汎用 ID プロバイダ統合のための SAML 認証コンテキスト

汎用 SAML 2.0 ID プロバイダを VMware Identity Services と統合し、認証プロトコルとして SAML を選択すると、未指定、PasswordProtectedTransport、またはカスタム値のいずれかの認証コンテキスト タイプを選択できるようになりました。

認証コンテキストは、ユーザーが ID プロバイダでどのように認証されるかを示します。ID プロバイダは、サービス プロバイダから要求があった時、または ID プロバイダでの構成に基づいて、アサーションに認証コンテキストを含めます。

コンソールから VMware Identity Services を無効にする機能

Workspace ONE Cloud コンソールから VMware Identity Services を無効にできるようになりました。VMware Identity Services を無効にした後、Workspace ONE UEM および Workspace ONE Access からディレクトリ プロビジョニングとフェデレーション認証を直接設定できます。次のシナリオでは、VMware Identity Services の無効化が必要になる場合があります。

• ユースケースが VMware Identity Services ではサポートされていない。

• ユーザーとグループを Active Directory から直接同期したい。

• Workspace ONE クラウド サービスの代わりに、Workspace ONE UEM または Workspace ONE Access でディレクトリ サービスと ID フェデレーションを構成したい。

これを行う方法は次のとおりです：VMware Identity Services を無効にする

Okta と Workspace ONE の統合のための新しいフロー

Okta との統合をサポートする新しい Okta フローが Workspace ONE Cloud コンソールで利用可能になりました。このフローにより、Okta からユーザーとグループを Workspace ONE サービスにプロビジョニングし、Okta を使用してユーザーを認証することが容易になります。このリリースより前のリリースでは、Okta は一般的な SCIM 2.0 ID プロバイダ フローについてテストされ、文書化されていました。

VMware Identity Services のドキュメントの「Integrating VMware Identity Services with Okta」を参照して、新しいフローについて理解します。

Workspace ONE サービスへのプロビジョニングの監査イベント

VMware Identity Services for Workspace ONE では、Workspace ONE から Workspace ONE UEM や Workspace ONE Access などのダウンストリーム サービスにデータをプッシュする際の成功と失敗を追跡する監査イベントを導入しています。管理者は、監査された情報を使用して、プロビジョニングベースの問題を特定、追跡、およびデバッグできます。監査イベントは、オブジェクト名、オブジェクト タイプ、ダウンストリーム サービス、およびエラーに基づくフィルタリングをサポートします。監査イベントの詳細ビューには、エラー状態が表示されます。

詳細については、「VMware Identity Services の監査イベントの表示」を参照してください。

Azure Active Directory 統合のための新しいプロビジョニング アプリケーション

この度、Azure AD アプリ ギャラリーで新しいプロビジョニング アプリケーション、「VMware Identity Service」アプリケーションを提供開始しましたのでお知らせします。このアプリケーションを使用すると、事前構成された設定を含めることで、Azure AD から VMware Identity Services へのユーザー プロビジョニングを簡単に設定できます。

プロビジョニング アプリケーションの使用を開始するには、Azure AD アプリ ギャラリーで「VMware Identity Service」を検索し、アプリケーションを選択します。

VMware Identity Services と Azure AD を統合する方法の詳細については、ドキュメントを参照してください。

VMware Workspace ONE®Access™ および VMware Workspace ONE® UEM の新規ユーザー向けに、ユーザー プロビジョニングと ID フェデレーションを容易にする新しいサービスを導入しています。VMware Identity Services を利用して、Workspace ONE コンソールで SCIM 2.0 に基づいてユーザーおよびグループのプロビジョニングされたディレクトリを構成できるようになりました。これで、VMware Identity Services は、ユーザーとグループおよび認証設定を Workspace ONE UEM および Workspace ONE Access 管理コンソールに自動的にプロビジョニングします。

サードパーティの ID プロバイダと統合するときに、VMware Identity Services と同期するユーザー属性を確認します。 

使用事例をいくつか見てみましょう。

• SCIM (System for Cross-domain Identity Management) 2.0 プロトコルを使用して、ユーザーおよびグループのプロビジョニングされたディレクトリを作成および構成します。

