Okta Device TrustをiOSおよびAndroidデバイス用のOmnissa Workspace ONEと統合する

この統合は、主にSAML信頼接続に基づいています。Oktaのコンテキストアクセス管理ポリシーフレームワークの機能とOmnissa Workspace ONEからのデバイス信号を組み合わせて、安全でシームレスなエンドユーザーエクスペリエンスを提供します。Workspace ONEでデバイスコンテキストをSAMLアサーションに追加できるようにすることで、企業はOktaのポリシーフレームワークを活用して、ユーザーに管理対象外のデバイスの登録または多要素認証の課題への対応を要求できます。

この統合を構成することで、エンドユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に使い慣れた一貫的なログインエクスペリエンスを提供することもできます。

このガイドでは、OktaとWorkspace ONEでサポートされているユースケースを構成してテストするための詳細な手順を示します。OktaをWorkspace ONEと統合するには、Workspace ONE AccessをOktaと統合します。Workspace ONE Accessは、Workspace ONEのIDコンポーネントです。

オーディエンス

この情報は、OktaとWorkspace ONE Accessに精通している経験豊富な管理者を対象としています。

ユースケース

OktaとWorkspace ONEの統合でサポートされる主なユースケースは次のとおりです。

1. OktaとOmnissa Workspace ONEを使用してモバイルデバイスにDevice TrustとSSOを適用する
2. Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する

1. OktaとOmnissa Workspace ONEを使用してモバイルデバイスにDevice TrustとSSOを適用する

OktaとOmnissa Workspace ONEを使用してモバイルデバイスにDevice TrustとSSOを適用する

2. Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する

Oktaを使用して合理化されたデバイス登録とWorkspace ONEログインを構成する

このユースケースを構成することで、エンドユーザーに合理化されたデバイス登録エクスペリエンスを提供することや、Oktaの拡張多要素認証をWorkspace ONEのアプリケーションに活用することや、ユーザーと管理者に一貫した使い慣れたログインエクスペリエンスを提供することができます。

この構成は、Workspace ONEのIDコンポーネントであるWorkspace ONE Accessで構成されます。

このユースケースを構成するには：

両方のユースケースを組み合わせる場合は、最初にこのユースケースを構成してから、「OktaとOmnissa Workspace ONEを使用してDevice TrustとSSOを適用する」を構成します。

オプション： エンドユーザーがOkta DashboardまたはWorkspace ONEダッシュボードからアプリにアクセスできるようにします。どちらのエクスペリエンスも完全にサポートされています。Oktaを介してフェデレーションされたアプリケーションを最初にWorkspace ONE Accessにインポートすることなく公開するように、Workspace ONEカタログを構成することができます。

詳細については、「OktaアプリをWorkspace ONEカタログに公開する」を参照してください。

要件

Workspace ONEとOktaの統合を開始する前に、環境が以下の要件を満たしていることを確認してください。

Components（コンポーネント）

Workspace ONE

• システム管理者ロールを持つWorkspace ONE Accessテナント
• Workspace ONE統合エンドポイント管理（UEM）テナント
• Workspace ONE Accessコネクター
• Workspace ONE Access AirWatch Cloud Connector（ACC）

  ACCは、Workspace ONE UEMを使用する場合にのみ必要です。

  既存のデプロイメントでユーザーがWorkspace ONE UEMからWorkspace ONE Accessに同期される場合、Workspace ONE Accessコネクターは必要ありません。新しいデプロイメントでは、Workspace ONE Accessコネクターを使用してActive DirectoryからWorkspace ONE Accessにユーザーを同期することをお勧めします。

Okta

• スーパー管理者またはOrg管理者のロールを持つOkta org（テナント）
• Oktaサポートにより有効化されたWorkspace ONEのDevice Trust
• Oktaサポートにより有効化されたIDプロバイダーのルーティングルール（IdPディスカバリー）

サポートされているアプリとデバイス

• iOSまたはAndroid SAMLあるいはWS-Fedクラウドアプリ
• OktaでサポートされているiOSおよびAndroidオペレーティングシステムのバージョンを実行しているデバイス

Workspace ONEとWorkspace ONE Accessを統合する

Workspace ONE UEMとWorkspace ONE Accessのテナントを統合し、Device Trustに使用するモバイルSSO認証方法を構成します。

備考

• Device Trustは、Okta Mobileからアクセスされるアプリには適用されません。
• 最高のエンドユーザーエクスペリエンスを実現するためにデバイスをWorkspaceONEに登録します：AndroidまたはiOSデバイスがすでにWorkspace ONE UEMに登録されている場合、エンドユーザーの企業リソースへのアクセス体験が向上します。未登録のiOSおよびAndroidデバイスを使用するエンドユーザーの場合は、Device Trustできる保護されたアプリにアクセスする前に、Workspace ONE UEMの登録プロセスを案内されます。
• このDevice TrustソリューションではWorkspace ONEは保護されません：これを行うと、新規ユーザーが自分のデバイスをWorkspace ONEに登録したり、Device Trustで保護された他のアプリにアクセスすることができなくなります。
• タイムアウトの問題によりSSOエラーが発生する可能性があります：信頼できないiOSまたはAndroidデバイスからDevice Trustできる保護されたアプリにサインインするエンドユーザーは、WorkspaceONEにデバイスを登録するよう求められます。これは予想される動作ですが、アプリがネイティブアプリであり、Workspace ONEの登録に10分以上かかる場合、またはエンドユーザーが登録後に10分以上待ってからアプリへのアクセスを再試行した場合、アプリセッションがタイムアウトしているため、SSOエラーが発生します。該当するエンドユーザーにアプリへのアクセスをもう一度行うように伝えてください。

• Device Trustによって保護されたアプリは、Okta End-User Dashboardにロック済みとして表示されます。次の条件下でDevice Trustによって保護されたアプリの横に、ロックアイコンが表示されます。

  • エンドユーザーがデスクトップまたはモバイルのブラウザー（Okta Mobile以外）でダッシュボードにアクセスした。
  • OrgでDevice Trustが有効になっている。
  • デバイスが信頼されていない。
  • エンドユーザーがダッシュボードからDevice Trustで保護されたアプリにアクセスしようとした。