Workspace ONE テナントの VMware Identity Services を有効にした後、SCIM 2.0 ベースの ID プロバイダとの統合を設定します。

  1. VMware Identity Services の [はじめに] ウィザードのステップ 2、[SCIM 2.0 ベースの ID プロバイダの統合][開始] をクリックします。""
  2. [SCIM 2.0 ID プロバイダ] カードで [設定] をクリックします。
    ""
  3. ウィザードに従って、ID プロバイダとの統合を設定します。

ステップ 1:ディレクトリの作成

VMware Identity Services を使用してユーザー プロビジョニングと ID フェデレーションを設定する最初のステップとして、ID プロバイダからプロビジョニングされたユーザーとグループのディレクトリを Workspace ONE コンソールに作成します。

注意: ディレクトリを作成した後、ID プロバイダの選択を変更することはできません。続行する前に、適切な ID プロバイダが選択されていることを確認してください。

手順

  1. ウィザードのステップ 1、[全般情報] で、Workspace ONE のプロビジョニングされたディレクトリに使用する名前を入力します。
    名前の長さは最大 128 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_) のみです。
    重要: 作成したディレクトリの名前を変更することはできません。
  2. [ドメイン名] には、.com.net などの拡張子を含む、ソース ディレクトリのプライマリ ドメイン名を入力します。
    VMware Identity Services は現在、1 つのドメインのみをサポートしています。プロビジョニングされたユーザーとグループは、Workspace ONE サービスでこのドメインに関連付けられます。

    ドメイン名の長さは最大 100 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_)、ピリオド (.) のみです。

    例:

    この例では、ディレクトリ名は「Demo」で、ドメイン名は「example.com」です。
  3. [保存] をクリックし、選択を確認します。

次のタスク

ユーザーとグループのプロビジョニングを設定します。

ステップ 2:ユーザーとグループのプロビジョニングの設定

VMware Identity Services でディレクトリを作成したら、ユーザーとグループのプロビジョニングを設定します。プロビジョニングに必要な管理者認証情報を生成して VMware Identity Services でプロセスを開始し、これらの認証情報を使用して ID プロバイダでプロビジョニングを構成します。

注: このトピックは、Azure AD 以外の SCIM 2.0 ID プロバイダとの統合に適用されます。Azure AD との統合については、 ステップ 2:ユーザーとグループのプロビジョニングの設定を参照してください。
注: このトピックでは、サードパーティ ID プロバイダの構成に関する概要を提供します。タスクの正確な手順と場所は、ID プロバイダによって異なります。具体的な情報については、ID プロバイダのドキュメントを参照してください。

前提条件

ユーザー プロビジョニングのセットアップに必要な権限を持つ ID プロバイダの管理者アカウントがあること。

手順

  1. Workspace ONE コンソールで、VMware Identity Services ウィザードのステップ 2、[ID プロバイダの構成] を実行し、ID プロバイダでユーザー プロビジョニングを設定するために必要な認証情報のタイプを選択します。
    次のいずれかを選択します。
    • [クライアント ID とシークレット]
    • [テナント URL とトークン]

    トークンの有効期限が切れると、手動で更新する必要があるため、[クライアント ID とシークレット] が推奨されます。セキュリティのベスト プラクティスとして、6 か月ごとにクライアント ID とクライアント シークレットをローテーションします。

    [次へ] をクリックすると、VMware Identity Services によって認証情報が生成されます。
  2. [クライアント ID とシークレット] を選択した場合は、[クライアント ID][クライアント シークレット] の値をコピーします。
    重要: [次へ] をクリックする前に、シークレットをコピーしてください。 [次へ] をクリックすると、シークレットは表示されなくなり、新しいシークレットを生成する必要があります。シークレットを再生成するたびに、以前のシークレットが無効になり、プロビジョニングが失敗することに注意してください。新しいシークレットをコピーして ID プロバイダ アプリケーションに貼り付けてください。

    例:

    クライアント ID とクライアント シークレットの値が表示され、その横にコピー アイコンが表示されます。
  3. [テナント URL とトークン] を選択した場合は、生成された値を確認してコピーします。
    • [テナント URL]VMware Identity Services テナントの SCIM 2.0 エンドポイント。値をコピーします。
    • [トークンの存続期間]:シークレット トークンが有効な期間

      デフォルトでは、VMware Identity Services は存続期間が 6 か月(デフォルト)のトークンを生成します。トークンの存続期間を変更するには、下矢印をクリックして別のオプションを選択し、[再生成] をクリックして新しい値でトークンを再生成します。

