Azure Active Directory属性をOkta属性にマッピングする

ユーザー認証にAzure Active Directoryを使用するには、Azure Active Directoryのユーザー属性をOkta属性にマッピングする必要があります。

開始する前に

注意

  • loginemailの両方の属性にUPNを使用している場合は、両方の属性にマッピングする必要があります。
  • 必須属性のいずれかが空の場合、または正しくマッピングされていない場合、JITを使用した新しいユーザーの作成が失敗する可能性があります。

  • そのため、Azure ADでOktaアプリに正しいクレーム値を設定してください。次のMicrosoftのドキュメントを参照してください: User attributes and claim

この手順を開始する

この手順には次のタスクが含まれます。

  1. Azure ADからOktaへの属性マッピングを無効にする

  2. OktaでカスタムAzure AD属性を追加する

  3. Azure AD属性をOktaにマッピングする

Azure ADからOktaへの属性マッピングを無効にする

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Profile Editor(プロファイルエディタ)]に進みます。
  2. [Search(検索)]フィールドに、AADまたはIDプロバイダー(IdP)として追加したときにAzure Active Directoryに割り当てた名前を入力します。
  3. ディレクトリの横にあるプロファイルをクリックします。プロファイルエディタに進みます。
  4. プロファイルエディタで、ユーザーマッピングを構成します。
    1. [Mappings(マッピング)]をクリックし、[Configure User mappings(ユーザーマッピングを構成)]を選択します。
    2. [<AAD Application Name> to Okta User(<AADアプリケーション名>からOktaユーザー)]タブを選択し、各属性の2番目のドロップダウンで、login属性以外のすべての属性に対して[Do not map(マッピングしない)]を選択します。
    3. [Save Mappings(マッピングを保存)][Apply updates now(今すぐ更新を適用)]をクリックします。
  5. orgに存在する追加のカスタムユーザーマッピングについて、ステップ4を繰り返します。

OktaでカスタムAzure AD属性を追加する

  1. Azure AD IdPの[Profile Editor(プロファイルエディタ)][FILTERS(フィルター)]で、[Custom(カスタム)]を選択します。
  2. First NameLast Name、およびEmailの属性を削除します。
    注

    [Variable Name(変数名)]および[External Name(外部名前)]フィールドは編集できないため、これらの属性を削除します。次のステップでは、これらのフィールドを編集できるカスタム属性を追加します。

  3. [Add Attribute(属性の追加)]ボタンをクリックします。[Add Attribute(属性を追加)]ウィンドウが開きます。
  4. Email属性を作成するには、以下のフィールドに入力します。

    フィールド
    表示名 メールまたはこのメールに割り当てるその他の名前。
    変数名 email

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。

    外部名 この属性にマッピングするクレーム。例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. [Save and Add Another(保存して別の属性を追加)]をクリックして、この属性を保存して別の属性を追加します。
  6. 手順4と5を繰り返して、[First Name(名)]、[Last Name(姓)]、[UPN](任意)の属性を追加します。以下の値を指定します。

    First Nameの場合:

    フィールド
    表示名 [First Name(名)]、または名に割り当てるその他の名前。
    変数名 firstName

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。

    外部名 この属性にマッピングするクレーム。例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    Last Nameの場合:

    フィールド
    表示名 [Last Name(姓)]、または姓に割り当てるその他の名前。
    変数名 lastName

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。

    外部名 この属性にマッピングするクレーム。例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    UPN(任意)の場合:

    フィールド
    表示名 UPNまたはUPNに割り当てるその他の名前。
    変数名 upn

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。

    外部名 この属性にマッピングするクレーム。例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Azure AD属性をOktaにマッピングする

  1. [Mappings(マッピング)]をクリックし、[Configure User mappings(ユーザーマッピングを構成)]を選択します。
  2. [<AAD Application Name> to Okta User(<AADアプリケーション名>からOktaユーザー)]タブを選択します。
  3. 以下に示すように、作成したカスタムAzure AD属性をOktaユーザープロファイルにマッピングします。

    Azure AD属性Okta属性

    emailまたはupnまたはsubjectNameId

    ユーザーがOktaで認証する際に使用する属性に応じて、正しい属性を選択してください。

    login

    emailまたはupnまたはsubjectNameId

    ユーザーのメインのメールアドレスに応じて、正しい属性を選択してください。

    email

    firstNamefirstName
    lastNamelastName

    upn

    任意。

    nameidentifier

  4. [Save Mappings(マッピングを保存)][Apply updates now(今すぐ更新を適用)]をクリックします。

次の手順

Azure Active Directory統合をテストする