Workspace ONE テナントの VMware Identity Services を有効にした後、Okta との統合を設定します。

  1. VMware Identity Services の [はじめに] ウィザードのステップ 2、[SCIM 2.0 ベースの ID プロバイダの統合][開始] をクリックします。""
  2. [Okta] カードの [設定] をクリックします。

    ""

  3. ウィザードに従って、Okta との統合を設定します。

ステップ 1:ディレクトリの作成

VMware Identity Services を使用してユーザー プロビジョニングと ID フェデレーションを設定する最初のステップとして、Okta からプロビジョニングされたユーザーとグループのディレクトリを Workspace ONE Cloud コンソールに作成します。

注意: ディレクトリを作成した後、ID プロバイダの選択を変更することはできません。続行する前に、適切な ID プロバイダが選択されていることを確認してください。

手順

  1. ウィザードのステップ 1、[全般情報] で、Workspace ONE のプロビジョニングされたディレクトリに使用する名前を入力します。
    名前の長さは最大 128 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_) のみです。
    重要: 作成したディレクトリの名前を変更することはできません。
  2. [ドメイン名] には、.com.net などの拡張子を含む、ソース ディレクトリのプライマリ ドメイン名を入力します。
    VMware Identity Services は現在、1 つのドメインのみをサポートしています。プロビジョニングされたユーザーとグループは、Workspace ONE サービスでこのドメインに関連付けられます。

    ドメイン名の長さは最大 100 文字です。使用できるのは、英字(a ~ z、または他の言語で同等の文字)、数字(0 ~ 9)、スペース、ハイフン (-)、アンダースコア (_)、ピリオド (.) のみです。

    例:

    この例では、ディレクトリ名は「Demo」で、ドメイン名は「example.com」です。
  3. [保存] をクリックし、選択を確認します。

次のタスク

ユーザーとグループのプロビジョニングを設定します。

ユーザーとグループのプロビジョニングの設定 (Okta)

VMware Identity Services でディレクトリを作成したら、ユーザーとグループのプロビジョニングを設定します。プロビジョニングに必要な管理者認証情報を生成して VMware Identity Services でプロセスを開始し、Okta でプロビジョニング アプリケーションを作成してユーザーとグループを Workspace ONE にプロビジョニングします。

前提条件

プロビジョニングのセットアップに必要な権限を持つ Okta の管理者アカウントがあること。

手順

  1. Workspace ONE Cloud コンソールで、ディレクトリを作成した後、ウィザードのステップ 2、[Okta アプリケーションの構成] で生成された値を確認してコピーします。
    Okta でプロビジョニング アプリケーションを構成するには、これらの値が必要です。
    • [テナント URL]VMware Identity Services テナントの SCIM 2.0 エンドポイント。値をコピーします。
    • [トークンの存続期間]:シークレット トークンが有効な期間。

      デフォルトでは、VMware Identity Services は存続期間が 6 か月のトークンを生成します。トークンの存続期間を変更するには、下矢印をクリックして別のオプションを選択し、[再生成] をクリックして新しい値でトークンを再生成します。

      重要: トークンの存続期限を更新すると、以前のトークンが無効になり、Okta からのユーザーとグループのプロビジョニングは失敗します。新しいトークンを再生成し、新しいトークンをコピーして Okta アプリケーションに貼り付ける必要があります。
    • [シークレット トークン]:ユーザーを Workspace ONE にプロビジョニングするために Okta で必要なトークン。コピー アイコンをクリックして値をコピーします。
      重要: [次へ] をクリックする前に、トークンをコピーしてください。 [次へ] をクリックすると、トークンは表示されなくなり、新しいトークンを生成する必要があります。トークンを再生成すると、以前のトークンが無効になり、プロビジョニングは失敗します。新しいトークンをコピーして Okta アプリケーションに貼り付けてください。

    例:

