Workspace ONE テナントの VMware Identity Services を有効にした後、Microsoft Entra ID との統合を設定します。

  1. VMware Identity Services の [はじめに] ウィザードのステップ 2、[SCIM 2.0 ベースの ID プロバイダの統合][開始] をクリックします。""
  2. [Microsoft Entra ID] カードで [設定] をクリックします。
    ""
  3. ウィザードに従って、Microsoft Entra ID との統合を設定します。

ステップ 1:ディレクトリの作成

VMware Identity Services を使用してユーザー プロビジョニングと ID フェデレーションを設定する最初のステップとして、ID プロバイダからプロビジョニングされたユーザーとグループのディレクトリを Workspace ONE Cloud コンソールに作成します。

注意: ディレクトリを作成した後、ID プロバイダの選択を変更することはできません。続行する前に、適切な ID プロバイダが選択されていることを確認してください。

手順

  1. ウィザードのステップ 1、[全般情報] で、Workspace ONE のプロビジョニングされたディレクトリに使用する名前を入力します。
    名前の長さは最大 128 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_) のみです。
    重要: 作成したディレクトリの名前を変更することはできません。
  2. [ドメイン名] には、.com.net などの拡張子を含む、ソース ディレクトリのプライマリ ドメイン名を入力します。
    VMware Identity Services は現在、1 つのドメインのみをサポートしています。プロビジョニングされたユーザーとグループは、Workspace ONE サービスでこのドメインに関連付けられます。

    ドメイン名の長さは最大 100 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_)、ピリオド (.) のみです。

    例:

    この例では、ディレクトリ名は「Demo」で、ドメイン名は「example.com」です。
  3. [保存] をクリックし、選択を確認します。

次のタスク

ユーザーとグループのプロビジョニングを設定します。

ステップ 2:ユーザーとグループのプロビジョニングの設定

VMware Identity Services でディレクトリを作成したら、ユーザーとグループのプロビジョニングを設定します。プロビジョニングに必要な管理者認証情報を生成して VMware Identity Services でプロセスを開始し、Microsoft Entra ID でプロビジョニング アプリケーションを作成してユーザーとグループを Workspace ONE にプロビジョニングします。

前提条件

プロビジョニングのセットアップに必要な権限を持つ Microsoft Entra ID の管理者アカウントがあること。

手順

  1. Workspace ONE Cloud コンソールで、ディレクトリを作成した後、ウィザードのステップ 2、[Microsoft Entra エンタープライズ アプリケーションの構成] で生成された値を確認してコピーします。
    Microsoft Entra ID でプロビジョニング アプリケーションを構成するには、これらの値が必要です。
    • [テナント URL]VMware Identity Services テナントの SCIM 2.0 エンドポイント。値をコピーします。
    • [トークンの存続期間]:シークレット トークンが有効な期間。

      デフォルトでは、VMware Identity Services は存続期間が 6 か月のトークンを生成します。トークンの存続期間を変更するには、下矢印をクリックして別のオプションを選択し、[再生成] をクリックして新しい値でトークンを再生成します。

      重要: トークンの存続期限を更新すると、以前のトークンが無効になり、 Microsoft Entra ID からのユーザーとグループのプロビジョニングは失敗します。新しいトークンを再生成し、そのトークンをコピーして Microsoft Entra ID アプリケーションに貼り付ける必要があります。
    • [シークレット トークン]:ユーザーを Workspace ONE にプロビジョニングするために Microsoft Entra ID で必要なトークン。コピー アイコンをクリックして値をコピーします。
      重要: [次へ] をクリックする前に、トークンをコピーしてください。 [次へ] をクリックすると、トークンは表示されなくなり、新しいトークンを生成する必要があります。トークンを再生成すると、以前のトークンが無効になり、プロビジョニングは失敗します。新しいトークンをコピーして Microsoft Entra ID アプリケーションに貼り付けてください。

    例:

