Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace...

35
Okta VMware Workspace ONE の統合 2019 4 VMware Workspace ONE

Transcript of Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace...

Page 1: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Okta と VMwareWorkspace ONE の統合2019 年 4 月VMware Workspace ONE

Page 2: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Okta と VMware Workspace ONE の統合

VMware, Inc. 2

VMware Web サイトで最新の技術ドキュメントをご確認いただけます。

https://docs.vmware.com/jp/

VMware の Web サイトでは、最新の製品アップデートを提供しています。

本書に関するご意見、ご要望をお寄せください。フィードバック送信先:

[email protected]

Copyright © 2018、2019 VMware, Inc. All rights reserved. 著作権および商標.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013 東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Page 3: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

内容

Okta と VMware Workspace ONE の統合 4

1 要件 5

2 Workspace ONE と Okta の統合についての概要 7

主なユースケース 7

3 Workspace ONE の ID プロバイダとして Okta を構成 10

VMware Identity Manager で、新しい ID プロバイダの作成を開始します。 10

Okta での新しい SAML アプリケーションの作成 11

VMware Identity Manager での新しい ID プロバイダ作成の完了 13

VMware Identity Manager のアクセス ポリシーへの Okta 認証方法の追加 15

Okta でのユーザーへのアプリの割り当て 16

4 Okta での VMware Identity Manager の ID プロバイダとしての構成 17

VMware Identity Manager の SAML メタデータ情報の取得 17

Okta への ID プロバイダの追加 18

VMware Identity Manager での Okta アプリケーション ソースの構成 21

5 Okta ID プロバイダ ルーティング ルールの構成 24

6 Workspace ONE での条件付きアクセス ポリシーの構成 27

7 VMware Identity Manager での Okta アプリケーションの構成 30

VMware Identity Manager での Okta テナント情報の追加 31

VMware Identity Manager での Okta アプリケーション ソースの構成 33

すべてのユーザーへの Okta アプリケーション ソースの割り当て 33

8 エンド ユーザーが Okta パスワード ポリシーを使用してパスワードを変更できるよう

にする 34

VMware, Inc. 3

Page 4: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Okta と VMware Workspace ONE の統合

『Okta と VMware Workspace ONE の統合』では、VMware Workspace ONE® プラットフォームと Okta の統合に関する情報を提供しています。特定の使用事例について説明し、それらの使用事例をサポートする VMwareIdentity Manager™(Workspace ONE プラットフォームの ID コンポーネント)および Okta の構成方法についての手順を示します。

対象者

ここに記載されている情報は、Windows または Linux のシステム管理者としての経験があり、仮想マシン テクノロジおよびデータセンターの運用に詳しい方を対象としています。

VMware Identity Manager のクラウド リリース(2019 年 4 月)の新機能

VMware Identity Manager のクラウド リリース(2019 年 4 月)では、次の新機能を利用できます。

n Workspace ONE には、Okta 経由でフェデレートされたアプリケーションを、VMware Identity Manager にインポートせずに、Workspace ONE カタログに直接公開する機能が追加されました。これにより、フェデレートされたアプリケーションとユーザー資格を Okta 管理コンソールから完全に管理できます。

n VMware Workspace ONE Intelligent Hub アプリケーション、Workspace ONE アプリケーション、およびWeb ポータルのパスワード機能変更は、Okta のパスワード管理フレームワークと Okta で定義されたパスワード ポリシーを使用するようになりました。

注: Intelligent Hub を有効にする方法については、『VMware Workspace ONE Intelligent Hub のデプロイ』ガイドを参照してください。

追加情報

n VMware のドキュメント

n VMware Workspace ONE

n VMware Identity Manager

n VMware Workspace ONE UEM

n Okta のドキュメント

VMware, Inc. 4

Page 5: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

要件 1VMware Workspace ONE® と Okta の統合を始める前に、次の要件を満たしていることを確認します。

コンポーネント

必要なコンポーネントは次のとおりです。

n VMware Identity Manager™ テナント

必要なロール:システム管理者

n Okta テナント

必要なロール:スーパー管理者または組織管理者

n Workspace ONE® UEM のテナント

モバイル SSO とデバイス信頼のフローを構成する場合は、Workspace ONE UEM が必要です。

n VMware Identity Manager Connector

注: 既存の展開で Workspace ONE UEM から VMware Identity Manager にユーザーを同期する場合、VMwareIdentity Manager Connector は不要です。新しい展開では、VMware Identity Manager Connector を使用して Active Directory から VMware Identity Manager にユーザーを同期することをお勧めします。

n Okta AD エージェント

n VMware AirWatch® Cloud Connector™ (ACC)

Workspace ONE UEM と VMware Identity Manager の統合Okta を統合する前に、Workspace ONE UEM と VMware Identity Manager テナントを統合し、デバイス信頼に使用するモバイル SSO 認証方法を構成します。

