SaaS アプリケーションを、ユーザーによるアクセスの前に承認を要求するように構成します。この機能は、アクセスにライセンスを使用することでライセンスのアクティブ化を管理している SaaS アプリケーションがある場合に使用します。承認を有効にするときに、該当する SaaS アプリケーション レコードで ライセンス承認が必要 を構成します。

  • 承認ワークフロー - アプリケーションは Workspace ONE カタログに表示され、ユーザーはそこからアプリケーションの使用を要求します。Workspace ONE Access は、組織内で構成されている承認用の REST エンドポイント URL に承認要求メッセージを送信します。要求が確認されると、Workspace ONE Access に承認または拒否のメッセージが送信されます。アプリケーションが承認されると、アプリケーションの状態が 保留中 から 追加済 に変更され、ユーザーの Workspace ONE ランチャー 画面にそのアプリケーションが表示されるようになります。
  • 承認エンジン - システムは、2 つの承認エンジンを提供します。
    • REST API - REST API 承認エンジンは、外部の承認ツールを使用して Webserver REST API 経由でルーティングし、要求および承認応答を実行します。Workspace ONE Access サービスに REST API URL を入力し、REST API に、Workspace ONE Access OAuth クライアントの資格情報の値と、コールアウト要求および応答のアクションを構成します。
    • コネクタ経由 REST API - コネクタ経由 REST API 承認エンジンは、WebSocket ベースの通信チャネルを使用して、コールバック コールをコネクタ経由でルーティングします。REST API エンドポイントに、コールアウト要求と応答のアクションを構成します。

SAML メタデータならびに、自己署名証明書、または CA による証明書

SAML 証明書は、モバイル シングル サインオンなどの認証システムの 設定 画面から使用できます。Workspace ONE Access サービスでは、SAML 署名用に自己署名の証明書が自動的に作成されますが、一部の組織では、認証局 (CA) による証明書が必要になる場合もあります。CA による証明書を要求するには、設定 画面で証明書署名要求 (CSR) を生成します。どちらの証明書も、SaaS アプリケーションのユーザー認証に使用できます。

証明書を対象となるアプリに送信し、アプリと Workspace ONE システムの間の認証を構成します。

サードパーティの ID プロバイダを追加して、Workspace ONE Access でユーザーを認証できます。プロバイダ インスタンスを構成するには、AirWatch コンソールの 設定 セクションからコピーした ID プロバイダとサービス プロバイダのメタデータを使用します。サードパーティ プロバイダを構成する方法の詳細は、「ユーザー認証のためのサードパーティ ID プロバイダ インスタンスの構成」を参照してください(Workspace ONE Accessのドキュメント)。****

アプリケーション ソースは、対応するサードパーティ ID プロバイダを選択することで構成できます。アプリケーション ソースが設定されると、その関連アプリケーションを作成できるようになります。

Saas アプリケーションの承認の構成

使用するライセンスをアクティブ化する SaaS アプリケーションの承認を使用します。対応する ライセンス承認が必要 オプションを指定して有効にすると、ユーザーは、インストールとライセンスのアクティブ化の前に Workspace ONE カタログから該当する SaaS アプリケーションへのアクセスを要求します。

  1. リソース > アプリ > SaaS の順に進み、設定 を選択します。
  2. 承認 を選択します。
  3. はい を選択して機能を有効にします。
  4. 承認を要求するためにシステムが使用する 承認エンジン を選択します。
  5. コールアウト要求を待機する REST リソースのコールバック URI (Uniform Resource Identifier) を入力します。
  6. アクセスするために REST API に資格情報が必要な場合は、ユーザー名を入力します。
  7. アクセスするために REST API に資格情報が必要な場合は、そのユーザー名の パスワード を入力します。
  8. REST リソースが自己署名証明書またはパブリック認証局によって信頼されていない証明書を持ち、HTTPS を使用するサーバ上で実行されている場合は、PEM 形式の SSL 証明書 オプションで PEM (プライバシー強化電子メール) 形式の SSL 証明書を入力します。

シングル サインオン機能のための SAML メタデータの構成

SaaS アプリケーションでのシングル サインオン機能のために、設定 画面から SAML メタデータと証明書を取得します。

**重要:**既存の SAML メタデータに依存するすべてのシングル サインオン接続は、CSR の生成により SAML メタデータが作成されると切断されます。

**注:**既存の SSL 証明書を置き換える場合、このアクションによって既存の SAML メタデータが変更されます。SSL 証明書を置き換える場合は、モバイル シングル サインオン用に構成する SaaS アプリケーションを新しい証明書で更新する必要があります。