      重要: トークンの存続期間を更新すると、以前のトークンが無効になり、ID プロバイダからのユーザーとグループのプロビジョニングは失敗します。新しいトークンを再生成し、新しいトークンをコピーして ID プロバイダに貼り付ける必要があります。
    • [シークレット トークン]:ユーザーを Workspace ONE にプロビジョニングするために ID プロバイダで必要なトークン。値をコピーします。
      重要: [次へ] をクリックする前に、トークンをコピーしてください。 [次へ] をクリックすると、トークンは表示されなくなり、新しいトークンを生成する必要があります。トークンを再生成するたびに、以前のトークンが無効になり、プロビジョニングが失敗することに注意してください。新しいトークンをコピーして ID プロバイダに貼り付けてください。

    例:

    テナント URL とシークレット トークンの値が表示されます。トークンの存続期間は 6 か月です。
  4. ID プロバイダで、Workspace ONE へのユーザーとグループのプロビジョニングを設定します。
    1. ID プロバイダ コンソールに管理者としてログインします。
    2. SCIM 2.0 プロビジョニングを設定します。
      プロンプトが表示されたら、Workspace ONE コンソールで生成した認証情報を入力します。
    3. プロビジョニングを有効にします。

次のタスク

Workspace ONE コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 3:SCIM ユーザー属性のマッピング

ID プロバイダから Workspace ONE サービスに同期するユーザー属性をマッピングします。ID プロバイダ コンソールで、必要な SCIM ユーザー属性を追加し、ID プロバイダ属性にマッピングします。少なくとも、VMware Identity Services および Workspace ONE サービスに必要な属性を同期します。

VMware Identity Services および Workspace ONE サービスには、次の SCIM ユーザー属性が必要です。

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

これらの属性と Workspace ONE 属性へのマッピングの詳細については、VMware Identity Services のユーザー属性マッピングを参照してください。

必須属性に加えて、オプション属性とカスタム属性を同期できます。サポートされているオプション属性とカスタム属性のリストについては、VMware Identity Services のユーザー属性マッピングを参照してください。

注: Okta ではグループ属性マッピングを指定して、 VMware Identity Services に同期することはできません。ユーザー属性のみをマッピングできます。

手順

  1. Workspace ONE コンソールで、VMware Identity Services ウィザードのステップ 3、[SCIM ユーザー属性のマッピング] を実行し、VMware Identity Services がサポートする属性のリストを確認します。
  2. ID プロバイダ管理コンソールで、Workspace ONE のプロビジョニング構成に移動します。
  3. 属性マッピング ページに移動します。
  4. 必要な SCIM ユーザー属性を ID プロバイダ属性にマッピングします。
  5. 必要に応じて、オプションおよびカスタムの SCIM ユーザー属性を追加およびマッピングします。

次のタスク

Workspace ONE コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 4:認証プロトコルの選択

フェデレーション認証に使用するプロトコルを選択します。VMware Identity Services は、OpenID Connect および SAML プロトコルをサポートします。

手順

  1. ウィザードのステップ 4、[認証プロトコルの選択] で、[OpenID Connect] または [SAML] を選択します。
  2. [次へ] をクリックします。
    ウィザードの次のステップが、選択したプロトコルの構成に必要な値とともに表示されます。

次のタスク

フェデレーション認証用の VMware Identity Services と ID プロバイダを構成します。

ステップ 5:認証の構成(汎用 SCIM ID プロバイダ)

ID プロバイダを使用してフェデレーション認証を構成するには、VMware Identity Services のサービス プロバイダ メタデータを使用して ID プロバイダで OpenID Connect または SAML アプリケーションを設定し、アプリケーションの値を使用して VMware Identity Services を構成します。

重要: VMware Identity Services を Okta と統合する場合は、Okta 管理コンソールでユーザー プロビジョニングと ID プロバイダ構成用に個別のアプリケーションを作成する必要があります。プロビジョニングと認証に同じアプリケーションを使用することはできません。
注: このトピックでは、サードパーティ ID プロバイダの構成に関する概要を提供します。タスクの正確な手順は、ID プロバイダによって異なります。具体的な情報については、ID プロバイダのドキュメントを参照してください。

OpenID Connect

認証プロトコルとして OpenID Connect を選択した場合は、次の手順を実行します。

  1. VMware Identity Services ウィザードのステップ 5 、[OpenID Connect の構成] で、[リダイレクト用 URI] の値をコピーします。

    この値は、次の手順に進み、ID プロバイダで OpenID Connect アプリケーションを作成するときに必要になります。

    ""

  2. ID プロバイダ管理コンソールで、OpenID Connect アプリケーションを作成します。
  3. アプリケーションで [リダイレクト用 URI] セクションを見つけ、VMware Identity Services ウィザードからコピーした [リダイレクト用 URI] の値をコピーして貼り付けます。
  4. アプリケーションのクライアント シークレットを作成し、コピーします。