VMware, Inc. 5

Page 6: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Active Directory の統合Workspace ONE と Okta を統合する前に、Active Directory を統合し、ユーザーを同期します。Active Directoryは以下と統合する必要があります。

n VMware Identity Manager(VMware Identity Manager Connector を使用)

注: 既存の展開で Workspace ONE UEM から VMware Identity Manager にユーザーを同期する場合、これは不要です。新しい展開では、VMware Identity Manager Connector を使用して Active Directory からVMware Identity Manager にユーザーを同期することをお勧めします。

n Workspace ONE UEM(AirWatch Cloud Connector (ACC) を使用)

n Okta 組織(Okta AD エージェントを使用)

同じユーザーをすべての環境に同期していることを確認します。

Okta と VMware Workspace ONE の統合

VMware, Inc. 6

Page 7: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Workspace ONE と Okta の統合についての概要 2VMware Workspace ONE は、iOS、Android、および Windows 10、Mac OS の各デバイス上でアプリケーションを提供および管理する、セキュリティで保護されたエンタープライズ用プラットフォームです。ID、アプリケーション、およびエンタープライズ モビリティ管理は、Workspace ONE プラットフォームに統合されます。

VMware Identity Manager と VMware Workspace ONE UEM は、Workspace ONE プラットフォームの一部です。VMware Identity Manager は Workspace ONE の一部として、エンタープライズ ID の統合サービスと、Webおよびモバイルのシングル サインオン (SSO) サービスを提供します。VMware Identity Manager は、スタンドアロンのフェデレーション ID プロバイダ (IDP) として使用できます。統合アプリ カタログ ポータルやデバイス ポスチャに基づく条件付きアクセスなど、既存の IDP および SSO ソリューションを補完する追加サービスを提供します。VMware Identity Manager は、フェデレーション IDP またはサービス プロバイダ (SP) として他の SSO および IDPソリューションと統合できます。この統合は通常、SAML 信頼接続に基づきます。

このガイドでは、Okta と Workspace ONE の統合環境でサポートされている使用事例の構成およびテスト手順について解説しています。Workspace ONE を Okta と統合するには、Workspace ONE の ID コンポーネントであるVMware Identity Manager を Okta と統合します。

主なユースケース

Workspace ONE と Okta 統合でサポートされている主なユースケースには、Okta 認証の使用による WorkspaceONE ログインの有効化、Okta アプリケーションの Workspace ONE カタログへの追加、ネイティブ アプリケーションと Web アプリケーションとの間でのデバイス信頼の有効化が含まれます。

Okta の使用による Workspace ONE ログイン

信頼された ID プロバイダとして Okta を使用するように Workspace ONE アプリケーションと Web ポータルを構成することにより、エンド ユーザーは Okta 認証ポリシーを使用してログインできます。このユースケースは、Horizon のアプリケーションとデスクトップを起動するために Workspace ONE アプリケーションとポータルを使用しているが、まだ Workspace ONE UEM を展開してデバイスを管理していない VMware Horizon® のお客様にも適用されます。

このユースケースを実装するには、次のように構成します。

章 3 「Workspace ONE の ID プロバイダとして Okta を構成」

VMware, Inc. 7

Page 8: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

統合カタログ

Workspace ONE カタログは、Okta 経由でフェデレートされたアプリケーションに加え、Workspace ONE によって構成されている他のアプリケーション(Horizon および Citrix のアプリケーションとデスクトップ、WorkspaceONE UEM を装備したネイティブ アプリケーションなど)を公開するよう構成できます。これにより、エンドユーザーは単一のアプリケーションに移動して、一定のユーザー エクスペリエンスで任意のデバイスからエンタープライズ アプリケーションを検出、起動、またはダウンロードできます。

注: Okta 経由でフェデレートされた SAML アプリケーションのみが Workspace ONE カタログで公開できます。Okta SWA アプリケーションは公開できません。

このユースケースを実装するには、次のように構成します。

1 「VMware Identity Manager での Okta アプリケーション ソースの構成」

2 章 7 「VMware Identity Manager での Okta アプリケーションの構成」

デバイス信頼

Workspace ONE と Okta を統合することにより、管理者はエンド ユーザーからの機密性の高いアプリケーションへのアクセスを許可する前にポスチャを評価する(デバイスが管理されておりコンプライアンスが維持されているかど

うかなど)ことによってデバイス信頼を確立できます。デバイス ポスチャ ポリシーは Workspace ONE で確立され、ユーザーが保護対象のアプリケーションにログインした際に評価されます。

