OktaとAzureADの連携

2022.12.09

OktaとはAzureADと同じ認証基盤サービスのひとつです。AzureADと同じようにユーザーID作成やサインインログの管理、シングルサインオン、多要素認証といった機能が利用可能です。業務でMicrosoft製品を多く利用している場合はAzureADを認証基盤として利用しているケースが多いですが最近はメールはGoogle、CASBはnetscope、ストレージはBox、AWSを利用といった様々なサービスが混在しているケースや、社内ポリシーの基準を満たすためにOktaを利用するといったケースも増えてきています。ここでIdpをOkta、MDMはMicrosoft Intuneで利用することを想定してOktaとAzureADとのフェデレーションを構成する方法を記載します。

手順1  AzureAD側での作業

1.プライマリドメインの変更
1-1. AzureActive Directory管理センターを開いて「カスタムドメイン名」をクリックしてプライマリドメインを変更する名前を選択します。

1-2.「プライマリにする」をクリックして「はい」をクリックします。

2.セキュリティ規定値群の無効化

2-1. 「プロパティ」をクリックして、「セキュリティの既定値の管理」をクリックします。

2-2. 「セキュリティの既定値の有効化」のスイッチを「いいえ」にします。
「自分の組織では条件付きアクセスを使用している」にチェックを入れます。
「保存」をクリックします。

手順2 Okta側での作業

1.アプリの追加
1-1.「Brows App Catalog」をクリックします。

1-2.「Office365」をクリックします。

1-3.「Add Integration」をクリックします。

1-4.「MicrosoftTenantName」に既存のテナント名を入力します。
「Your Office365 company domain」に既存のOffice365のドメイン名を入力します。

1-5. 「Seats」に保有しているライセンス数を入力します。
「Next」をクリックします。

2.承認
2-1. 「WS-Federation」をクリックします。

2-2.「Admin Username」にOkta用のユーザーネームを入力します。
「Admin Password」にパスワードを入力します。

2-3.「Allow administration to consent for Office365」にチェックを入れて「Authenticator with Microsoft Office365」をクリックします。

3.API有効化
3-1.「Provisioning」をクリックして「Configure API Integration」をクリックします。

3-2.「Enable API integration」チェックを入れます。

3-3.「Test API Credentials」をクリックします。

3-4.「save」をクリックします。

4.プロビジョニング
4-1.「Edit」をクリックします。

4-2.「Create Users」「Update User Attributes」「Deactivate Users」の「Enable」にチェックを入れて「Save」をクリックします。

手順3 ユーザ作成と割り当て

1.ユーザ作成
1-1.「Directory」を展開して「People」をクリックします。 「Add Person」をクリックします。

1-2.「First name」「Last name」「Username」を入力します。「I will set password」にチェックを入れて、パスワードを入力します。「Save and Add Another」をクリックして保存または他のユーザーを作成します。

2.アプリ割り当て
2-1.アプリを割り当てるユーザーを選択します。

2-2.「Assign Applications」をクリックします。

2-3.「Assign」をクリックします。

3 -4.「Licenses」のすべてにチェックを入れます。

3-5.「Roles」の「Global Administrator」にチェックを入れます。

3-6.「Save and Go Back」をクリックします。

3-7. 「Done」をクリックします。

4.レガシー認証の許可
4-1.「Applications」を展開して「Applications」をクリックします。
「Microsoft Office365」をクリックします。

4-2.「Sign On」をクリックします。

4-3.「View policy details」をクリックします。

4-4.「Actoin」を展開して「Edit」をクリックします。

4-5.「Exchange ActiveSync/Legacy Auth」を追加します。

4-6.「Save」をクリックします。

5.AzureAD参加PCにパスワードでサインインできるか確認
5-1.Office365にログインします。

5-2.「サインイン」をクリックします。

5-3.アカウントを入力して「次へ」をクリックします。

5-4. パスワードを入力して「サインイン」をクリックします。

6.Microsoft365管理センターでユーザが作成されていることを確認
6-1.「ユーザー」を展開して「アクティブなユーザー」を開きます。

6-2.作成されたユーザーが表示されるので確認をします。

手順4 ユーザを一括でインポートしたい場合

1.テンプレートのダウンロード
1-1.「Directory」を展開して「People」を開きます。

1-2.「More actions」を展開して「Import Users from CSV」をクリックします。

1-3.「this template」をクリックするとテンプレートがダウンロードされます。

2.グループへの参加ルール
2-1.「Add group」をクリックします。

2-2.「Name」に任意の名前を入力して、「Description」に任意の説明を入力します。「Save」をクリックします。

2-3.作成したグループをクリックします。

2-4.「Applications」をクリックして「Assign applications」をクリックします。

2-5.「Assign」をクリックします。

9-6.「Licenses」のすべてにチェックを入れます。

2-7.「Roles」の「Device Join」と「Device Readers」にチェックを入れます。

2-8.「Save and Go Back」をクリックします。

2-9.「Done」をクリックします。

2-10.「Back to Groups」をクリックします。

2-11.「Add Rule」をクリックします。

2-12. 「Name」に任意の名前を入力して、「IF」に「department/string」「Equals」「HR」を設定します。「THEN assign to」に「HumanResource」を入力して「Save」をクリックします。

3. ルールの有効化
3-1.「Actions」を展開して「Activate」をクリックします。

4.CSV作成
必須項目は「login」「firstName」「lastName」「email」「displayName」です。

5.アップロード
5-1.More actions」を展開して「Import users from CSV」をクリックします。

5-2.先程ダウンロードしたテンプレートのCSVファイルを選択して「Upload CSV」をクリックします。「Next」をクリックします。

5-3.「Automaticarlly activate new users」にチェックを入れて「Import Users」をクリックします。

手順5 (補足) PIN作成でループした時の対処

1. PINを作成するタイミングでループしてサインインをすることができないエラーが発生します。

2 解決する為にはOkta側のポリシーを変更する必要があります。「AddRule」をクリックし、新しいポリシーを作ります。

「One of the following clients」を選択します。

「Web browser」、「Modern Authentication」を選択します。

「Any 2 factor type」を選択します。

既存ルールの編集を行います。「Edit」を選択します。

「Web browser」、「Modern Authentication」を削除します。

「Exchange Active Sync/Legacy Auth」のみにします。

再度キッティングをします。

該当ユーザーでサインインをします。

今回はループせずにデバイス設定が開始されます。

PINを作成します。

無事AzureAD参加することができました。