チュートリアル: Okta フェデレーションを Microsoft Entra ID マネージド認証に移行する

このチュートリアルでは、Office 365 テナントを Okta for Single sign-on (SSO) とフェデレーションする方法について学習します。

ユーザーの良好な認証エクスペリエンスを確保するためにフェデレーションを Microsoft Entra ID に段階的に移行することができます。 段階的な移行では、残りの Okta SSO アプリケーションへの逆フェデレーション アクセスをテストすることができます。

前提条件

• Okta for SSO にフェデレーションされた Office 365 テナント
• Microsoft Entra ID へのユーザー プロビジョニング用に構成された Microsoft Entra Connect サーバーまたは Microsoft Entra Connect クラウド プロビジョニング エージェント
• 次のいずれかのロール: 全体管理者、アプリケーション管理者、クラウド アプリケーション管理者、またはハイブリッド ID 管理者。

Microsoft Entra Connect を認証用に構成する

Okta を使用して自身の Office 365 ドメインのフェデレーションを行っているお客様は、Microsoft Entra ID の有効な認証方法を持っていない場合があります。 マネージド認証に移行する前に、Microsoft Entra Connect を検証し、ユーザー サインイン用に構成します。

次のようにサインイン方法を設定します。

• パスワード ハッシュ同期 - Microsoft Entra Connect サーバーまたはクラウド プロビジョニング エージェントによって実装されるディレクトリ同期機能の拡張
  • この機能を使用して Microsoft 365 などの Microsoft Entra サービスにサインインする
  • オンプレミスの Active Directory インスタンスにサインインするときのパスワードを使って、このサービスにサインインします。
  • 「Microsoft Entra ID を使用したパスワード ハッシュ同期とは?」を参照してください
• パススルー認証 - 同じパスワードを使ってオンプレミスとクラウド アプリケーションにサインインします
  • ユーザーが Microsoft Entra ID を使用してサインインすると、パススルー認証エージェントがオンプレミスの AD に対してパスワードの検証を行います
  • 「Microsoft Entra パススルー認証を使用したユーザー サインイン」を参照してください
• シームレス SSO - 会社のネットワークに接続された会社のデスクトップ上のユーザーにサインインします
  • ユーザーは、他のオンプレミス コンポーネントを使わずにクラウド アプリケーションにアクセスできます。
  • 「Microsoft Entra シームレス SSO」を参照してください

Microsoft Entra ID でシームレス認証のユーザー エクスペリエンスを作成するには、シームレス SSO をパスワード ハッシュ同期またはパススルー認証にデプロイします。

シームレス SSO の前提条件については、「クイックスタート: Microsoft Entra シームレス シングル サインオン」を参照してください。

このチュートリアルでは、パスワード ハッシュ同期とシームレス SSO を構成します。

パスワード ハッシュ同期およびシームレス SSO 用に Microsoft Entra Connect を構成する

1. Microsoft Entra Connect サーバーで、Microsoft Entra Connect アプリを開きます。

2. [構成] をクリックします。

   

3. [ユーザー サインインの変更] を選びます。

4. [次へ] を選択します。

   

5. Microsoft Entra Connect サーバーの全体管理者の資格情報を入力します。

   

6. サーバーは Okta とのフェデレーション用に構成されています。 選択内容を [パスワード ハッシュ同期] に変更します。

7. [シングル サインオンを有効にする] を選択します。

8. [次へ] を選択します。

9. ローカル オンプレミス システムの場合は、ドメイン管理者の資格情報を入力します。

10. [次へ] を選択します。

11. 最後のページで [構成] を選びます。

12. Microsoft Entra Hybrid Join の警告を無視します。

段階的ロールアウト機能を構成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

ドメインのフェデレーション解除をテストする前に、Microsoft Entra ID でクラウド認証の段階的ロールアウトを使用して、ユーザーのフェデレーション解除をテストします。

詳細情報: 段階的なロールアウトを使用してクラウド認証に移行する

Microsoft Entra Connect サーバーでパスワード ハッシュ同期とシームレス SSO を有効にしてから、以下のように段階的ロールアウトを構成します。

1. 少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。

2. [ID]>[ハイブリッド管理]>[Microsoft Entra Connect]>[Connect 同期] に移動します。

3. テナントで [パスワード ハッシュの同期] が有効になっていることを確認します。

4. [マネージド ユーザー サインインの段階的ロールアウトを有効にする] を選択します。

   

