VMware Identity Services は、VMware 製品を Microsoft Entra ID や Okta などのサードパーティのクラウドベース ID プロバイダと統合し、ユーザー プロビジョニングと ID フェデレーションを行う新しいクラウド サービスです。このドキュメントでは、Workspace ONE サービス全体で一元化されたユーザー管理を提供する VMware Workspace ONE® 向けの VMware Identity Services について説明します。
VMware Identity Services の主要な機能は、次のとおりです。
- SCIM 2.0 ユーザー プロビジョニング
VMware Identity Services は、クラウドベースのアプリケーションおよびサービスでユーザー ID を管理するための標準である System for Cross-domain Identity Management (SCIM) 2.0 プロトコルに基づいています。VMware Identity Services は、SCIM 2.0 ベースのクラウド ID プロバイダをすべてサポートします。
- OpenID Connect または SAML 2.0 を使用した ID フェデレーション
OpenID Connect または SAML 2.0 のいずれかを使用して、サードパーティ ID プロバイダでのフェデレーション認証を構成できます。
- Workspace ONE サービス全体での一元化されたユーザー管理
VMware Identity Services を使用すると、Workspace ONE Cloud コンソールでプロビジョニングされた単一のディレクトリを作成します。ユーザーとグループは ID プロバイダから VMware Identity Services にプロビジョニングされ、次に VMware Identity Services から選択した Workspace ONE サービスに自動的にプロビジョニングされます。VMware Identity Services は現在、VMware Workspace ONE® Access™ および VMware Workspace ONE® UEM をサポートしています。
ディレクトリは、Workspace ONE Cloud コンソールから管理します。Workspace ONE Access および Workspace ONE UEM のディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダの設定は読み取り専用です。
- コネクタ要件なし
VMware Identity Services をクラウド ID プロバイダと統合するために、VMware Workspace ONE Access Connector または VMware AirWatch Cloud Connector をオンプレミスに展開する必要はありません。
Workspace ONE Cloud コンソールから VMware Identity Services を設定および管理します。Workspace ONE Access および Workspace ONE UEM コンソールでの構成は不要です。
サポートされている ID プロバイダ
VMware Identity Services は、次のクラウドベースの ID プロバイダをサポートします。
- Microsoft Entra ID(旧 Azure Active Directory または Azure AD)
- Okta
- すべての汎用 SCIM 2.0 ID ソース
サポートされている Workspace ONE サービス
次の Workspace ONE クラウド サービスで VMware Identity Services を構成できます。
- Workspace ONE Access クラウド サービス
- Workspace ONE UEM 2212 以降
主な考慮事項
- VMware Identity Services は、新しい Workspace ONE テナントでのみ使用できます。
- VMware Identity Services は現在、Workspace ONE Access と Workspace ONE UEM をサポートしています。
- VMware Identity Services にアクセスするには、資格に Workspace ONE Cloud Admin Hub が含まれている必要があります。これは、Workspace ONE サービスを接続してデジタル ワークスペースを管理および配信する Web ベースの管理プラットフォームです。
- VMware Identity Services は、ディレクトリ管理を Workspace ONE Cloud に統合します。VMware Identity Services を有効にすると、Workspace ONE Cloud Admin Hub からのみディレクトリを管理できます。Workspace ONE UEM および Workspace ONE Access のディレクトリ サービスと ID プロバイダの設定は読み取り専用になります。
- 単一ディレクトリのみを VMware Identity Services と統合できます。
- 構成できるドメインは 1 つのみです。
- 同じ ID プロバイダを使用してプロビジョニングと認証を設定する必要があります。複数の ID プロバイダとの統合はサポートされていません。
- VMware Identity Services は、ローカル管理者、ローカル ユーザー、Just-in-Time ユーザーをサポートしていません。
ディレクトリ内のすべてのユーザーは、ID プロバイダからプロビジョニングされたユーザーか、VMware Cloud Services からプロビジョニングされた Workspace ONE サービス管理者のいずれかです。
- VMware Identity Services は、Active Directory またはその他の LDAP ディレクトリとの直接統合をサポートしていません。
- VMware Identity Services を設定するには、Workspace ONE Cloud サービスの管理者アカウントが必要です。
サポートされていない Workspace ONE 機能
VMware Identity Services は、Workspace ONE サービスの次の機能をサポートしていません。
[Workspace ONE UEM]
テナントの VMware Identity Services が有効になっている場合、次の機能はサポートされません。
- オンプレミス Active Directory との直接統合
- ユーザー名とパスワード ベースの認証フロー
- チェックイン/チェックアウト フロー(共有デバイスの場合)
- DEP フロー
- ユーザー名/パスワード認証タイプの設定フロー
- PPKG 登録フロー
- ディレクトリ管理者ユーザー
VMware Cloud Services 管理者ユーザーのみが使用可能です。
- 上位の組織グループに VMware Identity Services が構成されている場合の子組織グループのオーバーライド
- Just-in-Time (JIT) ユーザー
ユーザーは、クラウド ID プロバイダからのみ追加できます。
- オンプレミス Active Directory 認証に関連する加入フロー
Microsoft Entra ID を使用しないオンプレミス Active Directory はサポートされていません。したがって、次のようなフローはサポートされません。
- オンプレミス Active Directory を使用したドロップシップ オンライン(基本ユーザー代理セットアップ アカウント)
- オンプレミス Active Directory を使用したサイレント加入(基本ユーザー代理セットアップ アカウント)
- オンプレミス Active Directory を使用したエージェント加入(ディレクトリ アカウント)
[Workspace ONE Access]
テナントの VMware Identity Services が有効になっている場合、次の機能はサポートされません。
- オンプレミス Active Directory との直接統合
- ローカル ユーザー、ローカル管理者、または Just-in-Time (JIT) ユーザーの作成
すべてのユーザーは、VMware Identity Services によって ID プロバイダからプロビジョニングされるか、管理者として VMware Cloud Services からプロビジョニングされます。
- People Search
- Horizon Cloud との統合
- Horizon Enterprise との統合
- Workspace ONE Access を Office 365 と統合する場合、Microsoft Entra ID ID プロバイダへのフェデレーション認証を使用できません。RSA SecurID、Hub MFA、モバイル SSO、証明書認証など、Workspace ONE Access 固有の認証方法のみを使用できます。Office 365 アクティブ フロー認証は現在サポートされていません。
[Hub サービス]
テナントの VMware Identity Services が有効になっている場合、次の機能はサポートされません。
- [ユーザー] タブの構成
- 新しい採用案内の導入の構成(オンボーディング テンプレートを含む)
- Digital Badge と「作業に戻る」エクスペリエンス
- Universal Broker を使用した Horizon Cloud Service on Microsoft Azure との統合
[Workspace ONE Intelligent Hub]
VMware Identity Services が有効になっている場合、VMware Workspace ONE® Intelligent Hub アプリケーションまたは Web ブラウザでユーザーは次の機能を使用できません。
- [ユーザー] タブ
- Digital Badge と「作業に戻る」エクスペリエンス
- 新しい採用案内の導入
- Workspace ONE Access ユーザー(Okta ユーザーではないユーザー)のパスワードの変更オプション
- Universal Broker を使用した Horizon Cloud Service on Microsoft Azure からのアプリケーションとデスクトップ
関連情報
VMware Identity Services を使用するメリットの概要ビデオについては、VMware の一元化されたユーザー管理の概要ビデオをご覧ください。