• Workspace ONE サービスへのフェデレーション認証の ID プロバイダ構成を管理します。

• Workspace ONE 製品全体で一元化されたユーザー管理と認証を活用します。

現在、VMware Identity Services は Workspace ONE UEM と Workspace ONE Access をサポートしており、新しく作成された環境の Workspace ONE コンソールからユーザーを一元管理および認証できます。

サポートされている ID プロバイダとディレクトリ ソース：

• Microsoft Azure のクラウドベースの ID サービスである Azure Active Directory (Azure AD)

• 汎用 SCIM 2.0 ID ソース（Okta でテスト済み）

VMware Identity Services の使用を開始するには、組織の Workspace ONE ポータルにログインし、[アカウント] > [エンド ユーザー管理] の順に選択します。

[開始する] をクリックし、ウィザードを使用して ID プロバイダとの統合を設定します。

• サポートされない機能

  VMware Identity Services が有効になっている場合、Workspace ONE Access、Workspace ONE UEM、Hub サービス、および VMware Workspace ONE® Intelligent Hub とポータルで一部の機能がサポートされません。詳細については、VMware Identity Services を使用したユーザー プロビジョニングと ID フェデレーションの構成を参照してください。

• VMware Identity Services で使用するサービス（Workspace ONE Access や Workspace ONE UEM など）を選択し、選択内容を保存した後は、選択解除できません。

  回避策：選択内容をリセットするには、VMware のサポートにお問い合わせください。

• Azure AD でユーザーを削除しても、VMware Identity Services からユーザーが削除されない

  Azure AD でユーザーを削除すると、アカウントは削除されるまでの特定の期間サスペンドされます。その間、ユーザーは、VMware Identity Services でも無効になります。Azure AD では、削除されたユーザーのユーザー名も変更され、変更は VMware Identity Services に反映されます。詳細については、Azure AD ユーザーの削除方法を参照してください。

• Azure AD でユーザーおよびグループの属性値を削除しても、VMware Identity Services の値が削除されない

  Azure AD で、VMware Identity Services とすでに同期されているユーザーまたはグループの属性値を削除しても、VMware Identity Services および Workspace ONE サービスで値が削除されません。Azure AD は null 値を伝達しません。

  回避策：値を完全にクリアする代わりに、スペース文字を入力します。

• Okta 統合には 2 つのアプリケーションが必要

  VMware Identity Services を Okta と統合する場合は、Okta 管理コンソールでユーザー プロビジョニング用と ID プロバイダ構成用の別々のアプリケーションを作成する必要があります。プロビジョニングと認証に同じアプリケーションを使用することはできません。

• login_hint 機能が動作しない

  OpenID Connect プロトコルを使用してサードパーティの ID プロバイダを VMware Identity Services と統合する場合、login_hint 機能が動作しません。証明書利用者が login_hint を送信する場合、VMware Identity Services はそれを ID プロバイダに渡しません。

• Azure AD または Okta で属性マッピングを削除しても、VMware Identity Services のユーザーから属性が削除されない

  Azure AD または Okta のプロビジョニング アプリケーションから属性マッピングを削除しても、変更は VMware Identity Services に伝達されません。VMware Identity Services および Workspace ONE サービスのユーザーの属性は削除されません。

Workspace ONE ドキュメント センターのVMware Identity Services を使用したユーザー プロビジョニングと ID フェデレーションの構成を参照してください。

VMware Identity Services は、次の言語で使用可能です。

目的の言語でドキュメントを表示するには、ページの右上にある
アイコンをクリックし、言語を選択します。

VMware Identity Services 環境に関するサポートが必要な場合は、VMware のサポートにお問い合わせください。VMware Customer Connect アカウントを使用するか、電話を使用して、サポート リクエストをオンラインで VMware のサポートに送信できます。

Workspace ONE サポートへのお問い合わせ方法については、ナレッジベースの記事 VMware Workspace ONE サポートへのアクセス方法 (KB2151511)を参照してください。