Workspace ONE Accessってなんだ?
この投稿は「vExperts Advent Calendar 2022」の17日目の投稿です。
VMware Workspace ONE UEMについて、機能の概要を紹介する記事は以前書いたことがあるのですが、Workspace ONE UEMとよくセットで出てくるWorkspace ONE Accessについては紹介する記事を書かずに、いきなりREST APIにアクセスするような記事を書いていたので、Workspace ONE Accessを紹介する記事を記載していこうと思います。
Workspace ONE Accessは、Workspace ONEに含まれる、アクセス管理機能を提供するSaaSサービスです。ユーザーが仮想アプリケーションやWebアプリケーションを利用する際に、以下の機能を提供します。
- ユーザーポータル機能
- シングルサインオン機能
- アクセスポリシー機能
Oktaなどの専業のアクセス管理のSaaSサービスと比べると、ユーザープロビジョニング機能や、ソーシャルログイン機能、用意された他SaaS連携用テンプレートの数などでは見劣りすることがありますが、すべてのWorkspace ONEのエディションで利用可能であり、UEMとほぼセットになってついて来ます。そのため、自社の利用用途にかっちりハマって、有効に使うことができれば非常にお得なサービスととらえることもできます。
Workspace ONE Accessは主に以下の機能を提供します。
●ユーザーポータル機能
ユーザーポータル機能は、一般ユーザーにポータルサイトを提供します。このポータルサイトにはWebサイト、WebアプリのリンクやHorizonなどのVDIへのリンクを含めることができ、ユーザーが個別に一つ一つのリンクをブックマークする負担を軽減することができます。
vExpertや、VMwareのパートナー企業に所属する方が利用可能なTESTDRIVE内に用意されたいくつかの製品の体験版アクセス時に利用するユーザーポータルなども、Workspace ONE Accessが利用されています。
 |
| TESTDRIVEの一部製品利用時に通過する Workspace ONE Accessのユーザーポータル。 HorizonやSlackなど、様々なアプリケーションへのリンクが一つのページに集められています。 |
●シングルサインオン機能
ユーザーポータルに含めたWebアプリやVDIのリンクをクリックすると、ユーザーはリンク先のシステムのログインページにアクセスすることになりますが、リンク先のシステムがSAMLなどのれでレーションプロトコルに対応していれば、ユーザーにパスワードの入力を実施させることなく、シームレスにシングルサインオンをさせることが可能です。なお、対応しているフェデレーション方式は以下のようなものがあります。
・SAML 2.0
・SAML 1.1
・WS-Federation 1.2 (Office 365のみ)
・OpenID Connect
・OktaなどのサードパーティIDPによって連携されるアプリケーション
●アクセスポリシー機能
ユーザーポータルに含めたWebアプリやVDIのリンクの中に、ほかのリンクよりも強力なアクセス制限を課したいリンクがある場合、アクセスポリシーをカスタムして、特定のリンクだけに多要素認証を強制することも可能です。利用可能な認証方法は日々増えており、比較的最近ではGoogle Authenticatorなども利用可能なTOTP(Time-based One Time Password)機能を搭載しました(実はクライアントとなるモバイルのIntelligent HubアプリにもTOTP機能が搭載されています)。
 | |
| TESTDRIVEで有効化したTime-based One Time Password(TOTP)の 認証方式の初回認証画面。 TOTPの秘密鍵を含んだQRコードが表示されています。 |
 |
| iOS版Intelligent Hubアプリの画面にも、 「2要素認証」の機能があり、タップすると、、、 |
 |
| 秘密鍵を含んだQRコードをスキャンするためのボタンが表示されます。 タップすることで、カメラが起動し、初回認証画面に表示されていた QRコードを読み込めるようになります。 |
今後、Workspace ONE Accessの細かな機能や、使い方については本ブログ上でもこっそりと更新をしていこうと思います。
明日の「vExperts Advent Calendar 2022」は Masato Narishige さんです。
どうぞお楽しみに!
