OktaをWorkspace ONE AccessのIDプロバイダーとして構成する

これは早期アクセス機能です。有効にするには、Okta Admin Consoleで設定(Settings) > 機能(Features)の順に移動して、モバイルプラットフォームのWorkspace1 Device Trustをオンにします。

このセクションでは、OktaをWorkspace™ ONE™にIDプロバイダーとして構成する方法について説明します。この構成を使用して、合理化されたデバイス登録エクスペリエンスを提供し、Oktaの拡張可能な多要素認証をWorkspace ONEのアプリケーションに提供し、一貫性のある身近なログインエクスペリエンスをエンドユーザーと管理者に提供できます。

この手順は、Workspace ONEのIDコンポーネントであるWorkspace ONE Accessで実行します。

Workspace ONE Accessで新しいIDプロバイダーの作成を開始する

Workspace ONE Accessコンソールで新しいサードパーティIDプロバイダーを作成し、SAMLメタデータ情報を見つけます。

  1. システム管理者として、 Workspace ONE Access コンソールにログインします。
  2. IDとアクセスの管理(Identity & Access Management)タブをクリックしてから、IDプロバイダー(Identity Providers)をクリックします。
  3. IDプロバイダーを追加(Add Identity Provider)をクリックして、サードパーティIDPの作成(Create Third Party IDP)を選択します。
  4. ページの一番下のSAML署名証明書(SAML Signing Certificate)セクションまでスクロールします。
  5. サービスプロバイダーのメタデータ(Service Provider (SP) Metadata)リンクを右クリックして、新しいタブで開きます。
  6. SAMLメタデータファイルで、次の値を検索します。
    • entityID - 例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    • HTTP-POST(AssertionConsumerService Location)バインディングのAssertionConsumerService Location(HTTP-POST) - 例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    これらの値は、「で新しいSAMLアプリを作成するOkta 」の手順で使用します。

Oktaで新しいSAMLアプリを作成する

Okta開発者ダッシュボードを使用している場合は、最初にClassic UIに切り替えます。左上に<>開発者プロンプトが表示された場合は、そのプロンプトをクリックしてClassic UIを選択し、Classic UIに切り替えます。このドキュメントのすべてのOktaタスクにはClassic UIを使用します。

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. アプリ統合を作成(Create App Integration) をクリックします。
  3. SAML 2.0を選択します。
  4. 次へ(Next)をクリックします。
  5. 一般設定(General settings)で、アプリの名前(例:Workspace ONE SAML)を入力します。
  6. 次へ(Next)をクリックします。
  7. SAMLの設定([SAML Settings)]で、次の設定を構成します。
    オプション 説明
    シングルサインオンURL(Single sign on URL) で新しいIDプロバイダーの作成を開始するWorkspace ONE Access 」で入力したHTTP-POST AssertionConsumerServiceのロケーション(HTTP-POST AssertionConsumerService Location)URLをコピーして貼り付けます。例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response
    名前IDのフォーマット(Name ID format) 指定なし(Unspecified)を選択します。
    アプリケーションのユーザー名(Application username)

    Oktaユーザー名(Okta username)を選択します。これは、Workspace ONEのユーザープリンシパル名(UPN)にマッピングされます。

  8. 次へ(Next)をクリックします。
  9. 社内アプリを追加しているOktaユーザーです([I'm an Okta customer adding an internal app)]を選択します
  10. これは当社で作成した社内アプリです(This is an internal app that we have created)を選択します。
  11. 終了(Finish)をクリックします。
  12. サインオン([Sign On)]タブの設定(Settings)セクションで、IDプロバイダーのメタデータ(Identity Provider metadata)のURLを特定し、コピーします。

Workspace ONE Accessで新しいIDプロバイダーの作成を完了する

  1. 新しいIDプロバイダーのページで、次の情報を入力します。

    • IDプロバイダー名(Identity Provider Name):新しいIDプロバイダーの名前を入力します(Okta SAML IdPなど)

    • identityProvider.idpForm.samlHTTP Postを選択します。このフィールドは、SAMLメタデータ(SAML Metadata)セクションでメタデータURLを入力し、IdPメタデータの処理(Process IdP Metadata)をクリックすると表示されます。

    • SAMLメタデータ(SAML Metadata)

      1. IDプロバイダーのメタデータ(Identity Provider Metadata)テキストボックスに、OktaからコピーしたメタデータURLを入力します。例:https://yourOktaTenant/app/appId/sso/saml/metadata

      2. IdPメタデータの処理(Process IdP Metadata)をクリックします。

      3. SAMLレスポンスからの名前ID形式のマッピング(Name ID format mapping from SAML Response)セクションで、+アイコンをクリックして、次の値を選択します。

        名前IDのフォーマット(Name ID Format)urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

        名前ID値(Name ID Value)userPrincipalName

        Oktaで定義されたアプリの値と一致するユーザー属性(User Attribute)を選択します。

    • ユーザー(Users):このIDプロバイダーを使用して認証するディレクトリを選択します。

    • ネットワーク(Network):このIDプロバイダーにアクセスできるネットワークを選択します。

    • 認証方法(Authentication Methods)

      1. 認証方法(Authentication Methods)Okta Auth Methodなど、Okta認証方法の名前を入力します。

      2. SAMLコンテキスト(SAML Context)urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

  2. 追加(Add)をクリックします。

Workspace ONE AccessでアクセスポリシーにOkta認証方法を追加する

Workspace ONE AccessにIDプロバイダーとしてOktaを設定した後、Workspace ONE Accessでアクセスポリシーに新しく作成した認証方法を追加します。デフォルトのアクセスポリシーおよびその他のポリシーを必要に応じて更新します。

OktaがWorkspace ONEカタログのサインインプロバイダーとして使用されるように、Okta認証方法をデフォルトのアクセスポリシーに追加する必要があります。デフォルトのアクセスポリシーは、カタログへのログインと、Workspace ONE Accessで構成され、別のポリシー定義がまだないアプリへのログインを管理します。

  1. Workspace ONE Accessコンソールで、[IDとアクセスの管理]タブをクリックしてから、ポリシー(Policies)をクリックします。
  2. デフォルトのアクセスポリシーの編集(Edit Default Access Policy)をクリックします。
  3. ポリシーの編集([Edit Policy)]ウィザードで、構成(Configuration)をクリックします。
  4. Webブラウザーのポリシールールをクリックします。
    • 認証方法としてOkta認証を設定します。

      ユーザーのネットワーク範囲がすべての範囲(ALL RANGES)で、ユーザーがWebブラウザー(Web Browser)からコンテンツにアクセスしており、ユーザーがEmpty (all users)(空(すべてのユーザー))グループに属している場合は、 認証方法(Authenticate using . . .)のアクションを実行します。エンドユーザーはOkta認証方法(Okta Auth Method)を使用して認証できます

      Okta認証方法(Okta Auth Method)では、「で新しいIDプロバイダーの作成を完了するWorkspace ONE Access 」でIdP用に作成した認証方法を選択します。

    • 保存(Save)をクリックします。
  5. 必要に応じてほかのポリシーを編集し、Okta認証方式を追加します。

Oktaでエンドユーザーにアプリを割り当てる

セットアップが完了したら、Okta orgに戻り、新しく作成したWorkspace ONEアプリケーションをエンドユーザーに割り当てます。最初にアプリケーションを数人のエンドユーザーに割り当ててから、統合をテストします。詳細については、アプリの統合を割り当てるを参照してください。