  1. リソース > アプリ > SaaS の順に進み、設定 を選択します。

  2. SAML メタデータ > SAML メタデータをダウンロード を選択し、次の操作を実行します。

    設定 説明
    SAML メタデータ ID プロバイダ メタデータとサービス プロバイダ メタデータをコピーして保存します。
    リンクを選択し、XML データを含むブラウザ インスタンスを開きます。
    この情報を使用して、サードパーティ ID プロバイダを構成します。
    証明書に署名 テキスト領域のすべてのコードを含む署名証明書をコピーします。
    証明書をダウンロードして TXT ファイルとして保存することもできます。
  3. [CSR を生成] を選択し、認証局にデジタル ID 証明書 (SSL 証明書) を要求します。この要求では、貴社の名前、ドメイン名、公開鍵を特定します。この情報を使用してサードパーティの認証局が SSL 証明書を発行します。メタデータを更新するには、署名した証明書をアップロードします。

    設定 - 新しい証明書 説明
    一般名 組織のサーバの完全修飾ドメイン名を入力します。
    組織 企業の登記上の正式名称を入力します。
    部署 証明書が参照する会社の部門を入力します。
    組織の登記上の所在地となる市を入力します。
    都道府県/州 組織の登記上の所在地となる都道府県/州を入力します。
    組織の登記上の所在地となる国を入力します。
    キー生成アルゴリズム CSR に署名するときのアルゴリズムを選択します。
    キー サイズ キーで使用するビット数を選択します。2048 以上を選択します。
    2048 未満の RSA キー サイズは安全でないと見なされます。
    設定 - 証明書を置き換える 説明
    SSL 証明書をアップロード サードパーティの認証局から受け取った SSL 証明書をアップロードします。
    証明書署名要求 証明書署名要求 (CSR) をダウンロードします。CSR をサードパーティの認証局に送信します。

サードパーティ ID プロバイダをアプリケーション ソースとして構成する

ID プロバイダをアプリケーション ソースとして追加すると、そのプロバイダの個々のアプリケーションをエンド ユーザー カタログに追加するプロセスが効率化されます。これは、サードパーティのアプリケーション ソースから構成した設定およびポリシーを、そのアプリケーション ソースによって管理されるすべてのアプリケーションに適用できるからです。

最初に、ALL_USERS グループにアプリケーション ソースの使用資格を付与し、適用するアクセス ポリシーを選択します。

カタログには、SAML 2.0 認証プロファイルを使用する Web アプリケーションを追加できます。アプリケーションの構成は、アプリケーション ソースで構成された設定に基づきます。構成が必要なのは、アプリケーション名とターゲット URL のみです。

特定のユーザーおよびグループへの使用資格の付与と、そのアプリケーションへのユーザー アクセスを制御するアクセス ポリシーの適用は、アプリケーションを追加する際に実行できます。ユーザーは、これらのアプリケーションに各自のデスクトップ デバイスおよびモバイル デバイスからアクセスできます。

サードパーティのアプリケーション ソースから構成した設定およびポリシーは、そのアプリケーション ソースによって管理されるすべてのアプリケーションに適用できます。サードパーティ ID プロバイダは、ユーザーがアクセスしようとしているアプリケーションの情報を含まない認証要求を送信することがあります。Workspace ONE Access が、アプリケーション情報が含まれない認証要求を受け取った場合は、アプリケーション ソースで構成されているバックアップ アクセス ポリシーのルールが適用されます。

アプリケーション ソースとして構成できる ID プロバイダは、次のとおりです。

  • Okta
  • Ping Identity 社の PingFederate サーバ
  • Active Directory フェデレーション サービス (ADFS)

サードパーティ ID プロバイダを選択することで、アプリケーション ソースを構成します。アプリケーション ソースがセットアップされると、その関連アプリケーションを作成し、ユーザーに使用資格を付与できるようになります。

  1. リソース > アプリ > SaaS の順に進み、設定 を選択します。

  2. アプリケーション ソース を選択します。

  3. サードパーティ ID プロバイダを選択します。サードパーティ ID プロバイダのアプリケーション ソース ウィザードが表示されます。

  4. アプリケーション ソースのわかりやすい名前を入力し、次へ をクリックします。

  5. 認証タイプ は既定で SAML 2.0 に設定されており、編集できません。

  6. アプリケーション ソースの 構成 を変更します

    構成 - URL または XML

    設定 説明
    構成 Workspace ONE カタログに含まれない SaaS アプリケーションの既定のオプションは URL または XML です。
    URL/XML XML メタデータにインターネットでアクセスできる場合は、URL を入力します。
    インターネット上の XML メタデータにアクセスできなくても、XML メタデータを持っている場合は、テキスト ボックスに XML を貼り付けます。
    XML メタデータを持ってない場合は、手動構成を使用します。
    リレー状態 URL Identity Provider-initiated (IDP) シナリオにおいて、シングル サインオンの手順後に SaaS アプリケーション ユーザーを誘導するランディング URL を入力します。

