2022.12.22
![](/engineer-voice/blog/uploads/25496196_m.jpg)
こんにちは。SB C&Sの鵜重です。
この記事では、VMware Workspace ONE UEMとOktaのデバイストラスト連携についての概要と大まか なセットアップ手順をご紹介します。(ページの都合上、 細かな手順は省略していますのでご了承ください)
デバイストラストとは
デバイストラストとはOktaの持つ機能の1つで、 外部のMDMにて管理されているデバイスを" 信頼されたデバイス"として扱い、ポリシーの条件とすることで、 柔軟なアクセスコントロールを実現する機能です。例えば、 MDMに加入しているデバイスはアクセス許可としつつ、 MDM未加入デバイスからのアクセスはブロックさせるといった制 御を行うことが可能となります。このデバイストラスト機能で連携 するMDMとして、VMware Workspace ONE UEMがサポートされています。
もちろんOktaの代わりにVMware Workspace ONE Accessでも同様の構成をとることができますが、 Okta導入済みのケースや今後の導入が見込まれている場合には 、本記事のようにOktaとWorkspace ONE UEM との連携構成とすることで、よりニーズに見合った構成に近づけることが可能です。
![1.png](/engineer-voice/blog/uploads/2543f672fd69236b96a2a18dd9087c63f8350eeb.png)
それでは早速、実際の手順をご紹介したいと思います。
デバイストラスト設定手順
まずOktaでデバイストラストを有効にしてSecretKey を発行します。
![2.png](/engineer-voice/blog/uploads/8d043b39a4cd3e2e451810de8d3450aca1a3eed2.png)
このSecretKeyをコピーしておきます。
![3.png](/engineer-voice/blog/uploads/e11c5eb9ef119b1ee3f532fe35eeb95867ff700a.png)
Workspace ONE UEMに登録した"Okta Mobile"アプリケーションに先程のSecret keyをセットします。
![4.png](/engineer-voice/blog/uploads/efbb84d154e38374176558f89a29ab0c43ccb704.png)
![5.png](/engineer-voice/blog/uploads/926b288e5c8cfe77dc74aa9de3dc1cb40c4ce292.png)
アプリケーション設定手順
続いて、 Okta側でアクセス先となるアプリケーションを登録します。 こちらの記事では"RSA SAML Test Service Provider"を使用して動作の確認を行います。
![6.png](/engineer-voice/blog/uploads/b8d901505930c3ef4ce4ecec5c41f3861f58165c.png)
"Sign On"のタブをスクロールしメタデータを表示されたら、 値をコピーしておきます。
![7.png](/engineer-voice/blog/uploads/73404744bf55da0e960f8b83cd6bd8741094709e.png)
![8.png](/engineer-voice/blog/uploads/f04a7f9fc91fca9cf55babf58ed3c459ba26e8a5.png)
![9.png](/engineer-voice/blog/uploads/a95822ee47a59a9a1908ec3727edbfc0d9fb60d0.png)
RSA SAML Test Service Provider(https://sptest. iamshowcase.com/) にアクセスし上述のメタデータをペーストし"Submmit XML"をクリックします。
![10.png](/engineer-voice/blog/uploads/e6a57f3d5c23c466f64024ded0b079058b3e7c39.png)
アクセス先となるユニークなURLが発行されるのでコピーして控 えておきます。
![11.png](/engineer-voice/blog/uploads/0874ac49603d634979866534e27816a8ce33d983.png)
Oktaの管理画面に戻って"RSA SAML Test Service Provider"のSAML2.0 -> Default Relay Stateに先程のURLをセットします。
![12.png](/engineer-voice/blog/uploads/d5458fceeb5038597ae817ed94c59faf51ffe6ba.png)
Sign On Policy設定手順
最後にデバイストラストの状態を条件としたポリシーをセットしま す。1つ前の上記の画面をスクロールし Sign On Policyの"Add Rule"をクリックします。
![13.png](/engineer-voice/blog/uploads/3ff7d1619c045ae3e0f8d34bb754bc1eab4c46b0.png)
本記事ではデバイストラストなiOSのみ許可とするポリシーをセ ットします。(画面は割愛としますが、 この他に管理外のiOSデバイスに対してはHubダウンロードペ ージを表示させるポリシー、 iOS以外からのアクセスは拒否とするポリシーも設定します。)
![14.png](/engineer-voice/blog/uploads/3e776baab05aec8783b09f99cc11092f6b157e00.png)
![15.png](/engineer-voice/blog/uploads/0b9a2463cf6d41c6e9c1c2f44e81dfeea610bbfb.png)
以上で設定は完了です。(ページの都合上、OktaとWorks pace ONE UEMとのID連携など細かな手順は省略していますのでご了承く ださい)
動作確認
設定したポリシーに合わせて実際にデバイスから"RSA SAML Test Service Provider" のURLにそれぞれアクセスしてみます。
![20.png](/engineer-voice/blog/uploads/1fb1452bd42c1fd997179828797e1506313a3218.png)
![21.png](/engineer-voice/blog/uploads/edb963e89d0b4868a12b6d7d4ad3c6b4b689f8b9.png)
![22.png](/engineer-voice/blog/uploads/7b150010c3cffdbe4ae15ae0df0124e5b97e4764.png)
![23.png](/engineer-voice/blog/uploads/6fd27ddbf8959f9966102b84ee77c059b83c30aa.png)
いずれもポリシーどおりの挙動となることが確認できました。
おわりに
今回は、 Oktaとのデバイストラスト連携についてご紹介しました。
今後もVMware 製品のアップデート情報や検証情報などを発信していきますので、 引き続きご確認頂けると幸いです。
他のおすすめ記事はこちら
著者紹介
![](/engineer-voice/blog/assets_c/2019/04/img-p_ujyu-thumb-300x300-7991.jpg)
SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 1課
鵜重 翔一