integrieren von vmware workspace one in okta - vmware ......7 konfigurieren von okta-anwendungen in...

Integrieren von VMwareWorkspace ONE in OktaApril 2019VMware Workspace ONE

Integrieren von VMware Workspace ONE in Okta

VMware, Inc. 2

Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:

https://docs.vmware.com/de/

Die VMware-Website enthält auch die neuesten Produkt-Updates.

Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie diese an:

[email protected]

Copyright © 2018, 2019 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Global, Inc.Zweigniederlassung DeutschlandWilly-Brandt-Platz 281829 MünchenGermanyTel.: +49 (0) 89 3706 17 000Fax: +49 (0) 89 3706 17 333www.vmware.com/de

https://docs.vmware.com/de/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Inhalt

Integrieren von VMware Workspace ONE in Okta 4

1 Anforderungen 6

2 Übersicht über die Integration von Workspace ONE und Okta 8

Hauptanwendungsfälle 8

3 Konfigurieren von Okta als Identitätsanbieter für Workspace ONE 11

Mit der Erstellung eines neuen Identitätsanbieters in VMware Identity Manager beginnen 11

Erstellen einer neuen SAML-App in Okta 12

Abschließen der Erstellung eines neuen Identitätsanbieters in VMware Identity Manager 14

Hinzufügen der Okta-Authentifizierungsmethode zu Zugriffsrichtlinien in VMware Identity Manager 17

Zuweisen der App zu Benutzern in Okta 18

4 Konfigurieren von VMware Identity Manager als Identitätsanbieter in Okta 19

Abrufen von VMware Identity Manager-SAML-Metadateninformationen 19

Hinzufügen eines Identitätsanbieters in Okta 20

Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager 23

5 Konfigurieren der Okta-Routing-Regeln für Identitätsanbieter 26

6 Konfigurieren von Richtlinien für bedingten Zugriff in Workspace ONE 29

7 Konfigurieren von Okta-Anwendungen in VMware Identity Manager 32

Hinzufügen von Okta-Mandanteninformationen in VMware Identity Manager 33

Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager 35

Zuweisen von Okta-Anwendungsquellen zu allen Benutzern 35

8 Aktivieren von Benutzern zum Ändern von Kennwörtern mithilfe von Okta-

Kennwortrichtlinien 37

VMware, Inc. 3

Integrieren von VMware Workspace ONEin Okta

Integrieren von VMware Workspace ONE in Okta bietet Informationen zur Integration von Okta in dieVMware Workspace ONE®-Plattform. Dieses Thema beinhaltet spezifische Anwendungsbeispiele undAnweisungen zur Konfiguration von VMware Identity Manager™, der Identitätskomponente der Work-space ONE-Plattform und Okta, zur Unterstützung dieser Anwendungsfälle.

Angesprochene ZielgruppeDiese Informationen sind für erfahrene Systemadministratoren bestimmt, die mit der Windows- oder Li-nux-VM-Technologie und Datencenteroperationen vertraut sind.

Neue Funktionen in der Cloud-Version von VMwareIdentity Manager April 2019Die folgenden neuen Funktionen sind in der Cloud-Version von VMware Identity Manager April 2019 ver-fügbar.

n Workspace ONE kann Okta-Verbundanwendungen jetzt direkt im Workspace ONE-Katalog zur Verfü-gung stellen, ohne sie zuerst in VMware Identity Manager importieren zu müssen. Auf diese Weisekönnen Sie Verbundanwendungen und Benutzerberechtigungen vollständig über die Okta-Verwal-tungskonsole verwalten.

n Die Funktion zur Kennwortänderung der Workspace ONE Intelligent Hub-App, Workspace ONE-Appund des -Webportals verwendet jetzt die in Okta definierte Kennwortverwaltung und die Kennwort-richtlinien.

Hinweis Informationen zum Aktivieren von Intelligent Hub finden Sie im Handbuch Bereitstellen vonVMware Workspace ONE Intelligent Hub.

Zusätzliche Infon VMware-Dokumentation

n VMware Workspace ONE

n VMware Identity Manager

n VMware Workspace ONE UEM

VMware, Inc. 4

https://docs.vmware.com/de/VMware-Workspace-ONE/index.html

https://docs.vmware.com/de/VMware-Identity-Manager/index.html

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/index.html

n Okta-Dokumentation


VMware, Inc. 5

https://support.okta.com/help/oktaDocumentationPage

Anforderungen 1Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie mit der Integration vonVMware Workspace ONE® und Okta beginnen.

KomponentenFolgende Komponenten sind erforderlich.

n Ein VMware Identity Manager™-Mandant

Erforderliche Rolle: Systemadministrator

n Ein Okta-Mandant

Erforderliche Rolle: Super- oder Organisations-Administrator

n Ein Workspace ONE® UEM-Mandant

Workspace ONE UEM ist erforderlich, wenn Sie den Mobile SSO-Ablauf und den Ablauf zur Vertrau-enswürdigkeit von Geräten konfigurieren möchten.

n VMware Identity Manager Connector

Hinweis Wenn Ihre vorhandene Bereitstellung Benutzer mit VMware Identity Manager von Work-space ONE UEM synchronisiert, ist der VMware Identity Manager Connector nicht erforderlich. Fürneue Bereitstellungen wird die Verwendung des VMware Identity Manager Connectors zur Synchroni-sierung von Benutzern von Active Directory mit VMware Identity Manager empfohlen.

n Okta-AD-Agent

n VMware AirWatch® Cloud Connector™ (ACC)

Workspace ONE UEM- und VMware Identity Manager-IntegrationIntegrieren Sie vor der Integration von Okta Ihre Workspace ONE UEM- und VMware Identity Manager-Mandanten und konfigurieren Sie die Mobile SSO-Authentifizierungsmethoden, die Sie für die Vertrau-enswürdigkeit von Geräten verwenden möchten.

