ステップ1:OktaWorkspace ONE AccessをIDプロバイダーとして構成する

これは早期アクセス機能です。有効にするには、Okta Admin Consoleで設定(Settings) > 機能(Features)の順に移動して、モバイルプラットフォームのWorkspace1 Device Trustをオンにします。

このセクションでは、OktaWorkspace ONE AccessをIDプロバイダー(IdP)として構成する方法について説明します。この構成は、統合カタログ、モバイルSSO、およびDevice Trustを構成するために必要です。

詳細については、インバウンドSAMLの構成の典型的なワークフローを参照してください。

Workspace ONE AccessのSAMLメタデータ情報を取得する

OktaでIDプロバイダーをセットアップするために必要なSAMLメタデータ情報をWorkspace ONE Accessから取得します。

  1. システム管理者として、Workspace ONE Accessコンソールにログインします。
  2. カタログ(Catalog) > Webアプリ(Web Apps)タブを選択します。
  3. 設定(Settings)をクリックします。
  4. 左側のペインでSAMLメタデータ(SAML Metadata)をクリックします。

    メタデータのダウンロード([Download Metadata)]タブが表示されます。

  5. 署名証明書をダウンロードします。
    1. 署名証明書([Signing Certificate)]セクションで、ダウンロード(Download)をクリックします。
    2. 証明書ファイルがダウンロードされる場所(signingCertificate.cer)をメモします。
  6. SAMLメタデータを取得します。
    1. SAMLメタデータ(SAML Metadata)セクションで、Identity Provider (IdP) metadata(IDプロバイダー(IdP)のメタデータ)リンクを右クリックして、新しいタブまたはウィンドウで開きます。
    2. IDプロバイダーのメタデータファイルで、次の値を検索し、メモします。
      • エンティティID(entityID)

        例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

      • Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"を含むSingleSignOnServiceのURL

        例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

OktaにIDプロバイダーを追加する

Oktaが外部のIDプロバイダーをどのように処理するかの詳細については、IDプロバイダー(Identity Providers)を参照してください。

  1. OktaのAdmin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。
  2. IDプロバイダーを追加(Add Identity Provider)をクリックし、SAML 2.0 IdPを選択します。
  3. 次へ(Next)をクリックします。
  4. IDプロバイダーの名前を入力します。例:Workspace ONE。
  5. 以下を構成します。
    • IdPユーザー名(IdP Username):idpuser.subjectNameIdを入力します。

      カスタムSAML属性でユーザー名を送信する場合は、適切な式を定義してください。詳細については、「Okta Expression Language」を参照してください。

    • フィルター(Filter):このチェックボックスは選択しないでください。
    • 一致対象([Match against)]: Oktaユーザー名(Okta Username)を選択します。

      環境の必要に応じて選択内容と送信する値を調整します。

    • 一致が見つからない場合(If no match is found)Oktaサインインページにリダイレクト(Redirect to Okta sign-in page)を選択します。
    • IdP発行者URI(IdP Issuer URI)エンティティID(entityID)を入力します。

      これは、Workspace ONEのIDプロバイダーのメタデータファイルから取得した値です。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

    • IdPシングルサインオンURL(IdP Single Sign-On URL)SingleSignOnService LocationのURLを入力します。

      これは、Workspace ONEのIDプロバイダーのメタデータファイルから取得した値です。例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

    • IdP署名証明書(IdP Signature Certificate):「Workspace ONE AccessのSAMLメタデータ情報を取得する」でWorkspace ONEからダウンロードした署名証明書ファイルを参照して選択します。
    • 認証コンテキストのリクエスト Device Trust を選択します。

      この設定は、認証要求のコンテキストを指定します。

  6. 終了(Finish)をクリックします。
  7. 次の情報が表示されていることを確認します。
    • SAMLメタデータ
    • アサーションコンシューマーサービスURL
    • オーディエンスURI
  8. メタデータファイルをダウンロードして保存します。

    1. メタデータのダウンロード(Download Metadata)リンクをクリックします。

    2. メタデータファイルをローカルに保存します。

    3. メタデータファイルを開いて、「Workspace ONE AccessのSAMLメタデータ情報を取得する」で使用するためにその内容をコピーします。