この手順では、SAML ベースの企業 ID プロバイダとのフェデレーションを設定し、エンタープライズ用に作成された Workspace ONE Access tenant の IdP 設定を行います。

SAML 2.0 準拠の任意のサードパーティ IdP を使用して、 VMware Cloud services によるエンタープライズ フェデレーションをセットアップできます。 OktaPingIdentityMicrosoft Active Directory Federation Services (ADFS)OneLogin、および Azure Active Directory プロバイダのセルフサービス フェデレーション ワークフローの一環として、簡易セットアップを使用できます。
注: Azure Active Directory を VMware Cloud Services によるエンタープライズ フェデレーション向けに構成する場合は、追加グループを要求するために sAMAccountName を選択しておく必要があります。フェデレーションのセットアップを有効にした後、グループの詳細を取得する必要があります。

このリストに含まれない別の SAML 2.0 準拠サードパーティ IdP を構成するには、[その他] を選択します。

この例では、ACME エンタープライズは Okta を使用しています。ACME のフェデレーションを設定する エンタープライズ管理者として、 Okta を構成します。
注: ID プロバイダが SAML 応答でのグループ情報の送信をサポートしている場合は、フェデレーションのセットアップにグループ属性を含めることができます。

前提条件

この手順では、エンタープライズのユーザーが Cloud Services の検出画面から VMware Cloud Services にアクセスするときに自身を識別する方法を選択する必要があります。使用可能なオプションは、E メール、ユーザー プリンシパル名 (UPN)、および User@Domain です。エンタープライズのユーザー ID 設定として User@Domain を設定することを検討する場合は、次の制限事項に注意する必要があります。
制限: ID プロバイダが User@Domain の ID 設定で構成された後は、セットアップ中に [手順 1:ドメインの確認] に戻ってドメインを追加することはできません。セルフサービス フェデレーション フローのこの手順を開始する前に、フェデレーションの対象となるすべてのドメインを追加する必要があります。この手順の完了後に別のドメインを追加する場合は、サポート チケットを発行する必要があります。

手順

  1. [エンタープライズ フェデレーションの設定] 画面の [ID プロバイダの構成] セクションで、[起動] をクリックします。
    [ID プロバイダの選択] セクションが表示されます。デフォルトでは、 [SAML ベースの ID プロバイダ] オプションが選択されています。
  2. 使用可能なサードパーティの SAML ID プロバイダのリストで、[Okta] をクリックします。
  3. [次へ] をクリックします。
    [ID プロバイダ内の SAML の設定] セクションが展開されます。
  4. [SAML サービス プロバイダ メタデータの表示] リンクをクリックして、メタデータ ファイルをダウンロードします。
    ID プロバイダが URL 形式をサポートしている場合は、 [メータデータ URL] をコピーすることもできます。メタデータ ファイルまたは URL を使用して、 Workspace ONE Access tenant との信頼を確立するように ID プロバイダを構成します。
  5. シングル サインオン URL と対象者 URI のパスをコピーします。
  6. IdP の管理コンソールを開きます。
    1. 前の手順でコピーした シングル サインオン URL と対象者 URI を貼り付けます。
    2. このタスクの手順 4 でダウンロードしたメタデータ ファイルをアップロードします。
    3. IdP に構成されている名前 ID をコピーし、以降に参照用に保管します。
    4. IdP のメタデータ ファイルをダウンロードします。
  7. IdP の構成準備ができたら、セルフサービス フェデレーション ワークフローに戻り、[ID プロバイダ内の SAML の設定] セクションを展開し、[次へ] をクリックします。
    ワークフローの [ID プロバイダの構成] セクションが展開されます。
  8. Workspace ONE Access tenant で IdP を構成するには、次の操作を実行します。
    1. IdP の [表示名] テキスト ボックスに、IdP の分かりやすい名前を入力します。
      この名前は、ログインおよびログアウトするときに、 VMware Cloud services のユーザーに表示されます。
    2. [メタデータ] テキスト ボックスに IdP メタデータの URL を入力するか、[XML] を選択して ID プロバイダ メタデータの XML ファイルを貼り付けます。
      メタデータの検証が自動的に開始します。検証が完了したときに、チェック ボックス アイコンが緑になっている場合は、ファイルの読み取りおよび解析が正常に行われたことを示します。検証でエラーが返された場合は、入力した URL が正しいことを確認してください。IdP メタデータ XML ファイルに余分なスペースまたは文字が含まれていないことを確認してください。
    3. ドロップダウン メニューで [名前 ID の形式] を選択します。
      [名前 ID の形式] は、認証されたユーザーを識別する SAML 応答内の値です。
    4. ID プロバイダのドロップダウン メニューで、必要に応じて [名前 ID の形式] および [名前 ID の値] を選択します。
      認証方法が自動的にポピュレートされます。
    5. SAML コンテキスト ドロップダウン メニューで、IdP のユーザー認証のタイプを選択します。
    6. [次へ] をクリックします。
      [ユーザー属性] セクションが展開され、ID プロバイダからの SAML 応答内で見つけることができる必須および必須でないユーザー属性のリストが表示されます。
  9. (オプション)リストにないカスタム ユーザー属性を追加するには、[ユーザー属性の追加] をクリックし、IdP 上の名前に完全に一致する値を入力します。
  10. [次へ] をクリックします。
    SAML 応答内のグループ属性をサポートする ID プロバイダをセットアップに指定した場合、ワークフローの [グループ属性] セクションが展開され、SAML 要求で使用されるグループ属性とグループ名を追加できます。
  11. (オプション)ドロップダウン メニューから、グループ属性とグループ名を選択します。
  12. [ユーザー ID の設定] セクションで、エンタープライズのユーザーが Cloud Services の検出画面から VMware Cloud Services にアクセスするときに自身を識別する方法を選択します。
    ユーザー ID は、ユーザーがエンタープライズ ID プロバイダに対して認証する方法とは異なります。
    重要: ID 設定オプションとして Username@Domain を選択した場合は、ユーザーが VMware Cloud services にログインするときの SAML 応答に ドメイン 属性が含まれている必要があります。
  13. [構成] をクリックします。

結果

この手順では、ID プロバイダを Workspace ONE Access テナント構成に追加し、IdP で Workspace ONE Access テナントをサービス プロバイダとして構成し、SAML 応答でユーザーを識別するために使用する値を選択して、ID プロバイダでユーザーを認証するために使用する認証方法を指定しました。

次のタスク

IdP へのログインを検証して、フェデレーションを有効にします。