Workspace ONE SAMLベースのモバイル向けDevice TrustをOkta FastPassに置き換える
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
この手順は、Workspace ONE SAMLベースのモバイル向けDevice Trustを利用しているClassic Engine orgを対象としています。Okta Device TrustをOkta FastPassおよびOkta Verifyに移行する方法については、「モバイルデバイス向けDevice Trust」を参照してください。
Identity Engineにアップグレードした後で、Workspace ONE SAMLベースのモバイル向けDevice Trustを変更することはできません。代わりに、Okta FastPassとOkta Verifyを使用します。
既存のWorkspace ONE SAMLベースのモバイル向けDevice Trust認証は、アップグレード後もIdentity Engineで引き続き機能します。
すべてのアプリサインオンポリシーのWorkspace ONE SAMLベースのモバイル向けDevice Trust条件は、Identity Engineの[Device(デバイス)]:[Registered, Managed(登録済み、管理対象)]条件に変換されます。モバイルデバイスがWorkspace ONEに登録されている場合、そのデバイスは登録済みかつ管理対象のルールに一致します。デバイスがWorkspace ONEに登録されていない場合、そのデバイスは登録済みではあるが管理対象外のルールに一致します。
この手順を開始する
OIEアップグレードハブからアップグレードの適格性をチェックする
Identity Engineにアップグレードするには、orgが事前に特定の構成条件を満たす必要があります。OIE Upgrade Hub(OIEアップグレードハブ)を使ってorgをチェックし、アップグレードのスケジューリング前に完了しなければならないアクションアイテムのリストを確認します。
-
Admin ConsoleでOIE Upgrade Hub(OIEアップグレードハブ)を開きます。
-
[Update eligibility(アップグレードの適格性)]をクリックし、返されるアクションアイテムを確認します。アップグレードを不適格にしているWorkspace ONEモバイル向けDevice Trustに関連するアイテムが表示されるはずです。適格性の詳細については、「セルフサービスアップグレードのアクションアイテム」を参照してください。
-
Workspace ONEモバイル向けDevice Trustアクションアイテムのブロックを解除します:Admin Consoleで を開きます。
-
[Migration Support for Workspace ONE Device Trust for Android and iOS(AndroidおよびiOS向けWorkspace ONE Device Trustの移行サポート)]という機能を特定し、トグルをクリックして有効化します。
-
OIE Upgrade Hub(OIEアップグレードハブ)に戻り、[Update eligibility(アップグレードの適格性)]をもう一度クリックします。今度はorgのアップグレードが適格になるはずです。orgのアップグレードが適格として表示されないときは、アカウント担当者までお問い合わせください。
-
OIEアップグレードハブで[Schedule upgrade(アップグレードのスケジューリング)]をクリックします。アップグレードの日時を選択します。
Workspace ONE SAMLベースのモバイル向けDevice Trustが機能することを確認する
Workspace ONE SAMLベースのモバイル向けDevice Trustは、アップグレード後も有効です。Okta FastPassはまだ有効になっていません。エンドユーザーエクスペリエンスはOkta Classic Engineと同じです。デバイス条件によって保護されるアプリにユーザーがアクセスを試みると、OktaはユーザーをWorkspace ONEにリダイレクトしてユーザーを認証し、デバイスの管理ステータスを検証します。検証後、ユーザーはアプリアカウントにアクセスできます。
Workspace ONE SAMLベースのモバイル向けDevice Trustは、まだ削除しないでください。このアクションを元に戻すことはできません。
- Workspace ONE SAMLベースのモバイル向けDevice Trustの構成がIdentity Engineに移行されたことを確認します。
- Admin Consoleで に移動します。
- [エンドポイントセキュリティ]タブをクリックします。
- 一覧表示されるプラットフォームがアップグレード前の手順で特定したデバイスタイプに一致することを確認します。たとえば、Okta Classic EngineでAndroidおよびiOS向けDevice Trustが有効な場合、[エンドポイントセキュリティ]ページにはこれらのプラットフォームが表示されます。
- 認証ポリシーに、登録済みおよび管理対象デバイス条件のルールが含まれていることを確認します。
- Admin Consoleで に移動します。
- 確認するポリシーを選択します。
- ポリシー内のルールの1つは、[Device(デバイス)]:[Registered, Managed(登録済み、管理対象)]を示すはずです。
- 次のSystem Logイベントを表示して、Workspace ONE SAMLベースのモバイル向けDevice Trustがまだ機能していることを確認します。
認証
- DisplayMessage:SAML IdPによるデバイスの認証
- EventType:user.authentication.authenticate
- LegacyEventType:
- デバイスがWorkspace ONEの管理対象である場合:core.user_auth.authentication.auth_via_saml_idp_success
- デバイスがWorkspace ONEの管理対象外である場合:core.user_auth.authentication.auth-via_saml_idp_failure
- 複数のオペレーティングシステムで次の項目を確認します。
- 既存のユースケースがすべて機能する。たとえば、Device Trustが有効なモバイルデバイスを利用するユーザーは認証可能です。
- すべてのアプリサインオンポリシーが正しく移行されている。Workspace ONE SAMLベースのモバイル向けDevice Trustが保護するアプリであれば、[Managed(管理対象)]と[Registered(登録済み)]の条件がルールに含まれている必要があります。
- 新しい登録が機能する(該当する場合)。
一部のユーザーに対してOkta FastPassを有効にする
次のシナリオを検討し、「デバイス登録」を参照します。
