Kasoukatoka

前回申し上げた通り、せっかく太っ腹なOkta Developers環境を使わせてもらっているのに、全然活用できていません。 Oktaのようなサービスを使ってすることの一つとして代表的なものといえば、シングルサインオン連携です。 今回は、Workspace ONE UEMの管理コンソールをSP、OktaをIdPとして、SAML連携を行い、管理者がWorkspace ONE UEMの管理画面にログインするときに、Oktaに認証されるように設定してみました。 ※なお、OktaにはSPメタデータのxmlファイルをパースしてくれる機能がなく、設定の際はSAML tracer片手に手探りでOkta上でカスタムアプリとしてWorkspace ONE UEMの情報を投入していきました。そのため、本ブログでは設定後の画面のスクリーンショットを掲載します。 参考情報： Is it Possible to Import Metadata Files in Okta for Custom SAML Applications Create a Basic Custom SAML Application Using SP Metadata File How to Download the IdP Metadata and SAML Signing Certificates for a SAML App Integration Simulate an SP-initiated flow with the Bookmark App The Unofficial Omnissa Products and Services Visio Stencil ①Okta側の設定 Okta側の設定では、何よりも先にOktaのIdPメタデータが欲しかったので、一度本当にでたらめな値でカスタムアプリを登録し、そのカスタムアプリを少しずつSAML-tracerなどで動作確認しながら設定変更していきました。 なお、そのままSAML連携をしただけでは、Workspace ONE UEMがSP initiatedのフローでしかログインできなくなるため、Bookmarkアプリ機能を用いて、IdP initiatedフローのような画面遷移となるように設定しています。 a.SAML連携用のカスタムアプリの設定 実際にSAMLによ...

私が個人的に使用させてもらっているOktaの検証環境ですが、せっかく太っ腹なDeveloper向け環境を手に入れたものの、そんなに今まで触ってこなかった（触りたくなったら会社の検証環境があるので困らなかった）ので、今後定期的に触れるように触れるようにしたいと思い、日記につけることにしました。 ※何か明確な目的があるわけではないので、日記に「徒然」とつけています。本当に徒然なるままにDeveloper環境をいじっています。 今回は、久々にログインしたOkta Admin Consoleのアクセスポリシーを変更してみたので、その設定方針と設定値を記録していきたいと思います。 ※個人の日記として作成しているため、正確な情報ではない部分があるかもしれませんが、ご容赦ください。 私の利用しているOkta Developer環境には、管理者アカウントが一つしかありません。 別に一つでも使えなくはないのですが、 アクセスポリシーの設定ミスでこの管理者アカウントがログインできなくなると" 詰み "です。 そして、現在の唯一の管理者アカウントでログインするためのアクセスポリシーを見たところ、"Okta recommends that you protect this app with phishing resistant policies"という文言が。一応2要素認証にしているものの、どうやらその認証方式がフィッシングに対してちょっと弱いんじゃないの？という指摘をされているようです。 なるべく早く変更した方がよさそうな気がするものの、失敗すると唯一の管理者がロックアウトされる状態です。 管理コンソールのログインのアクセスポリシーを変更するたびに、そんなスリルを味わいながら設定変更するのは嫌なので、新しく管理コンソールにアクセス可能なアカウントを作成することにしました。 ①まずはユーザーアカウントを作成しよう Oktaの管理者アカウントを作成するとき、まずもとになるユーザーアカウントを作成します。 Directory>People>Add personと進み、必要事項を記入します。Usernameは、メールアドレス形式である必要があります。 ②作成したアカウントにAdmin roleを割り当てよう 次に作成したアカウントを開いて、Ad...

