OktaとVMware Workspace ONEを使用してデスクトップデバイスにDevice TrustとSSOを適用する

重要事項

重要

この統合では、SP開始認証フローのみがサポートされています。IdP起点フロー(Okta End-User DashboardでSAMLアプリをクリックしてリソースにアクセスしようとするなど)はサポートされていません。


このユースケースでは、管理者は、エンドユーザーに機密性の高いアプリケーションへのアクセスを許可する前に、デバイスが管理されているかどうかなどのデバイスの状態を評価することで、Device Trustを確立することができます。また、OktaをWorkspace ONEへの信頼できるIDプロバイダーとして確立し、エンドユーザーがOkta認証ポリシーを使用してWorkspace ONEアプリ、Workspace ONE Integrated Hubアプリ、およびWebポータルにログインできるようにします。

macOSおよびWindowsデバイスの認証フロー

Salesforceアプリケーションを使用したmacOSおよびWindows 10デバイスのデバイス信頼フローは、次の順序で実行されます。

  1. エンドユーザーがSalesforceテナントへのアクセスを試行します(SP-initのみ。IdP-initはサポートされていません。を参照)。
  2. Salesforceは、構成済みのIDプロバイダーとしてOktaにリダイレクトします。
  3. Oktaは、受信した要求を処理し、構成されたルーティングルールに基づいてクライアントをWorkspace ONE IdPにルーティングします。
  4. Workspace ONEは、クライアントデバイスに資格情報を要求します。
  5. Workspace ONEは、デバイスのコンプライアンスステータスをチェックします。デバイスが管理対象であってもコンプライアンスに反する場合、Workspace ONEはアクセスをブロックします。デバイスが管理対象でない場合、Workspace ONEはデバイス登録を促します。デスクトップデバイスのDevice Trustとアクセスポリシーは、VMWareに定義されていることに注意してください。
  6. Workspace ONEでの認証が成功すると、クライアントデバイスはOktaにリダイレクトされます。
  7. Oktaは、Workspace ONEからのSAMLアサーションを検証し、SalesforceのSAMLアサーションを発行します。

このユースケースを構成するには:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーションソースを構成する

ステップ3:デスクトップデバイス用にVMwareでDevice Trust、アクセスポリシーを構成する