OktaアプリをWorkspace ONEカタログに公開する

これは早期アクセス機能です。有効にするには、Okta Admin Consoleで[Settings(設定)] [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 Device Trust]をオンにします。

前提条件

ステップ2:VMware Identity ManagerでOktaアプリケーションソースを構成する

エンドユーザーは引き続きOkta DashboardまたはWorkspace ONEダッシュボードからアプリにアクセスできます。どちらのエクスペリエンスも完全にサポートされています。このセクションでは、Oktaを介してフェデレーションされたアプリケーションを最初にVMware Identity Managerにインポートすることなく公開するように、Workspace ONEカタログを構成する方法について説明します。これにより、管理者はOkta Admin Consoleからフェデレーションアプリケーションとユーザーの資格を完全に管理できます。

OktaアプリケーションをWorkspace ONEカタログに統合する場合、次の手順を実行します。

  1. VMware Identity ManagerでOktaをアプリケーションソースとして構成します(これは「ステップ2:VMware Identity ManagerでOktaアプリケーションソースを構成する」ですでに行っている必要があります)。
  2. 以下の手順の説明に従って、VMware Identity ManagerコンソールでOktaテナントの詳細を入力します。VMware Identity Managerカタログに個々のアプリケーションを追加する必要はありません。

エンドユーザーがWorkspace ONEにログインすると、資格のあるOktaアプリが、他のアプリとともにカタログに自動的に表示されます。

VMware Identity Managerでは、構成したOktaテナント情報が使用されてOktaテナントに接続され、ユーザーがWorkspace ONEにログインするたびにアプリとユーザーの資格が取得されます。ユーザーがWorkspace ONEのOktaアプリをクリックすると、VMware Identity Managerによってアプリケーションのソース構成が使用され、アプリが起動されます。

アプリとユーザーの資格は、VMware Identity Managerコンソールではなく、Okta Admin Consoleで管理します。Okta Admin Consoleでアプリまたは資格を追加または削除すると、変更がエンドユーザーのカタログに直接反映されます。Oktaアプリは、VMware Identity Manager管理者コンソールには表示されません。

この統合では、次のタイプのOktaアプリがサポートされます。

  • SAML 2.0
  • WS-Federation
  • ブックマーク
  • OpenID Connect
注:SWAアプリはサポートされていません。

VMware Identity ManagerでOktaテナント情報を追加する

VMware Identity ManagerコンソールにOktaテナント情報とAPIトークンを追加して、VMware Identity ManagerがOktaテナントに接続し、Oktaアプリとユーザー資格を取得できるようにします。これは1回限りの初期構成タスクです。

VMware Identity Managerでテナント情報を構成する前に、Okta Admin ConsoleからAPIトークンを取得します。

Okta APIトークンを取得する

VMware Identity ManagerがOktaテナントに接続してアプリを取得するには、Okta APIトークンが必要です。

トークンは最後に使用されてから30日で有効期限が切れます。トークンが使用されるたびに、有効期限が

30日ずつ延長されます。

  1. Admin Consoleで[Security(セキュリティ)][API]をクリックします。

  2. [Tokens(トークン)]タブをクリックします。

  3. [Create Token(トークンを作成する)]をクリックします。

  4. トークンの名前を入力します。

  5. [Create Token(トークンを作成する)]をクリックします。
  6. トークンをコピーしてテキストファイルに保存します。
    注:ウィンドウを閉じると、そのトークンを再度表示できなくなります。

VMware Identity ManagerでOktaテナント情報を構成する

VMware Identity Managerコンソールで、VMware Identity ManagerがOktaテナントに接続してアプリを取得するために必要なOktaテナント情報を入力します。Okta CloudのURL、APIトークン、ユーザー検索属性を指定する必要があります。

前提条件

Okta Admin ConsoleからAPIトークンを取得しました。

手順

  1. VMware Identity Managerコンソールで、[Identity & Access Management(IDとアクセスの管理)]タブをクリックしてから、[Setup(セットアップ)]をクリックします。
  2. [Okta]タブをクリックします。
  3. Oktaテナントの情報を入力します。
    オプション説明
    [Okta Cloud URL(Okta CloudのURL)]OktaテナントのURLを入力します。例:https://mytenant.example.com
    [Okta API(Okta APIトークン)]APIトークンを取得するで作成したOkta APIトークンを入力します。
    [User Search Parameter(ユーザー検索パラメーター)]Oktaディレクトリでユーザーを検索するために使用するユーザー属性を選択します。userNameemail、またはuserPrincipalNameで検索できます。

    例:

  4. [Save(保存)]をクリックします。

Oktaでパスワード管理を処理する

OktaアプリケーションをVMware Identity Managerと統合すると、Workspace ONEユーザーのOktaパスワード管理も自動的に有効になります。VMware Identity Managerコンソールで構成する必要はありません。

エンドユーザーは、Workspace ONE Intelligent Hubアプリ、Workspace ONEアプリ、Webポータルで[Settings(設定)]に移動し、[Change Password(パスワード変更)]リンクをクリックしてパスワードを変更できます。OktaアプリケーションがVMware Identity Managerと統合されている場合、このパスワードの変更はVMware Identity ManagerではなくOktaによって自動的に処理されます。

ユーザーがパスワードを変更すると、Okta Admin Consoleで構成されたパスワードポリシーが適用されます。デフォルトでは、パスワードポリシーは[Change Password(パスワード変更)]ページに表示されませんが、ユーザーがポリシーと一致しないパスワードを入力すると表示されます。