Workspace ONE テナントの VMware Identity Services を有効にした後、Azure AD との統合を設定します。

  1. VMware Identity Services の [はじめに] ウィザードのステップ 2、[SCIM 2.0 ベースの ID プロバイダの統合][開始] をクリックします。""
  2. [Microsoft Azure Active Directory] カードで [設定] をクリックします。
    ""
  3. ウィザードに従って、Azure AD との統合を設定します。

ステップ 1:ディレクトリの作成

VMware Identity Services を使用してユーザー プロビジョニングと ID フェデレーションを設定する最初のステップとして、ID プロバイダからプロビジョニングされたユーザーとグループのディレクトリを Workspace ONE コンソールに作成します。

注意: ディレクトリを作成した後、ID プロバイダの選択を変更することはできません。続行する前に、適切な ID プロバイダが選択されていることを確認してください。

手順

  1. ウィザードのステップ 1、[全般情報] で、Workspace ONE のプロビジョニングされたディレクトリに使用する名前を入力します。
    名前の長さは最大 128 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_) のみです。
    重要: 作成したディレクトリの名前を変更することはできません。
  2. [ドメイン名] には、.com.net などの拡張子を含む、ソース ディレクトリのプライマリ ドメイン名を入力します。
    VMware Identity Services は現在、1 つのドメインのみをサポートしています。プロビジョニングされたユーザーとグループは、Workspace ONE サービスでこのドメインに関連付けられます。

    ドメイン名の長さは最大 100 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_)、ピリオド (.) のみです。

    例:

    この例では、ディレクトリ名は「Demo」で、ドメイン名は「example.com」です。
  3. [保存] をクリックし、選択を確認します。

次のタスク

ユーザーとグループのプロビジョニングを設定します。

ステップ 2:ユーザーとグループのプロビジョニングの設定

VMware Identity Services でディレクトリを作成したら、ユーザーとグループのプロビジョニングを設定します。プロビジョニングに必要な管理者認証情報を生成して VMware Identity Services でプロセスを開始し、Azure AD でプロビジョニング アプリケーションを作成してユーザーとグループを Workspace ONE にプロビジョニングします。

重要: Azure AD アプリケーション ギャラリーの VMware Identity Services ギャラリー アプリケーションは現在テスト中であり、まだサポートされていません。新しいエンタープライズ アプリケーションを作成します。

前提条件

プロビジョニングのセットアップに必要な権限を持つ Azure AD の管理者アカウントがあること。

手順

  1. Workspace ONE コンソールで、ディレクトリを作成した後、ウィザードのステップ 2、[Azure エンタープライズ アプリケーションの構成] で生成された値を確認してコピーします。
    Azure AD でプロビジョニング アプリケーションを構成するには、これらの値が必要です。
    • [テナント URL]VMware Identity Services テナントの SCIM 2.0 エンドポイント。値をコピーします。
    • [トークンの存続期間]:シークレット トークンが有効な期間。

      デフォルトでは、VMware Identity Services は存続期間が 6 か月のトークンを生成します。トークンの存続期間を変更するには、下矢印をクリックして別のオプションを選択し、[再生成] をクリックして新しい値でトークンを再生成します。

      重要: トークンの存続期限を更新すると、以前のトークンが無効になり、Azure AD からのユーザーとグループのプロビジョニングは失敗します。新しいトークンを再生成し、新しいトークンをコピーして Azure AD アプリケーションに貼り付ける必要があります。
    • [シークレット トークン]:ユーザーを Workspace ONE にプロビジョニングするために Azure AD で必要なトークン。コピー アイコンをクリックして値をコピーします。
      重要: [次へ] をクリックする前に、トークンをコピーしてください。 [次へ] をクリックすると、トークンは表示されなくなり、新しいトークンを生成する必要があります。トークンを再生成すると、以前のトークンが無効になり、プロビジョニングは失敗します。新しいトークンをコピーして Azure AD アプリケーションに貼り付けてください。

