チュートリアル: アプリケーションを Okta から Microsoft Entra ID に移行する
このチュートリアルでは、アプリケーションを Okta から Microsoft Entra ID に移行する方法を習得できます。
前提条件
Microsoft Entra ID でアプリケーションを管理するには、次のものが必要です:
- Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール: クラウド アプリケーション管理者、アプリケーション管理者、サービス プリンシパルの所有者。
現在の Okta アプリケーションのインベントリを作成する
移行の前に、現在の環境とアプリケーション設定を文書化します。 この情報は、Okta API を使用して収集できます。 Postman などの API エクスプローラー ツールを使用します。
アプリケーション インベントリを作成するには:
Postman アプリを使用して、Okta 管理コンソールから API トークンを生成します。
API ダッシュボードの [セキュリティ] で、[トークン]>[トークンの作成] の順に選択します。
トークン名を入力し、[トークンの作成] を選択します。
トークン値を記録し、それを保存します。 [了解しました] を選択した後は、これにアクセスできません。
Postman アプリのワークスペースで、[インポート] を選択します。
[インポート] ページで、[リンク] を選択します。 API をインポートするには、次のリンクを挿入します:
https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment
注意
テナント値でリンクを変更しないでください。
インポート を選択します。
API がインポートされたら、[環境] の選択を [{yourOktaDomain}] に変更します。
Okta 環境を編集するには、目 のアイコンを選択します。 次に、[編集] を選択します。
[初期値] および [現在値] フィールドで URL と API キーの値を更新します。 環境が反映されるように名前を変更します。
この値を保存します。
[アプリ]>[アプリの一覧の取得]>[送信] の順に選択します。
注意
Okta テナント内のアプリケーションを印字できます。 この一覧は、JSON 形式になっています。
この JSON 一覧をコピーし、CSV 形式に変換することをお勧めします。
- Konklone などのパブリック コンバーターを使用します。
- または、PowerShell の場合は、ConvertFrom-Json と ConvertTo-CSV を使用します。
注意
Okta テナント内のアプリケーションのレコードを入手するには、この CSV をダウンロードします。
SAML アプリケーションを Microsoft Entra ID に移行する
SAML 2.0 アプリケーションを Microsoft Entra ID に移行するには、アプリケーション アクセス用に Microsoft Entra テナント内でアプリケーションを構成します。 この例では、Salesforce インスタンスを変換します。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動し、[新しいアプリケーション] を選択します。
[Microsoft Entra ギャラリー] で、[Salesforce] を検索し、そのアプリケーションを選択して [作成] を選択します。
アプリケーションが作成されたら、 [シングル サインオン] (SSO) タブで [SAML] を選択します。
[証明書 (未加工)] と [フェデレーション メタデータ XML] をダウンロードして Salesforce にインポートします。
Salesforce 管理コンソールで、[ID]>[シングル サインオンの設定]>[メタデータ ファイルから新規] の順に選択します。
Microsoft Entra 管理センターからダウンロードした XML ファイルをアップロードします。 [作成] を選択します。
Azure からダウンロードした証明書をアップロードします。 [保存] を選択します。
次のフィールドの値を記録します。 値は Azure にあります。
- エンティティ ID
- ログイン URL
- ログアウト URL
[メタデータのダウンロード] を選択します。
ファイルを Microsoft Entra 管理センター にアップロードするには、Microsoft Entra ID の [エンタープライズ アプリケーション] ページの SAML SSO 設定で、[メタデータ ファイルのアップロード] を選択します。
インポートされた値が記録された値と一致することを確認します。 [保存] を選択します。
Salesforce 管理コンソールで、[会社の設定]>[マイ ドメイン] の順に選択します。 [認証の構成] に移動し、[編集] を選択します。
サインイン オプションで、構成した新しい SAML プロバイダーを選択します。 [保存] を選択します。
Microsoft Entra ID の [エンタープライズ アプリケーション] ページで、[ユーザーとグループ] を選択します。 次に、テスト ユーザーを追加します。
