SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Workspace ONE UEM x Oktaデバイストラスト連携のご紹介

仮想化
2022.12.22

こんにちは。SB C&Sの鵜重です。
 この記事では、VMware Workspace ONE UEMとOktaのデバイストラスト連携についての概要と大まかなセットアップ手順をご紹介します。(ページの都合上、細かな手順は省略していますのでご了承ください)

デバイストラストとは

デバイストラストとはOktaの持つ機能の1つで、外部のMDMにて管理されているデバイスを"信頼されたデバイス"として扱い、ポリシーの条件とすることで、柔軟なアクセスコントロールを実現する機能です。例えば、MDMに加入しているデバイスはアクセス許可としつつ、MDM未加入デバイスからのアクセスはブロックさせるといった制御を行うことが可能となりますこのデバイストラスト機能で連携するMDMとして、VMware Workspace ONE UEMがサポートされています。
もちろんOktaの代わりにVMware Workspace ONE Accessでも同様の構成をとることができますが、Okta導入済みのケースや今後の導入が見込まれている場合には、本記事のようにOktaとWorkspace ONE UEM との連携構成とすることで、よりニーズに見合った構成に近づけることが可能です。
1.png
それでは早速、実際の手順をご紹介したいと思います。

デバイストラスト設定手順

まずOktaでデバイストラストを有効にしてSecretKeyを発行します。
2.png

このSecretKeyをコピーしておきます。
3.png

Workspace ONE UEMに登録した"Okta Mobile"アプリケーションに先程のSecret keyをセットします。
4.png

5.png

アプリケーション設定手順

続いて、Okta側でアクセス先となるアプリケーションを登録します。こちらの記事では"RSA SAML Test Service Provider"を使用して動作の確認を行います。
6.png

"Sign On"のタブをスクロールしメタデータを表示されたら、値をコピーしておきます。
7.png


8.png


9.png


RSA SAML Test Service Provider(https://sptest.iamshowcase.com/にアクセスし上述のメタデータをペーストし"Submmit XML"をクリックします。
10.png


アクセス先となるユニークなURLが発行されるのでコピーして控えておきます。
11.png

Oktaの管理画面に戻って"RSA SAML Test Service Provider"のSAML2.0 -> Default Relay Stateに先程のURLをセットします。
12.png

Sign On Policy設定手順

最後にデバイストラストの状態を条件としたポリシーをセットします。1つ前の上記の画面をスクロールし Sign On Policyの"Add Rule"をクリックします。
13.png

本記事ではデバイストラストなiOSのみ許可とするポリシーをセットします。(画面は割愛としますが、この他に管理外のiOSデバイスに対してはHubダウンロードページを表示させるポリシー、iOS以外からのアクセスは拒否とするポリシーも設定します。)
14.png

15.png


以上で設定は完了です。(ページの都合上、OktaとWorkspace ONE UEMとのID連携など細かな手順は省略していますのでご了承ください)


動作確認

設定したポリシーに合わせて実際にデバイスから"RSA SAML Test Service Provider" のURLにそれぞれアクセスしてみます。
20.png21.png


22.png


23.png


いずれもポリシーどおりの挙動となることが確認できました。
 

おわりに

今回は、Oktaとのデバイストラスト連携についてご紹介しました。
今後もVMware 製品のアップデート情報や検証情報などを発信していきますので、引き続きご確認頂けると幸いです。

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 1課
 
鵜重 翔一