    例:

    ステップ 2 には、テナント URL、存続期間が 6 か月のトークン、シークレット トークンが表示されます。
  2. Azure AD でプロビジョニング アプリケーションを作成します。
    1. Azure Active Directory 管理センターにログインします。
    2. 左側のナビゲーション ペインで [エンタープライズ アプリケーション] を選択します。
    3. [エンタープライズ アプリケーション] ページで、[+ 新しいアプリケーション] をクリックします。
      ""
    4. [Azure AD ギャラリーの参照] ページで、[+ 独自のアプリケーションの作成] をクリックします。
      重要: VMware Identity Services ギャラリー アプリケーションは現在テスト中であり、まだサポートされていません。新しいエンタープライズ アプリケーションを作成します。
    5. [独自のアプリケーションの作成] ペインで、[ギャラリーに見つからないその他のアプリケーションを統合します (非ギャラリー)] を選択し、アプリケーションの名前を入力して [作成] をクリックします。
      [お使いのアプリの名前は何ですか?] テキスト ボックスには例として値 scim-demo-app2 が表示されています。
    6. アプリケーションが作成されたら、[管理] メニューから [プロビジョニング] を選択し、[作業の開始] をクリックします。
    7. [プロビジョニング] ページで、[プロビジョニング モード] に対して [自動] を選択します。
    8. [管理者認証情報] で、Workspace ONE ウィザードの [Azure エンタープライズ アプリケーションの構成] ステップからコピーしたトークン URL とシークレット トークンを入力します。
      例:
      プロビジョニング モードは [自動] です。[テナント URL] テキスト ボックスと [シークレット トークン] テキスト ボックスには、Workspace ONE からコピーされた値があります。
    9. [接続をテスト] をクリックします。
    10. 次のメッセージが表示されていることを確認します。
      提供された認証情報は、プロビジョニングを承認するために有効です。

      エラーが発生した場合は、VMware Identity Services ウィザードでシークレット トークンを再生成し、コピーして Azure アプリケーションに貼り付けます。次に、もう一度 [接続をテスト] をクリックします。

    11. [保存] をクリックしてアプリケーションを保存します。

次のタスク

Workspace ONE コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 3:SCIM ユーザー属性のマッピング

Azure AD から Workspace ONE サービスに同期するユーザー属性をマッピングします。Azure Active Directory 管理センターで、SCIM ユーザー属性を追加し、Azure AD 属性にマッピングします。少なくとも、VMware Identity Services および Workspace ONE サービスに必要な属性を同期します。

VMware Identity Services および Workspace ONE サービスには、次の SCIM ユーザー属性が必要です。

Azure Active Directory 属性 SCIM ユーザー属性(必須)
userPrincipalName userName
mail emails
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
注: この表は、必須の SCIM 属性と Azure AD 属性の一般的なマッピングを示します。ただし、SCIM 属性は、ここにリストされているもの以外の Azure AD 属性にマッピングできます。

これらの属性の詳細と、Workspace ONE 属性へのマッピング方法については、VMware Identity Services のユーザー属性マッピングを参照してください。

必須属性に加えて、オプション属性とカスタム属性を同期できます。サポートされているオプション属性とカスタム属性のリストについては、VMware Identity Services のユーザー属性マッピングを参照してください。

手順

  1. Workspace ONE コンソールで、ウィザードのステップ 3、[SCIM ユーザー属性をマップ] を実行し、VMware Identity Services がサポートする属性のリストを確認します。
  2. Azure Active Directory 管理センターで、VMware Identity Services へのユーザー プロビジョニング用に作成したプロビジョニング アプリケーションに移動します。
  3. [管理] メニューから [プロビジョニング] を選択します。
  4. [プロビジョニングの管理] で、[属性マッピングの編集] をクリックします。

