ステップ1:OktaでVMware Identity ManagerをIDプロバイダーとして構成する
これは早期アクセス機能です。有効にするには、Okta Admin Consoleで[Workspace1 デバイスの信頼]をオンにします。
の順に移動して、モバイルプラットフォームのこのセクションでは、OktaでVMware Identity ManagerをIDプロバイダー(IdP)として構成する方法について説明します。この構成は、統合カタログ、モバイルSSO、およびデバイスの信頼を構成するために必要です。
詳細については、「インバウンドSAMLの構成の典型的なワークフロー」を参照してください。
VMware Identity ManagerのSAMLメタデータ情報を取得する
OktaでIDプロバイダーをセットアップするために必要なSAMLメタデータ情報をVMware Identity Managerから取得します。
- システム管理者としてVMware Identity Managerコンソールにログインします。
- タブを選択します。
- [設定]をクリックします。
- 左側のペインで[SAML Metadata(SAMLメタデータ)]をクリックします。
- 署名証明書をダウンロードします。
- [Signing Certificate(署名証明書)]セクションで、[Download(ダウンロード)]をクリックします。
- 証明書ファイルがダウンロードされる場所(signingCertificate.cer)をメモします。
- SAMLメタデータを取得します。
- [SAML Metadata(SAMLメタデータ)]セクションで、[Identity Provider (IdP) metadata(IDプロバイダーのメタデータ)]リンクを右クリックして、新しいタブまたはウィンドウで開きます。
- IDプロバイダーのメタデータ・ファイルで、次の値を検索し、メモします。
- エンティティID
- Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"を使用したSingleSignOnServiceのURL
例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml
例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso
[Download Metadata(メタデータのダウンロード)]タブが表示されます。
OktaにIDプロバイダーを追加する
Oktaが外部のIDプロバイダーをどのように処理するかに関する詳細は、「IDプロバイダー」をご覧ください。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[SAML 2.0 IdP]を選択します。
- [次へ]をクリックします。
- IDプロバイダーの名前を入力します。例:Workspace ONE。
- 以下を構成します。
- [IdP Username(IdPユーザー名)]:idpuser.subjectNameIdを入力します。
- [Filter(フィルター)]:このチェックボックスは選択しないでください。
- [Match agains(一致対象)]: [Okta Username(Oktaユーザー名)]を選択します。
- [If no match is found(一致が見つからない場合)]:[Redirect to Okta sign-in page(Oktaサインイン・ページにリダイレクト)]を選択します。
- [IdP Issuer URI(IdP発行者URI)]:エンティティIDを入力します。
- [IdP Single Sign-On URL(IdPシングルサインオンURL)]:SingleSignOnService LocationのURLを入力します。
- [IdP Signature Certificate(IdP署名証明書)]:「VMware Identity Manager SAMLメタデータ情報を取得する」でWorkspace ONEからダウンロードした署名証明書ファイルを参照して選択します。
- [Request Authentication Context(認証コンテキストのリクエスト)]:[デバイスの信頼]を選択します。
カスタムSAML属性でユーザー名を送信する場合は、適切な式を定義してください。詳細については、「Okta Expression Language」を参照してください。
環境の必要に応じて選択内容と送信する値を調整します。
これは、Workspace ONEのIDプロバイダーのメタデータ・ファイルから取得した値です。例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml
これは、Workspace ONEのIDプロバイダーのメタデータ・ファイルから取得した値です。例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso
この設定は、認証要求のコンテキストを指定します。
[Request Authentication Context(認証コンテキストのリクエスト)]オプションが利用できない場合は、[設定]>[Features(機能)]に移動して、モバイル・プラットフォームの[Workspace1 デバイスの信頼]を有効化します。
- [終了]をクリックします。
- 次の情報が表示されていることを確認します。
- SAMLメタデータ
- アサーション・コンシューマー・サービスURL
- オーディエンスURI
- メタデータ・ファイルをダウンロードして保存します。
-
[Download Metadata(メタデータのダウンロード)]リンクをクリックします。
-
メタデータ・ファイルをローカルに保存します。
-
メタデータファイルを開いて、「VMware Identity ManagerのSAMLメタデータ情報を取得する」で使用するためにその内容をコピーします。