Workspace ONE Access が Omnissa Access に名称が変わり少し経ちましたが、ドキュメントはWorkspace ONE Access が残っているものが結構あります。
呼び方に悩みますね。
とりあえず今回はOmnissa Access と呼んでおきます。
Omnissa Access では、モバイルSSO(Android)やモバイルSSO(iOS)といった、シングルサインオンのための機能が用意されています。
モバイルSSO(Apple版)というのを試したことがなかったので、今回はこちらを試してみた結果をまとめてみたいと思います。
モバイルSSO(iOS) と モバイルSSO(Apple 版) の違い
iOSデバイスでSSOを実現しようと思ったとき、モバイルSSO(iOS) と モバイルSSO(Apple 版)があるため、どちらを使ったらいいか迷うこともあると思います。
モバイルSSO(Apple 版)の検証をする前に、違いを整理しておきます。
現在OmnissaではモバイルSSO(Apple 版)の利用を推奨しています。
モバイルSSO(iOS版)からモバイルSSO(Apple版)への移行やメリットについては以下Omnissa のドキュメントにまとめられています。
Migrating from Mobile SSO (for iOS) to the New Mobile SSO (for Apple) Extension | Omnissa
事前準備:証明書エクスポート
モバイルSSO(Apple 版)では、証明書認証を行います。
認証で使用する証明書をWorkspace ONE UEM から取得します。
①すべての設定 > システム > エンタープライズ統合 > Workspace ONE Access > 構成 を選択します。
②証明書を「エクスポート」します。
Omnissa Accsess 設定
取得した証明書をOmnissa Access側にインポートし、モバイルSSOのための設定を行います。
組み込みIDプロバイダの設定
①統合 > 認証方法 にて、「モバイルSSO(Apple 版)」を選択し、「構成」をクリックします。
②「証明書アダプタを有効にする」を「はい」に切り替え、「ルートおよび中間 CA 証明書」に事前準備でエクスポートした証明書をアップロードします。
②「デバイス認証タイプ」を選択します。
「なし」を選択した場合、SSOの際に追加の認証は求められません。
「生体認証」を選択した場合、追加でTouch ID/Face ID が要求されます。
「生体認証-パスコード」では、Touch ID/Face ID またはパスコードが要求されます。
③統合 > IDプロバイダ にて、対象のIDプロバイダを選択し、「モバイルSSO(Apple 版)」のボックスにチェックを入れます。
ポリシールールの設定
①リソース > ポリシー にて、アクセスポリシーを編集します。
②「構成」にて、iOSからアクセスする場合にモバイルSSO(Apple 版)を使用するよう設定します。
Workspace ONE UEM 設定
モバイルSSOをするための設定をデバイスに配布します。
プロファイル設定
①リソース > プロファイル&ベースライン > プロファイル より、プロファイルを追加します。
②プラットフォームでiOS、コンテキストでデバイスプロファイルを選択します。
③[SCEP] ペイロードを以下の通り設定します。
④[シングルサインオン拡張機能] ペイロードを以下の通り設定します。
④割り当て、保存して公開します。
動作確認
加入済みのiPhone SE にてsafariを起動し、Omnissa Access へパスワード入力なくログインできるかを確認します。
■デバイス認証タイプを「none」にした場合
■デバイス認証タイプを「生体認証」にした場合
■デバイス認証タイプを「生体認証-パスコード」にした場合
デバイスで指紋を登録していると、パスコードは表示されず指紋認証になります。デバイスに登録された指紋がない状態で動作を確認してみると、Touch ID 認証ではなくパスコード入力が求められます。
まとめ
設定自体は非常に簡単でした。
モバイルSSO(iOS版)と比べても、非常にシンプルな設定だと思います。
生体認証と組み合わせて使えるので、単純なSSOよりもよりセキュリティが確保できるのもよい点です!