    ""
  5. [プロビジョニング] ページの [マッピング] セクションで、次の項目を選択します。
    • [Azure Active Directory グループのプロビジョニング][はい] に設定します。
    • [Azure Active Directory ユーザーのプロビジョニング][はい] に設定します。
    • [プロビジョニングの状態][オン] に設定します。

    ""
  6. [Azure Active Directory ユーザーのプロビジョニング] リンクをクリックします。
  7. [属性マッピング] ページで、Azure AD 属性と SCIM 属性(customappsso 属性)の間で必要な属性マッピングを指定します。
    必須属性は、デフォルトで属性マッピング テーブルに含まれています。必要に応じて、マッピングを確認して更新します。
    1. 属性マッピング テーブルで属性をクリックします。
    2. マッピングを編集します。[ソース属性] には Azure AD 属性を選択し、[ターゲット属性] には SCIM 属性を選択します。

      例:


      objectId がソース属性として選択され、externalId がターゲット属性として選択されています。
    ヒント: 新しい Azure AD SCIM プロビジョニング アプリケーションでは、SCIM externalId 属性のデフォルトのマッピングは mailNickname です。マッピングを mailNickname から objectId に変更することをお勧めします。
  8. 必要に応じて、VMware Identity Services および Workspace ONE サービスでサポートされているオプションのユーザー属性をマッピングします。
    • オプション属性の多くは、Azure AD アプリケーションにすでに表示されています。属性マッピング テーブルに属性が表示されている場合は、その属性をクリックしてマッピングを編集します。表示されていない場合は、[新しいマッピングの追加] をクリックし、マッピングを指定します。[ソース属性] には Azure AD 属性を選択し、[ターゲット属性] には SCIM 属性を選択します。
    • VMware Identity Services スキーマ拡張の一部である属性(パスに urn:ietf:params:scim:schemas:extension:ws1b: を含む属性)を追加するには:
      1. [属性マッピング] ページで、ページの下部にある [詳細オプションの表示] チェック ボックスを選択し、[customappsso の属性リストを編集] をクリックします。SCIM 属性を追加し、[保存] をクリックします。

        urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:userPrincipalName のように、完全な SCIM 属性パスを使用してください。

      2. [属性マッピング] ページで、[新しいマッピングの追加] をクリックし、新しい属性のマッピングを指定します。[ソース属性] には Azure AD 属性を選択し、[ターゲット属性] には SCIM 属性を選択します。
    VMware Identity Services でサポートされているオプションの SCIM 属性のリストと Workspace ONE 属性へのマッピング方法については、 VMware Identity Services のユーザー属性マッピングを参照してください。
  9. 必要に応じて、VMware Identity Services および Workspace ONE サービスでサポートされているカスタムのユーザー属性をマッピングします。
    1. [属性マッピング] ページで、ページの下部にある [詳細オプションの表示] チェック ボックスを選択し、[customappsso の属性リストを編集] をクリックして、属性リストの下部にカスタム SCIM 属性を追加し、[保存] をクリックします。

      urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3 のように、完全な SCIM 属性パスを使用してください。


      カスタム属性 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute3 が追加されます。
    2. [属性マッピング] ページで、[新しいマッピングの追加] をクリックし、カスタム SCIM 属性のマッピングを指定します。[ソース属性] には Azure AD 属性を選択し、[ターゲット属性] には追加したカスタム SCIM 属性を選択します。
    VMware Identity Services でサポートされているカスタム SCIM 属性のリストと Workspace ONE 属性へのマッピング方法については、 VMware Identity Services のユーザー属性マッピングを参照してください。

次のタスク

Workspace ONE コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 4:認証プロトコルの選択

フェデレーション認証に使用するプロトコルを選択します。VMware Identity Services は、OpenID Connect および SAML プロトコルをサポートします。

手順

  1. ウィザードのステップ 4、[認証プロトコルの選択] で、[OpenID Connect] または [SAML] を選択します。
  2. [次へ] をクリックします。
    ウィザードの次のステップが、選択したプロトコルの構成に必要な値とともに表示されます。

