チュートリアル: アプリケーションを Okta から Microsoft Entra ID に移行する

このチュートリアルでは、アプリケーションを Okta から Microsoft Entra ID に移行する方法について学習します。

前提条件

Microsoft Entra ID でアプリケーションを管理するには、次のものが必要です。

• Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
• 次のいずれかのロール: クラウド アプリケーション管理者、アプリケーション管理者、サービス プリンシパルの所有者。

現在の Okta アプリケーションのインベントリを作成する

移行の前に、現在の環境とアプリケーション設定を文書化します。 この情報は、Okta API を使用して収集できます。 Postman などの API エクスプローラー ツールを使用します。

アプリケーション インベントリを作成するには:

1. Postman アプリを使用して、Okta 管理コンソールから API トークンを生成します。

2. API ダッシュボードの [セキュリティ] で、 [トークン]>[トークンの作成] の順に選択します。

   

3. トークン名を入力し、[トークンの作成] を選択します。

   

4. トークン値を記録し、それを保存します。 [了解しました] を選択した後は、これにアクセスできません。

   

5. Postman アプリのワークスペースで、 [インポート] を選択します。

   

6. [インポート] ページで、 [リンク] を選択します。 API をインポートするには、次のリンクを挿入します。

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

注意

テナント値でリンクを変更しないでください。

7. [インポート] を選択します。

   

8. API がインポートされたら、 [環境] の選択を [{yourOktaDomain}] に変更します。

9. Okta 環境を編集するには、目のアイコンを選択します。 次に、 [編集] を選択します。

   

10. [初期値] および [現在値] フィールドで URL と API キーの値を更新します。 環境が反映されるように名前を変更します。

11. これらの値を保存します。

    

12. API を Postman に読み込みます。

13. [アプリ]>[アプリの一覧の取得]>[送信] の順に選択します。

Note

Okta テナント内のアプリケーションを出力できます。 この一覧は、JSON 形式になっています。

この JSON 一覧をコピーし、CSV 形式に変換することをお勧めします。

• Konklone などのパブリック コンバーターを使用します。
• または、PowerShell の場合は、ConvertFrom-Json と ConvertTo-CSV を使用します。

Note

Okta テナント内のアプリケーションのレコードを入手するには、この CSV をダウンロードします。

SAML アプリケーションを Microsoft Entra ID に移行する

SAML 2.0 アプリケーションを Microsoft Entra ID に移行するには、アプリケーション アクセス用に Microsoft Entra テナント内でアプリケーションを構成します。 この例では、Salesforce インスタンスを変換します。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. ID>アプリケーション>エンタープライズ アプリケーション>すべてのアプリケーション に移動し、新しいアプリケーション を選択します。

   

3. Microsoft Entra ギャラリーで、Salesforce を検索し、そのアプリケーションを選択して [作成] を選択します。

   

4. アプリケーションが作成されたら、 [シングル サインオン] (SSO) タブで [SAML] を選択します。

   

5. [証明書 (未加工)] と [フェデレーション メタデータ XML] をダウンロードして Salesforce にインポートします。

   

6. Salesforce 管理コンソールで、[ID]>[シングル サインオンの設定]>[メタデータ ファイルから新規] の順に選択します。

   

7. Microsoft Entra 管理センターからダウンロードした XML ファイルをアップロードします。 [作成] を選択します。

8. Azure からダウンロードした証明書をアップロードします。 [保存] を選択します。

   

9. 次のフィールドの値を記録します。 値は Azure にあります。

   • エンティティ ID
   • ログイン URL
   • ログアウト URL

10. [メタデータのダウンロード] を選択します。

    

11. ファイルを Microsoft Entra 管理センター にアップロードするには、Microsoft Entra ID の [エンタープライズ アプリケーション] ページの SAML SSO 設定で、[メタデータ ファイルをアップロードする] を選択します。

12. インポートされた値が記録された値と一致することを確認します。 [保存] を選択します。

    

13. Salesforce 管理コンソールで、 [会社の設定]>[マイ ドメイン] の順に選択します。 [認証の構成] に移動し、 [編集] を選択します。

    

14. サインイン オプションで、構成した新しい SAML プロバイダーを選択します。 [保存] を選択します。

    

15. Microsoft Entra ID の [エンタープライズ アプリケーション] ページで、[ユーザーとグループ] を選択します。 次に、テスト ユーザーを追加します。

    

16. 構成をテストするには、テスト ユーザーとしてサインインします。 Microsoft のアプリ ギャラリーに移動し、[Salesforce] を選択します。

