ユーザーをOffice 365にプロビジョニングする
Okta orgから、Office 365のユーザーを作成・更新・デプロビジョニングできます。ユーザーを異なるソースディレクトリからOktaにインポートし、プロファイルマッピングを使用してOffice 365にプロビジョニングできます。
はじめに
- 「Office 365向けにシングルサインオンを構成する」を完了します。
- WS-Federationに利用しているOffice 365管理者アカウントのMicrosoft MFAを無効にします。MFAが有効になっていると、Oktaでのプロビジョニングとシングルサインオンのセットアップが中断される可能性があります。
-
ユーザーをOktaに取り込む:Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートを受けてください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。
-
プロビジョニングのニーズに応じて、プロビジョニングのタイプを決定します。「Office 365のプロビジョニングオプション」を参照してください。
この手順を開始する
Office 365でユーザーをプロビジョニングするには、以下のタスクを順番に実行する必要があります。
OktaからOffice 365へのプロビジョニングをセットアップする
API統合を有効にし、ユーザーライフサイクルのさまざまな段階で設定を構成することで、プロビジョニングタスクを自動化できます。
API統合を有効にする
Office 365では、Microsoft APIに対して認証を行うためにトークンが必要です。これにより、OktaでOffice 365でのプロビジョニングを実装できます。
- に移動します。
- [Enable API Integration(API統合を有効にする)]をオンにします。
-
[Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。[Microsoft Azure login(Microsoft Azureログイン)]ページにリダイレクトされます。
-
Microsoft Azureアカウントにログインします。
-
リクエストされた権限を確認して受け入れます。
-
Microsoft Azureポータルでスコープを受け入れると、Oktaにリダイレクトされます。
-
- Office 365グローバル管理者の資格情報を入力します。
-
グループをすぐにインポートするには、[Import Groups(グループをインポート)]をオンにします。
プロビジョニングの完了後にグループをインポートできます。「Office 365ユーザーのプロビジョニング中にグループのインポートをスキップする」を参照してください。
- [Test API Credentials(API資格情報をテスト)]をクリックします。
- 資格情報が確認されたら、保存します。
プロビジョニングのタイプと設定を選択する
これらのオプションは選択するプロビジョニングタイプによって異なります。
- に移動します。
-
[Office 365 Provisioning Type(Office 365プロビジョニングタイプ)]を選択します。「Office 365のプロビジョニングオプション」を参照してください。
Universal Sync(ユニバーサル同期)の場合のみ: Active Directoryグループとリソースを同期するには、[Send full profile, contacts, and conference rooms from these AD instances(これらのADインスタンスからフルプロファイル、連絡先、会議室を送信)]を選択します。
- その他のプロビジョニング設定を有効または無効にします。「Office 365のプロビジョニングおよびデプロビジョニングスタートガイド」を参照してください。
- [Save(保存)]をクリックします。
Office 365にプロビジョニングされた各ユーザーには、StsRefreshTokensValidFromという属性があります。これは、ユーザーがパスワードを変更したときに既存のユーザーセッションを無効にし、トークンを更新する日付です。その際、ユーザーはアプリに再度サインインする必要があります。この属性は、プロビジョニングタイプに基づいて自動的に計算および入力されます。
-
ライセンスのみまたはプロファイル同期:StsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。
-
ユーザー同期またはUniversal Sync:ユーザーがActive Directory(AD)からリンクされている場合、StsRefreshTokensValidFrom属性がADのpwdLastSet属性に設定されます。その他すべてのユーザーのStsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。
OktaからOffice 365にプロファイル属性をマッピングする
ユーザーのソースがどこであるかによって、ユーザー名の形式が異なります。ユーザーがOffice 365のサインインに成功するには、Office 365のユーザー名が、連携認証するドメインのメールアドレス(username@yourfederated.domain)形式である必要があります。
プロビジョニング設定を変更するたびに、属性を再マッピングする必要があります。
ユーザー名を変更せずにマッピングする
連携認証するドメインのメールアドレス(username@yourfederated.domain)形式のユーザー名がすでにユーザーにある場合は、そのメールを再フォーマットせずにマッピングできます。
- に移動します。
- [Email(メール)]を選択します。 で
- [Save(保存)]をクリックします。
カスタムユーザー名をマッピングする
ユーザーのソースが異なるディレクトリまたはアプリの場合は、ユーザー名の形式が異なる場合があります。Okta Expression Languageを使用して、Office 365に渡されるユーザー名をカスタマイズできます。
- に移動します。
- [Custom(カスタム)]を選択します。
表示されたテキストボックスにこの式を入力します。
String.substringBefore(user.email, "@") + "@yourfederated.domain"
で - yourfederated.domainは、連携認証するドメインで置き換えます。
- [Preview(プレビュー)]ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
- 結果のユーザー名はそのユーザーのOffice 365ユーザー名に一致するはずです。
- [Save(保存)]をクリックします。
メールアドレスをマッピングする
連携認証するドメインにユーザーのメールアドレスが存在しない場合は、Okta Expression Languageを使用してOffice 365に渡されるメールアドレスをカスタマイズできます。
前提条件
プロビジョニングタイプはユーザー同期またはUniversal Syncを選択する必要があります。「Office 365のプロビジョニングオプション」を参照してください。
- に移動します。
- [source.email]フィールドに次の式を入力します。
String.substringBefore(user.email, "@") + "@yourfederated.domain" - yourfederated.domainは、連携認証するドメインで置き換えます。
- [Preview(プレビュー)]ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
- 結果のメールアドレスが、ユーザーのOffice 365メールアドレスと一致する必要があります。
- プレビューを終了してマッピングを保存します。
- [Apply Updates Now(今すぐ更新を適用)]をクリックします。
プロビジョニングをテストする
OktaでテストユーザーにOffice 365を割り当て、Microsoftテナントに表示されることを確認することで、プロビジョニングが正しく構成されていることを確認します。プロビジョニングで[Create Users(ユーザーを作成)]オプションを選択したことを確認します。
Oktaで、
- Microsoft Office 365アプリの[Assignment(割り当て)]タブを開きます。
- [Assignment(割り当て)]をクリックします。
- 適切なOffice 365ライセンスをテストユーザーに割り当てます。
- [Done(完了)] をクリックします。
Microsoft管理者センターで、
- アクティブユーザーのリストを開きます。
- すべてのテストユーザーが適切なライセンスでリストに表示されていることを確認します。
Oktaで、
- テストユーザーとしてOktaにログインします。
- すべてのOffice 365アプリがユーザーダッシュボードに表示されていることを確認します。
[User Sync(ユーザー同期)]または[User Sync(ユニバーサル同期)]のプロビジョニングタイプを選択した場合、プロファイルのソースがどこであるかに関係なく、すべてのユーザーがOffice 365テナントで「Synced with Active Directory(Active Directoryと同期)」と表示されます。ただし、個々のユーザーのソースはそれぞれのディレクトリのままです。