OktaでMicrosoft ADFSをインストールして構成する

Active Directory Federation Services（ADFS）用のOkta多要素認証（MFA）プロバイダーをインストールする前に、以下を行う必要があります。

• 認証要素を選択する
• Microsoft ADFS（MFA）アプリケーションによって認証されるグループを定義する
• Microsoft ADFS（MFA）アプリケーションを追加する
• オリジン間リソース共有を有効にする

1. 認証要素を選択します。
   Admin Consoleで、［セキュリティ］［Multifactor（多要素）］に移動します。

   ［Factor Types（要素タイプ）］タブを選択します。

   選択後に［Inactive（非アクティブ化）］［Activate（アクティブ化）］をクリックして要素をアクティブ化します。

   「MFA」も参照してください。

2. Microsoft ADFS（MFA）アプリケーションによって認証されるグループを定義します。

   Oktaテナントに管理者としてサインインします。
   Admin Consoleで、［Directory（ディレクトリ）］［Groups（グループ）］に移動します。
   ［Add Group（グループを追加）］をクリックします。
   ［Add group（グループを追加）］ダイアログのフィールドに入力して、［保存］をクリックします。
   グループにユーザーを追加します。「ユーザー、グループ、プロファイル」を参照してください。

3. Microsoft ADFS（MFA）アプリケーションを追加します。

   1. 管理者としてOkta orgにサインインします。
   2. Admin console で、［アプリケーション］>［アプリケーション）］→［Add Application（アプリケーションの追加）］に移動し、Microsoft ADFS（MFA）を検索します。
   3. ［Add Application（アプリケーションの追加）］をクリックします。
   4. 一意の名前を入力します。

   5. OpenID Connectとシングルサインオンが有効になっているOkta orgの場合：

      1. ［Sign-On（サインオン）］オプションページで［OpenID Connect］が選択されていることを確認し、適切な［Redirect URI（リダイレクトURI）］を入力し、［完了］をクリックします。

         リダイレクトURIの末尾がフォワードスラッシュであることを確認します。例：https://yourdomain.com/

      2. 新しく作成したMicrosoft ADFSアプリケーションの［Sign on（サインオン）］タブを選択し、サインオン・モードがOpenID Connectであることを確認します。

         

      OpenID Connectとシングルサインオンが有効になっていないOkta orgの場合：

      1. ［Sign-On（サインオン）］タブを選択し、［MFA as a service（サービスとしてのMFA）］が選択されていることを確認します。
   6. ［一般］タブを選択して、［Client ID（クライアントID）］と［Client secret（クライアント・シークレット）］の値をメモします。これらの値は、「ADFSサーバーにOkta ADFSプラグインをインストールする」のタスクで必要になります。
   7. 構成を変更する手順に従い、useOIDCがfalseになっていることを確認するか、このように構成します。
      構成を変更した後は、エージェントを再起動する必要があります。

4. オリジン間リソース共有（CORS）を有効にします。

   CORSの詳細については、「CORSの概要」を参照してください。

   1. 管理者としてOkta orgにサインオンします。
   2. ［Security（セキュリティ）］>［API］に移動します。
   3. ［Trusted Origins（信頼済みオリジン）］タブを選択し、［CORS］をクリックします。

      

   4. ［Add Origin（オリジンを追加）］をクリックします。
   5. 以下の情報を入力します。
      • ［Name（名前）］
      • ［Origin URL（オリジンURL）］：ADFSサービス名にすることができます。
      • ［CORS］チェックボックスを選択し、［保存］をクリックします。