この図には、例として、Salesforce アプリケーションを使用しているログイン フローを示します。

図 2‑1. デバイス信頼のフロー

Idp 検出 ルーティング

ルール

重要な アプリケーション

管理対象外

すべて OK加入

デバイスブロック アクセス

管理対象だが 非準拠

Workspace ONE

デバイス 信頼チェック

1

2

7

6

3 4

5

1 エンド ユーザーは、Salesforce テナントへのアクセスを試行します。

2 Salesforce は Okta に、構成されている ID プロバイダとしてリダイレクトします。

3 Okta は受信要求を処理し、構成済みのルーティング ルールに基づいて Workspace ONE IDP にクライアントをルーティングします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 8

Page 9: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

4 Workspace ONE はクライアント デバイスの認証情報でチャレンジします。

5 Workspace ONE はデバイスのコンプライアンス ステータスをチェックします。

6 Workspace ONE で認証に成功すると、クライアント デバイスは Okta にリダイレクトされます。

7 Okta は Workspace ONE から SAML アサーションを検証し、Salesforce の SAML アサーションを発行します。

このユースケースを実装するには、次のように構成します。

1 章 4 「Okta での VMware Identity Manager の ID プロバイダとしての構成」

デバイス信頼チェックに向けて Workspace ONE での SAML ベースの関係を確立します。

2 章 5 「Okta ID プロバイダ ルーティング ルールの構成」

Workspace ONE に指定のデバイス タイプとアプリケーションの認証要求をルーティングします。

3 章 6 「Workspace ONE での条件付きアクセス ポリシーの構成」

Workspace ONE アクセス ポリシーを確立または確認します。

すべてのユースケースをカバーする End-to-End セットアップ

3 つすべてのユースケースをカバーするよう Workspace ONE と Okta 統合を設定するには、次のように構成します。

1 章 3 「Workspace ONE の ID プロバイダとして Okta を構成」

Okta を Workspace ONE の IDP として構成

2 章 4 「Okta での VMware Identity Manager の ID プロバイダとしての構成」

Workspace ONE との関係を確立

3 章 5 「Okta ID プロバイダ ルーティング ルールの構成」

指定のデバイスまたはセッションを Workspace ONE にルーティング

4 章 6 「Workspace ONE での条件付きアクセス ポリシーの構成」

Workspace ONE アクセス ポリシーを確立または確認します。

5 章 7 「VMware Identity Manager での Okta アプリケーションの構成」

Okta アプリケーションをエンド ユーザーの Workspace ONE カタログで使用できるようにします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 9

Page 10: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Workspace ONE の ID プロバイダとして Okta を構成 3このセクションでは、Workspace ONE に ID プロバイダとして Okta を構成するプロセスについて説明します。この構成は、仮想化されたアプリケーションで効率的なアクセスを実現したり、Workspace ONE のアプリケーションで Okta の拡張可能な多要素認証を利用可能にしたり、ユーザーおよび管理者のログインを一貫した使いやすい仕様にするために使用できます。

この構成は、Workspace ONE の ID コンポーネントである VMware Identity Manager で実行されます。

この章には、次のトピックが含まれています。

n VMware Identity Manager で、新しい ID プロバイダの作成を開始します。

n Okta での新しい SAML アプリケーションの作成

n VMware Identity Manager での新しい ID プロバイダ作成の完了

n VMware Identity Manager のアクセス ポリシーへの Okta 認証方法の追加

n Okta でのユーザーへのアプリの割り当て

VMware Identity Manager で、新しい ID プロバイダの作成を開始します。

VMware Identity Manager コンソールで新しいサード パーティ ID プロバイダを作成し、SAML メタデータ情報を検索します。

手順

1 VMware Identity Manager コンソールにシステム管理者としてログインします。

2 [ID とアクセス管理] タブをクリックしてから、[ID プロバイダ] をクリックします。

3 [ID プロバイダを追加] をクリックして、[サードパーティ IDP を作成] を選択します。

VMware, Inc. 10

Page 11: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

4 ページの一番下の [SAML 署名付き証明書] セクションまでスクロールします。

5 [サービス プロバイダ (SP) メタデータ] リンクをクリックし、新しいタブで開きます。

6 SAML メタデータ ファイルで、次の値を検索します。

n [エンティティ ID]

例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml

n [HTTP POST] バインドの [AssertionConsumerService の場所]

