I principali casi d'uso supportati dall'integrazione di Workspace ONE e Okta includono l'abilitazione dell'accesso a Workspace ONE mediante l'autenticazione di Okta, l'aggiunta delle applicazioni di Okta al catalogo di Workspace ONE e l'abilitazione dell'attendibilità del dispositivo e di SSO universale tra le applicazioni native e Web.

Accesso a Workspace ONE mediante Okta

L'app Workspace ONE, l'app Workspace ONE Intelligent Hub e il portale Web possono essere configurati per l'utilizzo di Okta come provider di identità attendibile consentendo agli utenti finali di accedere mediante i criteri di autenticazione di Okta. Questo caso d'uso vale anche per i clienti di VMware Horizon® che utilizzano il catalogo di Workspace ONE per avviare app e desktop di Horizon, ma non hanno ancora distribuito Workspace ONE UEM per gestire i dispositivi.

Per implementare in questo caso d'uso, configurare le opzioni seguenti:

Configurazione di Okta come provider di identità per Workspace ONE

Catalogo unificato

Il catalogo di Workspace ONE può essere configurato per la pubblicazione di applicazioni federate tramite Okta, insieme a qualsiasi altra applicazione configurata tramite Workspace ONE, come le applicazioni e i desktop di Horizon e Citrix e le applicazioni native basate su Workspace ONE UEM. Questo permette agli utenti finali di utilizzare una sola applicazione per scoprire, avviare o scaricare le applicazioni aziendali da tutti i dispositivi con un'esperienza utente uniforme.

Nota: Le app SWA Okta non sono attualmente supportate.

Per implementare in questo caso d'uso, configurare le opzioni seguenti:

  1. Configurazione di Okta come provider di identità per Workspace ONE
  2. Configurazione di Workspace ONE Access come provider di identità in Okta
  3. Configurazione dell'origine di applicazioni in Workspace ONE Access
  4. Configurazione delle applicazioni di Okta in Workspace ONE Access

Attendibilità del dispositivo

L'integrazione di Okta con Workspace ONE consente agli amministratori di stabilire l'attendibilità del dispositivo valutandone il comportamento, ad esempio se il dispositivo è gestito, prima di consentire agli utenti finali di accedere alle applicazioni sensibili. Per i dispositivi iOS e Android, i criteri di postura del dispositivo sono configurati in Okta e valutati ogni volta che un utente accede a un'applicazione protetta.

Ad esempio, un flusso di attendibilità del dispositivo che utilizza l'applicazione Salesforce seguirebbe questa sequenza per i dispositivi iOS e Android:

diagramma di flusso di attendibilità del dispositivo
  1. L'utente finale tenta di accedere al tenant Salesforce.
  2. Salesforce reindirizza a Okta come provider di identità configurato.
  3. Okta elabora la richiesta in arrivo e instrada il client al provider di identità Workspace ONE in base alle regole di routing configurate.
  4. Workspace ONE richiede che l'utente esegua l'autenticazione mediante SSO mobile per iOS o SSO mobile per Android e reindirizza nuovamente a Okta con lo stato di attendibilità del dispositivo.
  5. Okta completa la valutazione del criterio di attendibilità del dispositivo.

    Se il dispositivo non è gestito, all'utente viene richiesto di eseguire la registrazione in Workspace ONE.

  6. Okta rilascia l'asserzione SAML per Salesforce se la regola di attendibilità del dispositivo viene soddisfatta in base alla risposta dell'asserzione SAML ricevuta da Workspace ONE.

Il caso d'uso dell'attendibilità del dispositivo richiede una configurazione end-to-end che copra tutte le procedure descritte in questo documento. Per implementare in questo caso d'uso, configurare le opzioni seguenti:

  1. Configurazione di Okta come provider di identità per Workspace ONE
  2. Configurazione di Workspace ONE Access come provider di identità in Okta

    Stabilire una relazione basata su SAML con Workspace ONE per il controllo dell'attendibilità del dispositivo.

  3. Configurazione dell'origine di applicazioni in Workspace ONE Access
  4. Configurazione delle applicazioni di Okta in Workspace ONE Access
  5. Configurare le regole di routing del provider di identità e i criteri di accesso.