VMware, Inc. 6

Active Directory-IntegrationIntegrieren Sie vor der Integration von Workspace ONE und Okta Ihre Active Directory- und Synchronisie-rungsbenutzer. Sie müssen Active Directory mit

n VMware Identity Manager unter Verwendung von VMware Identity Manager Connector integrieren

Hinweis Wenn Ihre vorhandene Bereitstellung Benutzer mit VMware Identity Manager über Work-space ONE UEM synchronisiert, ist dies nicht erforderlich. Für neue Bereitstellungen wird die Ver-wendung des VMware Identity Manager Connectors zur Synchronisierung von Benutzern von ActiveDirectory mit VMware Identity Manager empfohlen.

n Workspace ONE UEM mit AirWatch Cloud Connector (ACC)

n Ihre Okta-Organisation mit dem Okta-AD-Agent

Stellen Sie sicher, dass Sie dieselben Benutzer mit allen Umgebungen synchronisieren.


VMware, Inc. 7

Übersicht über die Integrationvon Workspace ONE und Okta 2VMware Workspace ONE ist eine sichere Enterprise-Plattform, die Anwendungen auf iOS-, Android-,Windows 10- und Mac OS-Geräten bereitstellt und verwaltet. Die Identitäts- und Anwendungsverwaltungsowie das Enterprise Mobility Management sind in die Workspace ONE-Plattform integriert.

VMware Identity Manager und VMware Workspace ONE UEM sind Bestandteil der Workspace ONE-Plattform. Als Bestandteil von Workspace ONE bietet VMware Identity Manager die Integration von Unter-nehmensidentitäten sowie webbasierte und mobile Single Sign-On(SSO)-Dienste. VMware Identity Mana-ger kann als eigenständiger Identitätsanbieter (IDP) eines Verbunds verwendet werden. VMware IdentityManager kann auch eine bestehende IDP- und SSO-Lösung ergänzen, um zusätzliche Dienste wie eineinheitliches App-Katalog-Portal und einen auf der Position des Geräts basierten bedingten Zugriff bereit-zustellen. VMware Identity Manager kann als zu einem Verbund zusammengefasster Identitäts- (IDP)oder Dienstanbieter (SP) in andere SSO- und IDP-Lösungen integriert werden. Diese Integration basiertin der Regel auf vertrauenswürdigen SAML-Verbindungen.

Dieses Handbuch enthält eine Schritt-für-Schritt-Anleitung zur Konfiguration und zum Testen von Anwen-dungsfällen, die von der Workspace ONE-Integration in Okta unterstützt werden. Um Workspace ONE mitOkta zu integrieren, integrieren Sie VMware Identity Manager, die Identitätskomponente von WorkspaceONE, mit Okta.

HauptanwendungsfälleZu den wichtigsten Anwendungsfällen, die von der Workspace ONE- und Okta-Integration unterstütztwerden, gehören die Aktivierung des Workspace ONE-Logins mit Okta-Authentifizierung, das Hinzufügenvon Okta-Anwendungen zum Workspace ONE-Katalog und die Aktivierung des Gerätevertrauens übernative und Web-Anwendungen hinweg.

Workspace ONE-Anmeldung mit OktaDie Workspace ONE-App und das -Webportal können so konfiguriert werden, dass sie Okta als vertrau-enswürdigen Identitätsanbieter verwenden, sodass sich Endbenutzer mit Okta-Authentifizierungsrichtlini-en anmelden können. Dieser Anwendungsfall gilt auch für VMware Horizon®-Kunden, die die WorkspaceONE-App und das -Portal zum Starten von Horizon Apps und Desktops verwenden, aber WorkspaceONE UEM noch nicht zur Verwaltung von Geräten eingesetzt haben.

Um diesen Anwendungsfall zu implementieren, konfigurieren Sie Folgendes:

VMware, Inc. 8

Kapitel 3Konfigurieren von Okta als Identitätsanbieter für Workspace ONE

Einheitlicher KatalogDer Workspace ONE-Katalog kann so konfiguriert werden, dass er Anwendungen, die über Okta verbun-den sind, zusammen mit allen anderen Anwendungen, die über Workspace ONE konfiguriert sind, wieHorizon- und Citrix-Anwendungen und Desktops, sowie native Anwendungen, die von Workspace ONEUEM unterstützt werden, veröffentlicht. Auf diese Weise können Endbenutzer auf eine einzelne Anwen-dung zugreifen, um ihre Unternehmensanwendungen von jedem Gerät mit konsistenter Benutzerfreund-lichkeit zu entdecken, zu starten oder herunterzuladen.

Hinweis Nur über Okta verknüpfte SAML-Anwendungen können im Workspace ONE-Katalog veröffent-licht werden. Okta SWA Apps können nicht veröffentlicht werden.


1 Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager

2 Kapitel 7Konfigurieren von Okta-Anwendungen in VMware Identity Manager

Vertrauenswürdigkeit von GerätenDie Integration von Okta in Workspace ONE ermöglicht es Administratoren, das Vertrauen in das Gerätzu gewinnen, indem sie die Sicherheitslage bewerten, bevor sie den Zugriff von Endbenutzern auf sensib-le Anwendungen erlauben, z. B. ob das Gerät verwaltet und konform ist. Richtlinien für die Sicherheitsla-ge von Geräten werden in Workspace ONE erstellt und immer dann ausgewertet, wenn sich ein Benutzerbei einer geschützten Anwendung anmeldet.

Dieses Diagramm zeigt den Anmeldevorgang am Beispiel der Salesforce-Anwendung.