例:https://tenant.vmwareidentity.com/SAAS/auth/saml/response

これらの値は次のタスクで使用します。

Okta での新しい SAML アプリケーションの作成Okta 管理コンソールで新しい SAML アプリケーションを作成します。

手順

1 Okta 組織にログインして管理者ユーザー インターフェイスに移動します。

2 [Applications] - [Applications] の順に移動します。

3 [Add Application] をクリックします。

4 [Create New App] をクリックします。

5 [Web] を [Platform] として、[SAML 2.0] を [Sign on method] として選択します。

6 [Create] をクリックします。

7 アプリケーションの名前(Workspace ONE SAML など)を入力します。

8 [次へ] をクリックします。

9 以下の情報を入力します。

オプション 説明

シングル サインオン URL AssertionConsumerService の URL を入力します。

これは 「VMware Identity Manager で、新しい ID プロバイダの作成を開始します。」 にある Workspace ONE の SAML メタデータから取得した URL です。例:

https://tenant.vmwareidentity.com/SAAS/auth/saml/response

対象者の URI(SP エンティティ ID): エンティティ ID を入力します。

これは 「VMware Identity Manager で、新しい ID プロバイダの作成を開始します。」 にある Workspace ONE の SAML メタデータから取得したエンティティ ID です。例:

https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml

名前 ID の形式 [Unspecified] を選択します。

アプリケーションのユーザー名 [Okta username] を選択します。

アプリケーション ユーザー名のマッピングは次のセクションで定義します。[Okta username]は Workspace ONE のユーザー プリンシパル名 (UPN) にマッピングされます。

Okta と VMware Workspace ONE の統合

VMware, Inc. 11

Page 12: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

10 [次へ] をクリックします。

11 [I'm an Okta customer adding an internal app] を選択します。

12 [This is an internal app that we have created] ボックスを選択します。

13 [終了] をクリックします。

14 新しいアプリケーションの [Sign On] メニューの [Settings] セクションから、[Identity Provider metadata] のURL を見つけてコピーします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 12

Page 13: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

VMware Identity Manager での新しい ID プロバイダ作成の完了VMware Identity Manager コンソールに戻り、新しいサードパーティ ID プロバイダの作成を完了させます。

手順

1 新しい ID プロバイダのページで、次の情報を入力します。

オプション 説明

ID プロバイダ名 Okta SAML IdP など、新しい ID プロバイダの名前を入力します。

SAML 認証要求のバインド HTTP Post を選択します。

注: このフィールドは、[SAML メタデータ] セクションで、メタデータ URL を入力し、[IdPメタデータの処理] をクリックした後に表示されます。

SAML メタデータ a [ID プロバイダ メタデータ] テキスト ボックスで、Okta からコピーしたメタデータ URLを入力します。例:

https://<yourOktaTenant>/app/appId/sso/saml/metadata

b [IdP メタデータの処理] をクリックします。

c [SAML 応答からの名前 ID 形式のマッピング] セクションで、[+] アイコンをクリックし、次の値を選択します。

[名前 ID の形式]:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

[名前 ID 値]: userPrincipalName

注: Okta で定義されているアプリケーションのユーザー名の値に一致するユーザー属性を選択します。

ユーザー この ID プロバイダを使用して認証するディレクトリを選択します。

Okta と VMware Workspace ONE の統合

VMware, Inc. 13

Page 14: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

オプション 説明

ネットワーク この ID プロバイダにアクセスできるネットワークを選択します。

認証方法 次のように入力します。

[認証方法]: Okta SAML IdP メソッド

[SAML コンテキスト]:urn:oasis:names:tc:SAML:

2.0:ac:classes:PasswordProtectedTransport

Okta と VMware Workspace ONE の統合

VMware, Inc. 14

Page 15: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

2 [追加] をクリックします。

VMware Identity Manager のアクセス ポリシーへの Okta 認証方法の追加

Okta を VMware Identity Manager のサードパーティ ID プロバイダとして設定した後、新しく作成した認証方法をVMware Identity Manager のアクセス ポリシーに追加します。

手順

1 VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックしてから [ポリシー] をクリックします。

2 ポリシーを選択して編集するか、[ポリシーを追加] をクリックして新しいポリシーを作成します。

3 新しいポリシーを作成する場合は、ポリシーの名前と説明を入力します。

4 ポリシー ルールを条件に一致するよう追加または編集し、必要に応じて Okta SAML IdP メソッドを使用します。

例:

ユーザーのネットワーク範囲が [すべての範囲] で、

ユーザーが [Web ブラウザ] からコンテンツにアクセスし、

ユーザーが属するグループが空白(すべてのユーザー)である場合

アクション [以下を認証に使用...] を実行すると、

ユーザーは [Okta SAML IdP メソッド] を使用して認証

注: 「VMware Identity Manager での新しい ID プロバイダ作成の完了」 で IDP 用に作成した認証方法を選択します。

Okta と VMware Workspace ONE の統合

VMware, Inc. 15

Page 16: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

5 [保存] をクリックします。

Okta でのユーザーへのアプリの割り当てセットアップの完了後、Okta の組織に戻り、新規作成した Workspace ONE アプリケーションをユーザーに割り当てます。最初に少数のユーザーにアプリケーションの割り当てを行い、統合をテストします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 16