    テナント URL は https://FQDN/usergroup/scim/v2 形式で、トークンの有効期間は 12 か月です。

    トークンがまもなく期限切れになると、Workspace ONE Cloud コンソールにバナー通知が表示されます。E メール通知も受信したい場合は、Workspace ONE Access と ID サービス [トークンの有効期限]設定で [E メール] チェック ボックスが選択されていることを確認します。この設定は、Workspace ONE Cloud コンソールの [通知設定] ページで確認できます。
  2. Okta でプロビジョニング アプリケーションを作成します。
    1. Okta 管理者コンソールにログインします。
    2. 左側のナビゲーション ペインで、[アプリケーション] > [アプリケーション] を選択します。
    3. [アプリケーション カタログを参照] をクリックします。
    4. SCIM 2.0 Test App(OAuth ベアラー トークン)」を検索します。
    5. [アプリケーション] ページで、[統合の追加] をクリックします。
    6. [SCIM 2.0 Test App(OAuth ベアラー トークン)] ページの [一般設定] タブで、[アプリケーション ラベル] テキスト ボックスにアプリケーションの名前を入力します。たとえば、「VMware Identity Services - SCIM」と入力します。
      この例のアプリケーションは、「VMware Identity Services - SCIM」という名前です。
    7. [次へ] をクリックします。
    8. [サインイン オプション] タブで、ページの下部にある [完了] をクリックします。
      [アプリケーション] ページが表示されます。
    9. [アプリケーション] ページで、[プロビジョニング] タブを選択します。
    10. [API 統合の構成] をクリックします。
      ""
    11. [API 統合を有効にする] チェック ボックスを選択します。
    12. VMware Identity Services ウィザードから情報をコピーして貼り付け、[統合] セクションの入力を完了します。
      1. VMware Identity Services ウィザードから [テナント URL] 値をコピーし、Okta 管理コンソールの [SCIM 2.0 ベース URL] テキスト ボックスに貼り付けます。
      2. VMware Identity Services ウィザードから [シークレット トークン] 値をコピーし、Okta 管理コンソールの [OAuth ベアラー トークン] テキスト ボックスに貼り付けます。
      3. [Test API 認証情報] ボタンをクリックして、接続をテストします。
        ""
      4. SCIM 2.0 Test App(OAuth ベアラー トークン)が正常に検証されました」というメッセージが表示されていることを確認してから続行します。
      5. [保存] をクリックします。

        [アプリケーションへのプロビジョニング] ページが表示されます。

    13. [アプリケーションへのプロビジョニング] ページで [編集] をクリックし、次のオプションで [有効] を選択します。
      • [ユーザーの作成]
      • [ユーザー属性の更新]
      • [ユーザーの非アクティブ化]
      ""
    14. [保存] をクリックします。

次のタスク

Workspace ONE Cloud コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 3:SCIM ユーザー属性のマッピング

Okta から Workspace ONE サービスに同期するユーザー属性をマッピングします。Okta 管理コンソールで、必要な SCIM ユーザー属性を追加し、Okta 属性にマッピングします。少なくとも、VMware Identity Services および Workspace ONE サービスに必要な属性を同期します。

VMware Identity Services および Workspace ONE サービスには、次の SCIM ユーザー属性が必要です。

Okta 属性 SCIM ユーザー属性(必須)
userName userName
user.email emails[type eq "work"].value
user.firstName name.givenName
user.lastName name.familyName
externalId externalId
active active
注: この表は、必須の SCIM 属性と Okta 属性の一般的なマッピングを示します。SCIM 属性は、ここにリストされているもの以外の Okta 属性にマッピングできます。

これらの属性と Workspace ONE 属性へのマッピングの詳細については、VMware Identity Services のユーザー属性マッピングを参照してください。

必須属性に加えて、オプション属性とカスタム属性を同期できます。サポートされているオプション属性とカスタム属性のリストについては、VMware Identity Services のユーザー属性マッピングを参照してください。

重要: Okta ではグループ属性マッピングを指定して、 VMware Identity Services に同期することはできません。ユーザー属性のみをマッピングできます。

