2022年5月5日木曜日

Workspace ONEとOktaの連携 – はじめに

最近、「IDPとして”Okta”を使っています」「”Okta”の導入を検討しています」「Workspace ONEと”Okta”と連携してどんなことができますか?」といったように、”Okta”に関する質問を耳にすることが結構増えて来た気がします。

これまで私はドキュメントベースでWorkspace ONEとOktaの連携機能や、必要に迫られてちょっとした連携機能だけ確認したことはあるのですが、まとめて操作検証したことがなかったので、「Workspace ONEとOktaの連携」をテーマにいろいろ検証し、ブログにしてみたいと思います。

本記事では、”はじめに”ということで、Workspace ONEとOktaの連携でどんなことができるか?について整理したいと思います。


■Workspace ONEとOktaの連携で実現したいこと

最終的に、OktaとWorkspace ONEの連携で実現したい機能は「Okta Device Trust」です。
Okta Device Trust solutionsのドキュメントページを確認すると、連携ソリューションとしてWorkspace ONEが紹介されています。

Oktaと連携しているSaaSアプリケーションにユーザーがアクセスする際に、クライアントデバイスがWorkspace ONE UEMで管理されデバイス設定状態が問題ない状態かどうか(ポリシー違反がないか)チェックします。

IDaaSソリューションである”Okta”、 UEM(統合エンドポイント管理)ソリューションである”Workspace ONE”、それぞれの製品の特徴を活かした連携が可能になります。

・構成イメージ




ただし、「Okta Device Trust」を実現するには、ワンクリックの簡単設定だけでは完了できません。いろいろと事前準備が必要になります。準備として必要な連携設定を以降に記載します。


■OktaからWorkspace ONEへのIDプロビジョニング

OktaとWorkspace ONEを連携させるには、ID管理の構成がとても重要になります。Oktaも、Workspace ONE Accessも、Workspace ONE UEMも、すべてオンプレミスのActive Directoryと連携する、という構成も考えられます。

ですが、せっかくOktaをIDP(IDプロバイダ)として活用するからには、OktaをID管理の起点として利用し、他の業務SaaSアプリケーションへもOktaからID連携しているケースも多いかと思います。その為、Workspace ONEの場合も「OktaからWorkspace ONEへID情報を連携する」という構成が理想的だと思います。

今回の一連の検証では、OktaからWorkspace ONE AccessへSCIM Provisioningの機能を使用してID情報を連携する設定を構成しようと思います。また、Workspace ONE AccessにプロビジョニングされたID情報を、さらにWorkspace ONE UEMへプロビジョニングする設定も構成します。

・構成イメージ


<検証ブログ>

OktaからWorkspace ONE AccessへIDプロビジョニング(SCIM Provisioning)

Oktaから同期したWorkspace ONE AccessのユーザーをWorkspace ONE UEMへプロビジョニング


■OktaをWorkspace ONEのサードパーティIDPとして構成

Workspace ONEのログイン時もOktaのユーザー認証(認証ポリシー)を使用することが可能です。

今回の一連の検証では、Workspace ONEのポータル(Intelligent Hub)ログイン時と、Workspace ONE UEMのデバイス加入時にOktaのユーザー認証機能を使って認証するように構成します。


・構成イメージ

<検証ブログ>

OktaをWorkspace ONEのサードパーティIDPとして構成


■統合カタログ

OktaもWorkspace ONE Accessにもアプリケーションのカタログ機能がありますが、ユーザーがそれぞれのカタログを使い分けるのは面倒です。Workspace ONEにはOktaに登録されているアプリケーションを、Workspace ONEのカタログ(Intelligent Hub)に表示する機能があります。


・構成イメージ


<参考ドキュメント>

Configure Okta Applications in Workspace ONE Access



■デバイストラスト

これまでご紹介した内容が今回の一連の検証で行う、準備作業の設定です。

  • OktaからWorkspace ONEへのIDプロビジョニング
  • OktaをWorkspace ONEのサードパーティIDPとして構成
  • 統合カタログ

これらを構成した後に、メインの目的であるWorkspace ONEと連携した「Okta Device Trust」を構成したいと思います。


・構成イメージ

<参考ドキュメント>

Okta Device Trust solutions

Configure Device Trust and Access Policies for Desktop Devices

Introducing Factor-Based Device Trust with VMware and Okta


■おわりに

今回の記事では、Workspace ONEとOktaの連携をテーマにどのような設定を行うか、構成イメージと共にご紹介しました。次回以降のブログから実際に設定した内容をご紹介してきます。


ラベル: , , , ,