    ステップ 2 には、テナント URL、存続期間が 6 か月のトークン、シークレット トークンが表示されます。
    トークンがまもなく期限切れになると、Workspace ONE Cloud コンソールにバナー通知が表示されます。E メール通知も受信したい場合は、Workspace ONE Access と ID サービス [トークンの有効期限]設定で [E メール] チェック ボックスが選択されていることを確認します。この設定は、Workspace ONE Cloud コンソールの [通知設定] ページで確認できます。
  2. Microsoft Entra ID でプロビジョニング アプリケーションを作成します。
    1. Microsoft Entra 管理センターにログインします。
    2. 左側のナビゲーション ペインで [エンタープライズ アプリケーション] を選択します。
    3. [エンタープライズ アプリケーション] > [すべてのアプリケーション] ページで、[+ 新しいアプリケーション] をクリックします。
      ""
    4. [Microsoft Entra ギャラリーの参照] ページで、検索ボックスに「VMware Identity Service」と入力し、検索結果から [VMware Identity Service] アプリケーションを選択します。
      ""
    5. 表示されるペインで、プロビジョニング アプリケーションの名前を入力し、[作成] をクリックします。
      例:
      この例では、VMware Identity Service - Demo という名前の新しいアプリケーションを作成します。
      アプリケーションが作成されると、アプリケーションの概要ページが表示されます。
    6. [管理] メニューから [プロビジョニング] を選択し、[開始する] をクリックします。
      ""
    7. [プロビジョニング] ページで、[プロビジョニング モード][自動] に設定します。
      [プロビジョニング モード] のオプションは、[手動] と [自動] です。[自動] を選択します。
    8. [管理者認証情報] で、Workspace ONE VMware Identity Services ウィザードの [Microsoft Entra エンタープライズ アプリケーションの構成] ステップからコピーしたテナント URL とシークレット トークンを入力します。
      例:
      プロビジョニング モードは [自動] です。[テナント URL] テキスト ボックスと [シークレット トークン] テキスト ボックスには、Workspace ONE からコピーされた値があります。
    9. [接続をテスト] をクリックします。
    10. 次のメッセージが表示されていることを確認します。 
      提供された認証情報は、プロビジョニングを有効にするために認証されます。

      エラーが発生した場合:

      • VMware Identity Services ウィザードからテナント URL を正しくコピーして貼り付けたことを確認します。
      • VMware Identity Services ウィザードでシークレット トークンを再生成し、再度コピーしてアプリケーションに貼り付けます。

      次に、もう一度 [接続をテスト] をクリックします。

    11. [保存] をクリックしてアプリケーションを保存します。

次のタスク

Workspace ONE Cloud コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 3:SCIM ユーザー属性のマッピング

Microsoft Entra ID から Workspace ONE サービスに同期するユーザー属性をマッピングします。Microsoft Entra 管理センターで、SCIM ユーザー属性を追加し、Microsoft Entra ID 属性にマッピングします。少なくとも、VMware Identity Services および Workspace ONE サービスに必要な属性を同期します。

VMware Identity Services および Workspace ONE サービスには、次の SCIM ユーザー属性が必要です。

Microsoft Entra ID 属性 SCIM ユーザー属性(必須)
userPrincipalName userName
mail emails[type eq "work"].value
givenName name.givenName
surname name.familyName
objectId externalId
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
注: この表は、必須の SCIM 属性と Microsoft Entra ID 属性の一般的なマッピングを示します。SCIM 属性は、ここにリストされているもの以外の Microsoft Entra ID 属性にマッピングできます。ただし、 VMware Identity Services を介して Workspace ONE UEMMicrosoft Entra ID と統合する場合は、externalId を objectId にマッピングする必要があります。

これらの属性の詳細と、Workspace ONE 属性へのマッピング方法については、VMware Identity Services のユーザー属性マッピングを参照してください。

必須属性に加えて、オプション属性とカスタム属性を同期できます。サポートされているオプション属性とカスタム属性のリストについては、VMware Identity Services のユーザー属性マッピングを参照してください。

手順

  1. Workspace ONE Cloud コンソールで、ウィザードのステップ 3、[SCIM ユーザー属性のマッピング] を実行し、VMware Identity Services がサポートする属性のリストを確認します。
  2. Microsoft Entra 管理センターで、VMware Identity Services へのユーザー プロビジョニング用に作成したプロビジョニング アプリケーションに移動します。
  3. [管理] メニューから [プロビジョニング] を選択します。
  4. [プロビジョニングの管理] で、[属性マッピングの編集] をクリックします。