手順

  1. Workspace ONE Cloud コンソールで、VMware Identity Services ウィザードのステップ 3、[SCIM ユーザー属性のマッピング] を実行し、VMware Identity Services がサポートする属性のリストを確認します。
  2. Okta 管理センターで、VMware Identity Services へのユーザー プロビジョニング用に作成したプロビジョニング アプリケーションに移動します。
  3. [プロビジョニング] タブを選択します。
  4. [AppName 属性マッピング] セクションまでスクロールし、[プロファイル エディタに移動] をクリックします。
  5. プロファイル エディタ ページの [属性] で、[マッピング] をクリックします。
    ""
  6. [AppName の Okta ユーザー] タブを選択します。
    ""
  7. 必要な SCIM ユーザー属性を Okta 属性にマッピングし、[マッピングの保存] をクリックします。
    注: externalId 属性は暗黙的に設定されます。
  8. 必要に応じて、オプションおよびカスタムの SCIM ユーザー属性を追加およびマッピングします。
    カスタム属性を追加するには、次の手順を実行します。
    1. VMware Identity Services ウィザードの [ステップ 3:SCIM ユーザー属性のマッピング] で、[追加属性の表示] リンクをクリックします。
      [カスタム属性] セクションには、Okta でカスタム属性として追加できる SCIM 属性が一覧表示されます。 VMware Identity Services カスタム属性には、 [urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#] という名前が付いています。 VMware Identity Services では、最大 5 つのカスタム属性がサポートされます。
      ""
    2. Okta 管理コンソールの [プロファイル エディタ] ページで、[+ 属性の追加] をクリックします。
      ""
    3. [属性の追加] ウィンドウで、次の情報を入力します。
      [表示名]:属性の表示名を入力します。例: customAttribute3

      [変数名]VMware Identity Services ウィザードの属性名を入力します。例:customAttribute3

      [外部名]VMware Identity Services ウィザードの属性名を入力します。例:customAttribute3

      [外部名前空間]:「 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User」と入力します。この値は、VMware Identity Services ウィザードにリストされているカスタム SCIM 属性からコピーすることもできます。:customAttribute# サフィックスを含まない SCIM 属性の名前をコピーします。


      ""

      例:


      ""
    4. [保存] をクリックします。
      新しいカスタム属性が [属性] テーブルに表示されます。
    5. [マッピング] をクリックし、[AppName の Okta ユーザー] タブを選択します。
    6. 右側の列で新しいカスタム属性を見つけ、マッピングする属性を選択します。
      例:
      「customAttribute3」は「user.title」にマッピングされます。
    7. [マッピングの保存] をクリックします。
    8. [今すぐ更新を適用] をクリックします。

次のタスク

Workspace ONE Cloud コンソールに戻り、VMware Identity Services ウィザードを続行します。

ステップ 4:認証プロトコルの選択

フェデレーション認証に使用するプロトコルを選択します。VMware Identity Services は、OpenID Connect および SAML プロトコルをサポートします。

注意: 慎重に選択してください。プロトコルを選択して認証を構成した後は、ディレクトリを削除せずにプロトコルのタイプを変更することはできません。

手順

  1. ウィザードのステップ 4、[認証プロトコルの選択] で、[OpenID Connect] または [SAML] を選択します。
  2. [次へ] をクリックします。
    ウィザードの次のステップが、選択したプロトコルの構成に必要な値とともに表示されます。

次のタスク

フェデレーション認証用に VMware Identity Services と Okta を構成します。

ステップ 5:認証の構成 (Okta)

Okta を使用してフェデレーション認証を構成するには、VMware Identity Services のサービス プロバイダ メタデータを使用して Okta で OpenID Connect または SAML アプリケーションを設定し、アプリケーションの値を使用して VMware Identity Services を構成します。

重要: Okta 管理コンソールでユーザー プロビジョニングと ID プロバイダ構成用に個別のアプリケーションを作成してください。プロビジョニングと認証に同じアプリケーションを使用することはできません。