Abbildung 2‑1. Ablauf zur Vertrauenswürdigkeit von Geräten

Idp Discovery Routing-Regel

Kritische App

Nicht verwaltet

Alle OKGerät

registrierenZugriff

blockieren

Verwaltet, aber nicht konform

Workspace ONE

Gerät Prüfen der

Vertrauenswürdigkeit

1

2

7

6

3 4

5

1 Der Endbenutzer versucht, auf den Salesforce-Mandanten zuzugreifen.

2 Salesforce leitet an Okta als den konfigurierten Identitätsanbieter weiter.


VMware, Inc. 9

3 Okta verarbeitet die eingehende Anfrage und leitet den Client auf Basis der konfigurierten Routing-Regeln an den Workspace ONE IDP weiter.

4 Workspace ONE fordert beim Client-Gerät Anmeldeinformationen an.

5 Workspace ONE überprüft den Status der Gerätekonformität.

6 Nach erfolgreicher Authentifizierung mit Workspace ONE wird das Client-Gerät zurück nach Okta um-geleitet.

7 Okta überprüft die SAML-Assertion von Workspace ONE und gibt die SAML-Assertion für Salesforceaus.


1 Kapitel 4Konfigurieren von VMware Identity Manager als Identitätsanbieter in Okta

Stellen Sie eine SAML-basierte Beziehung zu Workspace ONE für die Prüfung der Vertrauenswürdig-keit von Geräten her.

2 Kapitel 5Konfigurieren der Okta-Routing-Regeln für Identitätsanbieter

Leiten Sie Authentifizierungsanforderungen für bestimmte Gerätetypen und Anwendungen an Work-space ONE weiter.

3 Kapitel 6Konfigurieren von Richtlinien für bedingten Zugriff in Workspace ONE

Erstellen oder überprüfen Sie Workspace ONE-Zugriffsrichtlinien.

End-to-End-Setup für alle AnwendungsfälleUm die Workspace ONE- und Okta-Integration für alle drei Anwendungsfälle einzurichten, konfigurierenSie Folgendes:

1 Kapitel 3Konfigurieren von Okta als Identitätsanbieter für Workspace ONE

Konfigurieren Sie Okta als IDP für Workspace ONE.

2 Kapitel 4Konfigurieren von VMware Identity Manager als Identitätsanbieter in Okta

Stellen Sie die Beziehung zu Workspace ONE her.

3 Kapitel 5Konfigurieren der Okta-Routing-Regeln für Identitätsanbieter

Leiten Sie bestimmte Geräte oder Sitzungen an Workspace ONE weiter.

4 Kapitel 6Konfigurieren von Richtlinien für bedingten Zugriff in Workspace ONE

Erstellen oder überprüfen Sie Workspace ONE-Zugriffsrichtlinien.

5 Kapitel 7Konfigurieren von Okta-Anwendungen in VMware Identity Manager

Stellen Sie Okta-Anwendungen in den Workspace ONE-Katalogen der Endbenutzer zur Verfügung.


VMware, Inc. 10

Konfigurieren von Okta alsIdentitätsanbieter fürWorkspace ONE 3In diesem Abschnitt wird die Konfiguration von Okta als Identitätsanbieter für Workspace ONE beschrie-ben. Diese Konfiguration kann verwendet werden, um einen optimierten Zugriff auf virtualisierte Anwen-dungen zu ermöglichen, um die erweiterbare mehrstufige Authentifizierung von Okta für Anwendungen inWorkspace ONE bereitzustellen sowie um Benutzern und Administratoren einen einheitlichen und ver-trauten Anmeldevorgang zu bieten.

Diese Konfiguration wird in VMware Identity Manager, der Identitätskomponente von Workspace ONE,durchgeführt.

Dieses Kapitel enthält die folgenden Themen:n Mit der Erstellung eines neuen Identitätsanbieters in VMware Identity Manager beginnen

n Erstellen einer neuen SAML-App in Okta

n Abschließen der Erstellung eines neuen Identitätsanbieters in VMware Identity Manager

n Hinzufügen der Okta-Authentifizierungsmethode zu Zugriffsrichtlinien in VMware Identity Manager

n Zuweisen der App zu Benutzern in Okta

Mit der Erstellung eines neuen Identitätsanbieters inVMware Identity Manager beginnenErstellen Sie einen neuen Drittanbieter in der VMware Identity Manager-Konsole und suchen Sie dieSAML-Metadateninformationen.

Verfahren

1 Melden Sie sich bei der VMware Identity Manager-Konsole als Systemadministrator an.

2 Klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement und anschließend auf Identi-tätsanbieter.

3 Klicken Sie auf Identitätsanbieter hinzufügen und wählen Sie Dritt-Identitätsanbieter erstellenaus.

VMware, Inc. 11

4 Scrollen Sie zum Ende der Seite zum Abschnitt SAML-Signierungszertifikat.

5 Klicken Sie auf den Link Metadaten des Dienstanbieters (SP) und öffnen Sie diesen in einer neuenBrowserregisterkarte.

6 Suchen Sie in der SAML-Metadaten-Datei die Werte für Folgendes:

n entityID

Zum Beispiel: https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml

n AssertionConsumerService Location für HTTP-POST-Bindung

Zum Beispiel: https://tenant.vmwareidentity.com/SAAS/auth/saml/response

Sie werden diese Werte in der nächsten Aufgabe verwenden.

Erstellen einer neuen SAML-App in OktaErstellen Sie eine neue SAML-App in der Okta-Verwaltungskonsole.

Verfahren

1 Melden Sie sich bei Ihrer Okta-Org an und navigieren Sie zur Admin-Benutzeroberfläche.

2 Navigieren Sie zu Applications > Applications.

3 Klicken Sie auf Add Application.

4 Klicken Sie auf Create New App.

5 Wählen Sie Web als Platform und SAML 2.0 als Sign on method.

6 Klicken Sie auf Create.

7 Geben Sie einen Namen für die Anwendung ein, z. B. Workspace ONE SAML.

8 Klicken Sie auf Weiter.


VMware, Inc. 12

9 Geben Sie die folgenden Informationen ein.

Option Beschreibung

URL für Single-Sign-on Geben Sie die AssertionConsumerService-URL ein.