Page 17: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Okta での VMware Identity Managerの ID プロバイダとしての構成 4このセクションでは、Okta で VMware Identity Manager を ID プロバイダとして構成するプロセスについて説明します。この構成は、加入済みデバイス上のユーザーにモバイル SSO(パスワードレス認証)を提供するのに加え、AirWatch によって構成および管理され Workspace ONE によって適用されるデバイス コンプライアンスに基づく条件付きアクセスを提供するのにも使用できます。

詳細については、Okta ID プロバイダ ドキュメントの「インバウンド SAML の構成」セクションを参照してください。

この章には、次のトピックが含まれています。

n VMware Identity Manager の SAML メタデータ情報の取得

n Okta への ID プロバイダの追加

n VMware Identity Manager での Okta アプリケーション ソースの構成

VMware Identity Manager の SAML メタデータ情報の取得Okta で ID プロバイダを設定するために必要な SAML メタデータ情報を VMware Identity Manager から取得します。

手順

1 VMware Identity Manager コンソールにシステム管理者としてログインします。

2 [カタログ] - [Web アプリケーション] タブを選択します。

3 [設定] をクリックします。

4 左側のペインで、[SAML メタデータ] をクリックします。

[メタデータのダウンロード] タブが表示されます。

5 署名付き証明書をダウンロードします。

a [署名付き証明書] セクションで、[ダウンロード] をクリックします。

b ダウンロードした signingCertificate.cer ファイルの場所を書き留めます。

VMware, Inc. 17

Page 18: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

6 SAML メタデータを取得します。

a [SAML メタデータ] セクションで、[ID プロバイダ (IdP) メタデータ] リンクを右クリックして新しいタブまたはウィンドウで開きます。

b ID プロバイダのメタデータ ファイルで次の値を検索して書き留めます。

n [エンティティ ID]

例:https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

n [SingleSignOnService] URL ([Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"])

例:https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

Okta への ID プロバイダの追加ID プロバイダ (IDP) レコードを Okta で作成します。

Okta による外部 ID プロバイダの処理方法に関する詳細については、ID プロバイダにおける Okta のドキュメントを参照してください。

手順

1 管理者権限、または ID プロバイダを追加する資格が付与されている他のロールで、Okta 管理コンソールにログインします。

2 [Security] - [Identity Providers] の順に移動します。

3 [ID プロバイダを追加] をクリックします。

4 ID プロバイダの名前を入力します。たとえば、Workspace ONE などです。

Okta と VMware Workspace ONE の統合

VMware, Inc. 18

Page 19: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

5 以下の情報を入力します。

オプション 説明

IdP ユーザー名 [idpuser.subjectNameId]

カスタム SAML 属性でユーザー名を送信する場合は、適切な式を定義します。詳細については、https://developer.okta.com/reference/okta_expression_language を参照してください。

フィルタ チェック ボックスを選択解除します。

全文検索 [Okta Username]

選択や送信する値を、環境に合わせて適宜調整します。

詳細については、「Directory Alignment」の章を参照してください。

一致が見つからない場合 [Redirect to Okta sign-in page]

IdP 発行者 URI エンティティ ID を入力します。

これは、Workspace ONE からの ID プロバイダのメタデータ ファイルから取得した値です。例:

https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

IdP のシングル サインオン URL SingleSignOnService の場所の URL を入力します。

これは、Workspace ONE からの ID プロバイダのメタデータ ファイルから取得した値です。例:

https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

IdP 署名証明書 Workspace ONE からダウンロードした署名付き証明書ファイルを参照し、選択します。

ヒント: *.pem ファイルや *.crt ファイルを検索するには、ファイル拡張子またはデフォルト ブラウザのフィルタを変更する必要があります。

Okta と VMware Workspace ONE の統合

VMware, Inc. 19

Page 20: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

6 [ID プロバイダを追加] をクリックします。

7 次の情報が表示されることを確認します。

n SAML メタデータ

n アサーション コンシューマ サービス URL

n 対象者 URI

例:

8 メタデータ ファイルをダウンロードし、保存します。

a [Download Metadata] リンクをクリックします。

b メタデータ ファイルをローカルに保存します。

c メタデータ ファイルを開き、その内容をコピーします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 20

Page 21: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

次のステップ

「VMware Identity Manager での Okta アプリケーション ソースの構成」。

VMware Identity Manager での Okta アプリケーション ソースの構成Okta を VMware Identity Manager のアプリケーション ソースとして構成します。

前提条件

VMware Identity Manager を Okta での ID プロバイダとして構成していること。章 4 「Okta での VMware IdentityManager の ID プロバイダとしての構成」を参照してください。