    

17. サインインするには、構成された ID プロバイダー (IdP) を選択します。

    

Note

構成が正しい場合、テスト ユーザーは Salesforce ホーム ページに移動します。 トラブルシューティングのヘルプについては、デバッグ ガイドを参照してください。

18. [エンタープライズ アプリケーション] ページで、適切なロールを使用して残りのユーザーを Salesforce アプリケーションに割り当てます。

Note

残りのユーザーを Microsoft Entra アプリケーションに追加したら、ユーザーは接続をテストして、アクセスできることを確認することができます。 次の手順の前に、接続をテストしてください。

19. Salesforce 管理コンソールで、 [会社の設定]>[マイ ドメイン] の順に選択します。

20. [認証の構成] で、 [編集] を選択します。 認証サービスで、[Okta] の選択を解除します。

    

OpenID Connect または OAuth 2.0 アプリケーションを Microsoft Entra ID に移行する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

OpenID Connect (OIDC) または OAuth 2.0 アプリケーションを Microsoft Entra ID に移行するには、Microsoft Entra テナントで、アクセス用にアプリケーションを構成します。 この例では、カスタム OIDC アプリを変換します。

移行を完了するには、Okta テナント内のすべてのアプリケーションに対して次の構成を繰り返します。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。

3. [新しいアプリケーション] を選択します。

4. [独自のアプリケーションの作成] を選択します。

5. 表示されるメニューで、OIDC アプリに名前を付け、[操作中のアプリケーションを登録して Microsoft Entra ID と統合します] を選択します。

6. [作成] を選択します。

7. 次のページで、アプリケーション登録のテナントを設定します。 詳細については、Microsoft Entra ID のテナントに関する説明を参照してください。 任意の組織ディレクトリ (Microsoft Entra ディレクトリ - マルチテナント) 内のアカウント>登録 に移動します。

   

8. [アプリの登録] ページの [Microsoft Entra ID] で、作成された登録を開きます。

Note

アプリケーションのシナリオによっては、さまざまな構成アクションがあります。 ほとんどのシナリオでは、アプリ クライアント シークレットが必要です。

8. [概要] ページで、 [アプリケーション (クライアント) ID] を記録します。 この ID は、アプリケーションで使用します。

9. 左側で、[証明書とシークレット] を選択します。 次に、[+ 新しいクライアント シークレット] を選択します。 クライアント シークレットに名前を付け、その有効期限を設定します。

   

10. シークレットの値と ID を記録します。

注意

クライアント シークレットを失った場合、それを取得することはできません。 代わりに、シークレットを再生成します。

11. 左側で、 [API のアクセス許可] を選択します。 次に、そのアプリケーションに OIDC スタックへのアクセス権を付与します。

12. [+ アクセス許可の追加]>[Microsoft Graph]>[委任されたアクセス許可] の順に選択します。

13. [OpenId アクセス許可] セクションで、 [email] 、 [openid] 、 [profile] を選択します。 [アクセス許可の追加] を選択します。

14. ユーザー エクスペリエンスを向上させ、ユーザーの同意プロンプトを抑制するには、 [テナント ドメイン名に管理者の同意を与えます] を選択します。 [許可] 状態が表示されるまで待ちます。

    

15. アプリケーションにリダイレクト URI がある場合は、URI を入力します。 応答 URL が [認証] タブに続けて、[プラットフォームの追加] と [Web] をターゲットとしている場合は、URL を入力します。

16. [アクセス トークン] と [ID トークン] を選択します。

17. [構成] をクリックします。

18. 必要な場合は、[認証] メニューの [詳細設定] および [パブリック クライアント フローを許可する] で [はい] を選択します。

    

19. テストする前に、OIDC で構成されたアプリケーションで、アプリケーション ID とクライアント シークレットをインポートします。

Note

前の手順を使用して、そのアプリケーションをクライアント ID、シークレット、スコープなどの設定で構成します。

Microsoft Entra ID にカスタム承認サーバーを移行する

Okta 承認サーバーは API を公開するアプリケーション登録に 1 対 1 でマップされます。

既定の Okta 認可サーバーを Microsoft Graph のスコープまたはアクセス許可にマップします。

次のステップ

• Okta フェデレーションを Microsoft Entra ID に移行する
• Okta 同期プロビジョニングを Microsoft Entra Connect ベースの同期に移行する
• Okta サインオン ポリシーを Microsoft Entra の条件付きアクセスに移行する