構成をテストするには、テスト ユーザーとしてサインインします。 Microsoft の [アプリ ギャラリー] に移動し、[Salesforce] を選択します。
サインインするには、構成された ID プロバイダー (IdP) を選択します。
注意
構成が正しい場合、テスト ユーザーは Salesforce ホーム ページに移動します。 トラブルシューティングのヘルプについては、「デバッグ ガイド」を参照してください。
- [エンタープライズ アプリケーション] ページで、適切なロールを使用して残りのユーザーを Salesforce アプリケーションに割り当てます。
注意
残りのユーザーを Microsoft Entra アプリケーションに追加したら、ユーザーは接続をテストして、アクセスできることを確認することができます。 次の手順の前に、接続をテストしてください。
Salesforce 管理コンソールで、[会社の設定]>[マイ ドメイン] の順に選択します。
[認証の構成] で、[編集] を選択します。 認証サービスで、[Okta] の選択を解除します。
OpenID Connect または OAuth 2.0 アプリケーションを Microsoft Entra ID に移行する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
OpenID Connect (OIDC) または OAuth 2.0 アプリケーションを Microsoft Entra ID に移行するには、Microsoft Entra テナントで、アクセス用にアプリケーションを構成します。 この例では、カスタム OIDC アプリを変換します。
移行を完了するには、Okta テナント内のすべてのアプリケーションに対して次の構成を繰り返します。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
[新しいアプリケーション] を選択します。
[独自のアプリケーションの作成] を選択します。
表示されるメニューで、OIDC アプリに名前を付け、[操作中のアプリケーションを登録して Microsoft Entra ID と統合します] を選択します。
[作成] を選択します。
次のページで、アプリケーションの登録のテナントを設定します。 詳細については、「Microsoft Entra ID のテナント」を参照してください。 [任意の組織ディレクトリ (Microsoft Entra ディレクトリ - マルチテナント) 内のアカウント]>[登録] に移動します。
[アプリの登録] ページの [Microsoft Entra ID] で、作成された登録を開きます。
注意
アプリケーションのシナリオ に応じて、さまざまな構成アクションがあります。 ほとんどのシナリオでは、アプリ クライアント シークレットが必要です。
[概要] ページで、[アプリケーション (クライアント) ID] を記録します。 この ID は、アプリケーションで使用します。
左側で、[証明書とシークレット] を選択します。 次に、[+ 新しいクライアント シークレット] を選択します。 クライアント シークレットに名前を付け、その有効期限を設定します。
シークレットの値と ID を記録します。
注意
クライアント シークレットを失った場合、それを取得することはできません。 代わりに、シークレットを再生成します。
左側で、[API のアクセス許可] を選択します。 次に、そのアプリケーションに OIDC スタックへのアクセス権を付与します。
[+ アクセス許可の追加]>[Microsoft Graph]>[委任されたアクセス許可] の順に選択します。
[OpenId アクセス許可] セクションで、[Email]、[openid] 、[プロフィール] を選択します。 [アクセス許可の追加] を選択します。
ユーザー エクスペリエンスを向上させ、ユーザーの同意プロンプトを抑制するには、[テナント ドメイン名に管理者の同意を与えます] を選択します。 [付与されました] 状態が表示されるまで待ちます。
アプリケーションにリダイレクト URI がある場合は、URI を入力します。 応答 URL が [認証] タブに続けて、[プラットフォームの追加] と [ウェブ] をターゲットとしている場合は、URL を入力します。
[アクセス トークン] と [ID トークン] を選択します。
[構成] をクリックします。
必要な場合は、[認証] メニューの [詳細設定] および [パブリック クライアント フローを許可する] で [はい] を選択します。
テストする前に、OIDC で構成されたアプリケーションで、アプリケーション ID とクライアント シークレットをインポートします。
注意
前の手順を使用して、そのアプリケーションをクライアント ID、シークレット、スコープなどの設定で構成します。
Microsoft Entra ID にカスタム承認サーバーを移行する
Okta 承認サーバーは API を公開する アプリケーション登録に 1 対 1 でマップされます。
既定の Okta 承認サーバーを Microsoft Graph のスコープまたはアクセス許可にマップします。