Office 365向けにシングル・サインオンを構成する

ユーザーがOffice 365にサインインできるようにするには、次のいずれかの方法を使用できます。

  • セキュリティーで保護されたWeb認証(SWA)
  • WS-Federation:自動
  • WS-Federation:手動

SWAはOktaが開発したシングル・サインオン方法です。強力な暗号化と顧客固有の秘密鍵を組み合わせて使用し、エンド・ユーザーの認証情報を保存します。エンド・ユーザーがアプリをクリックすると、暗号化された認証情報が使用されて、Oktaによって安全にサインインされます。

WS-Federationでは、暗号化されたSOAPメッセージを使用してID情報を転送するメカニズムが定義されています。Office 365用の個別のパスワードは必要ありません。

開始する前に

  • OktaにOffice 365を追加する」を完了してください。
  • ユーザーをOktaに取り込む:Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下 を参照してください。

  • WS-Federationに使用しているOffice 365管理者アカウントのMicrosoft多要素認証を無効にします。多要素認証が有効になっていると、Oktaでのプロビジョニングとシングル・サインオンのセットアップが中断される可能性があります。
  • Microsoft Endpoint Manager管理センター[Webサインイン]オプションが[有効]になっているAzure ADテナントを統合する場合は、その構成設定でOkta組織のURLが許可されていることを確認します。 「Policy CSP - Authentication」のMicrosoftドキュメンテーションを参照してください。

このタスクを開始する

  1. Office 365向けのシングル・サインオンを構成するには、次のいずれかの方法を使用できます。

  2. シングル・サインオンを構成したら、 必要があります。

セキュリティーで保護されたWeb認証を使用してシングル・サインオンを構成する

SWAまたはWS-Federationを使用して、ユーザーがOffice 365にサインインできるようにすることができます。可能な場合は、SWAよりも安全であるため、WS-Federationを使用します。

  1. [Office 365] > [サインオン] > [設定] > [編集]に移動します。
  2. [サインオン方法]で、[セキュリティーで保護されたWeb認証]を選択します。
  3. ユーザー名とパスワードの設定に適切なオプションを選択します。「 」を参照してください。
  4. ユーザー名のフォーマットをマッピングします。これについては、ユーザーのプロビジョニングに関するセクション「 」で説明されています。
  5. [保存]をクリックします。

WS-Federationを使用してシングル・サインオンを構成する

WS-Federationを構成する方法には、自動とPowerShellの使用の2つの方法があります。OktaによるWS-Federationの自動構成を許可するか、Oktaによって提供されるカスタマイズされたPowerShellスクリプトを使用して手動で構成することができます。Oktaによってバックエンドの手順が処理されるため、WS-Federationを自動的に構成することをお勧めします。

WS-Federation:自動の方法を使用してシングル・サインオンを構成する

  1. [Office 365] > [サインオン] > [設定] > [編集]に移動します。
  2. [サインオン方法]で、[WS-Federation] > [自動]を選択します。
  3. [Office 365管理者のユーザー名とパスワード]を入力します。
  4. [取得して選択]をクリックします。フェデレーションに使用できるすべてのOffice 365ドメインのリストが表示されます。
  5. フェデレーションするドメインを選択します。
  6. [保存]をクリックします。
情報

注意

Office 365の管理者の認証情報が、フェデレーションするドメイン内にないことを確認してください。

この場合、Office 365ドメインからロックアウトされます。管理者ではなくユーザーとして扱われるOkta経由で認証する必要があるため、Microsoft 365管理センターで自分自身を認証することはできません。デフォルトのOffice 365ドメインにあるアカウントの管理者の認証情報を使用していることを確認します。デフォルトでは、このドメインはyourtenant.onmicrosoft.comです。

WS-Federation:PowerShellの方法を使用してシングル・サインオンを構成する

  1. [Office 365] > [サインオン] > [設定] > [編集]に移動します。
  2. [サインオン方法]で、[WS-Federation] > [PowerShellを使用した手動]を選択します。
  3. [設定手順を表示]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
  4. PowerShellで使用するためにこのコマンドをコピーします。

PowerShellで、

  1. Connect-MsolServiceと入力します。
  2. Office 365グローバル管理者のユーザー名とパスワードを入力します。
  3. カスタマイズされたPowerShellコマンドをコピーして入力します。
  4. 次のコマンドを入力して、フェデレーションが成功したことを確認します。

    Get-MsolDomainFederationSettings -DomainName yourdomain.name

シングル・サインオン構成をテストする

  1. テスト・ユーザーとしてOktaにログインします。
  2. エンド・ユーザー・ダッシュボードからOffice 365を開きます。
  3. ユーザーがOffice 365アカウントに正常にログインしていることを確認します。

次の手順

ユーザーをOffice 365にプロビジョニングする