    ""
  5. [プロビジョニング] ページの [マッピング] セクションで、次の項目を選択します。
    • [Azure Active Directory グループのプロビジョニング][はい] に設定します。
    • [Azure Active Directory ユーザーのプロビジョニング][はい] に設定します。
    • [プロビジョニングの状態][オン] に設定します。

    ""
  6. [Azure Active Directory ユーザーのプロビジョニング] リンクをクリックします。
  7. [属性マッピング] ページで、Microsoft Entra ID 属性と SCIM 属性(VMware Identity Services 属性)の間で必要な属性マッピングを指定します。
    必須属性は、デフォルトで属性マッピング テーブルに含まれています。マッピングを確認し、必要に応じて更新します。
    重要: VMware Identity Services を介して Workspace ONE UEMMicrosoft Entra ID と統合する場合は、externalId を objectId にマッピングする必要があります。

    マッピングを更新するには、次の手順を実行します。

    1. [属性マッピング] テーブルで属性をクリックします。
    2. マッピングを編集します。[ソース属性] には Microsoft Entra ID 属性を選択し、[ターゲット属性] には SCIM 属性(VMware Identity Services 属性)を選択します。

      例:


      objectId がソース属性として選択され、externalId がターゲット属性として選択されています。
  8. 必要に応じて、VMware Identity Services および Workspace ONE サービスでサポートされているオプションのユーザー属性をマッピングします。
    • オプション属性の一部は、属性マッピング テーブルにすでに表示されています。このテーブルに属性が表示されている場合は、その属性をクリックしてマッピングを編集します。表示されていない場合は、[新しいマッピングの追加] をクリックし、マッピングを指定します。[ソース属性] には Microsoft Entra ID 属性を選択し、[ターゲット属性] には SCIM 属性を選択します。
      例:
      ソース属性は department です。ターゲット属性は urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division です。
    • VMware Identity Services スキーマ拡張機能の一部である属性(パスに urn:ietf:params:scim:schemas:extension:ws1b: を含む属性)を追加するには、[新しいマッピングの追加] をクリックし、属性のマッピングを指定します。[ソース属性] には Microsoft Entra ID 属性を選択し、[ターゲット属性] には SCIM 属性を選択します。
    VMware Identity Services でサポートされているオプションの SCIM 属性のリストと Workspace ONE 属性へのマッピング方法については、 VMware Identity Services のユーザー属性マッピングを参照してください。
  9. 必要に応じて、VMware Identity Services および Workspace ONE サービスでサポートされているカスタムのユーザー属性をマッピングします。
    1. [属性マッピング] ページで、[新しいマッピングの追加] をクリックします。
    2. マッピングを指定します。[ソース属性]Microsoft Entra ID 属性を選択し、[ターゲット属性]VMware Identity Services カスタム属性を選択します。VMware Identity Services カスタム属性には、[urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#] という名前が付いています。VMware Identity Services では、最大 5 つのカスタム属性がサポートされます。
      例:
      ソース属性は employeeHireDate で、ターゲット属性は VMware Identity Services customAttribute1 です。
    VMware Identity Services でサポートされているカスタム SCIM 属性のリストと Workspace ONE 属性へのマッピング方法については、 VMware Identity Services のユーザー属性マッピングを参照してください。

次のタスク

Workspace ONE Cloud コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 4:認証プロトコルの選択

Workspace ONE Cloud コンソールで、フェデレーション認証に使用するプロトコルを選択します。VMware Identity Services は、OpenID Connect および SAML プロトコルをサポートします。

注意: 慎重に選択してください。プロトコルを選択して認証を構成した後は、ディレクトリを削除せずにプロトコルのタイプを変更することはできません。

手順

  1. VMware Identity Services ウィザードのステップ 4、[認証プロトコルの選択] で、[OpenID Connect] または [SAML] を選択します。
  2. [次へ] をクリックします。
    ウィザードの次のステップが、選択したプロトコルの構成に必要な値とともに表示されます。

次のタスク

フェデレーション認証用の VMware Identity Services と ID プロバイダを構成します。

ステップ 5:認証の構成

Microsoft Entra ID を使用してフェデレーション認証を構成するには、VMware Identity Services のサービス プロバイダ メタデータを使用して Microsoft Entra ID で OpenID Connect または SAML アプリケーションを設定し、アプリケーションの値を使用して VMware Identity Services を構成します。