Dies ist die URL, die aus den Workspace ONE SAML-Metadaten in Mit der Erstel-lung eines neuen Identitätsanbieters in VMware Identity Manager beginnen abge-rufen wird. Beispiel:

https://tenant.vmwareidentity.com/SAAS/auth/saml/response

Zielgruppe-URI (SP-Element-ID): Geben Sie die entityID ein.

Dies ist die EntityID, die aus den Workspace ONE-SAML-Metadaten in Mit der Er-stellung eines neuen Identitätsanbieters in VMware Identity Manager beginnenabgerufen wird. Beispiel:

https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml

Format der Namen-ID Wählen Sie Unspecified.

Benutzername der Anwendung Wählen Sie Okta Username.

Die Zuordnung des Anwendungsbenutzernamens wird im nächsten Abschnitt de-finiert. Okta Username wird Benutzer-Prinzipalname in Workspace ONE zuge-ordnet.



VMware, Inc. 13

11 Wählen Sie I'm an Okta customer adding an internal app (Ich bin ein Okta-Kunde, der eine interneAnwendung hinzufügt) aus.

12 Aktivieren Sie das Kontrollkästchen This is an internal app that we have created (Dies ist eine in-terne Anwendung, die wir erstellt haben).

13 Klicken Sie auf Fertig stellen.

14 Suchen und kopieren Sie im Abschnitt Settings des Menüs Sign On für die neue Anwendung dieURL für die Identity Provider metadata.

Abschließen der Erstellung eines neuenIdentitätsanbieters in VMware Identity ManagerKehren Sie zur VMware Identity Manager-Konsole zurück, um die Erstellung des neuen externen Identi-tätsanbieters abzuschließen.

Verfahren

1 Geben Sie auf der Seite „Neuer Identitätsanbieter“ die folgenden Informationen ein.

Option Beschreibung

Name des Identitätsanbieters Geben Sie einen Namen für den neuen Identitätsanbieter ein, z. B.Okta SAML IdP.

SAML AuthN-Anforderungsbindung Wählen Sie HTTP Post aus.

Hinweis Dieses Feld wird angezeigt, nachdem Sie die Metadaten-URL im Ab-schnitt SAML-Metadaten eingeben und auf Metadaten für Identitätsanbieterverarbeiten klicken.


VMware, Inc. 14

Option Beschreibung

SAML-Metadaten a Geben Sie im Textfeld Metadaten des Identitätsanbieters die aus Okta kop-ierte Metadaten-URL ein. Beispiel:

https://YourOktaTenant/app/appId/sso/saml/metadata

b Klicken Sie auf Metadaten für Identitätsanbieter verarbeiten.

c Klicken Sie im Abschnitt Zuordnung des Namens-ID-Formats von derSAML-Antwort auf das Symbol + und wählen Sie dann die folgenden Werteaus:

Namens-ID-Format:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

Namens-ID-Wert: "userPrincipalName"

Hinweis Wählen Sie das Benutzerattribut aus, der dem in Okta definiertenWert für den Benutzernamen der Anwendung entspricht.

Benutzer Wählen Sie die Verzeichnisse aus, die Sie mit diesem Identitätsanbieter authenti-fizieren möchten.

Netzwerk Wählen Sie die Netzwerke aus, die auf diesen Identitätsanbieter zugreifen kön-nen.

Authentifizierungsmethoden Geben Sie Folgendes ein:

Authentifizierungsmethoden: Okta SAML IdP-MethodeSAML-Kontext:urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport


VMware, Inc. 15

2 Klicken Sie auf Hinzufügen.


VMware, Inc. 16

Hinzufügen der Okta-Authentifizierungsmethode zuZugriffsrichtlinien in VMware Identity ManagerNachdem Sie Okta als externen Identitätsanbieter in VMware Identity Manager eingerichtet haben, fügenSie die neu erstellte Authentifizierungsmethode hinzu, um auf Richtlinien in VMware Identity Manager zu-zugreifen.

Verfahren

1 Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Identitäts- und Zugriffs-management und dann auf Richtlinien.

2 Wählen Sie eine Richtlinie, die Sie bearbeiten möchten, oder klicken Sie auf Richtlinie hinzufügen,um eine neue Richtlinie zu erstellen.

3 Wenn Sie eine neue Richtlinie erstellen, geben Sie einen Namen und eine Beschreibung für dieRichtlinie ein.

4 Fügen Sie eine Regel hinzu oder bearbeiten Sie sie, um sie Ihren Kriterien anzupassen, und verwen-den Sie bei Bedarf die Okta SAML IdP-Methode.

Beispiel:

Ist der Netzwerkbereich eines Benutzers: ALLE BEREICHE

und der Benutzer greift auf den Inhalt zu über: Webbrowser

und der Benutzer gehört zu der/den Gruppe(n): Leer (alle Benutzer)

Dann führen Sie diese Aktion aus: Authentifizieren mit ...

und der Benutzer kann sich dann authentifizieren mit: Okta SAML IdP Methode.

Hinweis Wählen Sie die Authentifizierungsmethode, die Sie für den IDP erstellt haben, in Abschlie-ßen der Erstellung eines neuen Identitätsanbieters in VMware Identity Manager.


VMware, Inc. 17

.

5 Klicken Sie auf Speichern.

Zuweisen der App zu Benutzern in OktaKehren Sie nach abgeschlossener Einrichtung zur Okta-org zurück und weisen Sie den Benutzern dieneu erstellte Workspace ONE-Anwendung zu. Weisen Sie die Anwendung zunächst einigen wenigen Be-nutzern zu und testen Sie die Integration.