手順

1 VMware Identity Manager コンソールで、[カタログ] - [Web アプリケーション] タブを選択します。

2 [設定] をクリックします。

3 左側のペインで、[アプリケーション ソース] をクリックします。

4 [OKTA] をクリックします。

5 OKTA アプリケーション ソース ウィザードの [定義] ページで、必要に応じて説明を入力し、[次へ] をクリックします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 21

Page 22: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

6 [構成] ページで、以下の手順を実行します。

a [構成] で [URL/XML] を選択します。

b [URL/XML] テキスト ボックスで、Okta からダウンロードした SP メタデータを 「Okta への ID プロバイダの追加」 にコピーして貼り付けます。

7 [次へ] をクリックします。

8 [アクセス ポリシー] ページで、使用するアクセス ポリシー セットを選択します。

Okta アプリケーションからの認証要求は、このポリシー セットを使用して認証されます。

9 [次へ] をクリックして選択内容を確認し、[保存] をクリックします。

10 [OKTA] アプリケーション送信元を再度クリックします。

11 [構成] ページで、[ユーザー名の値] を変更して、Okta が一致する [Okta ユーザー名] などの値と一致させます。

Okta と VMware Workspace ONE の統合

VMware, Inc. 22

Page 23: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

12 変更を保存します。

Okta と VMware Workspace ONE の統合

VMware, Inc. 23

Page 24: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Okta ID プロバイダ ルーティング ルールの構成 5ID プロバイダ ルーティング ルールは、Okta の ID プロバイダ検出によって提供される機能です。Okta 管理者はこの機能を使用して、ユーザー、ユーザー プロパティ、ターゲット アプリケーション、ソース ネットワーク、デバイス タイプに基づく様々な認証ソースにユーザーをルーティングできます。

このガイドでは、ユーザーがモバイル デバイスからログインしようとした時の Workspace ONE への直接認証を、主な使用事例として想定しています。

ID プロバイダ ルーティング ルールは、順番に評価されます。リストされたルールの順序は、並べ替えることができます。ユーザーが構成したルールがどれも認証に適用されない場合、システムが提供するデフォルトのルールが適用

されます。

手順

1 ID プロバイダ ルーティング ルールの作成または変更を行う権限を付与された管理者として、Okta にログインします。

2 [Security] - [Identity Providers] の順に移動します。

3 [Routing Rules] タブをクリックします。

VMware, Inc. 24

Page 25: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

4 [Add Routing Rule] をクリックするか、リストからルールを選択し、[Edit] をクリックします。

5 ルール名を入力します。

6 条件を定義します。

ユーザーの IP アドレスが n 任意の場所である

n 特定のゾーンまたは特定のゾーン リストに含まれるゾーンにある

n 特定のゾーンまたは特定のゾーン リストに含まれるゾーンにない

ユーザーのデバイス プラットフォームが n デバイスのフォーム ファクタ

n デバイスのオペレーティング システム

ユーザーのアクセス対象が n 選択オプション内のターゲット アプリケーション

n 任意のアプリケーション

ユーザーに一致するのは n ログイン値のプロパティを評価

n ドメインの正規表現

n リスト内のドメイン

n 特定のユーザー属性におけるパターン一致

n 等しい

n 次で始まるもの

n 次を含む

n 正規表現

Okta と VMware Workspace ONE の統合

VMware, Inc. 25

Page 26: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

7 アクションを定義します。

この ID プロバイダを使用 n Okta

ユーザーをローカルで認証するか、代理認証を介して認証します。

n IWA

デスクトップ シングル サインオン (SSO) のために、ユーザーをIWA サーバにリダイレクトします。

n SAML IdP

ユーザーを特定のフェデレート済み IdP にリダイレクトします。

この ID プロバイダ ルールでは、指定されたデバイス タイプとターゲット アプリケーションの認証要求がWorkspace ONE にリダイレクトされます。その他の認証要求は、デフォルトのルーティング規則で処理されます。

8 [Create Rule]をクリックします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 26

Page 27: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Workspace ONE での条件付きアクセス ポリシーの構成 6管理者は複数のアクセス ポリシー セットを作成して、必要なレベルのセキュリティに基づいて別々のアプリケーションへ割り当ることができます。条件付きアクセスを適用するようアクセス ポリシー セットを作成すると、Okta によりフェデレートされたアプリケーションに対してモバイル サインオン認証を利用できます。また、Workspace ONEのデフォルトのアクセス ルールで Okta を認証方法として追加すると、ユーザーは Okta 資格情報を使用して WorkspaceONE カタログにアクセスできます。

モバイル SSO とデバイス コンプライアンスを認証方法とする iOS と Android のアクセス ポリシーを作成します。モバイル SSO とデバイス コンプライアンスが失敗した場合は、Okta 認証方法へフォールバックします。