Okta Verifyがインストールされていない、またはOkta Verifyはインストールされているが、ユーザーが持つアカウントはOkta Classic Engineのみ。 | Workspace ONE SAMLベースのモバイル向けDevice Trustによって保護されるアプリにユーザーがアクセスを試みると、orgのサインインページが表示されます。Oktaは、Okta Verifyに対してユーザーのデバイスを調査します。Device Trustの評価のためにユーザーはWorkspace ONE IDプロバイダーにリダイレクトされ、その後、サインインページに再度リダイレクトされます。Oktaはデバイスポスチャーを収集し、デバイスがアプリのサインオンポリシーを満たすことを評価します。 |
デバイスにOkta Verifyはインストールされているが、ユーザーはどのアカウントも持っていない。 | Workspace ONE SAMLベースのモバイル向けDevice Trustによって保護されるアプリにユーザーがアクセスを試みると、Okta Verifyアカウントの追加が求められます。Device Trustステータスを提供したのがOkta Verifyであるため、認証フローはWorkspace ONE認証なしで完了します。 |
- Workspace ONE SAMLベースのモバイル向けDevice Trustを無効にしたときは、「モバイルデバイスの管理証明を構成する」の手順を完了します。その上で、次の手順に進みます。
- Okta FastPass用にエンタープライズデバイスを準備します。すべてのデバイスに最新バージョンのOkta Verifyアプリをプッシュします。MDMを使ってユーザーのインライン登録を有効にします。「デバイス登録」と「管理対象デバイス」を参照してください。
- アプリ認証ポリシーを更新します。該当するプラットフォームごとに管理対象ルールがあることを確認します。[User must authenticate with(ユーザーが使用する認証方法)]の値を[Any 1 factor type(任意の1要素タイプ)]に変更します。
- 信頼できるiOSを許可:
- [Platform(プラットフォーム)]:iOS
- [Device(デバイス)]:[Registered, Managed(登録済み、管理対象)]
- [User must authenticate with(ユーザーが使用する認証方法)]:[Any 1 factor type(任意の1要素タイプ)]
- 信頼できるAndroidを許可:
- [Platform(プラットフォーム)]:Android
- [Device(デバイス)]:[Registered, Managed(登録済み、管理対象)]
- [User must authenticate with(ユーザーが使用する認証方法)]:[Any 1 factor type(任意の1要素タイプ)]
認証ポリシーの設定の詳細については、「Okta FastPassを使ったパスワードなしの認証のための認証ポリシーを構成する」を参照してください。
この手順を完了すると、ユーザーが次にOktaにアクセスする際にOkta Verifyへの登録が自動的に求められます。ユーザーがOkta Verifyをインストールし、アカウントを追加(登録)した場合、Okta FastPassを使用してサインインするようになります。つまり、デバイスは信頼されています。Okta Verifyアカウントを持たないユーザーは、サインインにWorkspace ONE SAMLベースのモバイル向けDevice Trustを使用します。
- 信頼できるiOSを許可:
- Okta FastPassを有効にします。これはグローバル設定ですが、次のユーザーカテゴリのみがOkta FastPassにアクセスできます。
- インライン登録されているユーザー。
- Okta Verifyに登録され、MDM登録デバイスを利用するユーザー。
Okta FastPassを有効にするときは、 Workspace ONE SAMLベースのモバイル向けDevice Trustを無効にする前に、[Okta FastPass (all platforms)(Okta FastPass(すべてのプラットフォーム))]チェックボックスを必ず選択してください。
- Okta FastPassが有効なときは、次のシナリオを確認します。
- Okta Verifyには登録されていないが、Workspace ONE SAMLベースのモバイル向けDevice Trustに登録されているユーザーは、管理対象のアプリに正しくアクセスできるはずです。
- Okta Verifyに登録されていないユーザーは、Okta Verifyに登録できるはずです。
- 管理対象デバイスからOkta Verifyに登録したユーザーは、管理対象のアプリに正常にアクセスできるはずです。
- 管理対象外デバイスからOkta Verifyに登録したユーザーは、移行前と同じ方法でアプリにアクセスできるはずです。
すべてのユーザーに対してOkta FastPassを有効にする
Okta Verifyへの登録をユーザーに促します。すべてのユーザーがOkta FastPassが有効なOkta Verifyアカウントを持ち、Workspace ONE SAMLベースのモバイル向けDevice Trustが不要になるのが理想的です。
- すべてのユーザーにOkta Verifyへの登録を求めるか、すべてのユーザーデバイスにデプロイします。適切なリンクをユーザーと共有します。
- 次の項目を確認します。
- MDMを利用するすべてのユーザーにOkta Verifyがデプロイされている。
- すべてのユーザーが管理証明書を持ち、MDMを利用している(タスク2の手順2を参照)。
- すべてのユーザーが、Workspace ONE SAMLベースのモバイル向けDevice Trustではなく、Okta Verifyを使ってデバイスからアプリにアクセスする(タスク1の手順3を参照)。
Workspace ONE SAMLベースのモバイル向けDevice Trustを削除する
すべてのユーザーがOkta FastPassを使用するようになったら、Workspace ONE SAMLベースのモバイル向けDevice Trustを削除できます。
- システムログイベントを表示して、Workspace ONE SAMLベースのモバイル向けDevice Trustの信号が存在しないことを確認します(タスク2の手順3を参照)。Workspace ONE SAMLベースのモバイル向けDevice Trustの信号が存在するときは、これらのユーザーをOkta Verifyに移行します。これは、Okta Verifyを使用していないすべてのユーザーに影響します。
- Workspace ONE SAMLベースのモバイル向けDevice Trustを削除します。
- Admin Consoleで に移動します。
- [Endpoint security(エンドポイントセキュリティ)]をクリックします。
- 必要なプラットフォームについて、 をクリックします。このアクションは永続的であり、元に戻すことはできません。
- インフラストラクチャからWorkspace ONEを廃止します。