスポリシーは、カタログへのログインと、他のポリシー定義がまだないVMware Identity Managerで構成されたアプリへのログインを管理します。

  1. VMware Identity Managerコンソールで、[Identity & Access Management]タブをクリックしてから、[Policies(ポリシー)]をクリックします。
  2. [Edit Default Access Policy(デフォルトのアクセスポリシーの編集)]をクリックします。
  3. [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。
  4. ウェブブラウザ用のポリシールールをクリックします。
    1. 認証方法としてOkta認証を設定します。

      2. If an end user's network range is:ALL RANGES(すべての範囲)

      and the end user is accessing content from:Web Browser(ウェブブラウザ)

      and the end user belongs to group(s):空欄(すべてのユーザー)

      Then perform this action:Authenticate using . . .(次で認証 . . .)

      then the end user may authenticate using:Okta Auth Method(Okta認証方法)

      注: [Okta Auth Method(Okta認証方法)]で、IDP用に作成した認証方法を選択します
    2. [Save(保存)]をクリックします。
  5. 必要に応じて他のポリシーを編集して、Okta認証方法を追加します。

次の手順

Oktaでアプリをエンドユーザーに割り当てる

Oktaでアプリをエンドユーザーに割り当てる

セットアップが完了したら、Okta orgに戻り、新しく作成されたWorkspace ONEアプリケーションをエンドユーザーに割り当てます。最初にアプリケーションを数人のエンドユーザーに割り当ててから、統合をテストします。詳細については、 アプリケーションを割り当て をご覧ください。