OIDC対応として構成された既存のインストールでサービスとしてのMFAを有効にする

既存のADFSインストールでサービスとしてのMFAを有効にするには：

1. 既存のアプリケーションがサービスとしてのMFAを使用できるようにします。

   1. Oktaテナントに管理者としてサインインします。
   2. ［Applications（アプリケーション）］［Applications（アプリケーション）］に移動し、既存のADFSアプリを選択します。
   3. ［Sign On（サインオン）］タブを選択し、［Settings（設定）］セクションで［Edit（編集）］をクリックします。
   4. ［MFA as a service（サービスとしてのMFA）］を選択します。
   5. ［Save（保存）］をクリックします。

2. サービスとしてのMFAのADFSプラグインを有効にします。

   1. ADFSプラグインがインストールされたマシンに接続します。
   2. テキストエディターを使用してC:\Program Files\Okta\Okta MFA Provider\config\okta_adfs_adapter.jsonを開きます。
      注：デフォルトでは、okta_adfs_adapter.jsonファイルはc:\Program Files\Okta\Okta MFA Provider\config\okta_adfs_adapter.jsonにあります。
      詳細については、「Active Directory Federation Services（ADFS）向けMFAの構成」を参照してください。
   3. useOIDCプロパティーを検索して変更し、その値をfalseに設定します。
      例：useOIDC:false
   4. 変更を保存してエディターを閉じます。
   5. テキストエディターを使用して、次のMicrosoft Powershellスクリプトをコピーして作成し、ApplyConfigurationSettingChanges.ps1として保存します。
      必要に応じて、BinDirおよびConfigDir変数の値を環境に合わせて変更してください。

      コピー

      ApplyConfigurationSettingChanges.ps1

      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      16
      17
      18
      19
      20
      21
      22
      23
      24
      25
      26
      27
      28
      29
      30
      31
      32
      # ApplyConfigurationSettingChanges.ps1
      [System.Reflection.Assembly]::Load("System.EnterpriseServices, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a")
      
      $BinDir = "C:\Program Files\Okta\Okta MFA Provider\bin"
      $ConfigDir = "C:\Program Files\Okta\Okta MFA Provider\config"
      
      Start-Service adfssrv
      
      # Remove Okta MFA Provider
      $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
      $providers.Remove("OktaMfaAdfs") 
      Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
      
      # Unregister 
      Unregister-AdfsAuthenticationProvider -Name "OktaMfaAdfs" -Confirm:$false -ErrorAction Stop
      
      # restart the ADFS service
      Restart-Service adfssrv -Force
      
      # register MFA adapter again
      $OktaMfaAssamply = [Reflection.Assembly]::Loadfile($BinDir + "\OktaMfaAdfs.dll")
      $typeName = "OktaMfaAdfs.AuthenticationAdapter, OktaMfaAdfs, Version=" + $OktaMfaAssamply.GetName().Version + ", Culture=neutral, PublicKeyToken=3c924b535afa849b"
      Register-AdfsAuthenticationProvider -TypeName $typeName -Name "OktaMfaAdfs" -Verbose -ConfigurationFilePath "$ConfigDir\okta_adfs_adapter.json"
      
      # restart the service
      Restart-Service adfssrv -Force
      
      # Enable Okta MFA adapter
      $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
      $providers.Add("OktaMfaAdfs") 
      Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
                              

   6. 管理者としてMicrosoft PowerShellを開き、スクリプトApplyConfigurationSettingChanges.ps1を実行します。
   7. ユーザーが認証できることを確認します。

サービスとしてのMFAを正常に構成しました。