VMware, Inc. 18

Konfigurieren von VMwareIdentity Manager alsIdentitätsanbieter in Okta 4Dieser Abschnitt beschreibt den Prozess der Konfiguration von VMware Identity Manager als Identitäts-anbieter in Okta. Diese Konfiguration kann verwendet werden, um Mobile SSO (kennwortlose Authentifi-zierung) für Benutzer auf angemeldeten Geräten sowie bedingten Zugriff basierend auf der Geräte-Com-pliance, wie von AirWatch konfiguriert und verwaltet und von Workspace ONE erzwungen, bereitzustel-len.

Weitere Informationen finden Sie im Abschnitt „Eingehende SAML konfigurieren“ der Dokumentation zu Okta-Identitätsanbieter.

Dieses Kapitel enthält die folgenden Themen:

n Abrufen von VMware Identity Manager-SAML-Metadateninformationen

n Hinzufügen eines Identitätsanbieters in Okta

n Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager

Abrufen von VMware Identity Manager-SAML-MetadateninformationenRufen Sie die SAML-Metadateninformationen von VMware Identity Manager ab, die zum Einrichten einesIdentitätsanbieters in Okta erforderlich sind.

Verfahren

1 Melden Sie sich bei der VMware Identity Manager-Konsole als Systemadministrator an.

2 Klicken Sie auf die Registerkarte Katalog > Web-Apps.

3 Klicken Sie auf Einstellungen.

4 Klicken Sie im linken Bereich auf SAML-Metadaten.

Die Registerkarte „Metadaten herunterladen“ wird angezeigt.

5 Laden Sie das Signierungszertifikat herunter.

a Klicken Sie im Abschnitt Signierungszertifikat auf Herunterladen.

b Notieren Sie sich den Speicherort der heruntergeladenen Datei signingCertificate.cer.

VMware, Inc. 19

https://help.okta.com/en/prod/Content/Topics/Security/Identity_Providers.htm

6 Rufen Sie die SAML-Metadaten ab.

a Klicken Sie im Abschnitt SAML-Metadaten mit der rechten Maustaste auf den Link zu den Meta-daten des Identitätsanbieters (IdP) und öffnen Sie ihn auf einer neuen Registerkarte oder in ei-nem Fenster.

b Suchen Sie in der Metadaten-Datei des Identitätsanbieters die folgenden Werte und notieren Siesich diese:

n entityID

Beispiel: https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

n SingleSignOnService-URL mit Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"

Beispiel: https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

Hinzufügen eines Identitätsanbieters in OktaErstellen Sie den Identitätsanbieter (IDP)-Datensatz in Okta.

Weitere Informationen dazu, wie Okta externe Identitätsanbieter handhabt, finden Sie in der Okta-Doku-mentation unter Identitätsanbieter.

Verfahren

1 Melden Sie sich in der Okta-Verwaltungskonsole mit Administratorrechten oder einer anderen Rollean, die berechtigt ist, einen Identitätsanbieter hinzuzufügen.

2 Gehen Sie zu Security > Identity Providers.


VMware, Inc. 20

https://help.okta.com/en/prod/Content/Topics/Security/Identity_Providers.htm

3 Klicken Sie auf Identitätsanbieter hinzufügen.

4 Geben Sie einen Namen für den Identitätsanbieter ein. Beispiel: Workspace ONE.

5 Geben Sie die folgenden Informationen ein:

Option Beschreibung

IdP-Benutzername idpuser.subjectNameIdWenn Sie den Benutzernamen in einem benutzerdefinierten SAML-Attribut sen-den möchten, definieren Sie einen entsprechenden Ausdruck. Weitere Informatio-nen hierzu finden Sie unter https://developer.okta.com/reference/okta_expressi-on_language.

Filter Deaktivieren Sie das Kontrollkästchen.

Übereinstimmung mit Okta UsernamePassen Sie die Auswahl nach Bedarf an Ihre Umgebung und die Werte, die Siesenden möchten, an.

Weitere Informationen finden Sie im Kapitel Verzeichnisausrichtung.

Wenn keine Übereinstimmung gefun-den wird

Redirect to Okta sign-in page

URI des IdP-Ausstellers Geben Sie die entityID ein.

Dies ist der Wert, den Sie aus der Metadatendatei des Identitätsanbieters ausWorkspace ONE erhalten haben. Beispiel:

https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/idp.xml

IdP Single-Sign-On-URL Geben Sie die URL des SingleSignOnService-Speicherorts ein.

Dies ist der Wert, den Sie aus der Metadatendatei des Identitätsanbieters ausWorkspace ONE erhalten haben. Beispiel:

https://tenant.vmwareidentity.com/SAAS/auth/federation/sso

IdP-Signaturzertifikat Suchen Sie nach der Signaturzertifikatsdatei, die Sie von Workspace ONE herun-tergeladen haben, und wählen Sie sie aus.

Tipp Möglicherweise müssen Sie die Dateierweiterung umbilden oder den Stan-dardbrowserfilter so ändern, dass nach *.crt- und *.pem-Dateien gesucht wird.


VMware, Inc. 21

https://developer.okta.com/reference/okta_expression_language

https://developer.okta.com/reference/okta_expression_language

6 Klicken Sie auf Identitätsanbieter hinzufügen.

7 Vergewissern Sie sich, dass die folgenden Informationen angezeigt werden:

n SAML-Metadaten

n Assertion Consumer Service-URL

n Zielgruppen-URI

Beispiel:

8 Laden Sie die Metadatendatei herunter und speichern Sie sie.

a Klicken Sie auf den Link Download Metadata.

b Speichern Sie die Metadatendatei lokal.

c Öffnen Sie die Metadatendatei und kopieren Sie deren Inhalt.


VMware, Inc. 22

Nächste Schritte

Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager.

Konfigurieren der Okta-Anwendungsquelle in VMwareIdentity ManagerKonfigurieren Sie Okta als eine Anwendungsquelle in VMware Identity Manager.

