親トピック: Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する
ユース・ケース: Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する
プラットフォーム: モバイル
OktaをVMware Identity ManagerのIDプロバイダーとして構成する
これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[設定] > [機能]に移動し、モバイル・プラットフォームの[Workspace1デバイスの信頼]をオンにします。
このセクションでは、OktaをWorkspace™ ONE™にIDプロバイダーとして構成する方法について説明します。この構成を使用することで、合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証(MF)をWorkspace ONEのアプリケーションに提供することや、エンド・ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することができます。
この手順は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで実行します。
VMware Identity Managerでの新しいIDプロバイダーの作成を開始する
VMware Identity Managerコンソールで新しいサードパーティーIDプロバイダーを作成し、SAMLメタデータ情報を見つけます。
ヒント:この手順を実行するには、VMware Identity ManagerとOkta管理コンソールを同時に開きます。
- システム管理者としてVMware Identity Managerコンソールにログインします。
- [IDとアクセスの管理]タブをクリックし、[IDプロバイダー]をクリックします。
- [IDプロバイダーを追加]をクリックし、[サードパーティーIDPを作成]を選択します。
- ページの一番下までスクロールして、[SAML署名証明書]セクションを表示します。
- [サービス・プロバイダー(SP)メタデータ]リンクを右クリックし、新しいタブで開きます。
- SAMLメタデータ・ファイルで、次の値を見つけます。
- エンティティID – 例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
- HTTP-POSTバインディングのAssertionConsumerService Location – 例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response
次のステップ
Oktaで新しいSAMLアプリを作成する
Oktaで新しいSAMLアプリを作成する
- Okta組織にサインインします。
- [アプリケーション] > [アプリケーション]に移動します。
- [アプリケーションを追加]をクリックします。
- [新しいアプリを追加]をクリックします。
- [新しいアプリケーション統合を作成]ダイアログ・ボックスで、
- [プラットフォーム]はWeb
- 、[サインオン方法]はSAML 2.0を選択します。
- [作成]をクリックします。
- [一般設定]で、アプリの名前を入力します(たとえば、Workspace ONE SAMLなど)。
- [次へ]をクリックします。
- [SAMLの設定]で、以下を構成します。
- [次へ]をクリックします。
- [フィードバック]セクションで、以下を構成します。
[Oktaの顧客ですか] – [社内アプリを追加しているOktaユーザーです]
を選択します。[アプリのタイプ] – [これは当社で作成した社内アプリです]を選択します。
- [終了]をクリックします。
- [サインオン]タブの[設定]セクションで、IDプロバイダーのメタデータのURLを探してコピーします。
次のステップ
VMware Identity Managerでの新しいIDプロバイダーの作成を完了する
VMware Identity Managerでの新しいIDプロバイダーの作成を完了する
- 新しいIDプロバイダーのページで、次の情報を入力します。
オプション 説明 [IDプロバイダー名] Okta SAML IdPなど、新しいIDプロバイダーの名前を入力します。 identityProvider.idpForm.saml HTTP Postを選択します。 注:このフィールドは、[SAMLメタデータ]セクションにメタデータのURLを入力し、[IdPメタデータを処理]をクリックすると表示されます。[SAMLメタデータ] - [IDプロバイダーのメタデータ]テキスト・ボックスに、OktaからコピーしたメタデータのURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata。
- [IdPメタデータを処理]をクリックします。
- [SAML応答からの名前IDのフォーマットのマッピング]セクションで、[+]アイコンをクリックして、次の値を選択します。
[名前IDのフォーマット] – urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
[名前IDの値] – userPrincipalName
注:Oktaで定義したアプリケーションの値と一致するユーザー属性を選択します。[ユーザー] このIDプロバイダーを使用して認証するディレクトリーを選択します。
[ネットワーク] このIDプロバイダーにアクセスできるネットワークを選択します。 [認証方法] 以下を入力します。
[認証方法]Okta Auth Methodなど、Okta認証方法の名前を入力します。
[SAMLコンテキスト] – urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
- [追加]をクリックします。
次のステップ
VMware Identity Managerでアクセス・ポリシーにOkta認証方法を追加する
VMware Identity Managerでアクセス・ポリシーにOkta認証方法を追加する
VMware Identity ManagerでIDプロバイダーとしてOktaを設定した後、VMware Identity Managerのポリシーにアクセスするために新しく作成した認証方法を追加します。デフォルトのアクセス・ポリシーおよびその他のポリシーを必要に応じて更新します。
OktaがWorkspace ONEカタログのサインイン・プロバイダーとして使用されるように、Okta認証方法をデフォルトのアクセス・ポリシーに追加する必要があります。デフォルトのアクセス・ポリシーは、カタログへのログインと、VMware Identity Managerで構成され、別のポリシー定義がまだないアプリへのログインを管理します。
- VMware Identity Managerコンソールで、[IDとアクセスの管理]タブをクリックし、[ポリシー]をクリックします。
- [デフォルトのアクセス・ポリシーを編集]をクリックします。
- [ポリシーを編集]ウィザードで、[構成]をクリックします。
- Webブラウザーのポリシー・ルールをクリックします。
- 認証方法としてOkta認証を設定します。
- [保存]をクリックします。
- 必要に応じてほかのポリシーを編集し、Okta認証方式を追加します。
エンド・ユーザーのネットワーク範囲:すべての範囲
エンド・ユーザーがコンテンツにアクセスしている場所:Webブラウザー
エンド・ユーザーが属しているグループ:空(すべてのユーザー)
上記の場合は、次のアクションを実行します:次を使用して認証する
エンド・ユーザーは次を使用して認証できます:Okta認証方法
次のステップ
Oktaでエンド・ユーザーにアプリを割り当てる
Oktaでエンド・ユーザーにアプリを割り当てる
セットアップが完了したら、Okta組織に戻り、新しく作成したWorkspace ONEアプリケーションをエンド・ユーザーに割り当てます。最初にアプリケーションを数人のエンド・ユーザーに割り当ててから、統合をテストします。詳細については、 アプリケーションを割り当て を参照してください。