Microsoftに管理者の同意を提供してOktaでの認証を可能にする

Oktaは、Microsoft Office 365テナントと統合するために特定の権限を必要とします。これらの権限により、Oktaがユーザーに代わってMicrosoft Graph APIにアクセスして、SSOとユーザープロビジョニングを実行できます。

開始する前に

Microsoftテナントのグローバル管理者権限があることを確認してください。

Oktaの権限の必要性を理解する

必要な権限は、Microsoftテナントに登録されている2つの異なるOktaアプリのいずれかに付与されます。使用される特定のアプリは、有効化する機能によって異なります。

有効化される機能 必要なOktaアプリ

SAMLベースのSSO

Okta Graph APIクライアント - フェデレーション

OAuthベースのSSOとプロビジョニング

Okta Office 365 Graphクライアント - SSO

Okta Office 365アプリ統合内のSSOまたはプロビジョニングの初期構成時に、管理者の同意を付与するように求められます。

基本的なSAMLベースのSSOの権限

SAMLベースのSSO(Microsoft Word、PowerPoint、またはExcelなどのアプリに対して)のみを構成する場合、Okta Graph APIクライアント - フェデレーションアプリに次の最小限の権限セットが付与されます。

権限 Oktaでできること 注記

User.Read

ユーザーの読み取り

認証には基本ユーザーIDが必要です。

Domain.ReadWrite.All

ドメインデータの読み書き

ドメインの構成と検証に必要です。

RoleManagement.ReadWrite.Directory

ユーザー、グループ、およびサービスプリンシパルへのディレクトリロールの割り当て。

初期セットアップ時に必要です。

SAML SSOの統合に成功した後、この権限を安全に取り消すことができます。

Directory.Read.All権限は必要ありません。以前にこの権限を付与した場合は、それを取り消すことができます。

プロビジョニングとOAuthベースのSSOの権限

プロビジョニングまたはOAuthベースのSSO(Microsoft Teams、Yammer、Power BIなど)を構成する場合、包括的な権限セットが必要であり、Okta Office 365 Graph Client - SSO app(Okta Office 365 Graphクライアント - SSOアプリ)]に付与されます。

OAuthベースのSSOとプロビジョニングは同じ権限セットを共有しており、ユーザートークン、ライセンス、Directoryオブジェクトを管理するためにMicrosoft Graph APIへの読み取り/書き込みアクセスを必要とします。

OAuthベースの構成では、Okta Graph API Client - Federation app(Okta Graph APIクライアント - フェデレーションアプリ)]Okta Office 365 Graph Client - SSO app(Okta Office 365 Graphクライアント - SSOアプリ)]の両方に権限を付与する必要があります。

権限 Oktaでできること 注記

User.ReadWrite.All

ユーザーの作成、参照、更新、および削除。

User Lifecycle Managementに必要です。

Group.ReadWrite.All

グループの作成、参照、更新、および削除。

グループプッシュおよびグループ管理に必要です。

GroupMember.ReadWrite.All

グループのメンバーの追加または削除。

グループメンバーシップの管理に必要です。

Organization.Read.All

テナントの取得済みライセンスと残りのシートの一覧表示。

ライセンスの利用可能性を確認するために必要です。

Application.Read.All

テナントのアプリ登録とサービスプリンシパルの一覧表示。

統合の構成に必要です。

RoleManagement.ReadWrite.Directory

ユーザー、グループ、およびサービスプリンシパルへのディレクトリロールの割り当て。

管理者ロールの管理に必要です(例: グローバル管理者)

プロビジョニングが使用されていない場合、SSO統合が成功した後にこの権限を安全に取り消すことができます。

LicenseAssignment.ReadWrite.All

ユーザーとグループへのライセンスの割り当て

Oktaを介したライセンス管理に必要です。

Directory.ReadWrite.All

ディレクトリデータの読み取り。

Directory管理に使用されます。

LicenseAssignment.ReadWrite.Allが付与されている場合、この権限を安全に取り消すことができます。

User.Read権限は必要ありません。以前にこの権限を付与した場合は、それを取り消すことができます。

Microsoftに管理者の同意を提供してOktaでの認証を可能にする

管理者の同意は、次の2つの方法で提供できます。

Microsoftに管理者の同意を提供してプロビジョニングでの認証を可能にする

OktaからOffice 365へのプロビジョニングを容易にするには、認証を行い、OktaMicrosoft Graph APIにアクセスできるように管理者の同意を付与する必要があります。