5. サーバーを構成したら、[パスワード ハッシュの同期] 設定を [オン] に変更できます。

6. 設定を有効にします。

7. [シームレス シングル サインオン] は [オフ] です。 有効にすると、テナントで有効なため、エラーが表示されます。

8. [グループの管理] を選択します。

   

9. パスワード ハッシュ同期のロールアウトにグループを追加します。 次の例では、10 人のメンバーを持つセキュリティ グループで始まります。

   

10. テナントで機能が有効になるまで約 30 分間待ちます。

11. この機能が有効になると、ユーザーが Office 365 サービスにアクセスしようとしたときに Okta にリダイレクトされなくなります。

段階的ロールアウト機能にはサポートされないシナリオがいくつかあります。

• POP3 や SMTP などのレガシ認証プロトコルはサポートされていません。
• Okta に対して Microsoft Entra Hybrid Join を構成した場合、ドメインのフェデレーションが解除されるまで、Microsoft Entra Hybrid Join フローは Okta に流れます。
  • Microsoft Entra Hybrid Join の Windows クライアントのレガシ認証のために、サインオン ポリシーは Okta に残ります。

Microsoft Entra ID で Okta アプリを作成する

マネージド認証に変換したユーザーには、Okta 内のアプリケーションへのアクセスが必要な場合があります。 そのようなアプリケーションへのユーザー アクセスのために、Okta ホーム ページにリンクされる Microsoft Entra アプリケーションを登録します。

Okta 用のエンタープライズ アプリケーションの登録を構成します。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。

   

3. [新しいアプリケーション] を選択します。

   

4. [独自のアプリケーションの作成] を選択します。

5. このメニューで Okta アプリに名前を付けます。

6. [操作中のアプリケーションを登録して Microsoft Entra ID と統合する] を選択します。

7. ［作成］ を選択します

8. [任意の組織ディレクトリ (任意の Microsoft Entra ディレクトリ - マルチテナント) 内のアカウント] を選択します。

9. [登録] を選択します。

   

10. Microsoft Entra ID メニューで、[アプリの登録] を選択します。

11. 作成した登録を開きます。

12. テナント ID とアプリケーション ID をメモします。

Note

Okta で ID プロバイダーを構成するために、そのテナント ID とアプリケーション ID が必要になります。

13. 左側のメニューで [証明書とシークレット] を選択します。
14. [新しいクライアント シークレット] を選択します。
15. シークレット名を入力します。
16. その有効期限を入力します。
17. シークレットの値と ID をメモします。

Note

この値と ID は後で表示されません。 この情報をメモしていない場合は、シークレットを再生成する必要があります。

18. 左側のメニューで、 [API のアクセス許可] を選択します。

19. OpenID Connect (OIDC) スタックへのアクセス許可をアプリケーションに付与します。

20. [アクセス許可の追加] を選択します。

21. [Microsoft Graph] を選びます。

22. [委任されたアクセス許可] を選択します。

23. [OpenID のアクセス許可] セクションで、メール、OpenID、プロファイルを追加します。

24. [アクセス許可の追加] を選択します.

25. [<テナント ドメイン名>に管理者の同意を与えます] を選びます。

26. [許可] 状態が表示されるまで待ちます。

    

27. 左側のメニューで、 [ブランド] を選択します。

28. [ホーム ページ URL] で、ユーザーのアプリケーション ホーム ページを追加します。

    

29. Okta 管理ポータルで新しい ID プロバイダーを追加するには、[Security] (セキュリティ)、[Identity Providers] (ID プロバイダー) の順に選びます。

30. [Add Microsoft](Microsoft の追加) を選択します。

    

31. [Identity Providers] (ID プロバイダー) ページの [Client ID] (クライアント ID) フィールドにアプリケーション ID を入力します。

32. [Client Secret] (クライアント シークレット) フィールドにクライアント シークレットを入力します。

33. [詳細設定の表示] を選択します。 既定では、この構成は逆フェデレーション アクセスのために Okta のユーザー プリンシパル名 (UPN) を Microsoft Entra ID の UPN に結び付けます。