Voraussetzungen

Sie haben VMware Identity Manager als Identitätsanbieter in Okta konfiguriert. Siehe Kapitel 4Konfigurie-ren von VMware Identity Manager als Identitätsanbieter in Okta.

Verfahren

1 Wählen Sie in der VMware Identity Manager-Konsole die Registerkarte Katalog > Web-Apps aus.

2 Klicken Sie auf Einstellungen.

3 Klicken Sie im linken Bereich auf Anwendungsquellen.

4 Klicken Sie auf OKTA.

5 Geben Sie auf der Seite „Definitionen“ des Assistenten für die OKTA-Anwendungsquelle eine Be-

schreibung ein, falls erforderlich, und klicken Sie dann auf Weiter.


VMware, Inc. 23

6 Auf der Seite „Konfiguration“:

a Wählen Sie unter Konfiguration die Option URL/XML.

b Kopieren Sie die SP-Metadaten, die Sie unter Hinzufügen eines Identitätsanbieters in Okta vonOkta heruntergeladen haben, und fügen Sie sie im Textfeld URL/XML ein.


8 Wählen Sie auf der Seite „Zugriffsrichtlinien“ den zu verwendenden Zugriffsrichtliniensatz aus.

Authentifizierungsanforderungen von Okta-Anwendungen werden mit diesem Richtliniensatz authen-tifiziert.

9 Klicken Sie auf Weiter, überprüfen Sie Ihre Auswahl und klicken Sie auf Speichern.

10 Klicken Sie erneut auf die OKTA-Anwendungsquelle.

11 Ändern Sie auf der Seite „Konfiguration“ den Wert für den Benutzernamen, damit er mit dem Wertübereinstimmt, der in Okta abgeglichen wird, z. B. Okta Username.


VMware, Inc. 24

12 Speichern Sie die Änderungen.


VMware, Inc. 25

Konfigurieren der Okta-Routing-Regeln für Identitätsanbieter 5Routing-Regeln für Identitätsanbieter ist eine in Okta von Identity Provider Discovery bereitgestellte Funk-tion. Diese Funktion ermöglicht es einem Okta-Administrator, Benutzer je nach Benutzer, Benutzereigen-schaft, Zielanwendung, Quellnetzwerk oder Gerätetyp an verschiedene Authentifizierungsquellen weiter-zuleiten.

Im Rahmen dieses Leitfadens besteht der primäre Anwendungsfall darin, die Authentifizierung an Work-space ONE weiterzuleiten, wenn der Benutzer versucht, sich von einem mobilen Gerät aus anzumelden.

Routing-Regeln für Identitätsanbieter werden in einer Reihenfolge ausgewertet. Sie können die Reihen-folge der aufgelisteten Regeln ändern. Wenn keine der benutzerkonfigurierten Regeln auf einen Authenti-fizierungsversuch zutreffen, wird die Standardregel des Systems verwendet.

Verfahren

1 Melden Sie sich bei Okta als Administrator mit ausreichenden Berechtigungen an, um Routing-Re-geln für Identitätsanbieter zu erstellen oder zu ändern.

2 Gehen Sie zu Security > Identity Providers.

3 Klicken Sie auf die Registerkarte Routing Rules.

VMware, Inc. 26

4 Klicken Sie auf Add Routing Rule oder wählen Sie eine Regel aus der Liste aus und klicken Sie auf

Edit.

5 Geben Sie einen Regelnamen ein.

6 Definieren Sie die Bedingungen.

Benutzer-IP ist n Irgendwon In einer bestimmten Zone oder Liste von Zonenn Nicht in einer bestimmten Zone oder Liste von Zonen

Geräteplattform des Benutzers ist n Ein Geräte-Formfaktorn Ein Geräte-Betriebssystem

Benutzer greift zu auf n Selektive Zielanwendungn Beliebige Anwendung

Benutzer stimmt überein mit n Auswertung von Eigenschaften des Anmeldewertsn Regex auf Domänen Domäne in einer Liste

n Musterabgleich auf bestimmte Benutzerattributen Ist gleichn Beginnt mitn Enthältn Regex


VMware, Inc. 27

7 Definieren Sie die Aktion.

Diesen Identitätsanbieter verwenden n Okta

Der Benutzer wird lokal oder über delegierte Authentifi-zierung authentifiziert.

n IWA

Der Benutzer wird für Desktop-SSO auf einen IWA-Ser-ver umgeleitet.

n SAML-IdP

Der Benutzer wird zu einem bestimmten föderierten IdPumgeleitet.

Diese Identitätsanbieterregel leitet Authentifizierungsanforderungen für die angegebenen Gerätety-pen und Zielanwendungen an Workspace ONE weiter. Andere Authentifizierungsanforderungen wer-den über die standardmäßige Routing-Regel verarbeitet.

8 Klicken Sie auf Create Rule.


VMware, Inc. 28

Konfigurieren von Richtlinien fürbedingten Zugriff in WorkspaceONE 6Administratoren können mehrere Zugriffsrichtliniensätze erstellen, die je nach erforderlicher Sicherheits-stufe verschiedenen Anwendungen zugewiesen werden. Sie können eine Zugriffsrichtlinie erstellen, umden bedingten Zugriff zu erzwingen und die Mobile Sign-On-Authentifizierung für Anwendungen zu nut-zen, die mit Okta verbunden sind. Zusätzlich können Sie Okta als Authentifizierungsmethode in der Stan-dardzugriffsregel Workspace ONE hinzufügen, um Benutzern den Zugriff auf den Workspace ONE-Kata-log mit Okta-Anmeldeinformationen zu ermöglichen.

Erstellen Sie die Zugriffsrichtlinien für iOS und Android mit Mobile SSO und Device Compliance als Au-thentifizierungsmethoden. Wenn Mobile SSO und Device Compliance fehlschlagen, wird auf Okta Au-thentication zurückgegriffen.

