[解決済み] CMSVC-9328:Workspace ONE UEM において認証時の SAML 応答に ObjectGUID が必要

管理番号

CMSVC-9328

 

対象バージョン

VMware Workspace ONE UEM 1811

 

現象

これまで、Active Directory の資格情報を入力することにより、管理者は SAML 認証フローをバイパスして UEM コンソールにアクセスすることができていました。Workspace ONE UEM 1811 ではこの差異が解決され、管理者のアカウントが存在する組織グループで SAML 認証が構成されていると、SAML 認証フローを強制するようになりました。

しかし、マルチ ドメイン セットアップにおいて SAML 認証を完全にサポートするには、ID プロバイダの設定画面で ObjectGUID 属性を構成する必要があります。また、Workspace ONE UEM の [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] にある [ユーザー] タブの [高度な設定] セクションで、ObjectGUID 属性をオブジェクト識別子属性にマッピングしてください。

この属性により、マルチドメイン構成においても Workspace ONE UEM で管理者を一意に識別できるようになり、コンソールにセキュアにアクセスできるようになります。ID プロバイダの設定での ObjectGUID 属性の更新は手作業となるため、属性が設定されて SAML 応答の一部として返されるようになるまでは、ログインに成功するたびに以下の警告が表示されます。

Warning.png

Workspace ONE UEM のディレクトリ サービス設定画面のユーザー属性マッピングを以下に示します。

Settings.png

以下に、ID プロバイダの主なカスタム属性マッピングを示します。ここでは、例として VMware Identity Manager (vIDM) を使用しています。

Attributes.png

ID プロバイダから受信する SAML 応答の例を以下に示します。

Script.png

 

修正バージョン

この問題は VMware Workspace ONE UEM 1904 で解決済みです。この問題が発生している場合は、Workspace ONE UEM 1904 にアップグレードしてください。また、ID プロバイダの設定で ObjectGUID 属性を設定し、UEM コンソールの [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] にある [ユーザー] タブでも ObjectGUID 属性を設定してください。

Other Languages: English

免責事項:これは英文の記事「[Resolved] CMSVC-9328: ObjectGUID required in Workspace ONE UEM SAML response during authentication」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

1 Comments

Article is closed for comments.