vExperts Advent Calendar 2018 の 12月11日 分の投稿になります。
今回は、実際に vIDM を利用した認証に触れてみます。
まず、SAML ですが…
今まで、企業ネットワークであれば Kerberos で行っていた認証を、インターネット上でセキュアに、より汎用性をもって実現したもの…といったところでしょうか。
vIDM にももちろん実装されていますので、以下の HOL で概要がなんとなく理解できると思います。
HOL-1951-03-VWS -VMware Workspace ONEAdvanced (PDF)
今まで、企業ネットワークであれば Kerberos で行っていた認証を、インターネット上でセキュアに、より汎用性をもって実現したもの…といったところでしょうか。
vIDM にももちろん実装されていますので、以下の HOL で概要がなんとなく理解できると思います。
HOL-1951-03-VWS -VMware Workspace ONEAdvanced (PDF)
さて、vIDM SaaS を導入後、SAML のテストのために、Salesforce などを設定することがありますが、手間が掛かって、トラブルシュートも難しいと思います。 私も最初はとても苦労しました…。
そんな中、素晴らしいテストサイトを IdM実験室さん で紹介していましたので、vIDM での設定方法を紹介したいと思います。
1, 新規 SaaS アプリケーション作成画面で、名前を付けて、次へ進みます。
2, URL/XML に、https://sptest.iamshowcase.com/testsp_metadata.xml と入力して、サマリまで進めて、一度保存します。
3, 再度、同じアプリケーションの編集の構成画面で、Relay State URL に、https://sptest.iamshowcase.com/protected?color=pink と入力します。
最後の pink の 部分は、ほかの色もサポートされています。
4, 高度なプロパティ を展開して、カスタム属性マッピングのに行を2つ追加して、以下の通りに設定します。
名前 firstname 形式 basic 名前空間 (なし) 値 ${user.firstname}
名前 lastname 形式 basic 名前空間 (なし) 値 ${user.lastname}
この後、ユーザーにアプリケーションを割り当てることをお忘れなく!
すごく簡単ですよね。びっくりしました。これでテストが簡単にできますね。
そして、コンディショナルアクセスですが、昨年の説明にとどまっていましたので、具体的な設定例を記載しておきたいと思います。
まずは、一般的なシングルサインオンの状態です。
起動すると、証明書が求められ、ポータルからシングルサインオンが可能です。
(セルフサービスポータルのログイン画面が出てしまうはこの HOL の仕様です👌)
この状態で、Workspace ONE UEM 側で、順守ポリシーを設定して、順守違反状態にします。
どうなるでしょうか…。
最初の証明書を要求する部分は変わりませんが、リンクをクリックした後、RADIUS の認証が求められるようになりました。 Windows の状態に応じて認証方法が変わりましたね。これが、コンディショナルアクセスです。
単純にアクセスを禁止させるのではなく、代替え策もあるといいですよね。
最後に、BYODの場合も見てみましょう。
明日は、@virtapp_lifeさんの vGPU に関するお話です。
Windows 10 VDI には vGPU がないとダメだなと思う今日この頃でしたので、楽しみです!
そんな中、素晴らしいテストサイトを IdM実験室さん で紹介していましたので、vIDM での設定方法を紹介したいと思います。
1, 新規 SaaS アプリケーション作成画面で、名前を付けて、次へ進みます。
2, URL/XML に、https://sptest.iamshowcase.com/testsp_metadata.xml と入力して、サマリまで進めて、一度保存します。
3, 再度、同じアプリケーションの編集の構成画面で、Relay State URL に、https://sptest.iamshowcase.com/protected?color=pink と入力します。
最後の pink の 部分は、ほかの色もサポートされています。
4, 高度なプロパティ を展開して、カスタム属性マッピングのに行を2つ追加して、以下の通りに設定します。
名前 firstname 形式 basic 名前空間 (なし) 値 ${user.firstname}
名前 lastname 形式 basic 名前空間 (なし) 値 ${user.lastname}
この後、ユーザーにアプリケーションを割り当てることをお忘れなく!
5, アクセスすると、ログインしているユーザーの名前が表示される画面にリダイレクトすることができます!
すごく簡単ですよね。びっくりしました。これでテストが簡単にできますね。
そして、コンディショナルアクセスですが、昨年の説明にとどまっていましたので、具体的な設定例を記載しておきたいと思います。
まずは、一般的なシングルサインオンの状態です。
起動すると、証明書が求められ、ポータルからシングルサインオンが可能です。
(セルフサービスポータルのログイン画面が出てしまうはこの HOL の仕様です👌)
この状態で、Workspace ONE UEM 側で、順守ポリシーを設定して、順守違反状態にします。
↑Windows のビルドバージョンを確認するポリシー
↑順守違反の状態
どうなるでしょうか…。
単純にアクセスを禁止させるのではなく、代替え策もあるといいですよね。
最後に、BYODの場合も見てみましょう。
ログインには証明書ではなく、Active Directory の認証が求められて、リンクをクリックした後は RADIUS の認証が求められるようになりました。
これは、管理されている端末(=Workspace ONE UEM管理端末)では、証明書を配布するようにプロファイルを設定して、その証明書による認証を行っており、証明書がない場合は、Active Directory による認証にフォールバックするように設定を行っているからです。また、今回のような RADIUS の代わりに VMware Verify を利用してももちろん問題ないですし、RADIUS 関連ソリューションと連携させることも可能ですが、文章だけでは難しいです…ので、冒頭の HOL に触れていただけると、より理解が深まると思います。
Windows 10 VDI には vGPU がないとダメだなと思う今日この頃でしたので、楽しみです!
0 コメント:
コメントを投稿