Office 365向けにシングルサインオンを構成する
ユーザーが以下のいずれかの方法でOffice 365にサインオンできるようにすることができます。
- Secure Web Authentication(SWA)
- WS-Federation:自動
- WS-Federation:手動
SWAはOktaが開発したシングルサインオン(SSO)方式です。強力な暗号化と顧客固有の秘密鍵を組み合わせて使用してエンドユーザーの資格情報を保存します。エンドユーザーがアプリをクリックすると、暗号化された資格情報を使って安全にサインインできます。「SWAアプリの統合」を参照してください。
WS-Federationでは、暗号化されたSOAPメッセージを使用してID情報を転送するメカニズムが定義されます。Office 365用の個別のパスワードは必要ありません。「WS-Fedアプリの統合」を参照してください。
はじめに
- 「Office 365をOktaに追加する」を完了します。
-
Bring users into Okta(ユーザーをOktaに取り込む):Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートを受けてください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。
- WS-Federationに利用しているOffice 365管理者アカウントのMicrosoft MFAを無効にします。MFAが有効な場合、OktaでのプロビジョニングとSSOのセットアップが中断される可能性があります。
- Microsoft Endpoint Manager管理センターで[Web Sign-in(Webサインイン)]オプションが[Enabled(有効)]になっているAzure Active Directoryテナントを統合する場合は、その構成設定でOkta orgのURLが許可されることを確認します。ポリシーCSP - 認証については、Microsoftのドキュメントを参照してください。
このタスクを開始する
-
Office 365向けのSSOを構成するには、次のいずれかの方法を使用できます。
- SSOを構成したら、SSO構成をテストする必要があります。
Secure Web Authenticationを使用してSSOを構成する
SWAまたはWS-Federationを使用して、ユーザーがOffice 365にサインインできるようにすることができます。SWAよりも安全であるため、できるだけWS-Federationを使用することをお勧めします。
- に移動します。
- [Sign on Methods(サインオン方法)]で、[Secure Web Authentication]を選択します。
- ユーザー名とパスワードの設定に適切なオプションを選択します。「Secure Web Authentication」を参照してください。
- 「プロビジョニングをテストする」セクションの説明のように、ユーザー名の形式をマッピングします。
- [Save(保存)]をクリックします。
WS-Federationを使用してSSOを構成する
WS-Federationの構成には、自動と手動の2つの方法があります。OktaによるWS-Federationの自動構成を許可するか、Oktaが提供するカスタマイズされたPowerShellスクリプトを使用して手動で構成することができます。バックエンドの手順がOktaによって管理されるため、WS-Federationを自動的に構成することをお勧めします。
WS-Federation(自動)方法を使用してSSOを構成する
- に移動します。
- [Sign on Methods(サインオン方法)]で、を選択します。
- [Office 365 Administrator Username and Password(Office 365管理者のユーザー名とパスワード)]を入力します。
プロビジョニングのセットアップ時にユーザー名とパスワードを指定した場合、Office 365管理者のユーザー名とパスワードは事前に入力されます。
- [Fetch and Select(取得して選択)]をクリックします。連携認証に使用できるすべてのOffice 365ドメインのリストが表示されます。
- 連携認証するドメインを選択します。
- [Save(保存)]をクリックします。
ロックアウトを回避するために、連携認証するドメイン内にOffice 365の管理者資格情報がないことを確認してください。
Office 365ドメインからロックされることは、Microsoft 365アプリ管理者センターで本人確認できないことを意味します。これは、管理者ではなくユーザーとして認識される場合に、Okta経由で本人確認を行う必要があるためです。デフォルトのOffice 365ドメインに属するアカウントの管理者資格情報を使用していることを確認します。デフォルトのテナントドメインはyourtenant.onmicrosoft.comです。
WS-Federation(自動)方式を使用してSSOを構成する(Microsoft Graph)
MS Graphフェデレーション機能を有効化した場合は、ナビゲーションが異なります。
- に移動します。
- [Sign on Methods(サインオン方法)]でを選択します。
- [Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。[Microsoft account login(Microsoftアカウントログイン)]ページにリダイレクトされます。
- Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
- 要求した権限を確認して受け入れます。
- [Fetch and Select(取得して選択)]をクリックします。連携認証に使用できるすべてのOffice 365ドメインのリストが表示されます。
- 連携認証するドメインを選択します。
- [Save(保存)]をクリックします。
ロックアウトを回避するために、連携認証するドメイン内にOffice 365の管理者資格情報がないことを確認してください。
Office 365ドメインからロックされることは、Microsoft 365アプリ管理者センターで本人確認できないことを意味します。これは、管理者ではなくユーザーとして認識される場合に、Okta経由で本人確認を行う必要があるためです。デフォルトのOffice 365ドメインに属するアカウントの管理者資格情報を使用していることを確認します。デフォルトのテナントドメインはyourtenant.onmicrosoft.comです。
WS-Federation(手動)方式を使用してSSOを構成する
- に移動します。
- [Sign on Methods(サインオン方法)]で、を選択します。
- [View Setup Instructions(設定手順を表示)]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
- PowerShellで使用するためにこのコマンドをコピーします。
PowerShellで、
- Connect-MsolServiceと入力します。
- Office 365グローバル管理者のユーザー名とパスワードを入力します。
- カスタマイズされたPowerShellコマンドをコピーして入力します。
- 次のコマンドを入力し、連携認証が成功したことを確認します:Get-MsolDomainFederationSettings -DomainName yourdomain.name
WS-Federation(手動)方式を使用してシングルサインオンを構成する(Microsoft Graph)
MS Graphフェデレーション機能を有効化した場合は、PowerShellコマンドが異なります。
- に移動します。
- [Sign on Methods(サインオン方法)]で、を選択します。
- [View Setup Instructions(設定手順を表示)]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
- PowerShellで使用するためにこのコマンドをコピーします。
PowerShellで、
- Connect-MgGraph -Scopes Directory.AccessAsUser.Allを入力します。
- Office 365グローバル管理者のユーザー名とパスワードを入力します。
- カスタマイズされたPowerShellコマンドをコピーして入力します。
- 次のコマンドを入力し、連携認証が成功したことを確認します:Get-MgDomainFederationConfiguration -DomainId yourdomain.name
SSO構成をテストする
- テストユーザーとしてOktaにサインインします。
- エンドユーザーダッシュボードからOffice 365を開きます。
- ユーザーがOffice 365アカウントに正常にログインしていることを確認します。