前回の「Workspace ONEとOktaの連携 – OktaからWorkspace ONE AccessへIDプロビジョニング」では、SCIM Provisioning 機能を使って、Oktaで作成・管理しているユーザーをWorkspace ONE Accessへ同期する設定について確認しました。
ただし、Workspace ONEではデバイス管理機能を提供するWorkspace ONE UEMにもユーザー情報が必要になります。
今回は、OktaからWorkspace ONE Accessへプロビジョニングされたユーザーを、さらにWorkspace ONE UEMへIDプロビジョニングをするための設定についてご紹介します。
■環境イメージ
本ブログで設定する構成のイメージは以下です。(赤枠の部分です)
検証に使用した環境は、前回のブログで紹介したように、Workspace ONEはvExpertの特典のTestDriveで、Oktaはトライアル環境を準備して使用しました。
Workspace ONEはWorkspace ONE UEMとAccessの統合設定が完了済みの環境です。
Workspace ONE UEMの[はじめに]から” Workspace ONE Access への接続”、” Workspace ONE Intelligent Hub”の設定を完了しています。
Workspace ONE UEMへのIDプロビジョニング時の注意点として、IDプロビジョニング先とするWorkspace ONE UEMの環境はカスタマー組織グループである必要があります。カスタマー組織グループは一般的にはWorkspace ONE UEM契約時の最上位組織グループとなるため、複雑な組織グループの構成の場合はこの構成が適用できない場合があります。
※複雑な組織グループ構成の場合、Workspace ONE UEMとOktaを直接ID同期する方法とかの方がいいのかもしれません。あとで検証予定…
Configuring Okta LDAP for use with Workspace ONE (WS1) UEM
■設定作業の流れ
Workspace ONE AccessからWorkspace ONE UEMへのID Provisioning設定は、以下の流れで設定します。
- Workspace ONE UEMでSAML認証設定を有効化
- AirWatchプロビジョニングアプリをWorkspace ONE Accessのカタログに追加
- Workspace ONE AccessのユーザーがWorkspace ONE UEMに同期されることを確認
Workspace ONE Accessに準備されている「AirWatchプロビジョニングアプリ」を使用することで、Workspace ONE AccessのユーザーをWorkspace ONE UEM(旧名AirWatch)にプロビジョニングすることが可能になります。ただし、このアプリを使用する前提条件として、Workspace ONE UEMでSAML認証設定が有効化されている必要があり、準備作業として実施します。
では順番に設定していきます。
■Workspace ONE UEMでSAML認証設定を有効化
Workspace ONE UEMでSAML認証設定を有効化します。今回は、Workspace ONE AccessをIDPとして構成します。
まず、Workspace ONE Accessの管理画面を開き、[リソース]-[設定]を開きます。
[SAMLメタデータ]を選択し、[ID プロバイダ (IdP) メタデータ]をクリックし、IDPメタデータのxmlファイル保存しておきます。
次に、Workspace ONE UEMの管理コンソールを開き、[グループと設定]-[すべての設定]-[システム]-[エンタープライズ統合]-[ディレクトリサービス]を開きます。[認証にSAMLを使用]を有効化し、”以下のユーザーに対し SAML 認証を有効化”の[セルフサービスポータル]だけを選択した状態にします。
次に”SAML2.0”の[アップロード]をクリックし、先程保存したWorkspace ONE AccessのIDPメタデータを選択します。
(今回は、このSAML設定がセルフサービスポータルログイン時のみ使用される定義にしています)IDPメタデータをアップロード後、画面を下部にスクロールし、[保存]をクリックします。
設定保存後、IDPメタデータによりSAML認証に必要な設定が、自動的に追加されます。ただし、一部設定を変更します。画面を下部にスクロールし、応答バインドタイプを[POST]に変更し、保存します。
Workspace ONE UEM側の設定は完了です。次の設定のために、Workspace ONE UEMの組織グループIDとテナントURLを確認しておきます。
次に、Workspace ONE Accessの管理画面を開き、[リソース]-[新規]を開きます。
検索欄に”AirWatch”と入力し、[AirWatch]を選択します。
AirWatch(Workspace ONE UEM)のアプリ情報が追加されます。今回、名前がAirWatchだとわかりにくいので”UEMセルフサービスポータル”という名前に手動変更しています。[次へ]をクリックします。
必要な設定項目が自動で適用されています。
画面を下部にスクロールし、アプリケーションパラメータの設定を行います。
それぞれ値欄に以下を入力します。
- AWServerName…dsXXX.awmdm.com