  日本のOmnissa Tech Insidersの面々と、Omnissa Japanのキムさん(一番右)。 皆さんフレンドリーな方で、気さくに写真撮影などに応じてくれました。 このブログ記事は、日本時間2024年10月25日(金)にOmnissa Japan様のオフィスにて開催された、「 Japan EUC Nexus（JAEN） Meeting 」のイベント参加日記です。 当日のスケジュールは以下の通りです。 14:30-15:00 開場 15:00-15:05 オープニング 15:05-15:35 Omnissa 様 EUC スペシャルセッション① 15:40-16:10 Omnissa 様 EUC スペシャルセッション② 16:20-17:45 JAEN / VMUG LT パート 17:45-17:50 クロージング 「Omnissa 様 EUC スペシャルセッション①」および「Omnissa 様 EUC スペシャルセッション②」では、Omnissaの鈴木さんより、「 Omnissa what's new 」というタイトルでOmnissa製品の最新情報を共有いただけました。 Horizon、Workspace ONE、そして噂のAIソリューションなど、最新情報てんこ盛りのセッションでした。 Omnissa 鈴木さんのセッションの後は、Omnissa Tech Insiderの皆さんを中心とした、面白くてためになる、ライトニングトークが続きました。 なお、光栄なことに、Omnissa Tech Insiderではない私もライトニングトークの機会をいただくことができました。 スピーカーとタイトルは以下の通りです。 Wataru Unno：目新しいプラットフォームで Omnissa Horizon を動作させてみよう Daisuke Yajima：KB93123と順守ポリシーのアクションについて Takuya Ichijima：Workspace ONE UEM Linux を管理してみた Masato Narishige：ゼロトラスト成功の秘訣は、実は〇〇だった！？ EUCを添えて まずはOmnissa Tech InsiderのUnnnoさん。「 目新しいプラットフォームで Omnissa Horizon を動作させてみよう 」というタイトルで、O...

彼岸花(2024/09/28撮影) 英語ではこの花のことをCluster amaryllisやRed spider lilyと呼ぶそうです。 この花は秋分の日に咲きます。日本では春分と秋分にヒガンと呼ばれる仏教の法要があります。この花はヒガンの季節に咲くので「ヒガンバナ」と呼ばれます。 久しぶりの投稿となってしまいましたが、今回は順守プロファイルの注意すべき挙動について記載したいと思います。 ●順守プロファイルって何だ？ 順守プロファイルとは、順守ポリシーのアクションでデバイスに配信することのできるプロファイルのことを指します。 作り方は通常のプロファイルとほぼ同じなのですが、プロファイル作成時の「全般」タブにおいて、「Assignment Type」を「Compliance」に設定します。 Complianceにする操作は既存のプロファイルに対しても行うことができますが、 既存の値がComplianceとなっているプロファイルをAutoやOptionalにできない ようなので注意しましょう このようにしておくことで、順守ポリシーの中でアクションを定義するときにこのプロファイルを指定できるようになります。 上記で設定したプロファイルを赤い線で囲った中で指定しています このように設定しておくと、順守ポリシーを満たさないデバイスに対して、順守プロファイルを強制的にインストールさせることができます。 ●私はどのような挙動を誤解していたのか 私はこの機能を見たときに、「この機能を使えば、ある要件を満たさないデバイスに、その要件を満たすように設定したプロファイルを配布することで、デバイスを強制的に順守ポリシーのルールに合致するように設定できるのではないか」と考えました。 私には 順守プロファイルが、非順守状態のデバイスを順守状態にするための治療法のように思えたのですが、 それは誤解でした。 なぜなら、順守プロファイルは非順守状態のデバイスに適用されたのち、デバイスが順守状態になれば、適用が外れるからです。 その挙動を示す例として、以下KBがあります。 Using Bitlocker compliance profile causes encryption loop (93123) このKBはBitLockerで暗号化されていないWindowsデバイスに対して、順守プロファイル...