    構成 - 手動

    設定 説明
    構成 カタログから追加された SaaS アプリケーションの既定のオプションは、[手動] です。
    シングル サインオン URL アサーション コンシューマ サービス (ACS) URL を入力します。
    シングル サインオンのためにこの URL が Workspace ONE からサービス プロバイダに送信されます。
    受信先 URL サービス プロバイダが必要とする場合、SAML アサーションのサブジェクト内のドメインを示す、固有の値を持つ URL を入力します。
    サービス プロバイダがこの URL に特定の値を必要としない場合、シングル サインオン URL と同じ URL を入力します
    アプリ ID Workspace ONE にサービス プロバイダのテナントを識別させるための ID を入力します。Workspace ONE は、SAML アサーションを ID に送信します。
    一部のサービス プロバイダは Single Sign-On URL を使用します。
    ユーザー名の形式 サービス プロバイダが求める SAML のサブジェクト形式を選択します。
    ユーザー名の値 Workspace ONE が SAML アサーションの Subject ステートメントする名前の ID 値を入力します。
    この値は、アプリケーションのサービス プロバイダにおいては、ユーザー名の既定のプロファイル フィールド値です。
    リレー状態 URL Identity Provider-initiated (IDP) シナリオにおいて、シングル サインオンの手順後に SaaS アプリケーション ユーザーを誘導するランディング URL を入力します。
  7. 高度なプロパティ を変更します。

    設定 説明
    応答に署名 インターネット上の SaaS アプリケーションにユーザーを誘導するための URL を入力します。
    アサーションに署名 アサーション コンシューマ サービス (ACS) URL を入力します。
    シングル サインオンのためにこの URL が Workspace ONE からサービス プロバイダに送信されます。
    アサーションの暗号化 サービス プロバイダが必要とする場合、SAML アサーションのサブジェクト内のドメインを示す、固有の値を持つ URL を入力します。
    サービス プロバイダがこの URL に特定の値を必要としない場合、シングル サインオン URL と同じ URL を入力します
    アサーション署名を追加 Workspace ONE にサービス プロバイダのテナントを識別させるための ID を入力します。Workspace ONE は、SAML アサーションを ID に送信します。
    一部のサービス プロバイダは Single Sign-On URL を使用します。
    署名アルゴリズム セキュアな暗号ハッシュ アルゴリズムとして 「SHA256 with RSA」 を選択します。
    ダイジェスト アルゴリズム 「SHA256」を選択します
    アサーションの時間 SAML アサーションの時間を秒単位で入力します。
    署名の要求 サービス プロバイダから Workspace ONE に送信される要求がサービス プロバイダによって署名されるようにするには、パブリック署名証明書を入力します。
    暗号証明書 アプリケーション サービス プロバイダから Workspace ONE への SAML 要求が署名されるようにする場合は、パブリック暗号化証明書を入力します。
    アプリのログイン URL プロバイダのログイン画面の URL を入力します。このオプションにより、サービス プロバイダが Workspace ONE へのログインを開始します。一部のサービス プロバイダは、ログイン画面から認証を開始する必要があります。
    プロキシ カウント サービス プロバイダと認証 ID プロバイダ間で許容されるプロキシ レイヤを入力します。
    API アクセス このアプリケーションへの API アクセスを許可します。
  8. [カスタム属性マッピング] を構成します。サービス プロバイダがシングル サインオンの属性ではなくカスタム属性を許可している場合、カスタム属性を追加します。

  9. アプリケーションを VMware Browser で開く場合は、VMware Browser で開く を選択します。ただし、アプリケーションを VMware Browser で開くには、Workspace ONE が必要です。VMware Browser を使用して SaaS アプリケーションを開くとセキュリティ機能が強化されます。このアクションにより内部リソースでのアクセスが維持されます。

  10. Next をクリックします。

  11. アプリケーション リソースへのサインインをセキュリティ保護するため、アクセス ポリシー を選択します。次へ をクリックし、概要 画面を確認します。

  12. 保存 をクリックします。アプリケーション ソースの構成中に [保存][割り当て] を選択すると、アプリケーション ソースの使用資格が [すべてのユーザー] に設定されます。ただし、既定の設定を変更して、ユーザーの使用資格を管理したり、ユーザーまたはユーザー グループを追加したりできます。

  13. ID プロバイダがアプリケーション ソースとして構成されると、各サードパーティ ID プロバイダに対し、関連アプリケーションを作成できるようになります。定義 タブでオプションを完了したら、構成 タブの 認証タイプ ドロップダウン メニューから OKTA を選択できます。

  14. アプリケーション ソースの使用資格を すべてのユーザー に設定するか、またはユーザー/ユーザー グループを追加することができます。既定では、アプリケーション ソースの構成中に 保存して割り当て を選択すると、アプリケーション ソースの使用資格が すべてのユーザー に設定されます。

check-circle-line exclamation-circle-line close-line
Scroll to top icon