Okta Device TrustとWindowsおよびmacOSコンピューター用のVMware Workspace ONEを統合する

このOktaとデスクトップデバイス用のWorkspace ONEの統合は、主にSAML信頼接続に基づいています。これにより、管理者は、エンドユーザーに機密性の高いアプリケーションへのアクセスを許可する前にデバイスの状態を評価することで、Device Trustを確立することができます。デバイスが管理されて準拠しているかどうかを判断するために、ユーザーが保護されたアプリケーションにアクセスしようとするたびに、Workspace ONEで確立されたデバイスの状態のポリシーが評価されます。

この統合を構成することで、エンドユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証Workspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログインエクスペリエンスを提供することもできます。

このガイドでは、OktaとWorkspace ONEでサポートされるユースケースを構成してテストするための詳細な手順を示します。OktaをWorkspace ONEと統合するには、VMware Identity ManagerをOktaと統合します。VMware Identity Managerは、Workspace ONEのIDコンポーネントです。

重要事項

重要

この統合では、SP開始認証フローのみがサポートされています。IdP起点フロー(Okta End-User DashboardでSAMLアプリをクリックしてリソースにアクセスしようとするなど)はサポートされていません。

ユースケース

OktaとWorkspace ONEの統合でサポートされる主なユースケースは次のとおりです。

  1. OktaとVMware Workspace ONEを使用してデスクトップデバイスにDevice TrustとSSOを適用する
  2. Oktaを使用してデスクトップデバイス用に合理化されたデバイス登録とWorkspace ONEログインを構成する

1. OktaとVMware Workspace ONEを使用してデスクトップデバイスにDevice TrustとSSOを適用する

OktaとVMware Workspace ONEを使用してデスクトップデバイスにDevice TrustとSSOを適用する

このユースケースでは、管理者は、エンドユーザーに機密性の高いアプリケーションへのアクセスを許可する前に、デバイスが管理されているかどうかなどのデバイスの状態を評価することで、Device Trustを確立することができます。また、OktaをWorkspace ONEへの信頼できるIDプロバイダーとして確立し、エンドユーザーがOkta認証ポリシーを使用してWorkspace ONEアプリ、Workspace ONE Integrated Hubアプリ、およびWebポータルにログインできるようにします。

macOSおよびWindowsデバイスの認証フロー

Salesforceアプリケーションを使用したmacOSおよびWindows 10デバイスのデバイス信頼フローは、次の順序で実行されます。

  1. エンドユーザーがSalesforceテナントへのアクセスを試行します(SP-initのみ。IdP-initはサポートされていません。を参照)。
  2. Salesforceは、構成済みのIDプロバイダーとしてOktaにリダイレクトします。
  3. Oktaは、受信した要求を処理し、構成されたルーティングルールに基づいてクライアントをWorkspace ONE IdPにルーティングします。
  4. Workspace ONEは、クライアントデバイスに資格情報を要求します。
  5. Workspace ONEは、デバイスのコンプライアンスステータスをチェックします。デバイスが管理対象であってもコンプライアンスに反する場合、Workspace ONEはアクセスをブロックします。デバイスが管理対象でない場合、Workspace ONEはデバイス登録を促します。デスクトップデバイスのDevice Trustとアクセスポリシーは、VMWareに定義されていることに注意してください。
  6. Workspace ONEでの認証が成功すると、クライアントデバイスはOktaにリダイレクトされます。
  7. Oktaは、Workspace ONEからのSAMLアサーションを検証し、SalesforceのSAMLアサーションを発行します。

このユースケースを構成するには:

ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2:VMware Identity ManagerでOktaアプリケーションソースを構成する

ステップ3:デスクトップデバイス用にVMwareでDevice Trust・アクセスポリシーを構成する

2. Oktaを使用してデスクトップデバイス用に合理化されたデバイス登録とWorkspace ONEログインを構成する

Oktaを使用してデスクトップデバイス用に合理化されたデバイス登録とWorkspace ONEログインを構成する

このユースケースを構成することで、エンドユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログインエクスペリエンスを提供することができます。

この構成は、Workspace ONEのIDコンポーネントであるVMware Identity Managerで構成されます。

このユースケースを構成するには:

注:両方のユースケースを組み合わせる場合は、最初にこのユースケースを構成してから、「OktaとVMware Workspace ONEを使用してデスクトップデバイスにDevice TrustとSSOを適用する」を構成します。

オプション: エンドユーザーがOkta DashboardまたはWorkspace ONEダッシュボードからアプリにアクセスできるようにします。どちらのエクスペリエンスも完全にサポートされています。Oktaを介してフェデレーションされたアプリケーションを最初にVMware Identity Managerにインポートすることなく公開するように、Workspace ONEカタログを構成することができます。

詳細については、「OktaアプリをWorkspace ONEカタログに公開する」を参照してください。

要件

Workspace ONEとOktaの統合を開始する前に、環境が以下の要件を満たしていることを確認してください。

コンポーネント

VMware

  • システム管理者ロールを持つVMware Identity Managerテナント
  • Workspace ONE統合エンドポイント管理(UEM)テナント
  • VMware Identity Manager Connector
  • VMware Identity Manager AirWatch Cloud Connector(ACC)
  • ACCは、Workspace ONE UEMを使用する場合にのみ必要です。

    注:既存の展開でユーザーがWorkspace ONE UEMからVMware Identity Managerに同期される場合、VMware Identity Manager Connectorは必要ありません。新しい展開では、VMware Identity Manager Connectorを使用してActive DirectoryからVMware Identity Managerにユーザーを同期することをお勧めします。

Okta

  • スーパー管理者またはOrg管理者のロールを持つOkta org(テナント)
  • Oktaサポートにより有効化されたWorkspace ONEのDevice Trust
  • Oktaサポートにより有効化されたIDプロバイダーのルーティングルール(IdPディスカバリー)

サポートされているアプリとデバイス

  • WindowsまたはmacOS SAMLあるいはWS-Fedクラウドアプリ
  • OktaでサポートされているWindowsまたはmacOSオペレーティングシステムのバージョンを実行しているデバイス

Workspace ONEVMware Identity Managerを統合する

Workspace ONE UEMVMware Identity Managerのテナントを統合し、Device Trustに使用するモバイルSSO認証方法を構成します。

備考

  • SP開始認証フローのみがサポートされます:このSAMLベースの統合では、SP開始認証フローのみがサポートされます。IdP起点フロー(Okta End-User DashboardでSAMLアプリをクリックしてリソースにアクセスしようとするなど)はサポートされていません。

  • このDevice TrustソリューションではWorkspace ONEは保護されません:これを行うと、新規ユーザーが自分のデバイスをWorkspace ONEに登録したり、Device Trustで保護された他のアプリにアクセスすることができなくなります。
  • タイムアウトの問題によりSSOエラーが発生する可能性があります:信頼できないデバイスからDevice Trustで保護されたアプリにサインインするエンドユーザーは、Workspace ONEにデバイスを登録するよう求められます。これは予想される動作ですが、アプリがネイティブアプリであり、Workspace ONEの登録に10分以上かかる場合、またはエンドユーザーが登録後に10分以上待ってからアプリへのアクセスを再試行した場合、アプリ・セッションがタイムアウトしているため、SSOエラーが発生します。該当するエンドユーザーにアプリへのアクセスをもう一度行うように伝えてください。