ステップ1:OktaVMware Identity ManagerをIDプロバイダーとして構成する

これは早期アクセス機能です。有効にするには、Okta Admin Consoleで[設定] [Features(機能)]の順に移動して、モバイルプラットフォームの[Workspace1 デバイスの信頼]をオンにします。

このセクションでは、OktaVMware Identity ManagerをIDプロバイダー(IdP)として構成する方法について説明します。この構成は、統合カタログ、モバイルSSO、およびデバイスの信頼を構成するために必要です。

詳細については、「インバウンドSAMLの構成の典型的なワークフロー」を参照してください。

VMware Identity ManagerのSAMLメタデータ情報を取得する

OktaでIDプロバイダーをセットアップするために必要なSAMLメタデータ情報をVMware Identity Managerから取得します。

  1. システム管理者としてVMware Identity Managerコンソールにログインします。
  2. [Catalog(カタログ)] [Web Apps(ウェブアプリ)]タブを選択します。
  3. [設定]をクリックします。
  4. 左側のペインで[SAML Metadata(SAMLメタデータ)]をクリックします。
  5. [Download Metadata(メタデータのダウンロード)]タブが表示されます。

  6. 署名証明書をダウンロードします。
    1. [Signing Certificate(署名証明書)]セクションで、[Download(ダウンロード)]をクリックします。
    2. 証明書ファイルがダウンロードされる場所(signingCertificate.cer)をメモします。
  7. SAMLメタデータを取得します。
    1. [SAML Metadata(SAMLメタデータ)]セクションで、[Identity Provider (IdP) metadata(IDプロバイダーのメタデータ)]リンクを右クリックして、新しいタブまたはウィンドウで開きます。
    2. IDプロバイダーのメタデータ・ファイルで、次の値を検索し、メモします。
      • エンティティID
      • 例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

      • Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"を使用したSingleSignOnServiceのURL
      • 例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

OktaにIDプロバイダーを追加する

Oktaが外部のIDプロバイダーをどのように処理するかに関する詳細は、「IDプロバイダー」をご覧ください。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[SAML 2.0 IdP]を選択します。
  3. [次へ]をクリックします。
  4. IDプロバイダーの名前を入力します。例:Workspace ONE。
  5. 以下を構成します。
    • [IdP Username(IdPユーザー名)]:idpuser.subjectNameIdを入力します。
    • カスタムSAML属性でユーザー名を送信する場合は、適切な式を定義してください。詳細については、「Okta Expression Language」を参照してください。

    • [Filter(フィルター)]:このチェックボックスは選択しないでください。
    • [Match agains(一致対象)]: [Okta Username(Oktaユーザー名)]を選択します。
    • 環境の必要に応じて選択内容と送信する値を調整します。

    • [If no match is found(一致が見つからない場合)][Redirect to Okta sign-in page(Oktaサインイン・ページにリダイレクト)]を選択します。
    • [IdP Issuer URI(IdP発行者URI)]エンティティIDを入力します。
    • これは、Workspace ONEのIDプロバイダーのメタデータ・ファイルから取得した値です。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

    • [IdP Single Sign-On URL(IdPシングルサインオンURL)]SingleSignOnService LocationのURLを入力します。
    • これは、Workspace ONEのIDプロバイダーのメタデータ・ファイルから取得した値です。例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

    • [IdP Signature Certificate(IdP署名証明書)]「VMware Identity Manager SAMLメタデータ情報を取得する」Workspace ONEからダウンロードした署名証明書ファイルを参照して選択します。
    • [Request Authentication Context(認証コンテキストのリクエスト)][デバイスの信頼]を選択します。
    • この設定は、認証要求のコンテキストを指定します。

      [Request Authentication Context(認証コンテキストのリクエスト)]オプションが利用できない場合は、[設定]>[Features(機能)]に移動して、モバイル・プラットフォームの[Workspace1 デバイスの信頼]を有効化します。

  6. [終了]をクリックします。
  7. 次の情報が表示されていることを確認します。
    • SAMLメタデータ
    • アサーション・コンシューマー・サービスURL
    • オーディエンスURI
  8. メタデータ・ファイルをダウンロードして保存します。
    1. [Download Metadata(メタデータのダウンロード)]リンクをクリックします。

    2. メタデータ・ファイルをローカルに保存します。

    3. メタデータファイルを開いて、「VMware Identity ManagerのSAMLメタデータ情報を取得する」で使用するためにその内容をコピーします。