OktaをVMware Identity ManagerのIDプロバイダーとして構成する

これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[設定] > [機能]に移動し、モバイル・プラットフォームの[Workspace1デバイスの信頼]をオンにします。

このセクションでは、OktaをWorkspace™ ONE™にIDプロバイダーとして構成する方法について説明します。この構成を使用することで、合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証(MF)をWorkspace ONEのアプリケーションに提供することや、エンド・ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することができます。

この手順は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで実行します。


VMware Identity Managerでの新しいIDプロバイダーの作成を開始する

VMware Identity Managerコンソールで新しいサードパーティーIDプロバイダーを作成し、SAMLメタデータ情報を見つけます。

ヒント:この手順を実行するには、VMware Identity ManagerとOkta管理コンソールを同時に開きます。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [IDとアクセスの管理]タブをクリックし、[IDプロバイダー]をクリックします。
  3. [IDプロバイダーを追加]をクリックし、[サードパーティーIDPを作成]を選択します。
  4. ページの一番下までスクロールして、[SAML署名証明書]セクションを表示します。
  5. [サービス・プロバイダー(SP)メタデータ]リンクを右クリックし、新しいタブで開きます。
  6. SAMLメタデータ・ファイルで、次の値を見つけます。
    • エンティティID – 例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    • HTTP-POSTバインディングのAssertionConsumerService Location – 例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    これらの値は、 の手順で使用します。

次のステップ

Oktaで新しいSAMLアプリを作成する

Oktaで新しいSAMLアプリを作成する

注: Okta開発者ダッシュボードを使用している場合は、最初にClassic UIに切り替えます。左上に <> 開発者プロンプトが表示された場合は、そのプロンプトをクリックして[Classic UI]を選択し、Classic UIに切り替えます。このドキュメントのすべてのOktaタスクにはClassic UIを使用します。
  1. Okta組織にサインインします。
  2. [アプリケーション] > [アプリケーション]に移動します。
  3. [アプリケーションを追加]をクリックします。
  4. [新しいアプリを追加]をクリックします。
  5. [新しいアプリケーション統合を作成]ダイアログ・ボックスで、
    • [プラットフォーム]はWeb
    • 、[サインオン方法]はSAML 2.0を選択します。
  1. [作成]をクリックします。
  2. [一般設定]で、アプリの名前を入力します(たとえば、Workspace ONE SAMLなど)。
  3. [次へ]をクリックします。
  4. [SAMLの設定]で、以下を構成します。

    オプション説明
    [シングル・サインオンURL] で入力したHTTP-POST AssertionConsumerService Location URLをコピーして貼り付けますたとえば、https://tenant.vmwareidentity.com/SAAS/auth/saml/responseなどです。
    [対象URI(SPエンティティID)] で入力したエンティティIDをコピーして貼り付けます。たとえば、https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xmlなどです。
    [名前IDのフォーマット] [指定なし]を選択します。
    [アプリケーションのユーザー名]

    [Oktaユーザー名]を選択します。これはWorkspace ONEのユーザー・プリンシパル名(UPN)にマップされます。

  1. [次へ]をクリックします。
  2. [フィードバック]セクションで、以下を構成します。

    [Oktaの顧客ですか][社内アプリを追加しているOktaユーザーです]

    を選択します。

    [アプリのタイプ][これは当社で作成した社内アプリです]を選択します。

  3. [終了]をクリックします。
  4. [サインオン]タブの[設定]セクションで、IDプロバイダーのメタデータのURLを探してコピーします。

次のステップ

VMware Identity Managerでの新しいIDプロバイダーの作成を完了する

VMware Identity Managerでの新しいIDプロバイダーの作成を完了する

  1. 新しいIDプロバイダーのページで、次の情報を入力します。

    オプション説明
    [IDプロバイダー名]Okta SAML IdPなど、新しいIDプロバイダーの名前を入力します。
    identityProvider.idpForm.samlHTTP Postを選択します。

     

    注:このフィールドは、[SAMLメタデータ]セクションにメタデータのURLを入力し、[IdPメタデータを処理]をクリックすると表示されます。
    [SAMLメタデータ]
    1. [IDプロバイダーのメタデータ]テキスト・ボックスに、OktaからコピーしたメタデータのURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata
    2. [IdPメタデータを処理]をクリックします。
    3. [SAML応答からの名前IDのフォーマットのマッピング]セクションで、[+]アイコンをクリックして、次の値を選択します。
    4. [名前IDのフォーマット]urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      [名前IDの値]userPrincipalName

      注:Oktaで定義したアプリケーションの値と一致するユーザー属性を選択します。
    [ユーザー]

    このIDプロバイダーを使用して認証するディレクトリーを選択します。

    [ネットワーク]このIDプロバイダーにアクセスできるネットワークを選択します。
    [認証方法]

    以下を入力します。

    [認証方法]Okta Auth Methodなど、Okta認証方法の名前を入力します。

    [SAMLコンテキスト]urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

     

  2. [追加]をクリックします。

次のステップ

VMware Identity Managerでアクセス・ポリシーにOkta認証方法を追加する

VMware Identity Managerでアクセス・ポリシーにOkta認証方法を追加する

VMware Identity ManagerでIDプロバイダーとしてOktaを設定した後、VMware Identity Managerのポリシーにアクセスするために新しく作成した認証方法を追加します。デフォルトのアクセス・ポリシーおよびその他のポリシーを必要に応じて更新します。

OktaがWorkspace ONEカタログのサインイン・プロバイダーとして使用されるように、Okta認証方法をデフォルトのアクセス・ポリシーに追加する必要があります。デフォルトのアクセス・ポリシーは、カタログへのログインと、VMware Identity Managerで構成され、別のポリシー定義がまだないアプリへのログインを管理します。

  1. VMware Identity Managerコンソールで、[IDとアクセスの管理]タブをクリックし、[ポリシー]をクリックします。
  2. [デフォルトのアクセス・ポリシーを編集]をクリックします。
  3. [ポリシーを編集]ウィザードで、[構成]をクリックします。
  4. Webブラウザーのポリシー・ルールをクリックします。
    1. 認証方法としてOkta認証を設定します。
    2. エンド・ユーザーのネットワーク範囲:すべての範囲

      エンド・ユーザーがコンテンツにアクセスしている場所:Webブラウザー

      エンド・ユーザーが属しているグループ:空(すべてのユーザー)

      上記の場合は、次のアクションを実行します:次を使用して認証する

      エンド・ユーザーは次を使用して認証できます:Okta認証方法

      注:Okta認証方法の場合は、
    3. [保存]をクリックします。
  5. 必要に応じてほかのポリシーを編集し、Okta認証方式を追加します。

次のステップ

Oktaでエンド・ユーザーにアプリを割り当てる

Oktaでエンド・ユーザーにアプリを割り当てる

セットアップが完了したら、Okta組織に戻り、新しく作成したWorkspace ONEアプリケーションをエンド・ユーザーに割り当てます。最初にアプリケーションを数人のエンド・ユーザーに割り当ててから、統合をテストします。詳細については、 アプリケーションを割り当て を参照してください。