Verfahren

1 Melden Sie sich bei der VMware Identity Manager-Konsole mit vollständigen Administratorrechten an.

2 Klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement.

3 Klicken Sie auf die Registerkarte Richtlinien.

4 Klicken Sie auf Richtlinie hinzufügen.

5 Geben Sie auf der Seite „Definition“ des Assistenten die folgenden Informationen ein.

Option Beschreibung

Name der Richtlinie Ein Name für die Richtlinie

Beschreibung Eine Beschreibung für die Richtlinie

Gültig für Wählen Sie Okta.

Dadurch wird die Zugriffsrichtlinie der Okta-Anwendungsquelle zugewiesen. AlleAuthentifizierungsanfragen von Okta werden mit diesem Richtlinienregelsatz aus-gewertet.

VMware, Inc. 29


7 Klicken Sie auf der Seite „Konfiguration“ auf Regel hinzufügen und konfigurieren Sie die Richtlinien-regel.

a Wählen Sie iOS als Gerätetyp in der Liste und der Benutzer greift aus der-Liste auf Inhalte zu.

b Wählen Sie Mobile SSO (für iOS) als erste Authentifizierungsmethode.

c Wählen Sie Geräteübereinstimmung (mit AirWatch) als zweite Authentifizierungsmethode.

d Klicken Sie auf Speichern.

Dies ist eine Richtlinienregel für iOS. Einem Client-Gerät ist der Zugriff nur dann gestattet, wenn dieentsprechenden Zugangsdaten vorliegen und das Gerät in AirWatch registriert und konform ist.

8 Fügen Sie ähnliche Richtlinienregeln für Android- und Workspace ONE App-Gerätetypen hinzu.


VMware, Inc. 30

9 Ändern Sie den „default_access_policy_set“.

a Klicken Sie auf der Seite „Identitäts- und Zugriffsmanagement > Richtlinien“ auf default_ac-cess_policy_set.

b Klicken Sie auf Bearbeiten.

c Klicken Sie auf der Seite „Definition“ des Assistenten zum Bearbeiten von Richtlinien auf Weiter.

d Klicken Sie auf der Seite „Konfiguration“ auf Richtlinienregel hinzufügen, um eine neue Richtli-nienregel hinzuzufügen.

1 Wählen Sie iOS als Gerätetyp.

2 Wählen Sie Mobile SSO als primäre Authentifizierungsmethode.

3 Wählen Sie Okta-Authentifizierung als Authentifizierungs-Fallback-Methode.


e Fügen Sie eine ähnliche Richtlinienregel für den Android-Gerätetyp hinzu.

1 Klicken Sie auf Richtlinienregel hinzufügen.

2 Wählen Sie Android als Gerätetyp.

3 Wählen Sie Mobile SSO als primäre Authentifizierungsmethode.

4 Wählen Sie Okta-Authentifizierung als Authentifizierungs-Fallback-Methode.


Die Standardrichtlinienregel steuert die Anmeldung im Workspace ONE-Katalog. Diese Regel erlaubtes Benutzern, Mobile SSO zu nutzen, um sich zu authentifizieren, falls auf dem Gerät verfügbar, an-dernfalls wird auf die Authentifizierung mit Okta-Anmeldeinformationen zurückgegriffen.


VMware, Inc. 31

Konfigurieren von Okta-Anwendungen in VMwareIdentity Manager 7Sie können Ihren Benutzern im Workspace ONE-Katalog Okta-Anwendungen zur Verfügung stellen, da-mit sie alle ihre Apps bequem von einem Standort aus nutzen können. Benutzer können über die Work-space ONE Intelligent Hub-App, Workspace ONE-App oder das Webportal auf ihre Okta-Apps zugreifen.

Die Integration von Okta-Anwendungen erfordert die Konfiguration von Okta als Anwendungsquelle inVMware Identity Manager und die Eingabe Ihrer Okta-Mandantendetails in der VMware Identity Manager-Konsole. Wenn sich Endbenutzer bei Workspace ONE anmelden, werden die Okta-Apps, für die sie be-rechtigt sind, automatisch im Katalog zusammen mit ihren anderen Apps angezeigt.

VMware Identity Manager verwendet die Okta-Mandanteninformationen, die Sie zum Herstellen einerVerbindung mit dem Okta-Mandanten konfigurieren, und rufen Apps und Benutzerberechtigungen ab,wenn sich ein Benutzer bei Workspace ONE anmeldet. Wenn ein Benutzer auf eine Okta-App klickt, ver-wendet VMware Identity Manager die Konfiguration der Anwendungsquelle, um die App zu starten.

Sie verwalten Apps und Benutzerberechtigungen in der Okta-Verwaltungskonsole und nicht in der VMwa-re Identity Manager Konsole. Wenn Sie Apps oder Berechtigungen in der Okta-Verwaltungskonsole hin-zufügen oder löschen, werden die Änderungen direkt in den Katalogen der Endbenutzer repliziert. Okta-Apps werden in der VMware Identity Manager-Verwaltungskonsole nicht angezeigt.

Diese Integration unterstützt die folgenden Typen von Okta-Apps:

n SAML 2.0

n WS-Federation

n Lesezeichen

n OpenID Connect

Dieses Kapitel enthält die folgenden Themen:n Hinzufügen von Okta-Mandanteninformationen in VMware Identity Manager

n Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager

n Zuweisen von Okta-Anwendungsquellen zu allen Benutzern

VMware, Inc. 32

Hinzufügen von Okta-Mandanteninformationen in VMwareIdentity ManagerFügen Sie Ihre Okta-Mandanteninformationen und das API-Token in der VMware Identity Manager-Kon-sole hinzu, um VMware Identity Manager die Verbindung zum Okta-Mandanten zu ermöglichen und Okta-Apps und Benutzerberechtigungen abzurufen. Dies ist eine einmalige, anfängliche Konfigurationsaufga-be.

