Workspace ONE テナントの VMware Identity Services を有効にした後、SCIM 2.0 ベースの ID プロバイダとの統合を設定します。

  1. VMware Identity Services の [はじめに] ウィザードのステップ 2、[SCIM 2.0 ベースの ID プロバイダの統合][開始] をクリックします。""
  2. [SCIM 2.0 ID プロバイダ] カードで [設定] をクリックします。
    ""
  3. ウィザードに従って、ID プロバイダとの統合を設定します。

ステップ 1:ディレクトリの作成

VMware Identity Services を使用してユーザー プロビジョニングと ID フェデレーションを設定する最初のステップとして、ID プロバイダからプロビジョニングされたユーザーとグループのディレクトリを Workspace ONE Cloud コンソールに作成します。

注意: ディレクトリを作成した後、ID プロバイダの選択を変更することはできません。続行する前に、適切な ID プロバイダが選択されていることを確認してください。

手順

  1. ウィザードのステップ 1、[全般情報] で、Workspace ONE のプロビジョニングされたディレクトリに使用する名前を入力します。
    名前の長さは最大 128 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_) のみです。
    重要: 作成したディレクトリの名前を変更することはできません。
  2. [ドメイン名] には、.com.net などの拡張子を含む、ソース ディレクトリのプライマリ ドメイン名を入力します。
    VMware Identity Services は現在、1 つのドメインのみをサポートしています。プロビジョニングされたユーザーとグループは、Workspace ONE サービスでこのドメインに関連付けられます。

    ドメイン名の長さは最大 100 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_)、ピリオド (.) のみです。

    例:

    この例では、ディレクトリ名は「Demo」で、ドメイン名は「example.com」です。
  3. [保存] をクリックし、選択を確認します。

次のタスク

ユーザーとグループのプロビジョニングを設定します。

ステップ 2:ユーザーとグループのプロビジョニングの設定

VMware Identity Services でディレクトリを作成したら、ユーザーとグループのプロビジョニングを設定します。プロビジョニングに必要な管理者認証情報を生成して VMware Identity Services でプロセスを開始し、これらの認証情報を使用して ID プロバイダでプロビジョニングを構成します。

注: この情報は、 Microsoft Entra ID および Okta 以外の SCIM 2.0 ベースの ID プロバイダに適用されます。 VMware Identity ServicesMicrosoft Entra ID と統合するには、「 Microsoft Entra ID を使用した VMware Identity Services の統合」を参照してください。 VMware Identity Services を Okta と統合するには、「 VMware Identity Services と Okta の統合」を参照してください。
注: このトピックでは、サードパーティ ID プロバイダの構成に関する概要を提供します。タスクの正確な手順と場所は、ID プロバイダによって異なります。具体的な情報については、ID プロバイダのドキュメントを参照してください。

前提条件

ユーザー プロビジョニングのセットアップに必要な権限を持つ ID プロバイダの管理者アカウントがあること。

手順

  1. Workspace ONE Cloud コンソールで、VMware Identity Services ウィザードのステップ 2、[ID プロバイダの構成] を実行し、ID プロバイダでユーザー プロビジョニングを設定するために必要な認証情報のタイプを選択します。
    次のいずれかを選択します。
    • [クライアント ID とシークレット]
    • [テナント URL とトークン]

    トークンの有効期限が切れると、手動で更新する必要があるため、[クライアント ID とシークレット] が推奨されます。セキュリティのベスト プラクティスとして、6 か月ごとにクライアント ID とクライアント シークレットをローテーションします。

    [次へ] をクリックすると、VMware Identity Services によって認証情報が生成されます。
  2. [クライアント ID とシークレット] を選択した場合は、[クライアント ID][クライアント シークレット] の値をコピーします。
    重要: [次へ] をクリックする前に、シークレットをコピーしてください。 [次へ] をクリックすると、シークレットは表示されなくなり、新しいシークレットを生成する必要があります。シークレットを再生成するたびに、以前のシークレットが無効になり、プロビジョニングが失敗することに注意してください。新しいシークレットをコピーして ID プロバイダ アプリケーションに貼り付けてください。

