OktaでMicrosoft ADFSをインストールして構成する
Active Directory Federation Services(ADFS)用のOkta多要素認証(MFA)プロバイダーをインストールする前に、以下を行う必要があります。
- 認証要素を選択する
- Microsoft ADFS(MFA)アプリケーションによって認証されるグループを定義する
- Microsoft ADFS(MFA)アプリケーションを追加する
- オリジン間リソース共有を有効にする
OpenID Connectとシングルサインオンをサポートするように構成されていないOkta orgでもMicrosoft ADFSをインストールして構成できますが、MFAをサービスとして使用する必要があります。
- 認証要素を選択します。
- 管理コンソールで、[Security(セキュリティ)] > [Multifactor(多要素)]に移動します。
- [Factor Types(要素タイプ)]タブを選択します。
- 要素を選択し、[Inactive(非アクティブ)]→[Activate(アクティブ化)]をクリックして、要素をアクティブ化します。
「多要素認証」も参照してください。
-
Microsoft ADFS(MFA)アプリケーションによって認証されるグループを定義します。
- Oktaテナントに管理者としてサインインします。
- Okta Admin Consoleで、[Directory(ディレクトリ)]>[Groups(グループ)]に移動します。
- [Add Group(グループを追加)]をクリックします。
- [Add group(グループを追加)]ダイアログのフィールドに入力して、[Save(保存)]をクリックします。
- グループにユーザーを追加します。「ユーザー、グループ、プロファイル」を参照してください。
-
Microsoft ADFS(MFA)アプリケーションを追加します。
- 管理者としてOkta orgにサインインします。
- 管理コンソールで、[Applications(アプリケーション)]→[Applications(アプリケーション)]→[Add Application(アプリケーションの追加)]に移動し、Microsoft ADFS(MFA)を検索します。
- [Add Application(アプリケーションの追加)]をクリックします。
- 一意の名前を入力します。
-
OpenID Connectとシングルサインオンが有効になっているOkta orgの場合:
-
[Sign-On(サインオン)]オプションページで[OpenID Connect]が選択されていることを確認し、適切な[Redirect URI(リダイレクトURI)]を入力し、[Done(完了)]をクリックします。
リダイレクトURIの末尾がフォワードスラッシュであることを確認します。例:https://yourdomain.com/
-
新しく作成したMicrosoft ADFSアプリケーションの[Sign on(サインオン)]タブを選択し、サインオン・モードがOpenID Connectであることを確認します。
OpenID Connectとシングルサインオンが有効になっていないOkta orgの場合:
- [Sign-On(サインオン)]タブを選択し、[MFA as a service(サービスとしてのMFA)]が選択されていることを確認します。
![[MFA as a service(サービスとしてのMFA)]が有効になっている[Sign On(サインオン)]タブ](../../Resources/Images/hybrid-access/adfs-okta-int.05a_thumb_220_220.png)
-
- [General(一般)]タブを選択して、[Client ID(クライアントID)]と[Client secret(クライアント・シークレット)]の値をメモします。これらの値は、「ADFSサーバーにOkta ADFSプラグインをインストールする」のタスクで必要になります。
![[Client ID(クライアントID)]フィールドと[Client secret(クライアントシークレット)]フィールドが表示されている、Microsoft ADFSアプリケーションの[General(一般)]オプションMFA as a service(サービスとしてのMFA)を構成するには、この2つのフィールドの値が必要です。](../../Resources/Images/hybrid-access/adfs-okta-int.06a_thumb_220_220.png)
- 構成を変更する手順に従い、useOIDCがfalseになっていることを確認するか、このように構成します。
構成を変更した後は、エージェントを再起動する必要があります。
-
オリジン間リソース共有(CORS)を有効にします。
CORSの詳細については、「CORSの概要」を参照してください。
- 管理者としてOkta orgにサインオンします。
- [Security(セキュリティ)]>[API]に移動します。
- [Trusted Origins(信頼済みオリジン)]タブを選択し、[CORS]をクリックします。
- [Add Origin(オリジンを追加)]をクリックします。
- 以下の情報を入力します。
- [Name(名前)]
- [Origin URL(オリジンURL)]:ADFSサービス名にすることができます。
- [CORS]チェックボックスを選択し、[Save(保存)]をクリックします。
![[MFA as a service(サービスとしてのMFA)]が有効になっている[Sign On(サインオン)]タブ](../../Resources/Images/hybrid-access/adfs-okta-int.05a.png)
![[Client ID(クライアントID)]フィールドと[Client secret(クライアントシークレット)]フィールドが表示されている、Microsoft ADFSアプリケーションの[General(一般)]オプションMFA as a service(サービスとしてのMFA)を構成するには、この2つのフィールドの値が必要です。](../../Resources/Images/hybrid-access/adfs-okta-int.06a.png)
