OktaをMicrosoft Entra IDの外部認証方法として構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Microsoft Entra IDは、外部認証方法（EAM）をサポートするようになりました。これにより、Oktaなどの外部認証プロバイダーを、Microsoftリソースまたはアプリにアクセスするための第2要素として使用できます。「Microsoft Entra多要素認証での外部の方法のプロバイダーの参照」を参照してください。

開始する前に

この手順を実行する前に、管理者権限を持つMicrosoft Entra IDアカウントがあることを確認します。

この手順を開始する

この手順では、Microsoft Entra IDとOktaで構成を行い、2つの製品が相互にEAMトークンを交換できるようにする必要があります。

Microsoft Entra IDでアプリを登録する

これは、Microsoft Entra IDとOktaを統合するアプリです。EAMトークンをOktaと交換するために使用されます。

1. Microsoft Entra IDでアプリを登録する［Redirect URI（リダイレクトURI）］で、［Web］のプラットフォームタイプを選択し、フィールドにOkta orgの認可エンドポイントへのパスを入力します。これは、Microsoft Entra IDがOktaに認可リクエストを行うURLです。URLは次のようになります：https://<org-name>.okta.com/oauth2/v1/authorize。

   「Microsoft Entra IDを使って新しい外部認証プロバイダーを構成する」を参照してください。

2. MicrosoftアプリケーションIDとMicrosoftテナントIDをコピーして、安全な場所に貼り付けます。次の項目を構成する際にこれらの項目が必要になります。
   • Microsoft Entra IDの外部認証方法によるOktaのアプリ
   • Microsoft Entra IDのEAM

Microsoft Entra IDの外部認証方法によるOktaのアプリを構成する

これは、Microsoft Entra IDからのEAMトークンを受け取るOktaのアプリです。

1. Admin Consoleで、［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。

2. ［Browse App Catalog（アプリカタログを参照）］をクリックします。
3. ［Microsoft Entra ID External Authentication Methods（Microsoft Entra IDの外部認証方法）］を検索して選択します。
4. ［Add Integration（統合を追加）］をクリックします。
5. Microsoft Entra IDからコピーした［Microsoft Tenant ID（MicrosoftテナントID）］を入力します。
6. Microsoft Entra IDからコピーした［Microsoft Application ID（MicrosoftアプリケーションID）］を入力します。
7. ［Microsoft Tenant Type（Microsoftテナントタイプ）］から、次のいずれかのオプションを選択します。
   • ［Global Azure（グローバルAzure）］：通常のMicrosoftアカウントにはこのオプションを選択します。
   • ［Azure for US Government（米国政府機関向けAzure）］：米国政府機関のMicrosoftアカウントにはこのオプションを選択します。
   • ［Microsoft Azure operated by 21Vianet（21Vianetが運用するMicrosoft Azure）］：中国で開設されたMicrosoftアカウントにはこのオプションを選択します。
8. ［Done（完了）］をクリックします。
9. 任意。［割り当て］タブを選択して、アプリをユーザーおよびグループに割り当てます。「アプリの統合を割り当てる」を参照してください。
10. ［サインオン］タブを選択します。［設定］セクションで、クライアントIDの［Copy to clipboard（クリップボードにコピー）］のアイコンをクリックします。クライアントIDを安全な場所に貼り付けます。

Microsoft Entra IDのEAMを作成する

EAMは、認可リクエストを管理するMicrosoft Entra IDのエンジンです。

1. Microsoft Entra ID管理センターでEAMを作成する手順に従います。「管理センターでEAMを作成する」を参照してください。
2. 次のプロパティをフォームに入力します。
   1. わかりやすい名前（Okta MFAなど）を入力します。
   2. ［Client ID（クライアントID）］フィールドにOktaからコピーしたクライアントIDを入力します。
   3. 末尾にクライアントIDを追加した［Discovery Endpoint（ディスカバリーエンドポイント）］URLを入力します。

      https://<org-name>.okta.com/.well-known/openid-configuration?client_id=<client id>

   4. ［App ID（アプリID）］フィールドにMicrosoftアプリケーションIDを入力します。
3. ［Request Permission（許可をリクエスト）］をクリックします。
4. アカウントの選択ページからセットアップするアカウントを選択します。
5. リクエストされた許可ページで［Accept（承諾）］をクリックします。
6. EAMをオンにするには、［有効化とターゲット］セクションで［Enable（有効化）］トグルを選択します。
7. 外部の方法を追加する（プレビュー）ページで［Save（保存）］をクリックします。