OpenID Connect

認証プロトコルとして OpenID Connect を選択した場合は、次の手順を実行します。
注: また、詳細情報および最新のユーザー インターフェイスについては、Okta のドキュメント「 OIDC アプリ統合を作成する」を参照してください。
  1. VMware Identity Services ウィザードのステップ 5 、[OpenID Connect の構成] で、[リダイレクト用 URI] の値をコピーします。

    この値は、次のステップに進み、Okta 管理コンソールで OpenID Connect アプリケーションを作成するときに必要になります。

    ""
  2. Okta で OpenID Connect アプリケーションを作成します。
    1. Okta 管理コンソールで、左側のペインで [アプリケーション] > [アプリケーション] を選択し、[アプリケーション統合を作成する] をクリックします。
    2. [新しいアプリケーション統合の作成] ウィンドウで、[OIDC - OpenID Connect] を選択します。
    3. [アプリケーション タイプ][Web アプリケーション] を選択し、[次へ] をクリックします。
    4. [新しい Web アプリケーション統合] ページで、次の値を指定します。

      [アプリケーション統合名]:アプリケーションの名前を入力します。

      [認証タイプ][認証コード] を選択します。

      [ログイン リダイレクト URI:]VMware Identity Services ウィザードのステップ 5 からコピーした [リダイレクト URI] の値をコピーして貼り付けます。

      [割り当て - 制御されたアクセス]:アプリケーションを今すぐグループに割り当てるか、後で割り当てを行うかを選択できます。

      例:

      ""
    5. [保存] をクリックします。
  3. Okta OpenID Connect アプリケーションのクライアント ID とクライアント シークレットを見つけます。
    1. [[全般]] タブを選択します。
    2. [クライアント ID][クライアント シークレット] の値を見つけます。
      ""

    これらの値は次のステップで使用します。

  4. Workspace ONE Cloud コンソールの VMware Identity Services ウィザードに戻り、[OpenID Connect の構成] セクションで構成を完了します。
    [クライアント ID] Okta OpenID Connect アプリケーションからクライアント ID の値をコピーして貼り付けます。
    [クライアント シークレット] Okta OpenID Connect アプリケーションからクライアント シークレットの値をコピーして貼り付けます。
    [構成 URL] Okta アプリケーションの OpenID Connect の既知の構成 URL をコピーして貼り付けます。例:https://yourOktaOrg/.well-known/openid-configuration
    [OIDC ユーザー ID 属性] ユーザー検索用に Workspace ONE 属性にマッピングする OpenID Connect 属性を指定します。
    [Workspace ONE ユーザー ID 属性] ユーザー検索用に OpenID Connect 属性にマッピングする Workspace ONE 属性を指定します。
    ""
  5. [終了] をクリックして、VMware Identity Services と Okta 間の統合の設定を完了します。

