親トピック: Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する
ユースケース: Oktaを使用して、効率化されたデバイスの登録とWorkspace ONEログインを構成する
プラットフォーム: モバイル
OktaをVMware Identity ManagerのIDプロバイダーとして構成する
これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[Settings(設定)]> [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 Device Trust]をオンにします。
このセクションでは、Workspace™ ONE™のIDプロバイダーとしてOktaを構成する方法を説明します。この構成を使用して、効率化されたデバイス登録エクスペリエンスを提供し、Oktaの拡張可能な多要素認証(MF)をWorkspace ONEのアプリケーションに提供し、一貫性のある身近なログインエクスペリエンスをエンドユーザーと管理者に提供できます。
この手順は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで実行します。
VMware Identity Managerで新しいIDプロバイダーの作成を開始する
VMware Identity Managerコンソールで新しいサードパーティのIDプロバイダーを作成してSAMLメタデータ情報を確認する
ヒント:この手順を実行する際に、VMware Identity ManagerとOkta管理コンソールを同時に開きます。
- システム管理者としてVMware Identity Managerコンソールにログインします。
- [Identity & Access Management]タブをクリックしてから、[Identity Providers(IDプロバイダー)]をクリックします。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Create Third Party IDP(サードパーティIDPの作成)]を選択します。
- ページの一番下の[SAML Signing Certificate(SAML署名証明書)]セクションまでスクロールします。
- [Service Provider (SP) Metadata(サービスプロバイダーのメタデータ)]リンクを右クリックして、新しいタブで開きます。
- SAMLメタデータファイルで、以下の値を確認します:
- entityID – 例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
- HTTP-POSTバインディングのAssertionConsumerService Location – 例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response
次の手順
Oktaで新しいSAML アプリを作成する
Oktaで 新しいSAMLアプリを作成する
- Okta orgにサインインします。
- [Applications(アプリケーション)]> [Applications(アプリケーション)]の順に移動します。
- [Add Application(アプリケーションの追加)]をクリックします。
- [Add New App(新しいアプリの追加)]をクリックします。
- Create a New Application Integration(新しいアプリケーション統合を作成)ダイアログボックス:
- Platform(プラットフォーム): Web(ウェブ)
- Sign on method(サインイン方法): SAML 2.0
- [Create(作成)]をクリックします。
- [General settings(一般設定)]で、アプリの名前(例:Workspace ONE SAML)を入力します。
- [Next(次へ)]をクリックします。
- [ SAML Settings(SAML設定)]で、以下を構成します:
- [Next(次へ)]をクリックします。
- [Feedback(フィードバック)]セクションで、以下を構成します:
Are you an Okta customer – [I'm an Okta customer adding an internal app(社内アプリを追加しているOktaユーザーです)]を選択します
App type – [This is an internal app that we have created(これは当社で作成した社内アプリです)]を選択します
- [Finish(完了)]をクリックします。
- [Sign On(サインオン)]タブの[Settings(設定)]セクションで、IDプロバイダーのメタデータのURLを見つけてコピーします。
次の手順
VMware Identity Managerで新しいIDプロバイダーの作成を完了する
VMware Identity Managerで新しいIDプロバイダーの作成を完了する
- 新しいIDプロバイダーのページで、次の情報を入力します:
オプション 説明 Identity Provider Name 新しいIDプロバイダーの名前(Okta SAML IdPなど)を入力します。 identityProvider.idpForm.saml [HTTP Post]を選択します。 注: このフィールドは、[SAML Metadata(SAMLメタデータ)]セクションにメタデータURLを入力して、[Process IdP Metadata(IdPメタデータの処理)]をクリックすると表示されます。SAMLメタデータ - [Identity Provider Metadata(IDプロバイダーのメタデータ)]テキストボックスに、OktaからコピーしたメタデータURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata。
- [Process IdP Metadata(IdPメタデータの処理)]をクリックします。
- [Name ID format mapping from SAML Response(SAMLレスポンスからの名前ID形式のマッピング)]セクションで、+アイコンをクリックして、次の値を選択します:
Name ID Format – urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Name ID Value – userPrincipalName
注:Oktaで定義されたアプリケーションの値と一致するユーザー属性を選択します。ユーザー このIDプロバイダーを使用して認証するディレクトリを選択します。
ネットワーク このIDプロバイダーにアクセスできるネットワークを選択します。 認証方法 以下を入力します:
認証方法Okta認証方法の名前( Okta Auth Methodなど)を入力します。
SAMLコンテキスト – urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
- [Add(追加)]をクリックします 。
次の手順
VMware Identity ManagerでOktaの認証方法をアクセスポリシーに追加する
VMware Identity ManagerでOktaの認証方法をアクセスポリシーに追加する
OktaをVMware Identity ManagerのIDプロバイダーとして設定したら、新しく作成した認証方法をVMware Identity Managerのアクセスポリシーに追加します。デフォルトのアクセスポリシーをアップデートして、必要に応じて他のポリシーも変更します。
デフォルトのアクセスポリシーにOkta認証方法を追加して、OktaがWorkspace ONEカタログのサインインプロバイダーとして使用されるようにする必要があります。デフォルトのアクセスポリシーは、カタログへのログインと、他のポリシー定義がまだないVMware Identity Managerで構成されたアプリへのログインを管理します。
- VMware Identity Managerコンソールで、[Identity & Access Management]タブをクリックしてから、[Policies(ポリシー)]をクリックします。
- [Edit Default Access Policy(デフォルトのアクセスポリシーの編集)]をクリックします。
- [Edit Policy(ポリシーの編集)]ウィザードで、[Configuration(構成)]をクリックします。
- ウェブブラウザ用のポリシールールをクリックします。
- 認証方法としてOkta認証を設定します。
- [Save(保存)]をクリックします。
- 必要に応じて他のポリシーを編集して、Okta認証方法を追加します。
If an end user's network range is:ALL RANGES(すべての範囲)
and the end user is accessing content from:Web Browser(ウェブブラウザ)
and the end user belongs to group(s):空欄(すべてのユーザー)
Then perform this action:Authenticate using . . .(次で認証 . . .)
then the end user may authenticate using:Okta Auth Method(Okta認証方法)
次の手順
Oktaでアプリをエンドユーザーに割り当てる
Oktaでアプリをエンドユーザーに割り当てる
セットアップが完了したら、Okta orgに戻り、新しく作成されたWorkspace ONEアプリケーションをエンドユーザーに割り当てます。最初にアプリケーションを数人のエンドユーザーに割り当ててから、統合をテストします。詳細については、 アプリケーションを割り当て をご覧ください。