手順

1 VMware Identity Manager コンソールに完全な管理者権限でログインします。

2 [ID とアクセス管理] タブをクリックします。

3 [ポリシー] タブをクリックします。

4 [ポリシーの追加] をクリックします。

5 ウィザードの [定義] ページで、次の情報を入力します。

オプション 説明

ポリシー名 ポリシーの名前。

説明 ポリシーの説明。

適用先 Okta を選択します。

これにより、アクセス ポリシー セットが Okta アプリ ソースに割り当てられます。Okta からのすべての認証要求は、このポリシー ルール セットで評価されます。

VMware, Inc. 27

Page 28: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

6 [次へ] をクリックします。

7 [構成] ページで、[ポリシー ルールの追加] をクリックしてポリシー ルールを構成します。

a [およびユーザーのコンテンツ アクセス元が次の場合] リストで、デバイス タイプとして [iOS] を選択します。

b 第 1 認証方法として、[モバイル SSO (iOS 版)] を選択します。

c 第 2 要素の認証方式として、[デバイス コンプライアンス (AirWatch)] を選択します。

d [保存] をクリックします。

これは iOS のポリシー ルールです。クライアント デバイスは、十分な認証情報が提供され、デバイスが AirWatchに加入済みで準拠している場合にのみ、アクセスが許可されます。

8 同様のポリシー ルールを Android および Workspace ONE アプリケーションのデバイス タイプに追加します。

Okta と VMware Workspace ONE の統合

VMware, Inc. 28

Page 29: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

9 default_access_policy_set を変更します。

a [ID とアクセス管理] > [ポリシー] ページで、[default_access_policy_set] をクリックします。

b [編集] をクリックします。

c ポリシーの編集ウィザードの [定義] ページで、[次へ] をクリックします。

d [構成] ページで、[ポリシー ルールの追加] をクリックして新しいポリシー ルールを追加します。

1 デバイス タイプとして [iOS] を選択します。

2 プライマリ認証方法として、[モバイル SSO] を選択します。

3 認証のフォールバック方法として、[Okta 認証] を選択します。

4 [保存] をクリックします。

e 同様のポリシー ルールを Android デバイス タイプに追加します。

1 [ポリシー ルールの追加] をクリックします。

2 デバイス タイプとして [Android] を選択します。

3 プライマリ認証方法として、[モバイル SSO] を選択します。

4 認証のフォールバック方法として、[Okta 認証] を選択します。

5 [保存] をクリックします。

デフォルトのポリシー ルールでは Workspace ONE カタログへのログインを制御します。このルールでは、モバイル SSO がデバイスで使用可能な場合、認証で利用することができます。使用不可の場合は Okta 資格情報による認証へフォールバックします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 29

Page 30: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

VMware Identity Manager での Oktaアプリケーションの構成 7Workspace ONE カタログで Okta アプリケーションをユーザーに提供することで、ユーザーはすべてのアプリケーションを 1 つの場所から使用できるようになります。ユーザーは、VMware Workspace ONE Intelligent Hub アプリケーション、Workspace ONE アプリケーション、または Web ポータルから Okta アプリケーションにアクセスできます。

Okta アプリケーションを統合するには、VMware Identity Manager で Okta をアプリケーション ソースとして構成し、Okta テナントの詳細を VMware Identity Manager コンソールに入力する必要があります。エンド ユーザーが Workspace ONE にログインすると、使用資格を付与された Okta アプリケーションが、他のアプリケーションとともにカタログに自動的に表示されます。

VMware Identity Manager は、ユーザーが Workspace ONE にログインするたびに、Okta テナントに接続するために構成した Okta テナント情報を使用し、アプリケーションとユーザー資格を取得します。ユーザーが Okta アプリケーションをクリックすると、VMware Identity Manager はアプリケーション ソースの構成を使用してアプリケーションを起動します。

アプリケーションとユーザー資格は、VMware Identity Manager コンソールではなく、Okta 管理コンソールで管理します。Okta 管理コンソールでアプリケーションまたは資格を追加または削除すると、変更内容がエンド ユーザーのカタログに直接複製されます。Okta アプリケーションは VMware Identity Manager 管理コンソールに表示されません。

この統合は、次のタイプの Okta アプリケーションをサポートします。

n SAML 2.0

n WS-フェデレーション

n ブックマーク

n OpenID Connect

この章には、次のトピックが含まれています。

n VMware Identity Manager での Okta テナント情報の追加

n VMware Identity Manager での Okta アプリケーション ソースの構成

n すべてのユーザーへの Okta アプリケーション ソースの割り当て

VMware, Inc. 30

Page 31: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

VMware Identity Manager での Okta テナント情報の追加VMware Identity Manager コンソールに Okta テナント情報と API トークンを追加して、VMware Identity Managerが Okta テナントに接続して Okta アプリケーションとユーザー資格を取得できるようにします。これは、1 回限りの初期構成タスクです。