    例:

    クライアント ID とクライアント シークレットの値が表示され、その横にコピー アイコンが表示されます。
  3. [テナント URL とトークン] を選択した場合は、生成された値を確認してコピーします。
    • [テナント URL]VMware Identity Services テナントの SCIM 2.0 エンドポイント。値をコピーします。
    • [トークンの存続期間]:シークレット トークンが有効な期間

      デフォルトでは、VMware Identity Services は存続期間が 6 か月(デフォルト)のトークンを生成します。トークンの存続期間を変更するには、下矢印をクリックして別のオプションを選択し、[再生成] をクリックして新しい値でトークンを再生成します。

      重要: トークンの存続期間を更新すると、以前のトークンが無効になり、ID プロバイダからのユーザーとグループのプロビジョニングは失敗します。新しいトークンを再生成し、新しいトークンをコピーして ID プロバイダに貼り付ける必要があります。
    • [シークレット トークン]:ユーザーを Workspace ONE にプロビジョニングするために ID プロバイダで必要なトークン。値をコピーします。
      重要: [次へ] をクリックする前に、トークンをコピーしてください。 [次へ] をクリックすると、トークンは表示されなくなり、新しいトークンを生成する必要があります。トークンを再生成するたびに、以前のトークンが無効になり、プロビジョニングが失敗することに注意してください。新しいトークンをコピーして ID プロバイダに貼り付けてください。

    例:

    テナント URL とシークレット トークンの値が表示されます。トークンの存続期間は 6 か月です。
    トークンがまもなく期限切れになると、Workspace ONE Cloud コンソールにバナー通知が表示されます。E メール通知も受信したい場合は、Workspace ONE Access と ID サービス [トークンの有効期限]設定で [E メール] チェック ボックスが選択されていることを確認します。この設定は、Workspace ONE Cloud コンソールの [通知設定] ページで確認できます。
  4. ID プロバイダで、Workspace ONE へのユーザーとグループのプロビジョニングを設定します。
    1. ID プロバイダ コンソールに管理者としてログインします。
    2. SCIM 2.0 プロビジョニングを設定します。
      プロンプトが表示されたら、Workspace ONE Cloud コンソールで生成した認証情報を入力します。
    3. プロビジョニングを有効にします。

次のタスク

Workspace ONE Cloud コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 3:SCIM ユーザー属性のマッピング

ID プロバイダから Workspace ONE サービスに同期するユーザー属性をマッピングします。ID プロバイダ コンソールで、必要な SCIM ユーザー属性を追加し、ID プロバイダ属性にマッピングします。少なくとも、VMware Identity Services および Workspace ONE サービスに必要な属性を同期します。

VMware Identity Services および Workspace ONE サービスには、次の SCIM ユーザー属性が必要です。

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

これらの属性と Workspace ONE 属性へのマッピングの詳細については、VMware Identity Services のユーザー属性マッピングを参照してください。

必須属性に加えて、オプション属性とカスタム属性を同期できます。サポートされているオプション属性とカスタム属性のリストについては、VMware Identity Services のユーザー属性マッピングを参照してください。

手順

  1. Workspace ONE Cloud コンソールで、VMware Identity Services ウィザードのステップ 3、[SCIM ユーザー属性のマッピング] を実行し、VMware Identity Services がサポートする属性のリストを確認します。
  2. ID プロバイダ管理コンソールで、Workspace ONE のプロビジョニング構成に移動します。
  3. 属性マッピング ページに移動します。
  4. 必要な SCIM ユーザー属性を ID プロバイダ属性にマッピングします。
  5. 必要に応じて、オプションおよびカスタムの SCIM ユーザー属性を追加およびマッピングします。

次のタスク

Workspace ONE Cloud コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 4:認証プロトコルの選択

フェデレーション認証に使用するプロトコルを選択します。VMware Identity Services は、OpenID Connect および SAML プロトコルをサポートします。

