Workspace ONE Access - SAML連携

本記事では、OneLoginからWorkspace ONE AccessへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定

1. OneLogin側の操作

2. Workspace ONE Access側の操作

3. OneLogin側の設定

SAML SSOの動作確認

SAML SSOの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Workspace ONEのライセンスがStandard Edition, Advanced Edition, Enterprise Edition, Enterprise for VDI Edition, Modern Management Essentials であること
• Workspace ONE Accessにおける Super Admin 権限をお持ちであること

SAML連携の設定

1. OneLogin側の操作

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4.  VMware Workspace ONE と検索し、該当コネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. SSO タブに移動し、Issuer URL をクリップボードへコピーします
   

2. Workspace ONE Access側の操作

1. Workspace ONE Accessに管理者でログインし、Organization Name をクリップボードへコピーします
   例）m632423452
   
   
    
2. IDとアクセス管理 を開きます
   
   
    
3. IDプロバイダ に移動します
   
   
    
4. ID プロバイダを追加 > SAML ID プロバイダの作成 を選択します
   
   
    
5. 任意の ID プロバイダ名 を入力します
   例）OneLogin
   
   SAML メタデータ > ID プロバイダ メタデータ（URLまたはXML） に手順6でコピーした Issuer URL を貼り付け、［ID プロバイダ メタデータの処理］をクリックします
   
   
    
6. バインディング プロトコルが表示されることを確認します
   
   
    

7. SAML メタデータ > SAML応答からの名前 ID 形式のマッピング を下記のように設定します

   名前 ID の形式	名前 ID 値
   urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress	emails

   
   
   
    

8. SAML メタデータ > SAML要求の名前 ID ポリシー で urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を選択し、SAML 要求のサブジェクトを送信 (可能な場合) にチェックを入れます
   
   
    

9. ネットワーク > すべての範囲 にチェックを入れます
   認証方法は下記の表のように設定します

   認証方法	SAMLコンテキスト
   任意の名前（例：SAML）	urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

   
   
   
    

10. 必要項目の設定が完了したら、［追加］します
    
    
     
11. ID プロバイダの一覧にOneLoginが追加されたことを確認できたら、ID プロバイダの登録は完了です。
    
    
     
12. ID とアクセス管理 > ポリシーを開きます
    default_access_policy_set を編集するためにクリックします
    
    
     
13. ［編集］をクリックします
    
    
     
14. ポリシーの編集 > 2 構成 > ポリシールールを追加 をクリックします
    
    
     
15. ユーザーは次を使用して認証することができます に上記で追加した認証方法を選択し、［保存］をクリックします
    先の方法が失敗するか適用できない場合、次を実行 にパスワード（ローカルディレクトリ）を選択します
    *本記事では、ネットワークやデバイスに関係なく、ユーザーがSAML認証でログインを試み、SAML認証ができない場合はパスワードでのログインを試みるというポリシーを作成いたしました。お客様でポリシーをカスタマイズされる際は、VMware社のドキュメント「ユーザーに適用する Workspace ONE Access のアクセス ポリシーの管理」をご参照ください。
    
    
     
16. ポリシーが作成されたことを確認します
    ポリシーはポリシー一覧において上から順番に優先度が低くなります。作成したポリシーを最優先にするために、ポリシー左の⠿をドラッグし、最上位に移動させます
    
    
    

3. OneLogin側の設定

1. Configuration タブに移動し、SCIM Base URL と VMware Site を下記のように入力します
   

   OneLogin側の項目	記入する値
   SCIM Base URL	https://2. Workspace ONE Access側の操作 手順1でコピーした値.vmwareidentity.asia/SAAS/jersey/manager/api/scim
   VMware Site	https://2. Workspace ONE Access側の操作 手順1でコピーした値.vmwareidentity.asia

    

2. SSO > Enable SAML2.0 > SAML Signature Algorithm をSHA-256に変更します
   
   
    
3. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、［Save］をクリックします
   

SAML連携の設定は以上です。

SAML SSOの動作確認

1. OneLoginに対象ユーザーでログインし、設定した Workspace ONE Access を選択します
   
   
    
2. SAML認証が完了し、Workspace ONE Accessに遷移することを確認します
   

SAML連携の設定は以上です。

SAML SSOの無効化

1. 管理者としてWorkspace One Accessにログインし、管理コンソールをクリックします
   
   
    
2. IDとアクセス管理 をクリックします
   
   
    
3. ポリシーを選択します
   例）default_access_policy_set
   
   
    
4. ［編集］をクリックします
   
   
    
5. SAMLを認証に選択しているポリシーを開きます
   
   
    
6. ユーザーは次を使用して認証することができます を パスワード(ローカルディレクトリ) に変更し、［保存］します
   
   
    
7. ［次へ］をクリックします
   
   
    
8. ［保存］をクリックします
   
   
    
9. OneLoginにログインし、Workspace ONE AccessにSSOを試みます
   
   
    
10. パスワードを求められることを確認します
    

SAML SSOの無効化は以上です。