Office 365向けにシングルサインオンを構成する

ユーザーが以下のいずれかの方法でOffice 365にサインオンできるようにすることができます。

  • Secure Web Authentication(SWA)
  • WS-Federation:自動
  • WS-Federation:手動

SWAはOktaが開発したシングルサインオン(SSO)方式です。強力な暗号化と顧客固有の秘密鍵を組み合わせて使用してエンドユーザーの資格情報を保存します。エンドユーザーがアプリをクリックすると、暗号化された資格情報を使って安全にサインインできます。SWAアプリの統合を参照してください。

WS-Federationでは、暗号化されたSOAPメッセージを使用してID情報を転送するメカニズムが定義されます。Office 365用の個別のパスワードは必要ありません。WS-Fedアプリの統合を参照してください。

開始する前に

  • Office 365をOktaに追加するを完了します。

  • ユーザーをOktaに取り込む(Bring users into Okta)Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートに連絡してください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。

  • Microsoft Endpoint Manager管理センターWebサインイン(Web Sign-in)オプションが有効(Enabled)になっているAzure Active Directoryテナントを統合する場合は、その構成設定でOkta orgのURLが許可されることを確認します。ポリシーCSP - 認証については、Microsoftのドキュメントを参照してください。

このタスクを開始する

  1. Office 365向けのSSOを構成するには、次のいずれかの方法を使用できます。

  2. SSOを構成したら、SSO構成をテストする必要があります。

Secure Web Authenticationを使用してSSOを構成する

SWAまたはWS-Federationを使用して、ユーザーがOffice 365にサインインできるようにすることができます。SWAよりも安全であるため、できるだけWS-Federationを使用することをお勧めします。Okta

  1. Office 365 > サインオン(Sign On) > 設定(Settings) > 編集(Edit)に移動します。
  2. サインオン方法(Sign on Methods)で、Secure Web Authenticationを選択します。
  3. ユーザー名とパスワードの設定に適切なオプションを選択します。「SWAアプリについて」を参照してください。
  4. ユーザー名の形式をマッピングします。これについては、セクション3「OktaからOffice 365にプロファイル属性をマッピングします。
  5. 保存(Save)をクリックします。

WS-Federationを使用してSSOを構成する

WS-Federationの構成には、自動と手動の2つの方法があります。OktaによるWS-Federationの自動構成を許可するか、Oktaが提供するカスタマイズされたPowerShellスクリプトを使用して手動で構成することができます。バックエンドの手順がOktaによって管理されるため、WS-Federationを自動的に構成することをお勧めします。

自動(WS-Federation)方法を使用してSSOを構成する

初回セットアップ

WS-Federationを初めて構成する際には、次の手順に従ってドメインを認証して選択します。

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. Microsoft Office 365アプリを見つけて選択します。

  3. 一般設定(General Settings)タブで必要なフィールドに入力し、次へ(Next)をクリックしてサインオンオプション(Sign-On Options)タブに移動します。

  4. サインオン方法(Sign on methods)セクションで、WS-Federation > 自動(Automatic)を選択します。
  5. 任意。設定手順を表示(View Setup Instructions)をクリックします。Office 365 WS-Federationを構成するための手順が新しいウィンドウに表示されます。
  6. 任意。手順のフェデレーション認証のためのドメインを準備する(Prepare your domain for federated authentication)セクションを参照して、連携認証用にドメインを適切に準備したことを確認してください。
  7. サインオンオプション(Sign-On Options)タブに戻り、フェデレーションの設定を開始(Start federation setup)をクリックします。Microsoftアカウントログインページにリダイレクトされます。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    2. 要求した権限を確認して受け入れます。
  8. ドメインをフェデレーション(Federate domains)をクリックします。
  9. 表示されるダイアログで、ドロップダウンリストからフェデレーションするドメインを選択します。
  10. 次へ(Next) > 保存(Save)をクリックします。
  11. 完了(Done)をクリックします。

既存の構成を編集する

以前にWS-Federationを構成している場合は、次の手順に従って変更を行います。

  1. Office 365 > サインオン(Sign on) > 編集(Edit)に移動します。サインオン方法(Sign on Methods)WS-Federation > 自動(Automatic)が選択されていることを確認します。

  2. 読み取り専用モードでフェデレーションされた親ドメインと子ドメインを表示するには、選択したドメインを表示(View selected domains)をクリックします。
  3. ドメインを追加または削除するには、検証済みドメインを管理(Manage verified domains)をクリックします。
  4. 別のMicrosoft Office 365アカウントで再認証するには、Microsoftアカウントで再認証(Re-authenticate with Microsoft Account)をクリックします。
  5. 保存(Save)をクリックします。

手動(WS-Federation)方式を使用してSSOを構成する

MS Graphフェデレーション機能を有効化した場合は、PowerShellコマンドが異なります。

  1. Office 365 > サインオン(Sign on) > 編集(Edit)に移動します。
  2. サインオン方法(Sign on methods)で、WS-Federation > PowerShellを使用した手動(Manual using PowerShell)を選択します。手動のままにする(Continue with Manual)をクリックして、選択内容を確認します。
  3. 設定手順を表示(View Setup Instructions)をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
  4. PowerShellで使用するためにこのコマンドをコピーします。

PowerShellで以下を行います。

  1. Connect-MgGraph -Scopes Directory.AccessAsUser.Allを入力します。
  2. Office 365グローバル管理者のユーザー名とパスワードを入力します。
  3. カスタマイズされたPowerShellコマンドをコピーして入力します。
  4. 次のコマンドを入力し、連携認証が成功したことを確認します:Get-MgDomainFederationConfiguration -DomainId yourdomain.name

SSO構成をテストする

  1. テストユーザーとしてOktaにサインインします。
  2. エンドユーザーダッシュボードからOffice 365を開きます。
  3. ユーザーがOffice 365アカウントに正常にログインしていることを確認します。

次の手順

ユーザーをOffice 365にプロビジョニングする