Workspace ONE UEM x Oktaデバイストラスト連携のご紹介

VMware

2022.12.22

こんにちは。SB C&Sの鵜重です。

この記事では、VMware Workspace ONE UEMとOktaのデバイストラスト連携についての概要と大まかなセットアップ手順をご紹介します。（ページの都合上、細かな手順は省略していますのでご了承ください）

デバイストラストとは

デバイストラストとはOktaの持つ機能の1つで、外部のMDMにて管理されているデバイスを"信頼されたデバイス"として扱い、ポリシーの条件とすることで、柔軟なアクセスコントロールを実現する機能です。例えば、MDMに加入しているデバイスはアクセス許可としつつ、MDM未加入デバイスからのアクセスはブロックさせるといった制御を行うことが可能となります。このデバイストラスト機能で連携するMDMとして、VMware Workspace ONE UEMがサポートされています。

もちろんOktaの代わりにVMware Workspace ONE Accessでも同様の構成をとることができますが、Okta導入済みのケースや今後の導入が見込まれている場合には、本記事のようにOktaとWorkspace ONE UEM との連携構成とすることで、よりニーズに見合った構成に近づけることが可能です。

それでは早速、実際の手順をご紹介したいと思います。

デバイストラスト設定手順

まずOktaでデバイストラストを有効にしてSecretKeyを発行します。

このSecretKeyをコピーしておきます。

Workspace ONE UEMに登録した"Okta Mobile"アプリケーションに先程のSecret keyをセットします。

アプリケーション設定手順

続いて、Okta側でアクセス先となるアプリケーションを登録します。こちらの記事では"RSA SAML Test Service Provider"を使用して動作の確認を行います。

"Sign On"のタブをスクロールしメタデータを表示されたら、値をコピーしておきます。

RSA SAML Test Service Provider（https://sptest.iamshowcase.com/）にアクセスし上述のメタデータをペーストし"Submmit XML"をクリックします。

アクセス先となるユニークなURLが発行されるのでコピーして控えておきます。

Oktaの管理画面に戻って"RSA SAML Test Service Provider"のSAML2.0 -> Default Relay Stateに先程のURLをセットします。

Sign On Policy設定手順

最後にデバイストラストの状態を条件としたポリシーをセットします。1つ前の上記の画面をスクロールし Sign On Policyの"Add Rule"をクリックします。

本記事ではデバイストラストなiOSのみ許可とするポリシーをセットします。（画面は割愛としますが、この他に管理外のiOSデバイスに対してはHubダウンロードページを表示させるポリシー、iOS以外からのアクセスは拒否とするポリシーも設定します。）

以上で設定は完了です。（ページの都合上、OktaとWorkspace ONE UEMとのID連携など細かな手順は省略していますのでご了承ください）

動作確認

設定したポリシーに合わせて実際にデバイスから"RSA SAML Test Service Provider" のURLにそれぞれアクセスしてみます。

いずれもポリシーどおりの挙動となることが確認できました。

おわりに

今回は、Oktaとのデバイストラスト連携についてご紹介しました。

今後もVMware 製品のアップデート情報や検証情報などを発信していきますので、引き続きご確認頂けると幸いです。

他のおすすめ記事はこちら

VMware SASEとは - VMwareが提供するSASEのアーキテクチャを解説

著者紹介

SB C&S株式会社
ICT事業本部技術本部第3技術部 2課
　
鵜重翔一

　

Related Posts

関連記事