はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
前回の作業ではWin32アプリケーションを追加しWindows 10へ配信しました。
今回の作業ではSAML連携ウェブアプリケーションへのシングルサインオンを構成します。エンドユーザーはVMware Workspace ONE Intelligent Hubアプリカタログからウェブアプリをクリックするだけで、証明書認証によりユーザー名やパスワードを入力することなくアプリが利用できることを確認します。
SAML連携ウェブアプリケーションへのシングルサインオンを構成
今回の作業ではVMware Workspace ONE Accessに、SAML連携ウェブアプリケーションであるVMware Workspace ONE UEM セルフサービスポータルを追加します。
Workspace ONE Access での Web アプリケーションへのアクセスの提供
https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/services/ws1-access-resources/GUID-57B66680-A118-47DD-B3A3-81EAD6D6CAA7.html
VMware Identity Manager Integrations Documentation
https://www.vmware.com/support/pubs/vidm_webapp_sso.html
※ VMware Identity ManagerはWorkspace ONE Accessの旧称です
Workspace ONE UEM セルフサービス ポータル
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-SELFSERVICEPORTALOVERVIEW.html
エンドユーザーはセルフサービスポータルにログインして、自身のデバイスに関する基本的な管理タスクの実行、問題の調査および解決を行うことができます。これによりヘルプデスク業務を低減し、サポート担当者の負荷を軽減できます。
エンドユーザーは通常、https://workspaceone_tenant_url/MyDevice にアクセスし、グループIDおよびユーザー名・パスワードを入力してセルフサービスポータルにログインします。Identity ProviderであるWorkspace ONE AccessとService Providerであるセルフサービスポータルとの間でSAMLフェデレーションを構成することで、エンドユーザーはセルフサービスポータルにシングルサインオンすることができるようになります。
(Identity Provider) Workspace ONE Accessにセルフサービスポータルを追加
Workspace ONE Access 管理コンソールにログインします。[カタログ] > [ウェブアプリケーション]を選択します。
[新規]をクリックします。[新規 SaaS アプリケーション]画面が表示されます。
[1 定義]では検索場所に“AirWatch”と入力し、表示される[AirWatch Mobile Device Management]を選択します。[名前]を[セルフサービスポータル]に変更します。
[次へ]をクリックします。
[2 構成]画面で下部にスクロールし、[アプリケーションパラメータ]項目に値を入力します。
[次へ]をクリックします。
[3 アクセスポリシー]画面では[次へ]をクリックします。
[4 サマリ]画面では[保存して割り当て]をクリックします。
[割り当て]画面では検索場所に“all”と入力し、表示される[All Users]を選択します。[選択されたユーザー/ユーザーグループ: ALL USERS]の[展開の種類]を[自動]に変更します。
[保存]をクリックします。
これでWorkspace ONE Accessにセルフサービスポータルが追加されました。
(Service Provider) セルフサービスポータルでSAML認証の有効化
Workspace ONE Access 管理コンソールにて、[カタログ] > [Webアプリケーション]を選択し、[設定]をクリックします。
[設定]画面で[SAMLメタデータ]をクリックします。[IDプロバイダ(IdP)メタデータ]をクリックし、表示されるxml形式データ(idp.xml)をダウンロード保存します。
Workspace ONE UEMコンソール トップページを表示します。
画面上部[組織グループ]> [jpnawafw] を選択します。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリサービス] を選択します。
下方にスクロールし、[認証にSAMLを使用]を有効化します。[以下のユーザーに対しSAML認証を有効化]では[セルフサービスポータル]にのみチェックが入るよう調整します。
[SAML 2.0]の[IDプロバイダの設定をインポート]で[アップロード]をクリックし、先に保存済みのidp.xmlをアップロードします。
下方にスクロールし、いったん[保存]をクリックします。
表示が更新され、[IDプロバイダのID]や[IDプロバイダ シングルサインオン用URL]などが表示されていることを確認します。
[応答バインドタイプ]を[POST]に変更します。
[認証応答セキュリティ]を[応答署名を検証]に変更します。
[保存]をクリックします。
右上の[X]をクリックして設定画面を閉じます。
シングルサインオンプロファイルの調整
第2回の作業で、ウィザードに従い[モバイルシングルサインオン]のセットアップを完了しました。ここでWindows 10用シングルサインオンプロファイルが作成されていますので、これを修正します。
Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ]> [jpnawafw] を選択します。
[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。プロファイル名が[Windows_Sso_xxxx(数字)]となっているものを見つけ、鉛筆アイコンをクリックします。
シングルサインオンプロファイルが表示されます。[全般]ペイロードで[スマートグループ]を[All Corporate Dedicated Devices]に設定します。
[SCEP]ペイロードを選択します。右下の[バージョン追加]をクリックし、[証明書テンプレート]を[証明書(クラウド展開)]に変更します。
右下の[保存して公開]をクリックします。
[デバイス割り当て表示]が表示されます。[公開]をクリックします。
セルフサービスポータルへのシングルサインオン
シングルサインオンプロファイルにより証明書が配信されるまで数分待ってから、Windows 10デバイスでWorkspace ONE Intelligent Hubを起動します。リロードをクリックするとアプリカタログ表示が更新され、セルフサービスポータルが表示されます。
[セルフサービスポータル]をクリックします。既定のウェブブラウザが起動し、[認証用の証明書の選択]が表示されます。[OK]をクリックします。
セルフサービスポータルにシングルサインオンが完了します。
今回の作業ではSAML連携ウェブアプリケーションへのシングルサインオンを構成しました。エンドユーザーはIntelligent Hubアプリカタログからウェブアプリをクリックするだけで、証明書認証によりユーザー名やパスワードを入力することなくアプリが利用できることを確認しました。
次回はデバイスコンプライアンスを用いたSAML連携ウェブアプリケーションの利用を構成します。