Broadcom EUC部門の方から海外出張のお土産として配られていたOmnissaチョコレート。 会場にいた皆さんでおいしくいただきました。(2024/08/27) このブログ記事は、日本時間2024年8月27日(火)に開催された、「 JapanVMUG August Meeting 2024 @EUC Day / Japan EUC Nexus Summer Meeting - EUC Day 」のイベント参加日記です。(前回から2か月近く時間が空いてしまいました。。) このイベントは、日本のEUCコミュニティとして発足された Japan EUC Nexus と、 JapanVMUG のコラボレーション・イベントとして開催されました。Broadcom EUC部門の従業員のかたも登壇され、Broadcom EUCの提供する製品、サービス、そしてEUC部門全体としての今後の展望など、興味深い話をたくさん伺うことができました。 このイベントで登壇したのはBroadcom EUC部門の従業員の方々や、JapanVMUG、およびJapan EUC Nexusのメンバー、そして協賛いただいた株式会社ミントウェーブの皆様です。 特に株式会社ミントウェーブ様や、それぞれのコミュニティからの参加者の皆さんの登壇では、メーカーであるBroadcom EUCの方々ではなかなかご紹介できないようなユーザーあるあるネタや、VDIのシンクライアント端末の仕様に関するほかでは聞けないような話、Workspace ONE UEMの意外な活用方法などなど、様々なEUC関連の話題を時にはユーモアを交えてお話しいただき、非常に楽しいひと時を過ごさせていただきました。 技術的に詳細で難解な話題もあったように思いますが、午後14時から午後18時までの4時間のイベント中、全体的に非常に和やかでフレンドリーな雰囲気でした。 私自身も、コミュニティメンバーの一人として登壇させていただきました。私のセッションは「 Omnissaコミュニティに投稿してみた 」というタイトルで、どちらかといえばノンテクニカルな内容でしたが、皆様熱心に耳を傾けて、質問やコメントなどをインタラクティブにやり取りしていただき、本当にありがたい限りと感じております。 ありがたいことに登壇の機会をいただきました。。！ イベント後は懇親会が...

野茨の仲間(2024年5月31日撮影) 親族宅に咲いていたバラの仲間の花です。6月はバラがきれいに咲く季節だそうです。 数あるジューンブライドの由来の一つとして、きれいに咲いたバラに囲まれた花嫁は幸せになると考えられていた、 というのをどこかで聞いたことがあるのですが、日本で品種改良されたバラの中にはジューンブライドという名前のバラがあるそうです。  ●Modern authentication (OAuth 2.0 token-based authorization)ってなんだ？ Microsoft 365では、2021年、基本認証が提供されなくなりました。 基本認証はユーザー名と、クレデンシャル情報であるパスワードの単一要素のみを用いてユーザーを認証する認証方式のことをさしています。 基本認証は多要素認証に比べて脆弱なため、Microsoft 365では基本認証を廃止して、「Modern authentication (OAuth 2.0 token-based authorization)」が提供されています。 以下Microsoftの公式ページの説明によると、一度Entra IDによる認証が成功し、認可されたアプリに対して、Entra IDからアプリに認可したことを示す期限付きのトークンを発行することにより、ユーザー名/パスワードがネットワークでやり取りされる回数を減らすことができます。また、発行されるトークンはアプリごとに固有のものであるため、仮にトークンが盗まれたとしても悪意ある攻撃者が利用することはできません。 参考： What we are changing This decision requires customers to move from apps that use basic authentication to apps that use Modern authentication.  Modern authentication (OAuth 2.0 token-based authorization) has many benefits and improvements that help mitigate the issues in basic authentication.  For example, O...

耐寒マツバギク(2024/5/18撮影) タンポポに似て、円形に細い花弁を持っていることや、その名前からキクの仲間と思ったところ、調べてみると違う植物の仲間だそうです。 マツバギクという名称なのでなんとなくアジア原産かと思っていたら、南アフリカ原産でした。 New-MgDomainFederationConfiguration コマンドというコマンドがあるそうです。 以下URLを見てみると、 前回のブログエントリ で使用した Set-MsolDomainAuthentication コマンドの後継コマンドだそうです。どうやら、Microsoftは将来的にSet-MsolDomainAuthenticationをはじめとしたコマンドの一式を非サポートとするようです。 Find Azure AD PowerShell and MSOnline cmdlets in Microsoft Graph PowerShell 今回私は、近い将来来る変化に備えて、New-MgDomainFederationConfiguration コマンドを使用してMicrosoft 365の認証をWorkspace ONE Accessに委任する方式を試してみました。 本ブログエントリは2024年5月18日時点で筆者が確認できた情報をもとに作成しております。本ブログエントリを参考に同様の手順を実行する場合、その時々の各製品、サービスの提供元の公式情報をご確認ください。 【2024年12月15日更新： このMicrosoft日本チームのブログ記事 を見ると、2025年3月30日をもってMSOLコマンドのサポートが完全に提供されなくなるようです】 ■目次 Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Microsoft 365に接続 Microsoft 365に存在するドメインのリスト表示 New-MgDomainFederationConfiguration コマンドによるフェデレーション設定 ログイン確認 その他躓いたこと ①Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Set-MsolDomainAuthentication コマンドは MSOnlin...