MicrosoftユーザーをOktaにマッピングする

この手順では、Microsoft Entra IDの関連ユーザーにEAMリクエストが行われると、認証するアプリユーザーをOktaに通知します。これにより、同じエンドユーザーがMicrosoft Entra IDとOktaの両方で認証されることになります。

Microsoft Entra ID管理センターとOkta Admin Consoleを使用してユーザーアカウントをマッピングします。

1. Microsoft Entra ID管理センターに移動します。
2. ［Users（ユーザー）］をクリックします。
3. Oktaユーザーを検索して選択します。
4. ［Object ID（オブジェクトID）］の横にある［Copy to clipboard（クリップボードにコピー）］のアイコンをクリックします。このIDを安全な場所に貼り付けます。
5. Oktaで、［Microsoft Entra ID External Authentication Methods（Microsoft Entra IDの外部認証方法）］アプリを開きます。

   1. Admin Consoleで、［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。

   2. ［Microsoft Entra ID External Authentication Methods（Microsoft Entra IDの外部認証方法）］アプリを選択します。この名前はorgでは異なっている場合があります。
6. ［Assignments（割り当て）］タブを選択し、［Assign（割り当て）］［Assign to People（ユーザーに割り当て）］または［Assign to Groups（グループに割り当て）］をクリックします。
7. Microsoft Entra ID管理センターの管理者ユーザーに対応するユーザーアカウントの横にある［Assign（割り当て）］をクリックします。
8. Microsoft Entra ID管理センターのMicrosoftユーザーIDを［Microsoft User ID（MicrosoftユーザーID）］フィールドに貼り付けます。

   MicrosoftユーザーIDを指定しないと、EAMは認証時に失敗します。

9. ［Save and go back（保存して戻る）］をクリックします。
10. ［Done（完了）］をクリックします。

MicrosoftユーザーアカウントをOktaにマッピングする他の方法

• Okta APIを使用します。Okta開発者用ドキュメントの「アプリケーションユーザーを割り当てる」を参照してください。

• Okta Workflowsを使用すると、Microsoft Entra IDの外部認証方法によるOktaアプリに割り当てられた各ユーザーにMicrosoftユーザーIDが自動的に割り当てられます。アプリの割り当てによりシステムログイベントがトリガーされ、イベントフックがトリガーされます。Okta Workflowsでは、これらのイベントを使用してMicrosoftユーザーIDが自動入力されます。「Entra ID構成のエクスポートおよびOktaへの移行」、「アプリケーションへのユーザーの割り当て」、「イベントフック」を参照してください。

エンドユーザーエクスペリエンス

このセクションでは、ユーザーがOktaで認証してMicrosoftで保護されているアプリにアクセスするために実行する手順について説明します。

1. ユーザーは、Microsoft Entra IDで保護されているアプリにサインインします。
2. Microsoft Entra ID条件付きアクセスポリシーで必要な場合、MFAが求められます。
3. ユーザーは［Microsoft EAM］を選択します。
4. 認証のためにOktaにリダイレクトされます。
5. ユーザーは、Oktaポリシーで必要なAuthenticatorを使用してOktaで認証します。
6. 認証に成功すると、OktaはユーザーをMicrosoft Entra IDにリダイレクトします。
7. Microsoft Entra IDにより、ユーザーは保護されているアプリにサインインします。

System Logフィールド

Oktaでは、Microsoftからの相関関係IDをOkta System LogのdebugContext.debugData.microsoftEntraExternalAuthenticationMethodClientRequestIdフィールドに記録します。これは、EAMフローのOktaリクエストを追跡します。エラーがある場合、Microsoftは値をCorrelation IDとしてユーザーに表示します。Oktaサポートに送信するリクエストには相関関係IDを含めてください。

統合のトラブルシューティングを行う

OktaのMicrosoft EAMアプリに対する認証ポリシーのデフォルト認証要件は、1つの要素です。これは、OktaではMicrosoft認証フローを完了するために単一のステップアップ要素を提供するためです。認証ポリシーは更新できますが、Microsoftの認証要件を満たせない場合は、統合によってエラーが発生し、失敗する可能性があります。

関連項目

アプリ統合を開始する

アプリの統合について