注意: 慎重に選択してください。プロトコルを選択して認証を構成した後は、ディレクトリを削除せずにプロトコルのタイプを変更することはできません。

手順

  1. ウィザードのステップ 4、[認証プロトコルの選択] で、[OpenID Connect] または [SAML] を選択します。
  2. [次へ] をクリックします。
    ウィザードの次のステップが、選択したプロトコルの構成に必要な値とともに表示されます。

次のタスク

フェデレーション認証用の VMware Identity Services と ID プロバイダを構成します。

ステップ 5:認証の構成(汎用 SCIM ID プロバイダ)

ID プロバイダを使用してフェデレーション認証を構成するには、VMware Identity Services のサービス プロバイダ メタデータを使用して ID プロバイダで OpenID Connect または SAML アプリケーションを設定し、アプリケーションの値を使用して VMware Identity Services を構成します。

注: このトピックでは、サードパーティ ID プロバイダの構成に関する概要を提供します。タスクの正確な手順は、ID プロバイダによって異なります。具体的な情報については、ID プロバイダのドキュメントを参照してください。

OpenID Connect

認証プロトコルとして OpenID Connect を選択した場合は、次の手順を実行します。

  1. VMware Identity Services ウィザードのステップ 5 、[OpenID Connect の構成] で、[リダイレクト用 URI] の値をコピーします。

    この値は、次の手順に進み、ID プロバイダで OpenID Connect アプリケーションを作成するときに必要になります。

    ""

  2. ID プロバイダ管理コンソールで、OpenID Connect アプリケーションを作成します。
  3. アプリケーションで [リダイレクト用 URI] セクションを見つけ、VMware Identity Services ウィザードからコピーした [リダイレクト用 URI] の値をコピーして貼り付けます。
  4. アプリケーションのクライアント シークレットを作成し、コピーします。

    シークレットは、VMware Identity Services ウィザードの次のステップで入力します。

  5. Workspace ONE Cloud コンソールの VMware Identity Services ウィザードに戻り、[OpenID Connect の構成] セクションで構成を完了します。
    [クライアント ID] ID プロバイダ アプリケーションからクライアント ID 値をコピーして貼り付けます。
    [クライアント シークレット] ID プロバイダ アプリケーションからクライアント シークレットをコピーして貼り付けます。
    [構成 URL] ID プロバイダ アプリケーションの OpenID Connect の既知の構成 URL をコピーして貼り付けます。例:https://example.com/.well-known/openid-configuration
    [OIDC ユーザー ID 属性] ユーザー検索用に Workspace ONE 属性にマッピングする OpenID Connect 属性を指定します。
    [Workspace ONE ユーザー ID 属性] ユーザー検索用に OpenID Connect 属性にマッピングする Workspace ONE 属性を指定します。
  6. VMware Identity Services ウィザードで [終了] をクリックして、VMware Identity Services と ID プロバイダ間の統合の設定を完了します。

SAML

認証プロトコルとして SAML を選択した場合は、次の手順を実行します。

  1. Workspace ONE Cloud コンソールからサービス プロバイダのメタデータを取得します。

    VMware Identity Services ウィザードのステップ 5、[SAML シングル サインオンを構成する] で、[SAML サービス プロバイダのメタデータ] をコピーまたはダウンロードします。


    ""
  2. ID プロバイダ管理コンソールで、シングル サインオンの構成ページに移動します。
  3. VMware Identity Services ウィザードの値を使用してシングル サインオンを構成します。

    一般的な構成手順には、ID プロバイダがサポートする内容に基づいて、次のいずれかが含まれます。

    • サービス プロバイダのメタデータ オプションを見つけ、VMware Identity Services ウィザードから [SAML サービス プロバイダのメタデータ] をアップロードまたはコピーして貼り付けます。
    • ID プロバイダにメタデータ ファイルをアップロードするオプションがない場合、または設定を個別に構成する場合は、VMware Identity Services ウィザードのステップ 5 の次の値をコピーして、ID プロバイダ コンソールの対応するフィールドに貼り付けます。

      [エンティティ ID] 値:たとえば、https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml のようになります。