VMware Identity Manager でテナント情報を構成する前に、Okta 管理コンソールから API トークンを取得します。

Okta API トークンの取得

Okta 管理コンソールから Okta API トークンを取得します。VMware Identity Manager では、Okta テナントに接続してアプリケーションを取得するために Okta API トークンが必要です。

トークンは、最後に使用されてから 30 日後に有効期限が切れます。トークンが使用されるたびに、有効期限は 30 日延長されます。

手順

1 Okta 管理コンソールで、[Security] - [API] をクリックします。

2 [Create Token] をクリックします。

3 トークンの名前を入力してから、[Create Token] をクリックします。

4 トークンをコピーして保存し、次のタスクで使用できるようにします。

注: ウィンドウを閉じた後、トークンを再び表示することはできません。

Okta と VMware Workspace ONE の統合

VMware, Inc. 31

Page 32: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

次のステップ

VMware Identity Manager 管理コンソールで Okta テナント情報を構成します。

VMware Identity Manager での Okta テナント情報の構成

VMware Identity Manager コンソールで Okta テナント情報を入力します。これは、VMware Identity Managerが Okta テナントに接続してアプリケーションを取得するために必要です。Okta クラウド URL、API トークン、ユーザー検索属性を指定する必要があります。

前提条件

Okta 管理コンソールから API トークンを取得していること。

手順

1 VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックしてから [セットアップ] をクリックします。

2 [Okta] タブをクリックします。

3 Okta テナント情報を入力します。

オプション 説明

Okta クラウド URL Okta テナントの URL を入力します。たとえば、https://mytenant.example.com のように入力します。

Okta API トークン 「Okta API トークンの取得」で作成した Okta API トークンを入力します。

ユーザー検索パラメータ Okta ディレクトリでユーザーを検索するために使用するユーザー属性を選択します。userName、email、または userPrincipalName で検索できます。

例:

4 [保存] をクリックします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 32

Page 33: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

次のステップ

VMware Identity Manager で Okta アプリケーション ソースを構成します(まだ構成していない場合)。「VMwareIdentity Manager での Okta アプリケーション ソースの構成」を参照してください。

VMware Identity Manager での Okta アプリケーション ソースの構成Okta アプリケーションと Workspace ONE の統合の一環として、VMware Identity Manager コンソールで Oktaアプリケーション ソースを構成する必要があります。

VMware Identity Manager を Okta で ID プロバイダとして構成するときに Okta アプリケーション ソースをすでに構成している場合は、次のタスクに進みます。そうでない場合は、「VMware Identity Manager での Okta アプリケーション ソースの構成」を参照して、Okta アプリケーション ソースを構成します。

すべてのユーザーへの Okta アプリケーション ソースの割り当て構成した Okta アプリケーション ソースを VMware Identity Manager のすべてのユーザーに割り当てます。

前提条件

「VMware Identity Manager での Okta アプリケーション ソースの構成」の説明に従い、VMware Identity Managerで Okta アプリケーション ソースを構成していること。

手順

1 VMware Identity Manager コンソールで、[ユーザーとグループ] - [グループ] タブをクリックします。

2 [すべてのユーザー] グループをクリックします。

3 [アプリ] タブをクリックし、[資格を追加] をクリックします。

4 [OKTA] アプリケーションを選択し、[展開] タイプとして [自動] を選択します。

5 [保存] をクリックします。

Okta と VMware Workspace ONE の統合

VMware, Inc. 33

Page 34: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

エンド ユーザーが Okta パスワード ポリシーを使用してパスワードを変更できるようにする 8VMware Workspace ONE Intelligent Hub アプリケーション、Workspace ONE アプリケーション、および Webポータルで、エンド ユーザーは、[設定] に移動し、[パスワードの変更] リンクをクリックしてパスワードを変更できます。Okta アプリケーションが VMware Identity Manager と統合されている場合、パスワードの変更は VMwareIdentity Manager ではなく、Okta によって自動的に処理されます。

ユーザーがパスワードを変更すると、Okta 管理コンソールで構成されたパスワード ポリシーが適用されます。パスワード ポリシーは、デフォルトでは [パスワードの変更] ページには表示されませんが、ユーザーがポリシーに一致しないパスワードを入力すると表示されます。

例:

VMware, Inc. 34

Page 35: Okta と VMware Workspace ONE の統合 - VMware Workspace ONE · 内容 Okta と VMware Workspace ONE の統合 4 1 要件 5 2 Workspace ONE と Okta の統合についての概要

Okta 管理コンソールでパスワード ポリシーを構成する方法については、Okta のドキュメントを参照してください。VMware Identity Manager コンソールでは、構成は必要ありません。Okta アプリケーションを VMware IdentityManager に統合すると、Workspace ONE ユーザーの Okta パスワード管理が自動的に有効になります。

Okta と VMware Workspace ONE の統合

VMware, Inc. 35