- ライター:田村 仁一
- インフラSEとしてサーバー設計、構築、運用保守などを経験。
2019年にネットワン入社後、仮想化製品担当としてVMware WorkspaceONEの技術検証、案件支援に従事。
保有資格:VCP-DW 2020
VMware Specialist - Workspace ONE Unified Endpoint Management 2020
VMware Specialist - Workspace ONE Advanced Integration and Design 2020
VMware Certified Master Specialist - Digital Workspace 2020
目次
ワークスタイル変革が求められる昨今、嬉しいかな悲しいかなモバイル端末でも仕事ができる社会に変わってきています。
そんな筆者も会社支給のiPhoneを使用しており、社内リソースにアクセスしてメールやスケジュール確認、ファイル閲覧、テザリングでテレワークなど時代の流れに乗った使い方をしているなと感じています。
今回はワークスタイル変革推進の一環として、VMware社が提供するクラウドサービスを活用し、モバイル端末からWebアプリへシングルサインオンする方法をご紹介したいと思います。
なぜモバイルでシングルサインオン?
シングルサインオンとは、1度の認証で様々なWebサイト、アプリへのログインなどを可能にする利便性向上の認証技術です。
「そういえば会社のPCにログインしたら、パスワード認証なしで社内サイトにアクセスしているな・・・」という方は既に恩恵を受けているかもしれません。
パスワードを複数管理する煩雑さからも解放され、アクセス時に入力する手間を省けます。
モバイル端末でも利便性をあげるためにシングルサインオンがほしいな・・・と感じる方も少なくないはずです。
VMware Workspace ONEとは
VMware社ではWorkspace ONEというデジタルワークスペースのプラットフォームを提供しており、その中から以下のクラウドサービスを利用して、シングルサインオンを実現する構成をご紹介したいと思います。
(名称が変更になったので注意です。)
- Workspace ONE UEM(以降、WS1UEMと記載)
※旧名称:Airwatch
モバイル端末、デスクトップ端末、IoT端末などが管理可能な統合エンドポイント管理(UEM)サービスです。MDMから始まり、MAM、MCMの機能を持ち、デバイスの機能制限やアプリ管理、デバイスコンプライアンスや情報漏洩対策、組織・グループ毎の設定管理など必要な機能をカスタマイズして利用できます。
- Workspace ONE Access(以降、WS1Acsと記載)
※旧名称:VMware Identity Manager
Webアプリ、モバイルアプリへのシングルサインオン、多要素認証、WS1UEMと連携したアクセス制御を提供するサービスです。
接続元のプラットフォームやネットワーク範囲を指定したアクセス制御、WS1UEMと連携することでデバイスコンプライアンス状態を考慮したアクセス制御などが可能です。
既存AD環境の利用が可能
認証には個人ユーザーが必要となりますが、Active Directoryドメインサービスを利用して個人ユーザーを管理している場合、Workspace ONE導入のために新しいユーザーを作成する必要はありません。
Workspace ONEではADと同期する機能が提供されているため、既存ユーザーをそのまま利用できます。
追加でユーザーを管理する手間を解消でき、個人ユーザーをそのまま使えばいいので、エンドユーザーにもユーザー管理の負担をかけません。
ユーザーを同期するには、WS1UEM、WS1Acsのそれぞれに同期の架け橋となるコネクタを用意する必要があります。
- WS1UEMにはAirwatch Cloud Connector
- WS1AcsにはWorkspace ONE Access Connector
と、それぞれコネクタの名称は違います。
共通しているのはWindows Serverに導入することです。
コネクタからWS1UEM、WS1Acsとの連携はアウトバウンド通信のみで同期が可能なので、グローバルIPは必要ありません。
構成図は以下のようになります。
WS1UEMとWS1Acs連携でモバイルシングルサインオン(SSO)
ADと同期したユーザー情報を利用し、WS1UEMとWS1Acsを連携してiOS(iPad、iPhone)でのモバイルSSOを実現する構成です。
アクセス先としてSaaSサービスであるSalesforceを例としています。
※AndroidOSでモバイルSSOを実現する場合の構成は別となります。
- 設定概要
モバイルSSOでの認証方法はKerberos認証とSAML認証を利用します。
この構成ではWS1AcsがIDPの機能を果たすため、SPであるSalesforceと事前にSAML認証に必要な信頼関係の設定をします。
信頼関係の設定方法については、アクセス先であるSP毎に異なるため確認が必要です。
Salesforceとの連携は手順が公開されているため、比較的簡単に行えます。iOSデバイスとWS1Acs間でKerberos認証するため、iOSデバイスにはWS1AcsのKDC証明書をWS1UEMから配布します。証明書はWS1UEMから複数デバイスに一括配信できるため、WS1UEMの管理下であるiOSデバイスの利用者は意識することなく設定を終えることができます。
WS1UEMとWS1Acsは事前にAPI連携を設定することで、デバイスコンプライアンスをチェックしたアクセス制御も可能です。iOSデバイスからSalesforceにアクセスするには、VMware社が提供するカタログアプリからSalesforceを選択することで、自動で認証の処理が走ります。
KDC証明書を使用してWS1Acsから認証を受けることで、SAMLトークンを入手してSalesforceにアクセスすることが可能となります。
細かい認証フローは割愛していますが、エンドユーザーは意識することなくSalesforceにアクセスできるようになります。
最後に
今回は利便性に重点を置き、Workspace ONEを利用したモバイルでのシングルサインオン、モバイルSSOを紹介しました。
便利にするとセキュリティが・・・という課題もたくさん出てくると思いますが、Workspace ONEにはセキュリティ課題に対応した機能も合わせて活用できます。
VMware Workspace ONEを活用して、安心・安全・便利なワークスタイル変革を推進していきましょう。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