OpenID Connect

認証プロトコルとして OpenID Connect を選択した場合は、次の手順を実行します。

  1. VMware Identity Services ウィザードのステップ 5 、[OpenID Connect の構成] で、[リダイレクト用 URI] の値をコピーします。

    この値は、次の手順に進み、Microsoft Entra 管理センターで OpenID Connect アプリケーションを作成するときに必要になります。


    リダイレクト用 URI の値の横にコピー アイコンが表示されます。
  2. Microsoft Entra 管理センターで、[エンタープライズ アプリケーション] > [アプリケーションの登録] の順に移動します。
    ""
  3. [新規登録] をクリックします。
  4. [アプリケーションの登録] ページで、アプリケーションの名前を入力します。
  5. [リダイレクト用 URI] では、[Web] を選択し、VMware Identity Services ウィザードの [OpenID Connect の構成] セクションからコピーした [リダイレクト用 URI] の値をコピーして貼り付けます。

    例:


    ""
  6. [登録] をクリックします。

    アプリケーション name が正常に作成されました」というメッセージが表示されます。

  7. アプリケーションのクライアント シークレットを作成します。
    1. [クライアントの認証情報:証明書またはシークレットの追加] リンクをクリックします。
    2. [+ 新しいクライアント シークレット] をクリックします。
    3. [クライアント シークレットの追加] ペインで、シークレットの説明と有効期限を入力します。
    4. [追加] をクリックします。

      シークレットが生成され、[クライアント シークレット] タブに表示されます。

    5. シークレット値の横にあるコピー アイコンをクリックして、シークレット値をコピーします。

      シークレットをコピーせずにページを離れる場合は、新しいシークレットを生成する必要があります。

      シークレットは、VMware Identity Services ウィザードの次のステップで入力します。


      [証明書とシークレット] ページの [クライアント シークレット] タブにシークレットが表示されます。
  8. VMware Identity Services API を呼び出す権限をアプリケーションに付与します。
    1. [管理] で、[API 権限] を選択します。
    2. [organization に管理者の同意を付与する] をクリックし、確認ボックスで [はい] をクリックします。
  9. クライアント ID をコピーします。
    1. アプリケーション ページの左側のペインで [概要] を選択します。
    2. [アプリケーション (クライアント) ID] 値をコピーします。

      クライアント ID は、VMware Identity Services ウィザードの次のステップで入力します。


      [アプリケーション (クライアント) ID] の値は [要点] セクションにあり、その横にコピー アイコンがあります。
  10. OpenID Connect メタデータ ドキュメントの値をコピーします。
    1. アプリケーションの [概要] ページで、[エンドポイント] をクリックします。
    2. [エンドポイント] ペインから、[OpenID Connect メタデータ ドキュメント] の値をコピーします。
      ""

    クライアント ID は、VMware Identity Services ウィザードの次のステップで入力します。

  11. Workspace ONE Cloud コンソールの VMware Identity Services ウィザードに戻り、[OpenID Connect の構成] セクションで構成を完了します。
    [アプリケーション (クライアント) ID] Microsoft Entra ID OpenID Connect アプリケーションからコピーしたアプリケーション(クライアント)ID の値を貼り付けます。
    [クライアント シークレット] Microsoft Entra ID OpenID Connect アプリケーションからコピーしたクライアント シークレットを貼り付けます。
    [構成 URL] Microsoft Entra ID OpenID Connect アプリケーションからコピーした OpenID Connect メタデータ ドキュメントの値を貼り付けます。
    [OIDC ユーザー ID 属性] E メール属性は、ユーザー検索用に Workspace ONE 属性にマッピングされます。
    [Workspace ONE ユーザー ID 属性] ユーザー検索用に OpenID Connect 属性にマッピングする Workspace ONE 属性を指定します。
  12. [終了] をクリックして、VMware Identity ServicesMicrosoft Entra ID 間の統合の設定を完了します。

SAML

認証プロトコルとして SAML を選択した場合は、次の手順を実行します。

  1. Workspace ONE Cloud コンソールからサービス プロバイダのメタデータを取得します。

    VMware Identity Services ウィザードのステップ 5、[SAML シングル サインオンを構成する] で、[SAML サービス プロバイダのメタデータ] をコピーまたはダウンロードします。