    シークレットは、VMware Identity Services ウィザードの次のステップで入力します。

  5. Workspace ONE コンソールの VMware Identity Services ウィザードに戻り、[OpenID Connect の構成] セクションで構成を完了します。
    [クライアント ID] ID プロバイダ アプリケーションからクライアント ID 値をコピーして貼り付けます。
    [クライアント シークレット] ID プロバイダ アプリケーションからクライアント シークレットをコピーして貼り付けます。
    [構成 URL] ID プロバイダ アプリケーションの OpenID Connect の既知の構成 URL をコピーして貼り付けます。例:https://example.com/.well-known/openid-configuration
    [OIDC ユーザー ID 属性] ユーザー検索用に Workspace ONE 属性にマッピングする OpenID Connect 属性を指定します。
    [Workspace ONE ユーザー ID 属性] ユーザー検索用に OpenID Connect 属性にマッピングする Workspace ONE 属性を指定します。
  6. VMware Identity Services ウィザードで [終了] をクリックして、VMware Identity Services と ID プロバイダ間の統合の設定を完了します。

SAML

認証プロトコルとして SAML を選択した場合は、次の手順を実行します。

  1. Workspace ONE コンソールからサービス プロバイダのメタデータを取得します。

    VMware Identity Services ウィザードのステップ 5、[SAML シングル サインオンを構成する] で、[SAML サービス プロバイダのメタデータ] をコピーまたは表示してダウンロードします。


    ""
  2. ID プロバイダ管理コンソールで、シングル サインオンの構成ページに移動します。
    重要: VMware Identity Services を Okta と統合する場合は、認証のために Okta に個別の SAML アプリケーションを作成する必要があります。プロビジョニングと認証に同じアプリケーションを使用することはできません。
  3. VMware Identity Services ウィザードの値を使用してシングル サインオンを構成します。

    一般的な構成手順には、ID プロバイダがサポートする内容に基づいて、次のいずれかが含まれます。

    • サービス プロバイダのメタデータ オプションを見つけ、VMware Identity Services ウィザードから SAML サービス プロバイダのメタデータをアップロードまたはコピーして貼り付けます。
    • ID プロバイダにメタデータをアップロードするオプションがない場合は、VMware Identity Services SAML サービス プロバイダのメタデータの次の値をコピーして、ID プロバイダ コンソールの対応するフィールドに貼り付けます。

      [entityID] 値:たとえば、https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml のようになります。

      [AssertionConsumerService] HTTP-POST [Location] 値:たとえば、https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response のようになります。

  4. ID プロバイダ コンソールから ID プロバイダの SAML メタデータを見つけてコピーします。
  5. Workspace ONE コンソールで、VMware Identity Services ウィザードのステップ 5、[SAML シングル サインオンを構成する] を実行し、ID プロバイダ メタデータを [ID プロバイダ メタデータ] テキスト ボックスに貼り付けます。
    ""
  6. [SAML シングル サインオンを構成する] セクションの残りのオプションを構成します。
    • [シングル サインアウト]:ユーザーが Workspace ONE Intelligent Hub からログアウトした後、ID プロバイダ セッションからログアウトされるようにする場合は、このオプションを選択します。
    • [バインディング プロトコル]:SAML バインディング プロトコル([HTTP POST] または [HTTP リダイレクト])を選択します。
    • [名前 ID の形式]:ID プロバイダと Workspace ONE サービス間でユーザーをマッピングするために使用する名前 ID の形式を指定します。
    • [名前 ID の値]:Workspace ONE のユーザーのユーザー属性を選択します。
    • [SAML 要求のサブジェクトを送信 (可能な場合)]:ID プロバイダがログイン ヒントとしてサブジェクトを VMware Identity Services に送信する場合は、このオプションを選択します(可能な場合)。このオプションを選択した場合は、[サブジェクトに名前 ID 形式のマッピングを使用] を選択することもできます。
    • [サブジェクトに名前 ID 形式のマッピングを使用]:名前 ID 形式を使用して ID プロバイダによって提供されるログイン ヒントを名前 ID の値にマッピングする場合は、このオプションを選択します。
      注意: このオプションを有効にすると、ユーザーの列挙と呼ばれるセキュリティ脆弱性のリスクが高まる可能性があります。
  7. ウィザードで [終了] をクリックして、VMware Identity Services と ID プロバイダ間の統合の設定を完了します。

結果

VMware Identity Services と ID プロバイダ間の統合が完了しました。

ディレクトリは VMware Identity Services で作成され、ID プロバイダのプロビジョニング アプリケーションからユーザーとグループをプッシュすると入力されます。プロビジョニングされたユーザーとグループは、Workspace ONE AccessWorkspace ONE UEM など、ID プロバイダと統合するために選択した Workspace ONE サービスに自動的に表示されます。

Workspace ONE Access および Workspace ONE UEM コンソールでディレクトリを編集することはできません。ディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダのページは読み取り専用です。

次のステップ

次に、ユーザーとグループをプロビジョニングする Workspace ONE サービスを選択します。

その後、ID プロバイダからユーザーとグループをプッシュします。Workspace ONE へのユーザーのプロビジョニングを参照してください。