Ishii_IT_Garden’s blog

VMware EUC(HorizonやWorkspace ONE)で気になったことを検証して記載しています。

Workspace ONE・Okta LDAP連携

Workspace ONEはLDAPの連携に対応しています。Active DirectoryLDAP連携をするのが一般的かと思いますが、Workspace ONEはOktaともLDAP連携をすることが可能です。
今回は、Workspace ONEとOktaのLDAP連携方法をご紹介していきます。

 

今回の環境

今回の構成イメージは下図の通りです。Workspace ONE UEMとOktaの基本的な部分は構築済みです。また、Okta側でユーザー及びグループを作成済みであることを前提として紹介させていただきます。

 

まず、Workspace ONEとOkta間のLDAP連携をします。その後、Oktaのユーザー情報及びグループ情報をWorkspace ONE UEMに同期し、同期したOktaユーザーでデバイスを登録します。

 

Workspace ONE UEMとOktaのLDAP連携

それでは、Workspace ONE UEMとOktaのLDAP連携手順を紹介します。

 

まずは、Workspace ONE UEMのディレクトリ サービスに入力する値を確認します。Oktaの管理コンソールにアクセスし、[Directory]→[Directory Integrations] の順にクリックします。画面右の [LDAP Interface] をクリックし設定を確認します。

 

 

[Host]、[BaseDN]、[User base DN]、[Group base DN]値を、後ほどWorkspace ONE UEM上に入力するため、確認しておきます。

 

 

Oktaのディレクトリ情報を入力するためWorkspace ONE UEMの管理コンソールにアクセスします。[グループと設定]→[すべての設定] の順にクリックします。

 

 

[システム]→[エンタープライズ統合]→[ディレクトリ サービス] の順にクリックします。画面右のディレクトリ サービス設定画面で、[ウィザードをスキップして手動構成] をクリックします。

 

 

まずは、サーバの情報を入力します。[サーバ] タブをクリックし、下記の表を参考に必要な情報を入力します。

入力欄 設定値
②現在の設定 オーバーライド
ディレクトリタイプ LDAP – 他のLDAP
④サーバ Oktaの環境で確認した [Host] の値
⑤暗号化タイプ SSL
⑥バインド認証タイプ ベーシック
⑦バインドユーザー名 uid=(Oktaのユーザー名),dc=(Oktaのホスト名),dc=okta,dc=okta

※ご使用のOkta環境によっては、[dc=okta]の部分が、[dc=oktapreview]もしくは[dc=okta-emea] になる可能性があります。入力する際は、Oktaのドメイン名をよく確認してから入力してください。



続いてユーザーの情報を入力します。[ユーザー] タブをクリックし、[高度] >マークをクリックします。下記の表を参考に必用な情報を入力します。

入力欄 設定値
③ベースDN Oktaの環境で確認した [User base DN] の値
④ユーザー オブジェクトクラス inetOrgPerson
⑤ユーザー検索フィルタ ($(mail={EnrollmentUser}))
⑥オブジェクト識別子 uniqueIdentifier

 

 

続いてグループ情報を入力します。[グループ] タブをクリックし、[高度な設定] >マークをクリックします。下記の表を参考に必要情報を入力します。

入力欄 設定値
ベースDN Oktaの環境で確認した [Group base DN] の値
グループ オブジェクトクラス groupofUniqueNames
組織ユニット オブジェクトクラス organizationalUnit
グループ検索フィルタ (&(objectClass=groupofUniqueNames))

 

 

下にスクロールし、下記の表を参考に属性情報を入力します。[接続のテスト] をクリックして、状態を確認します。

入力欄 設定値
①オブジェクト識別子 uniqueIdentifier
②名前 cn

 

 

Oktaに正常に接続されたことを確認し、× で閉じます。

 

 

ディレクトリ サービスの情報を保存します。[保存] をクリックします。

 

 

以上で、Workspace ONE UEMとOktaのLDAP連携設定を終了します。

 

 

ユーザー・グループ同期

LDAP連携設定が完了したら、OktaユーザーとグループをWorkspace ONE UEMに同期します。同期方法は他のLDAP同期方法と変わらず、[アカウント] タブから [ユーザー] および [ユーザー グループ] のリスト画面を表示し、追加をします。今回は、ユーザーの同期を例に手順を紹介します。

 

 

ユーザーの追加画面で [ディレクトリ] をクリックします。[ディレクトリ名] に登録したOktaのディレクトリが表示されていることを確認します。[ユーザー名] に対象のOktaユーザーを入力して、[ユーザーを確認] をクリックします。



 

[氏名] や [メールアドレス] が自動的に表示されるため、そのまま [保存] をクリックします。

 

 

 

同様にユーザー グループも同期し、ユーザーとグループがWorkspace ONE UEMに追加されたことを確認します。

 

 

 

なお、グループメンバーの自動同期ですが、ユーザー グループの編集画面にて[グループメンバーを自動で追加]を有効にしたところOktaとのLDAP連携では対応していないようでした。そのため、ユーザーは手動で追加する必要がありそうです。

 

 

 

Oktaユーザーでデバイス登録

それでは、追加した [ws1user01@test.local] のユーザーアカウントを使用してWorkspace ONE UEMにデバイス加入をします。
従来通りの手順で、Workspace ONE Intelligent Hubを起動し、Oktaのユーザー名とパスワードを入力します。その後、ウィザードに従い進めることでデバイスに加入できます。

 

 

 

Workspace ONE UEMの管理コンソールから確認しても、Oktaユーザーでデバイスへ加入できたことが確認できます。

 

 

以上、Oktaユーザーでのデバイス登録になります。

 

 

まとめ

今回は、Workspace ONE UEMとOktaのLDAP連携方法についてご紹介しました。

Oktaと連携することにより既存のOktaユーザーアカウントのままWorspace ONEに加入することができます。そして、OktaとSAML連携した様々なSaaSアプリにシングルサインオンでアクセスできる環境が利用可能になります。

ただし、ユーザーの自動追加ができないため実運用で使用する際はOktaからWorkspace ONE AccessへのIDプロビジョニングで連携する方が現実的かと思いました。