OktaでMicrosoft ADFSをインストールして構成する

このトピックでは、Active Directory Federation Services(ADFS)向けOkta多要素認証(MFA)プロバイダーをインストール、構成する方法について説明します。

OpenID Connectとシングルサインオンをサポートするように構成されていないOkta orgでもMicrosoft ADFSをインストールして構成できますが、MFAをサービスとして使用する必要があります。

MFA要素の追加

  1. Admin Consoleで、[Security(セキュリティ)][Multifactor(多要素)]に移動します。

  2. [要素タイプ]タブを選択します。
  3. 要素を選択し、ドロップダウンメニューから[Activate(アクティブ化)]を選択します。「多要素認証」を参照してください。

Microsoft ADFS(MFA)アプリで認証するグループを定義します。

  1. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。

  2. [Add Group(グループを追加)]をクリックします。
  3. フィールドに入力して、[Save(保存)]をクリックします。
  4. グループにユーザーを追加します。「ユーザー管理」を参照してください。

Microsoft ADFS(MFA)アプリを追加する

  1. 管理者としてOkta orgにサインインします。
  2. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  3. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  4. Microsoft ADFS (MFA)を探して選択し、[Add Integration(統合を追加)]をクリックします。
  5. 一意の名前を入力します。
  6. OIDCとSSOが有効化されているOkta orgでは、次の手順を実行します。

    1. [Sign-On Options(サインオンオプション)]ページで、[OpenID Connect]を選択します。適切な[Redirect URI(リダイレクトURI)]を入力し、[Done(完了)]をクリックします。リダイレクトURIの末尾がフォワードスラッシュであることを確認します。
    2. Microsoft ADFSアプリインスタンスの[サインオン]タブに移動してサインオンモードがOpenID Connectであることを確認します。

    OIDCとSSOが有効化されていないOkta orgでは、次の手順を実行します。

    1. [Sign On(サインオン)]タブに移動して、[MFA as a service(サービスとしてのMFA)]を選択します。
  7. [一般]タブに移動して[Client ID(クライアントID)][Client secret(クライアントシークレット)]の値を書き留めます。これらの値は、「ADFSサーバーにOkta ADFSプラグインをインストールする」のタスクで必要になります。
  8. Active Directory Federation Services(ADFS)にMFAを構成する」の手順に従います。useOIDCプロパティをfalseとして構成し、エージェントを再起動します。

オリジン間リソース共有(CORS)を有効にします。

CORSの概要」を参照してください。

  1. Admin Console[Security(セキュリティ)][API]に移動します。

  2. [Trusted Origins(信頼済みオリジン)]タブを選択し、[CORS]をクリックします。
  3. [Add Origin(オリジンを追加)]をクリックします。
  4. 次の情報を入力します。
    • [Origin name(オリジン名)]:このオリジンの名前を入力します。
    • [Origin URL(オリジンURL)]:オリジンのURLを入力します。ADFSサービス名にすることができます。
    • [Cross-Origin Resource Sharing (CORS)(オリジン間リソース共有(CORS))]:オリジンのURLがJavascriptからOkta APIにアクセスできるようになります。
    • [Redirect(リダイレクト)]:サインインまたはサインアウト後に、ブラウザーがオリジンのURLにリダイレクトすることを許可します。
    • [iFrame embed(iFrameの埋め込み)]:OktaサインインページとSSO URLをiFrameに埋め込むことを許可します。
    • [Allows iFrame embedding of Okta End User Dashboard(Okta End User DashboardのiFrameの埋め込みを許可)]:End-User DashboardをiFrameに埋め込みことを許可するには、このオプションを選択します。
  5. [Save(保存)]をクリックします。