Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する

これは早期アクセス機能です。有効にするには、Okta管理コンソールで[Settings(設定)]>[Features(機能)]の順に移動して、モバイル・プラットフォームの[Workspace1 Device Trust]をオンにします。

この統合は、主にSAML信頼接続に基づいています。Oktaのコンテキスト・アクセス管理ポリシー・フレームワークの機能とVMware Workspace ONEからのデバイス信号を組み合わせて、安全でシームレスなエンド・ユーザー・エクスペリエンスを提供します。Workspace ONEでデバイス・コンテキストをSAMLアサーションに追加できるようにすることで、企業はOktaのポリシー・フレームワークを活用して、ユーザーに管理対象外のデバイスの登録または多要素認証の課題への対応を要求できます。

この統合を構成することで、エンド・ユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することもできます。

このガイドでは、OktaとWorkspace ONEでサポートされているユース・ケースを構成してテストするための詳細な手順を示します。OktaをWorkspace ONEと統合するには、VMware Identity ManagerをOktaと統合します。VMware Identity Managerは、Workspace ONEのIDコンポーネントです。

対象者

この情報は、OktaとVMware Identity Managerに精通している経験豊富な管理者を対象としています。

ユースケース

OktaとWorkspace ONEの統合でサポートされる主なユース・ケースは次のとおりです。

  1. OktaとVMware Workspace ONEを使用してモバイル・デバイスにDevice TrustとSSOを適用する
  2. Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する

1. OktaとVMwareWorkspace ONEを使用してモバイルデバイスにDevice TrustとSSOを適用する

OktaとVMware Workspace ONEを使用してモバイル・デバイスにDevice TrustとSSOを適用する

OktaとWorkspace ONEの統合により、管理者は、エンド・ユーザーに機密性の高いアプリケーションへのアクセスを許可する前に、デバイスが管理されているかどうかなどのデバイスの状態を評価することで、デバイスの信頼を確立することができます。iOSおよびAndroidデバイスの場合、デバイス状態ポリシーはOktaで構成され、保護されたアプリケーションにユーザーがログインするたびに評価されます。

また、このユース・ケースでは、OktaをWorkspace ONEへの信頼できるIDプロバイダーとして確立し、エンド・ユーザーがOkta認証ポリシーを使用してWorkspace ONEアプリ、Workspace ONE Integrated Hubアプリ、およびWebポータルにログインできるようにします。

iOSおよびAndroidデバイスの認証フロー

Salesforceアプリケーションを使用したiOSおよびAndroidデバイスのデバイス信頼フローは、次の順序で実行されます。

  1. エンド・ユーザーがSalesforceテナントへのアクセスを試行します。
  2. Salesforceは、構成済みのIDプロバイダーとしてOktaにリダイレクトします。
  3. Oktaは、受信した要求を処理し、構成されたルーティング・ルールに基づいてクライアントをWorkspace ONE IDプロバイダーにルーティングします。
  4. Workspace ONEは、iOS用モバイルSSOまたはAndroid用モバイルSSOを使用してユーザーに認証を要求します。
  5. Workspace ONEは、デバイスの信頼ステータスとともにOktaにリダイレクトします。
  6. Workspace ONEから受信したSAMLアサーション応答に基づきデバイスの信頼ルールが満たされた場合、OktaはSalesforceのSAMLアサーションを発行します。

このユース・ケースを構成するには:

2. Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する

Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する

このユース・ケースを構成することで、エンド・ユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログイン・エクスペリエンスを提供することができます。

この構成は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで構成されます。

このユース・ケースを構成するには:

両方のユース・ケースを組み合わせる場合は、最初にこのユース・ケースを構成してから、「OktaとVMware Workspace ONEを使用してDevice TrustとSSOを適用する」を構成します。

オプション: エンド・ユーザーがOktaダッシュボードまたはWorkspace ONEダッシュボードからアプリにアクセスできるようにします。どちらのエクスペリエンスも完全にサポートされています。Oktaを介してフェデレーションされたアプリケーションを最初にVMware Identity Managerにインポートすることなく公開するように、Workspace ONEカタログを構成することができます。

詳細については、「OktaアプリをWorkspace ONEカタログに公開する」を参照してください。

要件

Workspace ONEとOktaの統合を開始する前に、環境が以下の要件を満たしていることを確認してください。

コンポーネント

VMware

  • システム管理者ロールを持つVMware Identity Managerテナント
  • Workspace ONE統合エンドポイント管理(UEM)テナント
  • VMware Identity Manager Connector
  • VMware Identity Manager AirWatch Cloud Connector(ACC)
  • ACCは、Workspace ONE UEMを使用する場合にのみ必要です。

    既存の展開でユーザーがWorkspace ONE UEMからVMware Identity Managerに同期される場合、VMware Identity Manager Connectorは必要ありません。新しい展開では、VMware Identity Manager Connectorを使用してActive DirectoryからVMware Identity Managerにユーザーを同期することをお勧めします。

Okta

  • スーパー管理者または組織管理者のロールを持つOkta org(テナント)
  • Oktaサポートにより有効化されたWorkspace ONEのDevice Trust
  • Oktaサポートにより有効化されたIDプロバイダーのルーティングルール(IdPディスカバリー)

サポートされているアプリとデバイス

  • iOSまたはAndroid SAMLあるいはWS-Fedクラウド・アプリ
  • OktaでサポートされているiOSおよびAndroidオペレーティング・システムのバージョンを実行しているデバイス

Workspace ONEVMware Identity Managerを統合する

Workspace ONE UEMVMware Identity Managerのテナントを統合し、デバイスの信頼に使用するモバイルSSO認証方法を構成します。

備考

  • Device Trustは、Okta Mobileからアクセスされるアプリには適用されません。
  • 最高のエンド・ユーザー・エクスペリエンスを実現するためにデバイスをWorkspaceONEに登録します:AndroidまたはiOSデバイスがすでにWorkspace ONE UEMに登録されている場合、エンド・ユーザーの企業リソースへのアクセス体験が向上します。未登録のiOSおよびAndroidデバイスを使用するエンド・ユーザーの場合は、デバイスの信頼できる保護されたアプリにアクセスする前に、Workspace ONE UEMの登録プロセスを案内されます。
  • このDevice TrustソリューションではWorkspace ONEは保護されません:これを行うと、新規ユーザーが自分のデバイスをWorkspace ONEに登録したり、デバイスの信頼で保護された他のアプリにアクセスすることができなくなります。
  • タイムアウトの問題によりSSOエラーが発生する可能性があります:信頼できないiOSまたはAndroidデバイスからデバイスの信頼できる保護されたアプリにサインインするエンド・ユーザーは、WorkspaceONEにデバイスを登録するよう求められます。これは予想される動作ですが、アプリがネイティブ・アプリであり、Workspace ONEの登録に10分以上かかる場合、またはエンド・ユーザーが登録後に10分以上待ってからアプリへのアクセスを再試行した場合、アプリ・セッションがタイムアウトしているため、SSOエラーが発生します。該当するエンド・ユーザーにアプリへのアクセスをもう一度行うように伝えてください。
  • Device Trustによって保護されたアプリは、Okta End-User Dashboard(Oktaエンドユーザーダッシュボード)にロック済みとして表示されます。次の条件下でDevice Trustによって保護されたアプリの横に、ロックアイコンが表示されます。

    • エンドユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
    • 組織でDevice Trustが有効になっている。
    • デバイスが信頼されていない。
    • エンドユーザーがダッシュボードからDevice Trustで保護されたアプリにアクセスしようとした。