※”XXX”の値はWorkspace ONE UEMの管理コンソールURLを確認します - ac…Workspace ONE UEMの組織グループのID
- audience…AirWatch
入力後、[次へ]をクリックします。
アクセスポリシー設定はデフォルトのまま進め、サマリを確認し[保存して割り当て]をクリックします。
oktaから同期しているユーザーやグループを選択し、[保存]をクリックして完了です。
以上で、Workspace ONE UEMでのSAML認証設定の有効化は完了です。
実は、設定適用だけをした現時点では、このユーザーをWorkspace ONE Accessで認証するすべがないため、SAML認証の動作確認はできません。SAML認証の動作自体は次回以降に必要な設定が済んだ後に、確認します。
■AirWatchプロビジョニングアプリをWorkspace ONE Accessのカタログに追加
次に、Workspace ONE AccessでAirWatchプロビジョニングアプリを追加し、Workspace ONE UEMにIDプロビジョニングするためのアプリ設定を構成します。
Workspace ONE Accessの管理画面を開き、[リソース]-[新規]を開きます。
検索欄に” AirWatch Provisioning”と入力し、[AirWatch Provisioning]を選択します。
AirWatch Provisioningのアプリ情報が追加されます。今回、名前がAirWatchだとわかりにくいので” Workspace ONE UEM Provisioning”という名前に手動変更しています。[次へ]をクリックします。
[次へ]-[次へ]で進み、[保存]をクリックします。(いろいろ自動的に値が入っていますが、不要なダミー値が含まれた設定です。ひとまず保存します。)
保存された[ Workspace ONE UEM Provisioning]のアプリを選択して[編集]をクリックします。
[プロビジョニング]の設定画面を開き、”証明書認証の有効化”の[はい]をクリックします。Workspace ONE UEMの組織グループ(カスタマー組織グループ)のグループIDを入力し、[接続のテスト]を実行します。テストが問題無いメッセージが表示されたら、[次へ]をクリックします。
ユーザープロビジョニング時の属性値のマッピングを指定します。今回はデフォルトのまま[次へ]クリックして進めます。
次にプロビジョニングにするグループを指定します。[グループを追加]から、Oktaから同期しているグループを指定します。[次へ]をクリックします。
※この画面でステータスが[プロビジョニング]になっていれば、Workspace ONE UEMへグループがプロビジョニングされています。
[保存して割り当て]をクリックし、設定を保存します。
Workspace ONE UEMへプロビジョニングするユーザーを選択します。Oktaから同期しているユーザー(ユーザーが含まれているグループ)を指定し、[保存]をクリックします。
以上で、AirWatchプロビジョニングアプリの作成は完了です。これでWorkspace ONE UEMに指定したユーザーとグループがプロビジョニングされます。
■Workspace ONE AccessのユーザーがWorkspace ONE UEMに同期されることを確認
指定したユーザーやグループがWorkspace ONE UEMにプロビジョニングされていることを確認します。
まず、Workspace ONE Access側で確認します。作成した[ Workspace ONE UEM Provisioning]の[割り当て]プリを選択して開きます。
割り当てをしているユーザー・グループの[プロビジョニングの状態]をクリックします。ユーザー状態が”プロビジョニング済み”になっていれば、正しくWorkspace ONE UEMへユーザー情報がプロビジョニングされています。
逆に、失敗している場合はここにエラー情報が表示される場合があります。
次に、[ユーザーグループ]-[リスト表示]を確認すると、Oktaで管理している指定したグループが同期されていることが確認できます。
また、試しにOkta側でユーザーを無効にした場合の動作も確認しました。Okta側で無効にすると、すぐにWorkspace ONE UEM側のユーザー状態も無効状態になることが確認できました。
以上のように、Oktaのユーザー・グループがWorkspace ONE Accessを経由してWorkspace ONE UEMにプロビジョニングされることを確認できました。
■おわりに
今回の記事では、Workspace ONE AccessからWorkspace ONE UEMへのIDプロビジョニングの設定をご紹介しました。Workspace ONE Accessに設定用のアプリ情報が準備されているため、簡単な操作で設定が完了できました。
これで、Oktaで管理しているユーザー・グループ情報がWorkspace ONE に同期されました。Workspace ONE UEMへデバイスを登録する際にこのユーザー情報が用いられますが、この状態ではユーザーの認証がまだできないため、デバイス登録などほぼ何もできません。
次回は、今回Workspace ONEへ同期したユーザーアカウントでユーザー認証をする際に、Oktaの機能で認証するように設定します。
<参考ドキュメント>
・How to Configure AirWatch Provisioning App in VMware Workspace ONE Access