次のタスク

フェデレーション認証用の VMware Identity Services と ID プロバイダを構成します。

ステップ 5:認証の構成

Azure AD を使用してフェデレーション認証を構成するには、VMware Identity Services のサービス プロバイダ メタデータを使用して Azure AD で OpenID Connect または SAML アプリケーションを設定し、アプリケーションの値を使用して VMware Identity Services を構成します。

OpenID Connect

認証プロトコルとして OpenID Connect を選択した場合は、次の手順を実行します。

  1. VMware Identity Services ウィザードのステップ 5 、[OpenID Connect の構成] で、[リダイレクト用 URI] の値をコピーします。

    この値は、次の手順に進み、Azure AD 管理センターで OpenID Connect アプリケーションを作成するときに必要になります。


    リダイレクト用 URI の値の横にコピー アイコンが表示されます。
  2. Azure Active Directory 管理センターで、[エンタープライズ アプリケーション] > [アプリケーションの登録] の順に移動します。
  3. [新規登録] をクリックします。
  4. [アプリケーションの登録] ページで、アプリケーションの名前を入力します。
  5. [リダイレクト用 URI] では、[Web] を選択し、VMware Identity Services ウィザードの [OpenID Connect の構成] セクションからコピーした [リダイレクト用 URI] の値をコピーして貼り付けます。

    例:


    ""
  6. [登録] をクリックします。

    アプリケーション name が正常に作成されました」というメッセージが表示されます。

  7. アプリケーションのクライアント シークレットを作成します。
    1. [クライアントの認証情報:証明書またはシークレットの追加] リンクをクリックします。
    2. [+ 新しいクライアント シークレット] をクリックします。
    3. [クライアント シークレットの追加] ペインで、シークレットの説明と有効期限を入力します。
    4. [追加] をクリックします。

      シークレットが生成され、[クライアント シークレット] タブに表示されます。

    5. シークレット値の横にあるコピー アイコンをクリックして、シークレット値をコピーします。

      シークレットをコピーせずにページを離れる場合は、新しいシークレットを生成する必要があります。

      シークレットは、VMware Identity Services ウィザードの次のステップで入力します。


      [証明書とシークレット] ページの [クライアント シークレット] タブにシークレットが表示されます。
  8. VMware Identity Services API を呼び出す権限をアプリケーションに付与します。
    1. [管理] で、[API 権限] を選択します。
    2. [organization に管理者の同意を付与する] をクリックし、確認ボックスで [はい] をクリックします。
  9. クライアント ID をコピーします。
    1. アプリケーション ページの左側のペインで [概要] を選択します。
    2. [アプリケーション (クライアント) ID] 値をコピーします。

      クライアント ID は、VMware Identity Services ウィザードの次のステップで入力します。


      [アプリケーション (クライアント) ID] の値は [要点] セクションにあり、その横にコピー アイコンがあります。
  10. OpenID Connect メタデータ ドキュメントの値をコピーします。
    1. アプリケーションの [概要] ページで、[エンドポイント] をクリックします。
    2. [エンドポイント] ペインから、[OpenID Connect メタデータ ドキュメント] の値をコピーします。
      ""

    クライアント ID は、VMware Identity Services ウィザードの次のステップで入力します。

  11. Workspace ONE コンソールの VMware Identity Services ウィザードに戻り、[OpenID Connect の構成] セクションで構成を完了します。
    [アプリケーション (クライアント) ID] Azure AD OpenID Connect アプリケーションからコピーしたアプリケーション(クライアント)ID の値を貼り付けます。
    [クライアント シークレット] Azure AD OpenID Connect アプリケーションからコピーしたクライアント シークレットを貼り付けます。
    [構成 URL] Azure AD OpenID Connect アプリケーションからコピーした OpenID Connect メタデータ ドキュメントの値を貼り付けます。
    [OIDC ユーザー ID 属性] E メール属性は、ユーザー検索用に Workspace ONE 属性にマッピングされます。
    [Workspace ONE ユーザー ID 属性] ユーザー検索用に OpenID Connect 属性にマッピングする Workspace ONE 属性を指定します。
  12. [終了] をクリックして、VMware Identity Services と Azure AD 間の統合の設定を完了します。

