ステップ3:デスクトップデバイス用のWorkspace ONEでDevice Trustとアクセスポリシーを構成する

前提条件

ステップ1:Okta Workspace ONE AccessをIDプロバイダーとして構成する

ステップ2:Workspace ONE Access でOktaアプリケーションソースを構成する

デスクトップデバイスのアクセスポリシーを構成するには、OktaでIDプロバイダーのルーティングルールを構成し、Workspace ONE Accessで条件付きアクセスポリシーを構成します。Okta Device Trustソリューションは、デスクトップデバイスではまだ利用できません。デスクトップデバイスのDevice Trustを構成するには、Workspace ONE Accessアクセスポリシーの第2要素の認証方法として、デバイスコンプライアンスを使用できます。

デスクトップデバイス向けにOktaでIDプロバイダーのルーティングルールを構成する

  1. Okta Admin Consoleでセキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。
  2. ルーティングルール(Routing Rules)タブをクリックします。
  3. ルーティングルールを追加(Add Routing Rule)をクリックします。
  4. 以下を構成します。
    設定 アクション
    ルール名(Rule Name) 作成するルールの名前を入力します。
    ユーザーのIP(IF [User's IP is)](IF User's IP is) 実装に適している場合は、ルーティングを適用するネットワークゾーンと適用しないネットワークゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがすでにOktaで定義されている必要があります。詳細については、「ネットワークセキュリティ」を参照してください。
    ユーザーのプラットフォーム(AND [User's device platform is)](AND User's device platform is)

    実装に応じて、これらのデバイスのいずれか(Any of these devices)を選択してから、[macOS]または[Windows]、あるいはその両方を選択します。
    ユーザーがアクセスしています(AND[User is accessing)](AND User is accessing)

    次のアプリケーションのいずれか(Any of the following applications)を選択してから、ルーティングルールを適用するアプリケーションを入力します。
    ユーザーが一致(AND[User matches)](AND User matches)

    適切なアクションを選択します。

    • すべて(Anything)。任意のユーザーを指定します。これはデフォルトです。
    • ログインに関する正規表現(Regex on login)。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。詳細については、「IDプロバイダーの検出」を参照してください。
    • ログインに関するドメインリスト(Domain list on login)。一致するドメインの一覧を指定します(例:example.com)。ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。
    • ユーザー属性(User attribute)。左側のリストで属性名を選択し、次から開始:(Starts with)リストで比較のタイプを選択して、右側のテキストフィールドに一致させる値を入力します。
    このIDプロバイダーを使用(THEN[Use this identity provider)](THEN Use this identity provider) ステップ1:Okta Workspace ONE AccessをIDプロバイダーとして構成する」の説明に従って、 Workspace ONE Access 用にOktaで作成したIDプロバイダーを選択します。
  5. ルールを作成(Create Rule)をクリックします。

デスクトップデバイス用のWorkspace ONE Accessで条件付きアクセスポリシーを構成する

デスクトップデバイスにSSOとDevice Trustを提供するには、Workspace ONE Accessで追加のアクセスポリシールールが必要です。

認証方法として証明書(クラウド展開)とデバイスコンプライアンスを使用して、macOSとWindows 10のアクセスポリシーを作成します。

  1. システム管理者として、Workspace ONE Accessコンソールにログインします。
  2. IDとアクセスの管理(Identity & Access Management)タブをクリックします。
  3. ポリシー(Policies)タブをクリックします。
  4. ポリシーを追加(Add Policy)をクリックします。
  5. ウィザードの[Definition(定義)]ページで、次の情報を入力します。
    オプション 説明
    ポリシー名(Policy Name) ポリシーの名前です。
    説明(Description) ポリシーの説明です。
    次に適用:(Applies to) Oktaを選択します。Oktaアプリケーションソースに設定されたアクセスポリシーが割り当てられます。Oktaからのすべての認証要求は、このポリシールールセットを使用して評価されます。
  6. 次へ(Next)をクリックします。
  7. 構成([Configuration)]ページで、ポリシールールを追加(Add Policy Rule)をクリックしてWindows 10用のポリシールールを構成します。
    1. 最初の認証方法としてCertificate (Cloud Deployment)(証明書(クラウドデプロイメント))を設定し、フォールバック認証方法としてDevice Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))を設定します。

      ユーザーのネットワーク範囲がすべての範囲(ALL RANGES)Windows 10からコンテンツにアクセスしているのであれば、ユーザーはCertificate (Cloud Deployment)(証明書(クラウドデプロイメント))を使って認証できます。

      前述の方法が失敗する、または適用できない場合は、ユーザーは認証にDevice Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))を使用します。

    2. 保存(Save)をクリックします。
  8. ポリシールールを追加(Add Policy Rule)をクリックして、macOS用のポリシールールを構成します。
    1. 最初の認証方法としてCertificate (Cloud Deployment)(証明書(クラウドデプロイメント))を設定し、フォールバック認証方法としてDevice Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))を設定します。

      ユーザーのネットワーク範囲がすべての範囲(ALL RANGES) macOS からコンテンツにアクセスしているのであれば、認証に使用(Authenticate using)証明書(クラウドデプロイメント)(Certificate (Cloud Deployment))となります。

      前述の方法が失敗する、または適用できない場合は、認証はDevice Compliance (with AirWatch)(デバイスコンプライアンス(AirWatchを使用))にフォールバックします。

    2. 保存(Save)をクリックします。
  9. この統合のモバイルバージョンも構成している場合は、モバイルポリシーを再作成する必要があります:

    この手順の前のステップで作成したポリシールールは、モバイルデバイス用のWorkspace ONE Accessで構成したデフォルトのアクセスポリシーを上書きするため、このアクションが必要になります。そのため、モバイルデバイス用のこのソリューションの構成時にデフォルトのアクセスポリシーに追加したルールと同様に、 iOS Android Webブラウザー(Web browser)用のポリシールールをこの新しいポリシーに追加する必要があります。

    1. 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定して、iOSデバイスのポリシールールを作成します。

      ユーザーのネットワーク範囲がすべての範囲(ALL RANGES) iOS からコンテンツにアクセスしているのであれば、認証に使用(Authenticate using)は[モバイルSSO(iOS)(Mobile SSO (iOS))]に設定されます。

      前述の方法が失敗する、または適用できない場合は、ユーザーはOkta認証(Okta Auth)で認証できます。

    2. 最初の認証方法としてモバイルSSO(iOS)を設定し、フォールバック認証方法としてOkta認証を設定して、Androidデバイスのポリシールールを作成します。

      ユーザーのネットワーク範囲がすべての範囲(ALL RANGES) Android からコンテンツにアクセスしているのであれば、認証に使用(Authenticate using)は[モバイルSSO(Android)(Mobile SSO (Android))]に設定されます。

      前述の方法が失敗する、または適用できない場合は、ユーザーはOkta認証(Okta Auth)で認証できます。

    3. Oktaを認証方法として設定してWebブラウザーのポリシールールを作成します。

      ユーザーのネットワーク範囲がすべての範囲(ALL RANGES)Webブラウザー(Web Browser)からコンテンツにアクセスしているのであれば、認証に使用(Authenticate using)Okta認証(Okta Auth)に設定されます。

  10. ポリシールールを上から順に次の順序で並べます。
    1. Workspace ONEアプリまたはHubアプリ
    2. Windows 10またはMac OS
    3. Windows 10またはMac OS
    4. iOSまたはAndroid
    5. iOSまたはAndroid
    6. Webブラウザー(Web browser)