移行を準備する

orgをMicrosoft Entra IDからOktaに移行する前に、Microsoft Entra IDでサービスアプリを作成し、Okta Workflowsを構成する必要があります。

開始する前の確認事項

Entra ID構成のエクスポートとOktaへの移行(Entra ID Configuration Export and Migration to Okta)フローをダウンロードします。

移行で使用されるMicrosoft Graph APIについて理解します。

Microsoft Entra IDでサービスアプリを作成する

サービスアプリにAPIのアクセス許可を割り当てて、Microsoft Entra IDからOktaにアプリメタデータをエクスポートできるようにします。

アプリを登録する

  1. Microsoft Entra管理センターで、 アプリの登録(App registrations) > 新規登録(New registration)に移動します。アプリケーションの登録(Register an application)ダイアログが開きます。

    Register an app in Microsoft Entra ID.

  2. アプリの名前を入力し、この組織のディレクトリ内のアカウントのみ([Accounts in this organizational directory only)」を選択します。

    Register an application dialog in Microsoft Entra ID.

  3. 登録(Register)をクリックします。

APIのアクセス許可を追加する

  1. 管理(Manage) > APIのアクセス許可(API permissions)に移動します。

  2. アクセス許可を追加(Add a permission)をクリックします。APIのアクセス許可をリクエスト(Request API permissions)ダイアログが開きます。

    Add a permission in Microsoft Entra ID.

  3. Microsoft APIsタブでMicrosoft Graphを選択します。

    Request API permissions in Microsoft Entra ID.

  4. アプリケーションのアクセス許可(Application permissions)を選択し、次のアクセス許可をアプリに追加します。

    • Application.Read.All
    • AppRoleAssignment.ReadWrite.All
    • Policy.Read.All

  5. 管理者の同意を付与する(Grant admin consent)をクリックします。前の手順で選択した各アクセス許可に対して管理者の同意が付与されます。

    Grant admin consent in Microsoft Entra ID

クライアントシークレットを作成します。

  1. 管理(Manage) > 証明書とシークレット(Certificates & secrets)に移動します。

  2. クライアントシークレット(Client secrets)タブを選択し、新しいクライアントシークレット(New client secret)をクリックします。クライアントシークレットの追加(Add a client secret)ダイアログが開きます。

    Create a client secret in Microsoft Entra ID

  3. 説明と有効期限を入力して、追加(Add)をクリックします。

  4. クライアントシークレット([Client secrets)タブで、値(Value)列に表示されるシークレットをコピーします。後でOkta Workflowsで使用できるように安全な場所に保管します。

    Copy the client secret in Microsoft Entra ID

OAuth 2.0トークンエンドポイントをコピーする

  1. 管理(Manage) > アプリの登録(App registrations)に移動します。

  2. エンドポイント(Endpoints)をクリックします。

    Endpoints in Microsoft Entra ID

  3. OAuth 2.0 token endpoint (v2)(OAuth 2.0トークンエンドポイント(v2))リンクをコピーします。後でOkta Workflowsで使用できるように安全な場所に保管します。

    Copy the OAuth 2.0 token endpoint in Microsoft Entra ID

Okta Workflowsを構成する

Microsoft Entra ID移行用にOkta Workflowsを構成するには、次の手順に従います。

Microsoft Entra ID移行フローテンプレートをOkta Workflowsに追加する

  1. Okta Workflowsコンソールにサインインします。

  2. テンプレート(Templates)ページに移動します。

  3. Entra ID構成のエクスポートとOktaへの移行(Entra ID Configuration Export and Migration to Okta)フローを検索して選択します。

  4. テンプレートを追加(Add Template)をクリックします。

  5. 確認ダイアログで、テンプレートを追加(Add Template)をもう一度クリックします。テンプレートがフォルダとしてWorkflows環境に追加されます。同じ名前のフォルダが存在する場合は、同じ名前の2番目のフォルダが追加されます。

