OktaアプリをWorkspace ONEカタログに公開する

これは早期アクセス機能です。有効にするには、Okta Admin Consoleで設定(Settings) > 機能(Features)の順に移動して、モバイルプラットフォームのWorkspace1 Device Trustをオンにします。

前提条件

ステップ2:Workspace ONE Access でOktaアプリケーションソースを構成する

エンドユーザーは引き続きOkta DashboardまたはWorkspace ONEダッシュボードからアプリにアクセスできます。どちらのエクスペリエンスも完全にサポートされています。このセクションでは、Oktaを介してフェデレーションされたアプリケーションを最初にWorkspace ONE Accessにインポートすることなく公開するように、Workspace ONEカタログを構成する方法について説明します。これにより、管理者はOkta Admin Consoleからフェデレーションアプリケーションとユーザーのエンタイトルメントを完全に管理できます。

OktaアプリケーションをWorkspace ONEカタログに統合する場合、次の手順を実行します。

  1. Workspace ONE AccessでOktaをアプリケーションソースとして構成します(「ステップ2:Workspace ONE Access でOktaアプリケーションソースを構成する」ですでに行っている必要があります)。
  2. 以下の手順の説明に従って、Workspace ONE AccessコンソールでOktaテナントの詳細を入力します。Workspace ONE Accessカタログに個々のアプリケーションを追加する必要はありません。

エンドユーザーがWorkspace ONEにログインすると、資格のあるOktaアプリが、他のアプリとともにカタログに自動的に表示されます。

Workspace ONE Accessでは、構成したOktaテナント情報が使用されてOktaテナントに接続され、ユーザーがWorkspace ONEにログインするたびにアプリとユーザーのエンタイトルメントが取得されます。ユーザーがWorkspace ONEのOktaアプリをクリックすると、Workspace ONE Accessによってアプリケーションのソース構成が使用され、アプリが起動します。

アプリとユーザーのエンタイトルメントは、Workspace ONE Accessコンソールではなく、Okta Admin Consoleで管理します。Okta Admin Consoleでアプリまたはエンタイトルメントを追加または削除すると、変更がエンドユーザーのカタログに直接反映されます。OktaアプリはWorkspace ONE Access管理コンソールには表示されません。

この統合では、次のタイプのOktaアプリがサポートされます。

  • SAML 2.0
  • WS-Federation
  • Bookmark
  • OpenID Connect
注:SWAアプリはサポートされていません。

Workspace ONE AccessにOktaテナント情報を追加する

Workspace ONE Accessでは、構成したOktaテナント情報が使用されてOktaテナントに接続され、ユーザーがWorkspace ONE Accessにログインするたびにアプリとユーザーのエンタイトルメントが取得されます。これは1回限りの初期構成タスクです。

Workspace ONE Accessでテナント情報を構成する前に、Okta Admin ConsoleからAPIトークンを取得します。

Okta APIトークンを取得する

Workspace ONE AccessがOktaテナントに接続してアプリを取得するには、Okta APIトークンが必要です。

トークンは最後に使用されてから30日で有効期限が切れます。トークンが使用されるたびに、有効期限が

30日ずつ延長されます。

  1. Admin Consoleでセキュリティ(Security) > APIをクリックします。

  2. トークン(Tokens)タブをクリックします。

  3. トークンを作成する(Create Token)をクリックします。

  4. トークンの名前を入力します。

  5. トークンを作成する(Create Token)をクリックします。
  6. トークンをコピーしてテキストファイルに保存します。
    注:ウィンドウを閉じると、そのトークンを再度表示できなくなります。

Workspace ONE AccessでOktaテナント情報を構成する

Workspace ONE Accessコンソールで、Oktaテナント情報を入力します。この情報はWorkspace ONE AccessがOktaテナントに接続してアプリを取得するために必要です。Okta CloudのURL、APIトークン、ユーザー検索属性を指定する必要があります。

前提条件

Okta Admin ConsoleからAPIトークンを取得しました。

手順

  1. Workspace ONE Accessコンソールで、IDとアクセスの管理(Identity & Access Management)タブをクリックしてから、セットアップ(Setup)をクリックします。
  2. Okta タブをクリックします。
  3. Oktaテナントの情報を入力します。
    オプション 説明
    Okta CloudのURL(Okta Cloud URL) OktaテナントのURLを入力します。例:https://mytenant.example.com
    Okta APIトークン(Okta API Token) APIトークンを取得するで作成したOkta APIトークンを入力します。
    ユーザー検索パラメーター(User Search Parameter) Oktaディレクトリでユーザーを検索するために使用するユーザー属性を選択します。userNameemail、または userPrincipalNameで検索できます。

    例:

  4. 保存(Save)をクリックします。

Oktaでパスワード管理を処理する

OktaアプリケーションをWorkspace ONE Accessと統合すると、Workspace ONEユーザーのOktaパスワード管理も自動的に有効になります。Workspace ONE Accessコンソールで構成する必要はありません。

エンドユーザーは、Workspace ONE Intelligent Hubアプリ、Workspace ONEアプリ、Webポータルで設定(Settings)に移動し、パスワード変更(Change Password)リンクをクリックしてパスワードを変更できます。OktaアプリケーションがWorkspace ONE Accessと統合されている場合、このパスワード変更はWorkspace ONE AccessではなくOktaによって自動的に処理されます。

ユーザーがパスワードを変更すると、Okta Admin Consoleで構成されたパスワードポリシーが適用されます。デフォルトでは、パスワードポリシーはパスワード変更(Change Password)ページに表示されませんが、ユーザーがポリシーと一致しないパスワードを入力すると表示されます。