Bevor Sie die Mandanteninformationen in VMware Identity Manager konfigurieren, rufen Sie ein API-To-ken in der Okta-Verwaltungskonsole ab.

Abrufen eines Okta-API-TokensRufen Sie ein Okta-API-Token über die Okta-Verwaltungskonsole ab. VMware Identity Manager benötigtdas Okta-API-Token für die Verbindung mit dem Okta-Mandanten und das Abrufen von Apps.

Das Token läuft 30 Tage nach der letzten Verwendung ab. Jedes Mal, wenn das Token verwendet wird,wird das Ablaufdatum um 30 Tage verlängert.

Verfahren

1 Klicken Sie in der Okta-Verwaltungskonsole auf Sicherheit > API.

2 Klicken Sie auf Token erstellen.

3 Geben Sie einen Namen für das Token ein und klicken Sie dann auf Token erstellen.


VMware, Inc. 33

4 Kopieren und speichern Sie das Token zur Verwendung in der nächsten Aufgabe.

Hinweis Nach dem Schließen des Fensters können Sie das Token nicht mehr anzeigen.

Nächste Schritte

Konfigurieren Sie Okta-Mandanteninformationen in der VMware Identity Manager-Verwaltungskonsole.

Konfigurieren von Okta-Mandanteninformationen in VMwareIdentity ManagerGeben Sie in der VMware Identity Manager-Konsole Ihre Okta-Mandanteninformationen ein, die fürVMware Identity Manager erforderlich sind, um eine Verbindung zum Okta-Mandanten herzustellen undApps abzurufen. Sie müssen die Okta-Cloud-URL, das API-Token und das Benutzersuchattribut ange-ben.

Voraussetzungen

Sie haben ein API-Token von der Okta-Verwaltungskonsole erhalten.

Verfahren

1 Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Identitäts- und Zugriffs-management und dann auf Einrichten.

2 Klicken Sie auf die Registerkarte Okta.

3 Geben Sie die Okta-Mandanteninformationen ein.

Option Beschreibung

Okta-Cloud-URL Geben Sie Ihre Okta-Mandanten-URL ein. Beispiel: https://mytenant.exam-ple.com.

Okta-API-Token Geben Sie das Okta-API-Token ein, das Sie in Abrufen eines Okta-API-Tokenserstellt haben.

Benutzersuchparameter Wählen Sie das Benutzerattribut aus, das für die Suche nach Benutzern im Okta-Verzeichnis verwendet werden soll. Sie können nach „userName“, „email“ oder„userPrincipalName“ suchen.

Beispiel:


VMware, Inc. 34


Nächste Schritte

Konfigurieren Sie die Okta-Anwendungsquelle in VMware Identity Manager, sofern Sie dies nicht bereitsgetan haben. Siehe Konfigurieren der Okta-Anwendungsquelle in VMware Identity Manager.

Konfigurieren der Okta-Anwendungsquelle in VMwareIdentity ManagerIm Rahmen der Integration von Okta-Anwendungen in Workspace ONE müssen Sie die Okta-Anwen-dungsquelle in der VMware Identity Manager-Konsole konfigurieren.

Wenn Sie die Okta-Anwendungsquelle bereits beim Konfigurieren von VMware Identity Manager als Iden-titätsanbieter in Okta konfiguriert haben, fahren Sie mit der nächsten Aufgabe fort. Andernfalls finden Sieweitere Informationen zum Konfigurieren der Okta-Anwendungsquelle unter Konfigurieren der Okta-An-wendungsquelle in VMware Identity Manager.

Zuweisen von Okta-Anwendungsquellen zu allenBenutzernWeisen Sie die von Ihnen konfigurierte Okta-Anwendungsquelle allen Benutzern in VMware Identity Ma-nager zu.

Voraussetzungen

Sie haben die Okta-Anwendungsquelle in VMware Identity Manager wie in Konfigurieren der Okta-An-wendungsquelle in VMware Identity Manager beschrieben konfiguriert.

Verfahren

1 Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Benutzer und Gruppen >Gruppen.

2 Klicken Sie auf die Gruppe ALLE BENUTZER.


VMware, Inc. 35

3 Klicken Sie auf die Registerkarte Apps und dann auf Berechtigungen hinzufügen.

4 Wählen Sie die OKTA-Anwendung und dann Automatisch als Bereitstellungstyp aus.



VMware, Inc. 36

Aktivieren von Benutzern zumÄndern von Kennwörternmithilfe von Okta-Kennwortrichtlinien 8In der Workspace ONE Intelligent Hub-App, der App und dem Webportal von Workspace ONE könnenEndbenutzer ihre Kennwörter ändern, indem Sie zu Einstellungen navigieren und auf den Link Kenn-wort ändern klicken. Wenn Okta-Anwendungen in VMware Identity Manager integriert sind, wird dieKennwortänderung automatisch von Okta und nicht von VMware Identity Manager verarbeitet.

Wenn Benutzer ihre Kennwörter ändern, werden die in der Okta-Verwaltungskonsole konfigurierten Kenn-wortrichtlinien erzwungen. Die Kennwortrichtlinie wird auf der Seite „Kennwort ändern“ nicht standardmä-ßig angezeigt, wird jedoch angezeigt, wenn Benutzer ein Kennwort eingeben, das nicht mit der Richtlinieübereinstimmt.

Beispiel:

VMware, Inc. 37

Informationen zum Konfigurieren von Kennwortrichtlinien in der Okta-Verwaltungskonsole finden Sie inder Okta-Dokumentation. In der VMware Identity Manager Console ist keine Konfiguration erforderlich.Durch die Integration von Okta-Anwendungen in VMware Identity Manager wird die Okta-Kennwortver-waltung für Workspace ONE-Benutzer automatisch aktiviert.


VMware, Inc. 38

integrieren von vmware workspace one in okta - vmware ......7 konfigurieren von okta-anwendungen in...

Documents