Office 365アプリのプロビジョニングを初めて有効にする場合は、次の手順に従います。

  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)][Office 365][Provisioning(プロビジョニング)][Integration(統合)]に移動します。
    2. [Enable API integration(API統合を有効化)]チェックボックスを選択します。

    3. [Authenticate with Microsoft Account(Microsoftアカウントで認証)]をクリックします。

      Microsoftアカウントログインページにリダイレクトされます。

  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    2. Okta Office 365 Graph Client - SSO]ページに記載されている手順を読んで受け入れます。
  3. Okta Admin Consoleで設定を保存します。

プロビジョニングでの認証のためにMicrosoftに示した管理者の同意を再認証する

orgが2021年12月より前にプロビジョニングを有効にした場合、プロビジョニング設定を変更する前に、管理者の同意を付与するために再認証する必要があります。Oktaが要求する権限が変更されたため、これが必要になります。

Office 365アプリのプロビジョニングを既に有効にしていて、再認証する必要がある場合は、次の手順に従います。

  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)][Office 365][Provisioning(プロビジョニング)][Integration(統合)][Edit(編集)]に移動します。

    2. [Authenticate with Microsoft Account(Microsoftアカウントで認証)]をクリックします。

      Microsoftアカウントログインページにリダイレクトされます。

  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    2. Okta Office 365 Graph Client - SSO]ページに記載されている手順を読んで受け入れます。
  3. Okta Admin Consoleで設定を保存します。

SSOにMicrosoft管理者の同意を提供する

  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)] [Office 365][Sign On(サインオン)][Edit(編集)]に移動します。
    2. [Sign on Methods(サインオン方法)]セクションで、[WS-Federation][Automatic(自動)]が選択されていることを確認します。
    3. Office 365 Domains (Office 365ドメイン)]セクションで、[Start federation setup(フェデレーションの設定を開始)]をクリックします。Microsoftアカウントログインページにリダイレクトされます。
  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    2. Okta Graph API Client - Federation(Okta Graph APIクライアント - フェデレーション)]ページに記載されている手順を読んで受け入れます。
  3. [Sign On(サインオン)]タブに戻り、[Federate domains(ドメインをフェデレーション)]をクリックし、Oktaとフェデレーションするドメインを選択します。 認証を完了するには、少なくとも1つのドメインをフェデレーションする必要があります。
  4. 任意。OAuthベースのアプリの権限を付与するには、Okta Admin Consoleで次の手順を完了してください。
    1. [API Credentials(API資格情報)]セクションで、[Allow administrator to consent for Advanced API access(管理者が高度なAPIアクセスに同意できるようにする)]を選択します。
    2. [Authenticate with Microsoft Account(Microsoftアカウントで認証)]をクリックします。Microsoftアカウントログインページにリダイレクトされます。
    3. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    4. Okta Microsoft Graph Client(Okta Microsoft Graphクライアント)]ページに記載されている手順を読んで受け入れます。
  5. Okta Admin Consoleで設定を保存します。

SSOにMicrosoft管理者の同意を再認証する

次の場合、Oktaに既存のMicrosoft管理者の同意を再認証する必要があります。

  • Okta End-User Dashboardに新しいOffice 365アプリを追加し、そのアプリにOAuthが必要な場合。
  • Office 365アプリのURLが変更される場合。
  1. Okta Admin Consoleで以下を行います。
    1. [Applications(アプリケーション)] [Office 365][Sign On(サインオン)][Edit(編集)]に移動します。
    2. [Sign on Methods(サインオン方法)]セクションで、[WS-Federation][Automatic(自動)]が選択されていることを確認します。
    3. Office 365 Domains(Office 365ドメイン)]セクションで、[Re-authenticate with Microsoft Account(Microsoftアカウントで再認証)]をクリックします。Microsoftアカウントログインページにリダイレクトされます。
  2. Microsoftで以下を行います。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    2. Okta Graph API Client - Federation(Okta Graph APIクライアント - フェデレーション)]ページに記載されている手順を読んで受け入れます。
  3. 任意。OAuthベースのアプリの権限を付与するには、Okta Admin Consoleで次の手順を完了してください。
    1. [API Credentials(API資格情報)]セクションで、[Allow administrator to consent for Advanced API access(管理者が高度なAPIアクセスに同意できるようにする)]が選択されていることを確認します。
    2. [Authenticate with Microsoft Account(Microsoftアカウントで認証)]をクリックします。Microsoftアカウントログインページにリダイレクトされます。
    3. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    4. Okta Microsoft Graph Client(Okta Microsoft Graphクライアント)]ページに記載されている手順を読んで受け入れます。
  4. Okta Admin Consoleで設定を保存します。

関連項目