VMware Identity Services は、VMware 製品を Microsoft Azure Active Directory などのサードパーティのクラウドベース ID プロバイダと統合し、ユーザー プロビジョニングと ID フェデレーションを行う新しいクラウド サービスです。このドキュメントでは、Workspace ONE サービス全体で一元化されたユーザー管理を提供する VMware Workspace ONE® 向けの VMware Identity Services について説明します。
VMware Identity Services の主要な機能は、次のとおりです。
- SCIM 2.0 ユーザー プロビジョニング
VMware Identity Services は、クラウドベースのアプリケーションおよびサービスでユーザー ID を管理するための標準である System for Cross-domain Identity Management (SCIM) 2.0 プロトコルに基づいています。VMware Identity Services は、SCIM 2.0 ベースのクラウド ID プロバイダをすべてサポートします。
- OpenID Connect または SAML 2.0 を使用した ID フェデレーション
OpenID Connect または SAML 2.0 のいずれかを使用して、サードパーティ ID プロバイダでのフェデレーション認証を構成できます。
- Workspace ONE サービス全体での一元化されたユーザー管理
VMware Identity Services を使用すると、Workspace ONE コンソールでプロビジョニングされた単一のディレクトリを作成します。ユーザーとグループは ID プロバイダから VMware Identity Services にプロビジョニングされ、次に VMware Identity Services から選択した Workspace ONE サービスに自動的にプロビジョニングされます。VMware Identity Services は現在、VMware Workspace ONE® Access™ および VMware Workspace ONE® UEM をサポートしています。
ディレクトリは、Workspace ONE コンソールから管理します。Workspace ONE Access および Workspace ONE UEM のディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダの設定は読み取り専用です。
- コネクタ要件なし
VMware Identity Services をクラウド ID プロバイダと統合するために、VMware Workspace ONE Access Connector または VMware AirWatch Cloud Connector をオンプレミスに展開する必要はありません。
Workspace ONE コンソールから VMware Identity Services を設定および管理します。Workspace ONE Access および Workspace ONE UEM コンソールでの構成は不要です。
サポートされている ID プロバイダ
VMware Identity Services は、次のクラウドベースの ID プロバイダをサポートします。
- Microsoft Azure Active Directory (Azure AD)
- 任意の汎用 SCIM 2.0 ID ソース(Okta との統合がテスト済み)
サポートされている Workspace ONE サービス
次の Workspace ONE クラウド サービスで VMware Identity Services を構成できます。
- Workspace ONE Access クラウド サービス
- Workspace ONE UEM 2212 以降
主な考慮事項
- VMware Identity Services は、新しい Workspace ONE テナントでのみ使用できます。
- VMware Identity Services は現在、Workspace ONE Access と Workspace ONE UEM をサポートしています。
- 単一ディレクトリのみを VMware Identity Services と統合できます。
- 構成できるドメインは 1 つのみです。
- 同じ ID プロバイダを使用してプロビジョニングと認証を設定する必要があります。複数の ID プロバイダとの統合はサポートされていません。
- VMware Identity Services は、ローカル管理者、ローカル ユーザー、Just-in-Time ユーザーをサポートしていません。
ディレクトリ内のすべてのユーザーは、ID プロバイダからプロビジョニングされたユーザーか、VMware Cloud Services からプロビジョニングされた Workspace ONE サービス管理者のいずれかです。
- VMware Identity Services は、Active Directory またはその他の LDAP ディレクトリとの直接統合をサポートしていません。
- VMware Identity Services を設定するには、Workspace ONE サービスの管理者アカウントが必要です。
サポートされていない Workspace ONE 機能
VMware Identity Services は、Workspace ONE サービスの次の機能をサポートしていません。
[Workspace ONE UEM]
テナントの VMware Identity Services が有効になっている場合、次の機能はサポートされません。
- SAML 以外のフロー(パスワードの付与フロー)
- チェックイン/チェックアウト フロー(共有デバイスの場合)
- DEP フロー
- ユーザー名/パスワード認証タイプの設定フロー
- PPKG 登録フロー
- ディレクトリ管理者ユーザー
VMware Cloud Services 管理者ユーザーのみが使用可能です。
- 上位の組織グループに VMware Identity Services が構成されている場合の子組織グループのオーバーライド
- Just-in-Time (JIT) ユーザー
ユーザーは、クラウド ID プロバイダからのみ追加できます。
[Workspace ONE Access]
テナントの VMware Identity Services が有効になっている場合、次の機能はサポートされません。
- ローカル ユーザー、ローカル管理者、または Just-in-Time (JIT) ユーザーの作成
すべてのユーザーは、VMware Identity Services によって ID プロバイダからプロビジョニングされるか、管理者として VMware Cloud Services からプロビジョニングされます。
- People Search
- Horizon Cloud との統合
- Horizon Enterprise との統合
- Workspace ONE Access を Office 365 と統合する場合、Azure ID プロバイダへのフェデレーション認証を使用できません。RSA SecurID、Hub MFA、モバイル SSO、証明書認証など、Workspace ONE Access 固有の認証方法のみを使用できます。Office 365 アクティブ フロー認証は現在サポートされていません。
[Hub サービス]
テナントの VMware Identity Services が有効になっている場合、次の機能はサポートされません。
- [ユーザー] タブの構成
- 新しい採用案内の導入の構成(オンボーディング テンプレートを含む)
- Digital Badge と「作業に戻る」エクスペリエンス
- Universal Broker を使用した Horizon Cloud Service on Microsoft Azure との統合
[Workspace ONE Intelligent Hub]
VMware Identity Services が有効になっている場合、VMware Workspace ONE® Intelligent Hub アプリケーションまたは Web ブラウザでユーザーは次の機能を使用できません。
- [ユーザー] タブ
- Digital Badge と「作業に戻る」エクスペリエンス
- 新しい採用案内の導入
- Workspace ONE Access ユーザー(Okta ユーザーではないユーザー)のパスワードの変更オプション
- Universal Broker を使用した Horizon Cloud Service on Microsoft Azure からのアプリケーションとデスクトップ