      [シングル サインオン URL] 値:たとえば、https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response のようになります。

      [署名付き証明書]

      [暗号化証明書][詳細オプション]):ID プロバイダで SAML 暗号化を有効にする場合に必要です。

  4. ID プロバイダ コンソールから ID プロバイダの SAML メタデータを見つけてコピーします。
  5. Workspace ONE Cloud コンソールで、VMware Identity Services ウィザードのステップ 5、[SAML シングル サインオンを構成する] を実行し、ID プロバイダ メタデータを [ID プロバイダ メタデータ] テキスト ボックスに貼り付けます。
    ""
  6. 必要に応じて、[SAML シングル サインオンを構成する] セクションの残りのオプションを構成します。
    • [バインディング プロトコル]:SAML バインディング プロトコル([HTTP POST] または [HTTP リダイレクト])を選択します。
    • [名前 ID の形式][名前 ID の形式] および [名前 ID の値] 設定を使用して、ID プロバイダと VMware Identity Services 間でユーザーをマッピングします。[名前 ID の形式] には、SAML 応答で使用される名前 ID の形式を指定します。
    • [名前 ID 値]:SAML 応答で受信した名前 ID 値をマッピングする VMware Identity Services ユーザー属性を選択します。
    • [SAML コンテキスト]:SAML 認証コンテキストを選択します。ドロップダウン メニューに表示されている値の 1 つを選択するか、カスタム値を入力します。デフォルト値は [urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified] です。

      認証コンテキストは、ID プロバイダでのユーザーの認証方法を示します。ID プロバイダは、サービス プロバイダから要求があった時または ID プロバイダでの構成に基づいて、アサーションに認証コンテキストを含めます。

    • [SAML 要求でサブジェクトを送信 (使用可能な場合) ]:ユーザー ログインのエクスペリエンスを向上させるためにログイン ヒントとしてサブジェクトを ID プロバイダに送信する場合は、このオプションを選択します(使用可能な場合)。
    • [サブジェクトに名前 ID 形式のマッピングを使用する][名前 ID の形式] および [名前 ID の値] のマッピングを SAML 要求のサブジェクトに適用する場合は、このオプションを選択します。このオプションは、[SAML 要求でサブジェクトを送信(使用可能な場合)] オプションで使用されます。
      注意: このオプションを有効にすると、ユーザーの列挙と呼ばれるセキュリティ脆弱性のリスクが高まる可能性があります。
    • [SAML シングル ログアウト]:ユーザーが Workspace ONE サービスからログアウトした後、ID プロバイダ セッションからログアウトされるようにする場合は、このオプションを選択します。
    • [ID プロバイダのシングル ログアウト URL]:ID プロバイダが SAML シングル ログアウトをサポートしていない場合は、このオプションを使用して、Workspace ONE サービスからログアウトした後にユーザーをリダイレクトする URL を指定できます。このオプションを使用する場合は、[SAML シングル ログアウトを使用] チェック ボックスも選択します。

      このオプションを空白のままにすると、SAML シングル ログアウトを使用してユーザーが ID プロバイダにリダイレクトされます。

  7. ウィザードで [終了] をクリックして、VMware Identity Services と ID プロバイダ間の統合の設定を完了します。

結果

VMware Identity Services と ID プロバイダ間の統合が完了しました。

ディレクトリは VMware Identity Services で作成され、ID プロバイダのプロビジョニング アプリケーションからユーザーとグループをプッシュすると入力されます。プロビジョニングされたユーザーとグループは、Workspace ONE AccessWorkspace ONE UEM など、ID プロバイダと統合するために選択した Workspace ONE サービスに自動的に表示されます。

Workspace ONE Access および Workspace ONE UEM コンソールでディレクトリを編集することはできません。ディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダのページは読み取り専用です。

次のステップ

次に、ユーザーとグループをプロビジョニングする Workspace ONE サービスを選択します。

その後、ID プロバイダからユーザーとグループをプッシュします。Workspace ONE へのユーザーのプロビジョニングを参照してください。