  6. Workflowsのホームページで、新しいフォルダをクリックしてフローのコンポーネントを表示します。フォルダーには8つのフローと2つのテーブルが表示されます。

  7. 各フローをオンに切り替えます。

    Toggle flows on in Okta Workflows

APIコネクター接続を作成する

  1. Okta Workflowsコンソールで接続(Connections)をクリックします。

  2. 新規接続(New Connection)をクリックします。新規接続(New Connection)ダイアログが開きます。

    Create a connection in Okta Workflows

  3. APIコネクター(API Connector)を検索して選択します。

  4. 作成(Create)をクリックします。

  5. コネクターの名前を入力し、認証タイプ(Auth Type)Noneに設定します。

    Create the Microsoft Entra ID connector in Okta Workflows

  6. 作成(Create)をクリックします。

Microsoft Entra IDフローにAPIコネクターを追加する

  1. Okta Workflowsで、Microsoft Entra IDフローが含まれているフォルダーを開きます。

  2. フローを選択します。

  3. APIコネクター(API Connector)までスクロールします。

  4. 接続の選択(Choose Connection)をクリックし、先ほど作成した接続を選択します。

    Choose a connection in Okta Workflows.

  5. 各フローにこれらの手順を繰り返します。

Okta Workflows接続をセットアップする

  1. WorkflowsコンソールとAdmin Consoleにサインインします。

  2. Workflowsコンソールで接続(Connections)をクリックします。

  3. 新規接続(New Connection)をクリックします。新規接続(New Connection)ダイアログが開きます。

  4. Oktaコネクターを検索して選択します。

    Select the Okta connector in Okta Workflows.

  5. 新規接続(New Connection)ウィンドウで名前と任意の説明を入力します。

  6. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  7. Okta Workflows OAuthアプリを検索して選択します。

  8. サインオン(Sign On)タブをクリックし、クライアントID(Client ID)クライアントシークレット(Client secret)の値をコピーします。

    Copy the client ID and client secret for the Okta Workflows OAuth app.

  9. Workflowsコンソールで、コピーした値をクライアントID(Client ID)フィールドとクライアントシークレット(Client Secret)フィールドに貼り付けます。

  10. ドメイン(Domain)フィールドに、https://のないOktaドメイン(atko.okta.comなど)を入力します。

  11. 権限(Permissions)タブをクリックします。

  12. Customize scopes (advanced)(スコープをカスタマイズ(高度))を選択します。

  13. 接続に次のスコープを追加して、作成(Create)をクリックします。

    • okta.apps.manage

    • okta.groups.manage

    • okta.policies.manage

      Crate customized scopes in Okta Workflows.

エクスポートフローを実行する

  1. Workflowsコンソールで、Microsoft Entra IDエクスポートフローが含まれているフォルダーを開きます。

  2. 1.0 Entra IDアプリケーション情報を取得する - 親フロー(1.0 Get Entra ID Application Information - Parent Flow)を選択します。

  3. 実行(Run)をクリックします。

  4. 先ほどコピーしたトークンエンドポイント、クライアントID、クライアントシークレットの値を入力します。

  5. 実行(Run)をクリックします。

  6. エクスポートされたデータを表示するには、エクスポートファイルフォルダーからテーブル(Tables) > Entra IDアプリケーションエクスポートテーブル(EntraID Application Export Table) を選択します。テーブルには次の情報が表示されます。

    • アプリケーション名(Application Name):アプリの名前。

    • IDMicrosoft Entra ID内のアプリの一意識別子。

    • アプリID(App ID)Microsoft Entra ID内のアプリタイプの一意識別子。

    • エンティティID(Entity ID):SAMLアプリの一意識別子。

    • ACS URLまたはリダイレクトURL(ACS or Redirect URL):SAMLアプリの場合、これはSAMLアサーションがポストされるURLです。OIDCアプリの場合、これは認証コードがポストされるリダイレクトURLです。

    • アプリケーションプロトコル(Application Protocol):アプリのプロトコルタイプ(SAMLまたは OIDC)。

    • グループ割り当て(Group Assignment):アプリが割り当てられているグループ。

    • アクション(Action)移行する(Migrate)が表示されます。Oktaは、Microsoft Entra IDからのアプリメタデータを使用してorgにこれらのアプリを作成します。

    • OktaアプリID(Okta App ID):空欄にしておきます。この列には、Oktaでアプリが作成されるとアプリIDが表示されます。

    • ステータス(Status):空欄にしておきます。フローが完了すると列にステータスが表示されます。

次の手順

Microsoft Entra IDからOktaに条件付きアクセスポリシーを移行する

Oktaのサインオンポリシー

Microsoft Entra IDからOktaにアプリを移行する

ブックマークアプリを構成する