エンタープライズ管理者は、開始中にエンタープライズ用に作成したフェデレーション組織からセルフサービス フェデレーション ワークフローにアクセスします。フェデレーションを開始した組織の所有者、または参加を要請したエンタープライズ管理者から招待メールが送信され、その一部としてフェデレーション組織へのアクセス リンクを受け取ります。

前提条件

セルフサービス フェデレーションのセットアップ ワークフローには複数の手順があり、複数のエンタープライズ管理者が一定期間操作できます。開始する前に、エンタープライズ フェデレーションをセットアップするための前提条件と要件を確認および理解します。

  • セルフサービス ワークフローを通してフェデレーションをセットアップするには、エンタープライズ管理者がアクセスする必要があります。
  • ドメイン検証用のフェデレーション ドメインの DNS レコードにアクセスおよび変更できることを確認してください。
  • Workspace ONE Access Connector をインストールする場合は、以下の手順を実行する必要があります。
    • ホスト マシンに MS Windows Server 2012 R2 以降がインストールされていて、エンタープライズ ディレクトリにアクセスできることを確認します。
    • ホストの Windows マシンには、固定 IP アドレス、および DNS で解決可能な FQDN が必要です。
    • コネクタには、ポート 389/636 から Active Directory へのネットワーク アクセス権が必要です。
    • 企業ファイアウォールは、ホストされたテナント サービスとの通信用に Workspace ONE Access Connector からポート 443 への送信接続を確立するように構成されています。
    • 許可リストにドメインを追加する場合は、*.workspaceoneaccess.com(Workspace ONE Access 本番テナントの URL)ドメインを許可ドメインのリストに追加する必要があります。

    ホストの Windows サーバ マシンまたは仮想マシンは、オンプレミスにも、VMware Cloud on AWS にもデプロイできます。また、Elastic Compute Cloud インスタンスにすることも可能です。Workspace ONE Access Connector がインストールされているホストからエンタープライズ ディレクトリに、LDAP/LDAPS を使用してアクセスできる必要があります。

    Workspace ONE Access Connector のインストールの詳細については、Workspace ONE Access Connector 20.01 のシステム要件全体を確認してください。

  • Active Directory に対する読み取り権限があるユーザーまたはサービス アカウントがあり、グループとユーザーを同期する Active Directory バインド ユーザーの DN/ユーザー名に対する無期限のパスワードがあることを確認します。サービス アカウントには、名、姓、表示名、およびメール アドレスの属性が必要です。サービス アカウントのメール アドレスにはダミー値を設定できます。
    注: 有効期限があるパスワードのポリシーに沿ってサービス アカウントを使用しているときに、更新前にパスワードが期限切れになった場合は、Active Directory と Workspace ONE Access Connector 間の接続を再確立しない限り、グループとユーザーを同期できません。
  • VMware Cloud services にアクセスするためのユーザー同期に必要な属性は名、姓、メール アドレス、ユーザー名、およびドメインです。エンタープライズが認証にユーザー プリンシパル名 (UPN) を使用している場合は、UPN がユーザー プロファイル属性として使用できる必要があります。
    重要: ユーザー パスワードは同期されません。
  • サードパーティ ID プロバイダ (IdP) を使用する場合は、ID プロバイダ コンソールと IdP メタデータの URL にアクセスできることを確認します。
  • ブラウザにワークフローのすべての手順が正しく表示されるようにするには、サードパーティ製の Cookie を有効にする必要があります。
    注: フェデレーションのセットアップ ワークフローを使用する場合は、ブラウザのシークレット モードを使用していないことを確認してください。