Zenn
🆔

Workspace ONE のための Active Directory (とコネクタ)

2024/04/23に公開
Active Directory
Workspace ONE
Workspace ONE® UEM
Workspace ONE Access
scep
tech

はじめに

この記事は、Workspace ONE の全体像を試すために必要な Active Directory についての情報です。

どうして Active Directory なの?

2024年4月現在、Workspace ONE におけるユーザー管理方法は、Microsoft Entra ID や Okta などの SCIM 2.0 をサポートしていますが、MDM 観点においては、一部のユーザー認証方法はサポートしていません[1]。 そのため、Active Directory を IdP として構成いただくことで、色々な Workspace ONE の機能をフルで試していただけます。

どういうこと?

(それぞれのコンポーネントの説明は別記事を参照ください)
一部の機能をサポートしている SCIM 2.0 をサポートするための VMware Identity Services は使えず、

様々な機能をサポートするためには、このようなコネクター方式になるため、Active Directory が必要になります。

(mermaid 凄いな…)

コネクタって?

コネクタは先ほどの2つめの図にあるように、Active Directory をユーザー情報のソースとなるような構成を取るために必要なコンポーネントです。Active Directory と必要な通信ができる範囲に配置します。だいたい同じサブネット内のことが多いです。トラブルの原因となるので。
また、Workspace ONE UEM に必要な AirWatch Cloud Connector (以下 ACC) と、Workspace ONE Access に必要な Workspace ONE Access Connector (略し方が不明なのでこちらは略せず) の2つが必要になります。

コネクタの要件

ACC と Workspace ONE Access Connector ともに、Windows Server 2016, 2019, 2022 の英語版英語です。(超重要)
通信は、外向けの http の 443 が疎通できれば大丈夫です。それ以外の要件は、こちらの公式ドキュメントを参考にしてください。

余談

個人的に検証環境を作る場合は、まず、コネクタの VM は Windows Server 2022 の 4 vCPU 以上、16GB RAM 以上のスペックで、コネクタ2つを同居させます。Active Directory は 4 vCPU, 8GB RAM 程度で準備します。コネクタの同居はあくまでも検証環境のみにとどめるべきかと思います。トラブルの原因となるので。

コネクタの役割

それぞれのコネクタにおいて、ユーザー管理以外としても使える機能を一部紹介します。

ACC

Workspace ONE UEM 向けのコネクタです。 (AirWatch Cloud Connector)

  • LDAP
    • Active Directory のユーザー/グループを同期できます。Active Directory 側でユーザーを無効にすると、UEM 上でもユーザーを無効にすることもできます。ユーザー認証もこの統合で行います。
  • SCEP
    • Active Directory 証明書サービスを使って証明書をデバイスに配布することができます。

Workspace ONE Access Connector

Workspace ONE Access 向けのコネクタです。

  • Directory Sync
    • Active Directory のユーザー/グループを同期できます。
  • Directory Auth
    • Active Directory のユーザーを用いて認証することができます。
  • Virtual Apps
    • Horizon, ThinApp, Citrix のアプリを Workspace ONE Access のカタログに表示させることができるようになります。

まとめ

長くなりましたが、Active Directory を使う理由と、各コネクタの役割についてまとめました。

Workspace ONE を試してみたい!!

こちらのスクラップで紹介しています
https://zenn.dev/statsuo/scraps/93755a247f15ca

脚注

  1. サポートされていない Workspace ONE 機能
    | VMware Identity Services を使用したユーザー プロビジョニングと ID フェデレーションの構成 https://docs.vmware.com/jp/VMware-Workspace-ONE/services/vmware_identity_services_ws1/GUID-520C5F74-AF32-47BF-996D-44B3891E7F4D.html#-workspace-one--3 ↩︎

Discussion