SAML

認証プロトコルとして SAML を選択した場合は、次の手順を実行します。

重要: ID プロバイダ構成用の新しいアプリケーションを作成していることを確認します。プロビジョニングと認証に同じアプリケーションを使用することはできません。
  1. Okta での SAML アプリケーションの作成。
    1. Okta 管理コンソールで [アプリケーション] > [アプリケーション] を選択し、[アプリケーション統合の作成] をクリックします。
      ""
    2. [新しいアプリケーション統合の作成] ウィンドウで、[SAML 2.0] を選択し、[次へ] をクリックします。
    3. [SAML 統合の作成] ウィンドウの [ 一般設定] タブで、[アプリケーション名] テキスト ボックスに SAML アプリケーションの名前を入力し、[次へ] をクリックします。
    4. 新しいアプリケーションの [SAML の構成] タブで、VMware Identity Servicesの値をコピーして貼り付けます。
      • VMware Identity Services ウィザードのステップ 5 の [シングル サインオン URL] の値をコピーし、[SAML 設定] の下の [シングル サインオン URL] テキスト ボックスに貼り付けます。
      • VMware Identity Services ウィザードのステップ 5 の [エンティティ ID] の値をコピーし、[対象者の URI(SP エンティティ ID)] テキスト ボックスに貼り付けます。
      図 1. VMware Identity Services ステップ 5
      ""
      図 2. Okta SAML アプリケーション
      ""
    5. [名前 ID 形式] の値を選択します。
    6. [詳細設定の表示] をクリックし、[署名付き証明書] オプションで、VMware Identity Services ウィザードのステップ 5 から [署名付き証明書] をアップロードします。
    7. [次へ] をクリックして、アプリケーションの設定を完了します。
  2. Okta からフェデレーション メタデータを取得します。
    1. アプリケーションが作成されたら、右側のペインの [サインオン] タブで [SAML セットアップ手順の表示] をクリックします。
    2. [オプション] セクションで、[ステップ 1:次の IDP メタデータを SP プロバイダに提供します] テキスト ボックスからメタデータをコピーします。
      ""
  3. Workspace ONE Cloud コンソールで、VMware Identity Services ウィザードのステップ 5 の [ID プロバイダのメタデータ] テキスト ボックスにメタデータを貼り付けます。
    ""
  4. 必要に応じて、[SAML シングル サインオンを構成する] セクションの残りのオプションを構成します。
    • [バインディング プロトコル]:SAML バインディング プロトコル([HTTP POST] または [HTTP リダイレクト])を選択します。
    • [名前 ID の形式]:ID プロバイダと VMware Identity Services の間でユーザーをマッピングするには [名前 ID の形式] および [名前 ID の値] 設定を使用します。[名前 ID の形式] には、SAML 応答で使用される名前 ID の形式を指定します。
    • [名前 ID 値]:SAML 応答で受信した名前 ID 値をマッピングする VMware Identity Services ユーザー属性を選択します。
    • [SAML 要求でサブジェクトを送信 (使用可能な場合) ]:ユーザー ログインのエクスペリエンスを向上させるためにログイン ヒントとしてサブジェクトを ID プロバイダに送信する場合は、このオプションを選択します(使用可能な場合)。
    • [サブジェクトに名前 ID 形式のマッピングを使用する][名前 ID の形式] および [名前 ID の値] のマッピングを SAML 要求のサブジェクトに適用する場合は、このオプションを選択します。このオプションは、[SAML 要求でサブジェクトを送信(使用可能な場合)] オプションで使用されます。
      注意: このオプションを有効にすると、ユーザーの列挙と呼ばれるセキュリティ脆弱性のリスクが高まる可能性があります。
    • [SAML シングル ログアウト]:ユーザーが Workspace ONE サービスからログアウトした後、ID プロバイダ セッションからログアウトされるようにする場合は、このオプションを選択します。
    • [ID プロバイダのシングル ログアウト URL]:ID プロバイダが SAML シングル ログアウトをサポートしていない場合は、このオプションを使用して、Workspace ONE サービスからログアウトした後にユーザーをリダイレクトする URL を指定できます。このオプションを使用する場合は、[SAML シングル ログアウトを使用] チェック ボックスも選択します。

      このオプションを空白のままにすると、SAML シングル ログアウトを使用してユーザーが ID プロバイダにリダイレクトされます。

    • [暗号化証明書]:Okta で SAML 暗号化を有効にする場合は、この証明書を Okta SAML アプリケーションにアップロードします。
  5. [終了] をクリックして、VMware Identity Services と Okta 間の統合の設定を完了します。

結果

VMware Identity Services と Okta の統合が完了しました。

ディレクトリは VMware Identity Services で作成され、Okta のプロビジョニング アプリケーションからユーザーとグループをプッシュすると入力されます。プロビジョニングされたユーザーとグループは、Workspace ONE AccessWorkspace ONE UEM などの VMware Identity Services で使用するために選択した Workspace ONE サービスに自動的に表示されます。

Workspace ONE Access および Workspace ONE UEM コンソールでディレクトリを編集することはできません。ディレクトリ、ユーザー、ユーザー グループ、ユーザー属性、ID プロバイダのページは読み取り専用です。

次のステップ

次に、ユーザーとグループをプロビジョニングする Workspace ONE サービスを選択します。

次に、Okta からユーザーとグループをプッシュします。「Workspace ONE へのユーザーのプロビジョニング」を参照してください。