    重要

    Okta と Microsoft Entra ID の UPN が一致しない場合は、ユーザー間で共通の属性を選択します。

34. 自動プロビジョニングの選択を完了します。

35. 既定では、Okta ユーザーに一致するものが見つからない場合、システムは Microsoft Entra ID のユーザーのプロビジョニングを試行します。 Okta からプロビジョニングを移行した場合は、[Redirect to Okta sign-in page] (Okta サインイン ページにリダイレクトする) を選びます。

    

ID プロバイダー (IDP) を作成しました。 ユーザーを正しい IDP に送信します。

1. [Identity Providers] (ID プロバイダー) メニューで、[Routing Rules] (ルーティング規則)、[Add Routing Rule] (ルーティング規則の追加) の順に選びます。

2. Okta プロファイルで使用できる属性のいずれかを使用します。

3. デバイスと IP からのサインインを Microsoft Entra ID に転送するには、次の画像のようにポリシーを設定します。 この例では、どの Okta プロファイルでも [Division] (ディビジョン) 属性は使われていません。 これは、IDP ルーティングの場合に適しています。

   

4. アプリケーションの登録に追加するリダイレクト URI をメモします。

   

5. アプリケーションの登録で、左側のメニューの [認証] を選びます。

6. [プラットフォームを追加] を選びます

7. [Web] を選択します。

8. Okta の IDP でメモしたリダイレクト URI を追加します。

9. [アクセス トークン] と [ID トークン] を選択します。

   

10. 管理コンソールで [ディレクトリ] を選びます。

11. [ユーザー] を選びます。

12. プロファイルを編集するテスト ユーザーを選びます。

13. プロファイルに ToAzureAD を追加します。 次の図を参照してください。

14. [保存] を選択します。

    

15. 変更されたユーザーとして Microsoft 356 ポータルにサインインします。 ユーザーがマネージド認証パイロットに含まれない場合、アクションがループに入ります。 ループを終了するには、マネージド認証エクスペリエンスにユーザーを追加します。

パイロット メンバーでの Okta アプリのアクセスをテストする

Microsoft Entra ID で Okta アプリを構成し、Okta ポータルで IDP を構成したら、アプリケーションをユーザーに割り当てます。

1. Microsoft Entra 管理センターで、[ID]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。

2. 作成したアプリの登録を選びます。

3. [ユーザーとグループ] に移動します。

4. マネージド認証パイロットと関連するグループを追加します。

   注意

   ユーザーとグループは [エンタープライズ アプリケーション] ページから追加できます。 [アプリの登録] メニューからユーザーを追加することはできません。

   

5. 15 分ほど待ちます。

6. マネージド認証パイロット ユーザーとしてサインインします。

7. [マイ アプリ] に移動します。

   

8. Okta ホーム ページに戻るには、[Okta Application Access] (Okta アプリケーション アクセス) タイルを選びます。

パイロット メンバーでマネージド認証をテストする

Okta 逆フェデレーション アプリを構成したら、マネージド認証エクスペリエンスに対してテストを実行するようにユーザーに依頼します。 ユーザーがテナントを認識できるように、会社のブランドを構成することをお勧めします。

詳細情報: 会社のブランドを構成する。

重要

Okta からドメインのフェデレーションを解除する前に、必要な条件付きアクセス ポリシーを特定します。 切断する前に環境をセキュリティで保護できます。 「チュートリアル: Okta サインオン ポリシーを Microsoft Entra 条件付きアクセスに移行する」を参照してください。

Office 365 ドメインのフェデレーションを解除する

組織がマネージド認証エクスペリエンスに慣れたら、Okta からドメインのフェデレーションを解除することができます。 まず、次のコマンドを使用して Microsoft Graph PowerShell に接続します。 Microsoft Graph PowerShell モジュールがない場合は、「install-module MSOnline」と入力してダウンロードしてください。

import-module MSOnline
Connect-MgGraph
New-MgDomainFederationConfiguration 
-domainname yourdomain.com -authentication managed

ドメインをマネージド認証に設定した後、Okta ホーム ページへのユーザー アクセスを維持したまま、Okta から Office 365 テナントのフェデレーションを解除できました。

次のステップ

• チュートリアル: Okta 同期プロビジョニングを Microsoft Entra Connect ベースの同期に移行する
• チュートリアル: Okta サインオン ポリシーを Microsoft Entra 条件付きアクセスに移行する
• チュートリアル: アプリケーションを Okta から Microsoft Entra ID に移行する