Okta Device TrustをiOSおよびAndroidデバイス用のVMware Workspace ONEと統合する
これは早期アクセス機能です。有効にするには、 Okta管理コンソールで[Settings(設定)]> [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 Device Trust]をオンにします。
この統合は、主にSAML信頼接続に基づきます。Oktaのコンテキストアクセス管理ポリシーのフレームワークの機能と、VMware Workspace ONEのデバイスシグナルを組み合わせることで、安全でシームレスなエンドユーザーエクスペリエンスを実現できます。Workspace ONEがデバイスコンテキストをSAMLアサーションに追加できるようにすることで、Oktaのポリシーフレームワークを活用して、ユーザーにアンマネージドデバイスの登録を要求したり、MFAチャレンジの対応を要求したりできるようになります。
また、この統合を構成して、エンドユーザーに効率化されたデバイス登録エクスペリエンスを提供し、Oktaの拡張可能な多要素認証をWorkspace ONEのアプリケーションで活用し、一貫性のある身近なログインエクスペリエンスをユーザーと管理者に提供できます。
このガイドでは、OktaとWorkspace ONEでサポートされるユースケースの構成とテストを行うための、ステップバイステップの手順を説明します。OktaをWorkspace ONEと統合するには、VMware Identity ManagerをOktaと統合します。VMware Identity Managerは、Workspace ONEのIDコンポーネントです。
対象読者
この情報は、OktaとVMware Identity Managerに精通した経験のある管理者を対象としています。
ユースケース
OktaとWorkspace ONEの統合でサポートされる主なユースケースには、次のようなものがあります:
ユースケース1 – OktaとVMware Workspace ONEを使用して、デバイスの信頼とSSOをモバイルデバイスに適用する
ユースケース2 – Oktaを使用して、効率化されたデバイスの登録とWorkspace ONEログインを構成する
ユースケース1 – OktaとVMware Workspace ONEを使用して、デバイスの信頼とSSOをモバイルデバイスに適用する
OktaをWorkspace ONEと統合することで、エンドユーザーに機密性の高いアプリケーションへのアクセスを許可する前に、デバイスポスチャ―(デバイスが管理されているかどうかなど)を評価することでデバイスの信頼性を確立できます。iOSおよびAndroidデバイスの場合、デバイスポスチャ―ポリシーはOktaで構成され、ユーザーが保護されたアプリケーションにログインするたびに評価されます。
また、OktaをWorkspace ONEの信頼できるIDプロバイダーとして確立することで、Workspace ONEアプリ、Workspace ONE Intelligent Hubアプリ、ウェブポータルにエンドユーザーがOktaの認証ポリシーでログインできるようになります。
認証フローの図 -— iOS およびAndroidデバイス
Salesforceアプリケーションを使用したiOSおよびAndroidデバイス用のデバイスの信頼フローは、以下のシーケンスに従います:
- エンドユーザーがSalesforceテナントへのアクセスを試行します。
- Salesforceが、構成済みのIDプロバイダーとしてのOktaにリダイレクトします。
- Oktaが受信リクエストを処理し、構成済みのルーティング・ルールに基づいてクライアントをWorkspace ONEのIDプロバイダーに転送します。
- Workspace ONEが、iOSまたはAndroid用のモバイルSSOを使用してユーザーにチャレンジを送信し、資格情報を要求します。
- Workspace ONEが、ユーザーをデバイスの信頼のステータスとともにOktaにリダイレクトして戻します。
- Workspace ONEから送信されたSAMLアサーションレスポンスに基づきデバイスの信頼ルールが満たされた場合、OktaがSalesforce用のSAMLアサーションを発行します。
このユースケースを構成するには:
ユースケース2 – Oktaを使用して、効率化されたデバイスの登録とWorkspace ONEログインを構成する
このユースケースを構成して、エンドユーザーに効率化されたデバイス登録エクスペリエンスを提供し、Oktaの拡張可能な多要素認証をWorkspace ONEのアプリケーションで活用し、一貫性のある身近なログインエクスペリエンスをユーザーと管理者に提供できます。
この構成は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで構成されます。
このユースケースを構成するには:
オプション:エンドユーザーがOktaやWorkspace ONEダッシュボードからアプリにアクセスできるようにすることができます。どちらのエクスペリエンスも完全にサポートされます。Workspace ONEカタログ を構成して、Oktaを介して連携認証済みのアプリケーションをVMware Identity Managerにインポートせずに公開できます。
要件
Workspace ONEとOktaの統合を開始する前に、環境が次の要件を満たしていることを確認します。
コンポーネント
VMware
- システム管理者のロールを持つVMware Identity Managerテナント
- Workspace ONE統合エンドポイント管理(UEM)テナント
- VMware Identity Manager Connector
- VMware Identity Manager AirWatch Cloud Connector(ACC)
ACCは、Workspace ONE UEMを使用する場合のみ必要です。
Okta
- スーパー管理者か組織管理者のロールを持つOkta org(テナント)
- Oktaサポートにより有効化されたWorkspace ONE用のデバイスの信頼
- Oktaサポートにより有効化されたIDプロバイダーのルーティング・ルール(IdP Discovery)
対応するアプリとデバイス
- iOSまたはAndroidのSAMLまたはWS-Fedクラウドアプリ
- OktaがサポートするバージョンのiOSおよびAndroidオペレーティングシステムを実行するデバイス
Workspace ONEとVMware Identity Managerの統合
Workspace ONE UEMとVMware Identity Managerテナントを統合し、デバイスの信頼で使用するモバイルSSO認証方法を構成します。
警告
- デバイスの信頼は、Okta Mobile内のチクレットを介してアクセスされるアプリには適用されません。
- 最高のエンドユーザーエクスペリエンスのために、Workspace ONE にデバイスを登録します – エンドユーザーのAndroidまたはiOSデバイスをWorkspace ONE UEMに登録済みの状態にすることで、企業リソースにアクセスするエンドユーザーのエクスペリエンスを改善できます。そうでない場合、未登録のiOSデバイスやAndroidデバイスを使用するユーザーは、デバイスの信頼で保護されたアプリにアクセスする前に、Workspace ONE UEM登録プロセスに誘導されます。
- このデバイスの信頼ソリューションでWorkspace ONEを保護しないでください – これを行うと、新しいユーザーがデバイスをWorkspace ONEに登録できなくなり、デバイスの信頼で保護された他のアプリにアクセスできなくなります。
- タイムアウトの問題で SSO エラーが発生する場合があります – デバイスの信頼で保護されたアプリにiOSまたはAndroidの非信頼デバイスからサインインしようとするエンドユーザーは、デバイスをWorkspace ONEに登録するように求められます。これは想定内の動作ですが、アプリがネイティブアプリで、Workspace ONEの登録タスクで10分以上かかる場合や、エンドユーザーが登録後10分以上経過してからアプリに再度アクセスしようとする場合は、アプリセッションがタイムアウトするためSSOエラーが発生します。影響を受けるエンドユーザーに、再度アプリにアクセスするように知らせます。
Device Trustによって保護されたアプリは、Okta End-User Dashboardにロック済みとして表示されます。以下の条件に該当する場合、Device Trustによって保護されたアプリの横にロック・アイコンが表示されます。
- エンド・ユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
- 組織でDevice Trustが有効になっている。
- デバイスが信頼されていない。
- エンド・ユーザーがダッシュボードからDevice Trustで保護されたアプリにアクセスしようとした。