Workspace ONE SDK およびラッピングされたアプリでの iOS 13 の OpenURL 変更に向けての準備

概要

iOS 13 ベータ版で実施された検証に基づき、アプリ間の OpenURL 処理の際に異なる開発者アカウントから返されるパラメータに関する変更が iOS により導入されました。この変更は、Workspace ONE SDK と Workspace ONE Intelligent Hub または旧来の Workspace ONE アプリ間の通信機能に直接の影響を及ぼします。iOS 13 デバイスをサポートするため、上記のアプリに加えて Workspace ONE SDK for iOS (Swift)、Workspace ONE SDK for iOS (Objective-C)、および App Wrapping Engine の新しいバージョンが提供される予定です。これらの必要な更新を行わない場合、上記のケースにおいて iOS 13 デバイスで実行されるアプリは、Workspace ONE Intelligent Hub または Workspace ONE アプリを使用して最初のセットアップやシングル サインオン ワークフローを実行することができません。

 

お客様への影響

iOS 13 搭載デバイス向けに Workspace ONE SDK for iOS (Swift)、Workspace ONE SDK for iOS (Objective-C)、VMware AirWatch App Wrapping Engine を使用してアプリを作成している場合、この変更の影響を受けます。

お客様へのお願い

  • Workspace ONE Intelligent Hub で加入した iOS 13 デバイスにおいて、旧来の Workspace ONE SDK for iOS (Objective-C) でビルドしたアプリを利用している場合は、Workspace ONE Intelligent Hub for iOS および Workspace ONE SDK for iOS (Objective-C) を次期バージョンに更新してください。
  • Workspace ONE Intelligent Hub で加入した iOS 13 デバイスにおいて、Workspace ONE SDK for iOS (Swift) でビルドしたアプリを利用している場合は、Workspace ONE Intelligent Hub for iOS を次期バージョンに更新してください。この場合、引き続き機能を利用するために Workspace ONE SDK for iOS (Swift) を更新する必要はありません。ただし、以下に記載のセキュリティの考慮事項が懸念される場合、更新が必要になることもあります。
  • 旧来の Workspace ONE アプリで加入した iOS 13 デバイスにおいて、Workspace ONE SDK for iOS (Swift) でビルドしたアプリを利用している場合は、Workspace ONE for iOS アプリおよび Workspace ONE SDK for iOS (Swift) を次期バージョンに更新してください。
  • iOS 13 デバイスにおいてラッピングされたアプリを実行している場合は、VMware AirWatch App Wrapping Engine の次期バージョンを使用してご利用のアプリをラッピングし直してください。次期リリースの展開は 9 月頃を予定しています。
  • iOS 13 での OpenURL の変更により、新たに考慮すべきセキュリティーの欠陥が間接的に発生します。また、対処策が必要かどうかを判断するため、この新たなセキュリティへの影響を、iOS 13 デバイスで求められるユーザー操作性と比較検討する必要があります (セキュリティの考慮事項については以下のセクションを参照してください)。

セキュリティの考慮事項

Workspace ONE SDK for iOS (Objective-C) およびラッピングされたアプリでは、シングル サインオンのため、iOS の OpenURL 機能を介して Workspace ONE Intelligent Hub からユーザー資格情報とともに認証トークンを取得することができるワークフローがあります。要求元の Workspace ONE SDK やラッピングされたアプリに資格情報を返す前に、Workspace ONE Intelligent Hub は要求元である Workspace ONE SDK アプリのバンドル ID を検証して、正規の Workspace ONE SDK アプリと一致することを確認します。この Workspace ONE Intelligent Hub の検証機能と MDM のデバイス制限機能を組み合わせることで、デバイスが管理対象外のエンタープライズ アプリを信頼することを防ぎ、Workspace ONE SDK アプリをよそおう悪質なアプリからユーザーを保護します。
iOS 13 以降では、OS から要求元の Workspace ONE SDK アプリのバンドル ID を Workspace ONE Intelligent Hub に提供することができなくなります。これにより、受け取った要求が正規の Workspace ONE SDK アプリからのものかを確認するために Workspace ONE Intelligent Hub で検証を実行することが制限されます。この検証を行わないことにより、悪質なアプリで Workspace ONE SDK アプリやラッピングされたアプリをよそおう新たな手段が利用可能になります。たとえば、機に乗じて攻撃者が iOS 13 ユーザーに App Store から悪質なアプリをインストールさせます。そして悪質なアプリが Workspace ONE SDK の OpenURL プロトコル情報を持っていた場合、アプリは正規の Workspace ONE SDK アプリのように見え、Workspace ONE Intelligent Hub アプリからユーザーのログイン資格情報を取得することができます。

セキュリティ対策オプション

  • 可能であればご利用の Workspace ONE SDK for iOS (Objective-C) アプリを更新して、Workspace ONE SDK for iOS (Swift) を使用するようにしてください。Workspace ONE SDK for iOS (Swift) では、シングル サインオンに OpenURL 機能を利用しません。代わりに、最初にデバイスにインストールされた Workspace ONE SDK for iOS (Swift) アプリでユーザーがログインする必要があり、以降の Workspace ONE SDK アプリでは同じキーチェーンが共有され、自動的にログインします。
  • デバイスが MDM で加入済みの場合、MDM の制限プロファイルにある [ユーザーに管理外のエンタープライズ アプリの信頼を許可] オプションのチェック ボックスをオフにしてください。この制限により、悪質ななりすましアプリがデバイスにインストールされて実行されるのを防ぐことができます。
  • デバイスが MDM で加入済みで監視対象に設定されている場合、MDM の制限プロファイルにある [パブリック アプリのインストールを許可] オプションのチェック ボックスをオフにしてください。この制限により、管理者に許可されていない悪質なパブリック アプリがデバイスにインストールされるのを防ぐことができます。

上記のオプションがいずれも使用できない場合、Workspace ONE Intelligent Hub for iOS アプリに割り当てられたデフォルトの Workspace ONE SDK プロファイルにある [カスタム設定] ペイロードに RestrictCredentialsExchangeWithThirdPartyApplications という名前のキーを追加し、値を true に設定してください。このキーを追加して有効にすると、Workspace ONE Intelligent Hub は要求元のいずれの Workspace ONE SDK アプリにも資格情報を返さなくなります。また、この変更により、Workspace ONE SDK for iOS (Objective-C) アプリ間で統合認証証明書の資格情報が共有されなくなります。統合認証の資格情報は、Workspace ONE SDK for iOS (Objective-C) アプリごとに個別に再取得されます。[カスタム設定] ペイロードは、以下に示す例のように正しくフォーマットされている必要があります。追加のキーは括弧内に記述し、括弧の外には文字列を追加しないでください。以下に、このキーの構成例を示します。

{
"RestrictCredentialsExchangeWithThirdPartyApplications": true
}

 

お問い合わせ

サポートが必要な場合は、My Workspace ONE からチケットを提出するか、お客様の地域のサポート ラインにご連絡ください。
この記事の受信登録 (SUBSCRIBE) を行い、今後のリリースバージョンなどの最新情報を入手できるようにしてください。

 

敬具
VMware Workspace ONE チーム

Other Languages: English

免責事項:これは英文の記事「Preparing Workspace ONE SDK and Wrapped Apps for iOS 13 OpenURL Changes」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.