モバイル シングル サインオン (SSO) を構成して、AirWatch に登録したデバイスのユーザーが複数のパスワードを入力することなく有効なアプリケーションに安全にログインできるようにします。

このタスクについて

このウィザードでは、一連の手順を実行することでサポートされているすべてのプラットフォームの設定をすべて構成します。ウィザードの構成が完了したら、構成を編集できます。

図 1. 構成されているコンポーネントのリスト

ウィザードの構成には数分かかる場合があります。構成の実行中には、ウィザードの構成ページを更新したり、別のページに移動したりしないでください。

コンポーネントを個別に選択して手動で構成することもできます。

手順

  1. 管理者パスワードを使用して AirWatch コンソールにログインします。
  2. はじめに > Workspace ONE を選択します。
  3. [モバイル シングル サインオン] セクションで、構成 をクリックします。
  4. [高速かつ容易なセットアップ!]ページで 開始する をクリックすると、ウィザードは Workspace ONE のすべてのモバイル シングル サインオン コンポーネントを構成します。

    モバイル シングル サインオンを手動で構成するには、手動セットアップ をクリックします。

  5. [開始する] ページで 続行 をクリックします。
  6. [自動構成] ページで、構成の開始 をクリックします。

    手順が完了すると、その手順の前にチェックマークが表示されます。

  7. 構成が完了したら、終了 をクリックします。

    設定の編集 をクリックしてコンポーネントの構成を変更または確認するか、閉じる をクリックします。

タスクの結果

[モバイル シングル サインオン] ウィザードは以下のコンポーネントを自動的に構成し、iOS、Android for Work、および Workspace ONE をインストールした Windows 10 デバイスのモバイル シングル サインオンを設定します。

表 1. モバイル シングル サインオン用に構成されるコンポーネント

構成されるコンポーネント

説明

[管理コンソールの設定] ページ

認証局

管理対象 iOS デバイスのモバイル SSO のための認証証明書を発行するために使用されるネイティブの AirWatch 認証局への接続が設定されます。

[AirWatch コンソール] > [システム] > [エンタープライズ統合] > [認証局]

証明書テンプレート

モバイル シングル サインオンのための証明書を発行する AirWatch 証明書テンプレートが事前構成されています。

[AirWatch コンソール] > [システム] > [エンタープライズ統合] > [要求テンプレート]

VMware Tunnel

VMware Tunnel が構成されます。この機能で VMware Identity Manager に接続されているサードパーティの Android アプリケーションにローカルのシングル サインオン サービスを提供するための証明書を設定します。

[AirWatch コンソール] > [システム] > [エンタープライズ統合] > [VMware Tunnel]

認証方法

モバイル シングル サインオンに必要な認証方法が VMware Identity Manager サービスに構成されます。これらの認証方法は、AirWatch 認証局と VMware Identity Manager サービス間の信頼チェーンを確立します。構成される認証方法は、iOS 版モバイル SSO、Android 版モバイル SSO、パスワード(AirWatch Connector)、証明書(クラウド デプロイ)です。さらに、AirWatch のデバイス コンプライアンスが有効です。

[VMware Identity Manager 管理コンソール] > [ID とアクセス管理] > [管理] > [認証方法]

ユーザー認証プロファイル

iOS および Windows 用の AirWatch 構成プロファイルが作成されます。プロファイルは、VMware Identity Manager サービスで認証するために証明書の配布とデバイスの構成に使用されます。

[AirWatch コンソール] > [デバイス] > [プロファイルとリソース] > [プロファイル]

アクセス ポリシー

VMware Identity Manager サービスのデフォルトのアクセス ポリシーは、iOS デバイス、Android デバイス、および Windows 10 デバイスごとのアクセス ルールを使用して構成されています。ユーザーは、管理対象デバイスのモバイル シングル サインオンを使用して認証します。ユーザーに適用するアクセス ポリシーの管理を参照してください。

[VMware Identity Manager 管理コンソール] > [ID とアクセス管理] > [管理] > [ポリシー]

次のタスク

  • iOS デバイスの場合、サービスは Kerberos と統合する必要があります。iOS デバイスのためのこの認証方法は、サードパーティのシステムを使用しないキー配布センター (KDC) を使用します。オンプレミス展開では、2 つの KDC オプションが利用可能です。すなわち、VMware identity Manager クラウドでホストされたサービスとしての KDC と、アプライアンス上の組み込み KDC です。これは、VMware Identity Manager 管理コンソールから構成されます。iOS デバイスから認証するためのキー配布センターの使用を参照してください。

  • AirWatch 管理コンソールからアプリケーションのトンネル機能を使用する各 Android アプリケーションの VPN を有効にします。

  • iOS プロファイルを公開して、AirWatch 管理コンソールから SSO を有効にします。プロファイルが生成されますが、自動的に公開されません。

  • Windows 展開の場合は、クラウド展開の証明書を手動で構成する必要があります。これは、VMware Identity Manager 管理コンソールから構成されます。『VMware Identity Manager 管理ガイド』を参照してください。

  • 管理対象デバイスからの制限付きアクセスを必要とするアプリケーションのアクセス ポリシーを作成します。ユーザーに適用するアクセス ポリシーの管理を参照してください。