    ""
    注: メタデータ ファイルを使用する場合は、 [エンティティ ID][シングル サインオン URL]、および [署名付き証明書] の値を個別にコピーして貼り付ける必要はありません。
  2. アプリを Microsoft Entra ID で構成します。
    1. Microsoft Entra 管理センターで、左側のペインの [エンタープライズ アプリケーション] を選択します。
    2. ステップ 2:ユーザーとグループのプロビジョニングの設定 で作成したプロビジョニング アプリケーションを検索して選択します。
    3. [管理] メニューから [シングル サインオン] を選択します。
    4. シングル サインオンの方法として [SAML] を選択します。
      ""
    5. [メタデータ ファイルをアップロードする] をクリックし、Workspace ONE Cloud コンソールからコピーしたメタデータ ファイルを選択して、[追加] をクリックします。
      [メタデータ ファイルをアップロードする] オプションは、[SAML によるシングル サインオンのセットアップ] ページの上部にあります。
    6. [基本的な SAML 構成] ペインで、次の値を確認します。
      • [ID(エンティティ ID)] の値は、VMware Identity Services ウィザードのステップ 5 で表示される [エンティティ ID] の値と一致している必要があります。

        例:https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml

      • [返信 URL(アサーション コンシューマ サービス URL)] の値は、VMware Identity Services ウィザードの手順 5 で表示される [シングル サインオン URL] の値と一致している必要があります。

        例:https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response

  3. Microsoft Entra ID からフェデレーション メタデータを取得します。
    1. Microsoft Entra ID の SAML アプリケーションで、[SAML 証明書] セクションまでスクロールします。
    2. [フェデレーション メタデータ XML] [ダウンロード] リンクをクリックして、メタデータをダウンロードします。
      ""
  4. Workspace ONE コンソールで、Microsoft Entra ID からダウンロードしたファイルからフェデレーション メタデータをコピーして、VMware Identity Services ウィザードのステップ 5 の [ID プロバイダ メタデータ] テキスト ボックスに貼り付けます。
    ウィザードのステップ 5 で、[ID プロバイダ メタデータ] テキスト ボックスにフェデレーション メタデータ XML が表示されます。
  5. [SAML シングル サインオンを構成する] セクションの残りのオプションを構成します。
    • [バインディング プロトコル]:SAML バインディング プロトコル([HTTP POST] または [HTTP リダイレクト])を選択します。
    • [名前 ID の形式][名前 ID の形式] および [名前 ID 値] 設定を使用して、Microsoft Entra ID と VMware Identity Services 間でユーザーをマッピングします。[名前 ID の形式] には、SAML 応答で使用される名前 ID の形式を指定します。
    • [名前 ID 値]:SAML 応答で受信した名前 ID 値をマッピングする VMware Identity Services ユーザー属性を選択します。
    • [詳細オプション > SAML シングル ログアウトを使用]:ユーザーが Workspace ONE サービスからログアウトした後に ID プロバイダ セッションからユーザーをログアウトする場合は、このオプションを選択します。
  6. [終了] をクリックして、VMware Identity ServicesMicrosoft Entra ID 間の統合の設定を完了します。

結果

VMware Identity ServicesMicrosoft Entra ID の統合が完了しました。

ディレクトリは VMware Identity Services で作成され、Microsoft Entra ID のプロビジョニング アプリケーションからユーザーとグループをプッシュすると入力されます。プロビジョニングされたユーザーとグループは、Workspace ONE Access や Workspace ONE UEM など、Microsoft Entra ID と統合するために選択した Workspace ONE サービスに自動的に表示されます。

Workspace ONE Access および Workspace ONE UEM コンソールでディレクトリを編集することはできません。ディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダのページは読み取り専用です。

次のステップ

次に、ユーザーとグループをプロビジョニングする Workspace ONE サービスを選択します

Workspace ONE UEM が選択したサービスの 1 つである場合は、Workspace ONE UEM Console で追加の設定を構成します

その後、Microsoft Entra ID プロビジョニング アプリケーションからユーザーとグループをプッシュします。Workspace ONE へのユーザーのプロビジョニングを参照してください。