管理番号
CMSVC-9328
対象バージョン
VMware Workspace ONE UEM 1811
現象
これまで、Active Directory の資格情報を入力することにより、管理者は SAML 認証フローをバイパスして UEM コンソールにアクセスすることができていました。Workspace ONE UEM 1811 ではこの差異が解決され、管理者のアカウントが存在する組織グループで SAML 認証が構成されていると、SAML 認証フローを強制するようになりました。
しかし、マルチ ドメイン セットアップにおいて SAML 認証を完全にサポートするには、ID プロバイダの設定画面で ObjectGUID 属性を構成する必要があります。また、Workspace ONE UEM の [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] にある [ユーザー] タブの [高度な設定] セクションで、ObjectGUID 属性をオブジェクト識別子属性にマッピングしてください。
この属性により、マルチドメイン構成においても Workspace ONE UEM で管理者を一意に識別できるようになり、コンソールにセキュアにアクセスできるようになります。ID プロバイダの設定での ObjectGUID 属性の更新は手作業となるため、属性が設定されて SAML 応答の一部として返されるようになるまでは、ログインに成功するたびに以下の警告が表示されます。
Workspace ONE UEM のディレクトリ サービス設定画面のユーザー属性マッピングを以下に示します。
以下に、ID プロバイダの主なカスタム属性マッピングを示します。ここでは、例として VMware Identity Manager (vIDM) を使用しています。
ID プロバイダから受信する SAML 応答の例を以下に示します。
修正バージョン
この問題は VMware Workspace ONE UEM 1904 で解決済みです。この問題が発生している場合は、Workspace ONE UEM 1904 にアップグレードしてください。また、ID プロバイダの設定で ObjectGUID 属性を設定し、UEM コンソールの [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] にある [ユーザー] タブでも ObjectGUID 属性を設定してください。
Other Languages: English
免責事項:これは英文の記事「[Resolved] CMSVC-9328: ObjectGUID required in Workspace ONE UEM SAML response during authentication」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
1 Comments