SAML

認証プロトコルとして SAML を選択した場合は、次の手順を実行します。

  1. Workspace ONE コンソールからサービス プロバイダのメタデータを取得します。

    VMware Identity Services ウィザードのステップ 5、[SAML シングル サインオンを構成する] で、[SAML サービス プロバイダのメタデータ] をコピーします。


    ""
  2. Azure AD でアプリケーションを構成します。
    1. Azure Active Directory 管理センターで、左側のペインの [エンタープライズ アプリケーション] を選択します。
    2. ステップ 2:ユーザーとグループのプロビジョニングの設定 で作成したプロビジョニング アプリケーションを検索して選択します。
    3. [管理] メニューから [シングル サインオン] を選択します。
    4. シングル サインオンの方法として [SAML] を選択します。
      ""
    5. [メタデータ ファイルをアップロードする] をクリックし、Workspace ONE コンソールからコピーしたメタデータ ファイルを選択して、[追加] をクリックします。
      [メタデータ ファイルをアップロードする] オプションは、[SAML によるシングル サインオンのセットアップ] ページの上部にあります。
    6. [基本的な SAML 構成] ペインで、次の値を確認します。
      • [識別子 (エンティティ ID)] の値は、Workspace ONE メタデータ ファイルの [entityID] の値にする必要があります。

        例:https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • [応答 URL (Assertion Consumer Service URL)] の値は、Workspace ONE メタデータ ファイルの [AssertionConsumerService] HTTP-POST [Location] の値にする必要があります。

        例:https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

    7. [SAML 証明書] セクションで、[フェデレーション メタデータ XML] [ダウンロード] リンクをクリックしてメタデータをダウンロードします。
      ""
  3. Workspace ONE コンソールで、Azure AD からダウンロードしたファイルからフェデレーション メタデータ XML をコピーして、VMware Identity Services ウィザードのステップ 5 の [ID プロバイダ メタデータ] テキスト ボックスに貼り付けます。
    ウィザードのステップ 5 で、[ID プロバイダ メタデータ] テキスト ボックスにフェデレーション メタデータ XML が表示されます。
  4. [SAML シングル サインオンを構成する] セクションの残りのオプションを構成します。
    • [シングル サインアウト]:ユーザーが Workspace ONE Intelligent Hub からログアウトした後、ID プロバイダ セッションからログアウトされるようにする場合は、このオプションを選択します。
    • [バインディング プロトコル]:SAML バインディング プロトコル([HTTP POST] または [HTTP リダイレクト])を選択します。
    • [名前 ID の形式]:Azure AD と Workspace ONE サービス間でユーザーをマッピングするために使用する名前 ID の形式を指定します。
    • [名前 ID の値]:Workspace ONE のユーザーのユーザー属性を選択します。
  5. [終了] をクリックして、VMware Identity Services と Azure AD 間の統合の設定を完了します。

結果

VMware Identity Services と Azure AD の統合が完了しました。

ディレクトリは VMware Identity Services で作成され、Azure AD のプロビジョニング アプリケーションからユーザーとグループをプッシュすると入力されます。プロビジョニングされたユーザーとグループは、Workspace ONE Access や Workspace ONE UEM など、Azure AD と統合するために選択した Workspace ONE サービスに自動的に表示されます。

Workspace ONE Access および Workspace ONE UEM コンソールでディレクトリを編集することはできません。ディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダのページは読み取り専用です。

次のステップ

次に、ユーザーとグループをプロビジョニングする Workspace ONE サービスを選択します。

その後、Azure AD プロビジョニング アプリケーションからユーザーとグループをプッシュします。Workspace ONE へのユーザーのプロビジョニングを参照してください。