Azure Active Directory属性をOkta属性にマッピングする

ユーザー認証にAzure Active Directory(AD)を使用するには、Azure ADのユーザー属性をOkta属性にマッピングする必要があります。

はじめに

  • Azure Active DirectoryをIDプロバイダーにするを完了します。

  • Oktaの必須属性loginemailfirstName、およびlastNameにマッピングするクレームを決定します。

    注意

    • loginemailの両方の属性にUPNを使用している場合は、両方の属性にマッピングする必要があります。
    • 必須属性のいずれかが空の場合、または正しくマッピングされていない場合、ジャストインタイム(JIT)プロビジョニングを使用した新しいユーザーの作成が失敗する可能性があります。

  • Azure ADでOktaアプリに正しいクレーム値を設定してください。次のMicrosoftのドキュメントを参照してください: User attributes and claim

この手順を開始する

この手順には次のタスクが含まれます。

  1. Azure ADからOktaへの属性マッピングを無効にする

  2. OktaでカスタムAzure AD属性を追加する

  3. Azure AD属性をOktaにマッピングする

Azure ADからOktaへの属性マッピングを無効にする

  1. Admin Consoleで、[Directory(ディレクトリ)][Profile Editor(プロファイルエディタ)]に進みます。
  2. [Search(検索)]フィールドに、AADまたはIDプロバイダー(IdP)として追加したときにAzure Active Directoryに割り当てた名前を入力します。
  3. ディレクトリの横にあるProfile(プロファイル)をクリックします。
  4. Profile Editorで、ユーザーマッピングを構成します。
    1. [Mappings(マッピング)]をクリックし、[Configure User mappings(ユーザーマッピングを構成)]を選択します。
    2. AAD Application Name to Okta User(<AADアプリケーション名>からOktaユーザー)]タブを選択します。
    3. 各属性の2番目のドロップダウンで、login属性以外のすべての属性に対して[Do not map(マッピングしない)]を選択します。
    4. [Save Mappings(マッピングを保存)][Apply updates now(今すぐ更新を適用)]をクリックします。
  5. orgに存在する追加のカスタムユーザーマッピングについて、ステップ4を繰り返します。

OktaでカスタムAzure AD属性を追加する

  1. Azure AD IdPの[Profile Editor(プロファイルエディタ)][FILTERS(フィルター)]で、[Custom(カスタム)]を選択します。
  2. First NameLast NameEmailの属性を削除します。
    注

    [Variable Name(変数名)]および[External Name(外部名前)]フィールドは編集できないため、これらの属性を削除します。次のステップでは、これらのフィールドを編集できるカスタム属性を追加します。

  3. [Add Attribute(属性の追加)]ボタンをクリックします。[Add Attribute(属性を追加)]ウィンドウが開きます。

  4. Email属性を作成するには、以下のフィールドに入力します。

    フィールド
    表示名 メールまたはこのメールに割り当てるその他の名前。
    変数名 メール

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。
    外部名 この属性にマッピングするクレーム。例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. [Save and Add Another(保存して別の属性を追加)]をクリックして、この属性を保存して別の属性を追加します。

  6. 手順4~5を繰り返して、[First Name(名)]、[Last Name(姓)]、[UPN](任意)の属性を追加します。以下の値を指定します。

    First Nameの場合:

    フィールド
    表示名 [First Name(名)]、または名に割り当てるその他の名前。
    変数名 firstName

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。
    外部名 この属性にマッピングするクレーム。例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    Last Nameの場合:

    フィールド
    表示名 [Last Name(姓)]、または割り当てるその他の名前。
    変数名 lastName

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。
    外部名 この属性にマッピングするクレーム。例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    UPN(任意)の場合:

    フィールド
    表示名 UPNまたはUPNに割り当てるその他の名前。
    変数名 upn

    この名前は、プロファイルのマッピングと式でこの属性を参照するために使用されます。
    外部名 この属性にマッピングするクレーム。例: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Azure AD属性をOktaにマッピングする

  1. [Mappings(マッピング)]をクリックし、[Configure User mappings(ユーザーマッピングを構成)]を選択します。
  2. AAD Application Name to Okta User(<AADアプリケーション名>からOktaユーザー)]タブを選択します。
  3. 以下の表に示すように、作成したカスタムAzure AD属性をOktaユーザープロファイルにマッピングします。

    Azure AD属性Okta属性

    emailまたはupnまたはsubjectNameId

    ユーザーがOktaで認証する際に使用する属性に応じて、正しい属性を選択してください。

    login

    emailまたはupnまたはsubjectNameId

    ユーザーのメインのメールアドレスに応じて、正しい属性を選択してください。

    メール

    firstNamefirstName
    lastNamelastName

    upn

    任意。

    名前識別子

    画像。

  4. [Save Mappings(マッピングを保存)][Apply updates now(今すぐ更新を適用)]をクリックします。

次の手順

Azure Active Directory統合をテストする