前回の「Workspace ONEとOktaの連携 – Oktaから同期したWorkspace ONE AccessのユーザーをWorkspace ONE UEMへプロビジョニング」では、Workspace ONE Accessのユーザープロビジョニング 機能を使って、Workspace ONE UEMへID同期する設定について確認しました。対象のユーザーはOktaで作成・管理しているユーザーですので、OktaでIDを集約管理できている状態です。
ただし、IDプロビジョニングだけの状態では、ユーザーの認証ができません。
今回は、OktaからWorkspace ONE(UEM/Access)へ同期したユーザーアカウントでユーザー認証をする際に、Oktaの機能で認証するように設定します。
■環境イメージ
本ブログで設定する構成のイメージは以下です。
検証に使用した環境は、前回のブログで紹介したように、Workspace ONEはvExpertの特典のTestDriveで、Oktaはトライアル環境を準備して使用しました。
■設定作業の流れ
今回の構成で、Oktaから同期しているユーザーをWorkspace ONEで認証するには、サードパーティIDPの設定をWorkspace ONE Accessに追加します。
サードパーティIDPを設定し、ユーザーの認証を行うには以下の流れで設定をします。
- OktaでWorkspace ONEのSAMLアプリを構成(設定の確認)
- Workspace ONE AccessでサードパーティIDPを有効化
- Workspace ONE Accessでアクセスポリシーを設定
設定後は、OktaからプロビジョニングしているユーザーでWorkspace ONEのポータルにアクセスできることや、Workspace ONE UEMへのデバイス加入ができることを確認します。
では順番に設定していきます。
■OktaでWorkspace ONEのSAMLアプリを構成(設定の確認)
OktaでWorkspace ONEアプリを対象に、SAML認証設定を有効化します。なお、前々回のブログですでに有効化されているはずなので、実際は設定状態の確認のみです。
まず、Oktaの管理コンソールを開き、[Applications]-[Applications]の順に開きます。前々回のブログで登録済みの[VMware Workspace ONE]アプリをクリックして開きます。
次に、Workspace ONE Access側に設定するための値を確認しておきます。[Sing On]タブの画面を下部にスクロールし、画面右側の[View SAML setup instructions]をクリックします。
ブラウザの別タブで"How to Configure SAML 2.0 for VMWare Workspace ONE"が表示されます。使用しているOktaテナントの設定値を含んだ形でマニュアルが表示されます。次の手順のため、そのまま表示しておきます。
■Workspace ONE AccessでサードパーティIDPを有効化
Workspace ONE AccessにサードパーティIDPとして、Oktaを設定します。
Workspace ONE Accessの管理コンソールを開き、[統合]-[IDプロバイダ]を開きます。[IDプロバイダを追加]-[SAML IDプロバイダの作成]をクリックします。
次に、SAMLメタデータ欄に、先程Oktaの手順で表示した"How to Configure SAML 2.0 for VMWare Workspace ONE"ページにある"SAML Metadata:"の値をコピーして貼り付けます。
貼り付け後、[IDプロバイダ メタデータの処理]をクリックし、設定を読み込みさせます。
設定画面を下部にスクロールし、"ユーザー"の設定で[Okta Universal Directory]を選択します。次に"ネットワーク"の設定で[すべての範囲]を選択します。
続けて、認証方法を下記に設定します。
- 認証方法:Okta Auth Method
- SAMLコンテキスト:urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
設定画面を下部にスクロールし、[追加]をクリックして設定を保存します。
IDプロバイダとして"Okta SAML IdPが新規に作成されます。
以上で、サードパーティIDPの設定は完了です。
■Workspace ONE Accessでアクセスポリシーを設定
次に、Workspace ONE Accessのアクセスポリシーを変更し、Oktaからプロビジョニングされているユーザーは、サードパーティIDPとして構成したOkta SAML Idpを使った認証がされるように設定します。
[構成]を開き、[ポリシー ルールを追加]をクリックします。
ポリシーの対象として、今回はOktaからプロビジョニングされたユーザーを対象として設定します。(グループを指定)
"ユーザーは次を使用して認証することができます"の欄で、前の手順で作成した[Okta Auth Method]を選択します。[保存]をクリックしてポリシールールを保存します。
作成されたポリシーをドラッグ&ドロップで順番を入れ替えます。今回は一番上にくるように設定しています。
ポリシー設定内容を保存します。
これで、Workspace ONEにプロビジョニングされたユーザーの認証時、Oktaによるユーザー認証が行うことができるようになったはずです。
■(動作確認)Workspace ONEのポータルにアクセス
では動作確認をしてみます。まず、Workspace ONE のポータル画面にアクセスしてみます。
Workspace ONE AccessのログインURLにアクセスし、Oktaで管理しているユーザーIDを入力します。(確認は、プライベートウインドウで開くことをおすすめします。)
ブログのスクリーンショットだとなんとも伝わりづらいですが、自動的にOktaの認証画面にリダイレクトされます。再度、OktaのユーザーIDを入力します。
Oktaの認証が求められるので、パスワード認証や、OktaVerify の認証を行います。(OktaのAuthentication policyの設定によります)
Oktaの認証完了後、Workspace ONEのポータル画面が開き、正常に動作していることが確認できました。
■(動作確認)Workspace ONE UEMにデバイスを加入
次に、Workspace ONE UEMへのデバイス加入動作を確認をしてみます。今回はWindows 10を加入させます。
※事前確認
Workspace ONE UEMの[すべての設定]-[デバイスとユーザー]-[全般]-[加入]-[認証]タブで、"Intelligent Hub の認証ソース"が[Workspace ONE Access]になっていることを確認します。
では、Windows 10の加入を通常通り進めてみます。
https://getwsone.com/にアクセスし、Intelligent Hub Agentをダウンロード、インストールして、Workspace ONE UEMのテナントURL/組織グループを入力します。
ユーザー名の入力画面で、OktaからプロビジョニングしているユーザーIDを入力します。
自動的にOktaの認証画面にリダイレクトされます。再度、OktaのユーザーIDを入力します。
Oktaの認証が求められるので、パスワード認証や、OktaVerify の認証を行います。
ユーザー認証後しばらくすると、デバイスの加入が完了します。アプリのインストールやプロファイルの設定が適用されます。
Workspace ONE UEMの管理コンソールで確認すると、加入したデバイスが表示されます。
Oktaを使った認証が、Workspace ONE Access、UEMともに正常に動作していることを確認できました。
■おわりに
今回の記事では、OktaをWorkspace ONEのサードパーティIDPとして構成するための設定をご紹介しました。これで、Oktaで管理しているユーザー・グループ情報がWorkspace ONE に同期され、ユーザーの認証もできるようになりました。
次回は、Oktaで管理・登録しているアプリケーションを、Workspace ONEのポータル(Intelligent Hub)に統合表示する機能について紹介します。