デジタル ワークスペース Workspace ONE

Windows 10モダンマネジメントガイド 第9回 SAML連携ウェブアプリへのシングルサインオン

はじめに

この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。

前回の作業ではWin32アプリケーションを追加しWindows 10へ配信しました。

今回の作業ではSAML連携ウェブアプリケーションへのシングルサインオンを構成します。エンドユーザーはVMware Workspace ONE Intelligent Hubアプリカタログからウェブアプリをクリックするだけで、証明書認証によりユーザー名やパスワードを入力することなくアプリが利用できることを確認します。

 

SAML連携ウェブアプリケーションへのシングルサインオンを構成

今回の作業ではVMware Workspace ONE Accessに、SAML連携ウェブアプリケーションであるVMware Workspace ONE UEM セルフサービスポータルを追加します。

Workspace ONE Access での Web アプリケーションへのアクセスの提供
https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/services/ws1-access-resources/GUID-57B66680-A118-47DD-B3A3-81EAD6D6CAA7.html

VMware Identity Manager Integrations Documentation
https://www.vmware.com/support/pubs/vidm_webapp_sso.html
※ VMware Identity ManagerはWorkspace ONE Accessの旧称です

Workspace ONE UEM セルフサービス ポータル
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-SELFSERVICEPORTALOVERVIEW.html

 

エンドユーザーはセルフサービスポータルにログインして、自身のデバイスに関する基本的な管理タスクの実行、問題の調査および解決を行うことができます。これによりヘルプデスク業務を低減し、サポート担当者の負荷を軽減できます。

エンドユーザーは通常、https://workspaceone_tenant_url/MyDevice にアクセスし、グループIDおよびユーザー名・パスワードを入力してセルフサービスポータルにログインします。Identity ProviderであるWorkspace ONE AccessとService Providerであるセルフサービスポータルとの間でSAMLフェデレーションを構成することで、エンドユーザーはセルフサービスポータルにシングルサインオンすることができるようになります。

 

(Identity Provider) Workspace ONE Accessにセルフサービスポータルを追加

Workspace ONE Access 管理コンソールにログインします。[カタログ] > [ウェブアプリケーション]を選択します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[新規]をクリックします。[新規 SaaS アプリケーション]画面が表示されます。

[1 定義]では検索場所に“AirWatch”と入力し、表示される[AirWatch Mobile Device Management]を選択します。[名前]を[セルフサービスポータル]に変更します。

[次へ]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

[2 構成]画面で下部にスクロールし、[アプリケーションパラメータ]項目に値を入力します。

 

[次へ]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

[3 アクセスポリシー]画面では[次へ]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

[4 サマリ]画面では[保存して割り当て]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション 自動的に生成された説明

 

[割り当て]画面では検索場所に“all”と入力し、表示される[All Users]を選択します。[選択されたユーザー/ユーザーグループ: ALL USERS]の[展開の種類]を[自動]に変更します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[保存]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

これでWorkspace ONE Accessにセルフサービスポータルが追加されました。

 

 

(Service Provider) セルフサービスポータルでSAML認証の有効化

Workspace ONE Access 管理コンソールにて、[カタログ] > [Webアプリケーション]を選択し、[設定]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[設定]画面で[SAMLメタデータ]をクリックします。[IDプロバイダ(IdP)メタデータ]をクリックし、表示されるxml形式データ(idp.xml)をダウンロード保存します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

Workspace ONE UEMコンソール トップページを表示します。

画面上部[組織グループ]> [jpnawafw] を選択します。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリサービス] を選択します。

コンピューターのスクリーンショット 自動的に生成された説明

 

下方にスクロールし、[認証にSAMLを使用]を有効化します。[以下のユーザーに対しSAML認証を有効化]では[セルフサービスポータル]にのみチェックが入るよう調整します。

[SAML 2.0]の[IDプロバイダの設定をインポート]で[アップロード]をクリックし、先に保存済みのidp.xmlをアップロードします。

下方にスクロールし、いったん[保存]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

表示が更新され、[IDプロバイダのID]や[IDプロバイダ シングルサインオン用URL]などが表示されていることを確認します。

[応答バインドタイプ]を[POST]に変更します。
[認証応答セキュリティ]を[応答署名を検証]に変更します。

[保存]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

右上の[X]をクリックして設定画面を閉じます。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

 

シングルサインオンプロファイルの調整

第2回の作業で、ウィザードに従い[モバイルシングルサインオン]のセットアップを完了しました。ここでWindows 10用シングルサインオンプロファイルが作成されていますので、これを修正します。

Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ]> [jpnawafw] を選択します。

[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。プロファイル名が[Windows_Sso_xxxx(数字)]となっているものを見つけ、鉛筆アイコンをクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション, メール 自動的に生成された説明

 

シングルサインオンプロファイルが表示されます。[全般]ペイロードで[スマートグループ]を[All Corporate Dedicated Devices]に設定します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[SCEP]ペイロードを選択します。右下の[バージョン追加]をクリックし、[証明書テンプレート]を[証明書(クラウド展開)]に変更します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

右下の[保存して公開]をクリックします。

[デバイス割り当て表示]が表示されます。[公開]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション, メール 自動的に生成された説明

 

 

セルフサービスポータルへのシングルサインオン

シングルサインオンプロファイルにより証明書が配信されるまで数分待ってから、Windows 10デバイスでWorkspace ONE Intelligent Hubを起動します。リロードをクリックするとアプリカタログ表示が更新され、セルフサービスポータルが表示されます。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[セルフサービスポータル]をクリックします。既定のウェブブラウザが起動し、[認証用の証明書の選択]が表示されます。[OK]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション, Word 自動的に生成された説明

 

セルフサービスポータルにシングルサインオンが完了します。

グラフィカル ユーザー インターフェイス, テキスト, メール, Web サイト 自動的に生成された説明

 

 

今回の作業ではSAML連携ウェブアプリケーションへのシングルサインオンを構成しました。エンドユーザーはIntelligent Hubアプリカタログからウェブアプリをクリックするだけで、証明書認証によりユーザー名やパスワードを入力することなくアプリが利用できることを確認しました。

 

次回はデバイスコンプライアンスを用いたSAML連携ウェブアプリケーションの利用を構成します。