Office 365向けにシングルサインオンを構成する

ユーザーが以下のいずれかの方法でOffice 365にサインオンできるようにすることができます。

  • Secure Web Authentication(SWA)
  • WS-Federation:自動
  • WS-Federation:手動

SWAはOktaが開発したシングルサインオン方式です。強力な暗号化と顧客固有の秘密鍵を組み合わせて使用してエンドユーザーの資格情報を保存します。エンドユーザーがアプリをクリックすると、暗号化された資格情報を使って安全にサインインできます。「SWAアプリの統合」を参照してください。

WS-Federationでは、暗号化されたSOAPメッセージを使用してID情報を転送するメカニズムが定義されます。Office 365用の個別のパスワードは必要ありません。「WS-Fedアプリの統合」を参照してください。

はじめに

  • 「Office 365をOktaに追加する」を完了します。

  • ユーザーをOktaに取り込む:Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートを受けてください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。

  • WS-Federationに使用しているOffice 365管理者アカウントのMicrosoft MFAを無効にします。MFAが有効になっていると、Oktaでのプロビジョニングとシングルサインオンのセットアップが中断される可能性があります。
  • Microsoft Endpoint Manager管理センター[Web Sign-in(Webサインイン)]オプションが[Enabled(有効)]になっているAzure ADテナントを統合する場合は、その構成設定でOkta orgのURLが許可されることを確認します。「ポリシー CSP - 認証」に関するMicrosoftドキュメントを参照してください。

このタスクを開始する

  1. Office 365向けのシングルサインオンを構成するには、次のいずれかの方法を使用できます。

  2. シングルサインオンを構成したら、シングルサインオンの構成をテストする必要があります。

Secure Web Authenticationを使用してシングルサインオンを構成する

SWAまたはWS-Federationを使用して、ユーザーがOffice 365にサインインできるようにすることができます。SWAよりも安全であるため、可能であればWS-Federationを使用します。

  1. [Office 365]>[Sign On(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [サインオン方法]で、[Secure Web Authentication]を選択します。
  3. ユーザー名とパスワードの設定に適切なオプションを選択します。「Secure Web Authentication」を参照してください。
  4. ユーザー名の形式をマッピングします。これについては、セクション3「プロビジョニングをテストする」で説明しています。
  5. [Save(保存)]をクリックします。

WS-Federationを使用してシングルサインオンを構成する

WS-Federationの構成には、自動と手動の2つの方法があります。OktaによるWS-Federationの自動構成を許可するか、Oktaが提供するカスタマイズされたPowerShellスクリプトを使用して手動で構成することができます。Oktaがバックエンドの手順を処理するため、WS-Federationを自動的に構成することをお勧めします。

WS-Federation(自動)方法を使用してシングルサインオンを構成する

  1. [Office 365]>[Sign On(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[WS-Federation]>[Automatic(自動)]を選択します。
  3. Office 365管理者のユーザー名とパスワードを入力します。
  4. [取得して選択]をクリックします。連携認証に使用できるすべてのOffice 365ドメインのリストが表示されます。
  5. 連携認証するドメインを選択します。
  6. [Save(保存)]をクリックします。
Info(情報)

連携認証するドメイン内にOffice 365の管理者の資格情報がないことを確認してください。

存在する場合、Office 365ドメインからロックアウトされます。管理者ではなくユーザーとして扱われるOkta経由で認証する必要があるため、Microsoft 365管理センターで認証することはできません。デフォルトのOffice 365ドメインにあるアカウントの管理者の資格情報を使用していることを確認します。デフォルトのテナントドメインは、 yourtenant.onmicrosoft.comです(GCC Highではyourtenant.onmicrosoft.us)。

WS-Federation(自動)方法を使用してシングル・サインオンを構成する(Microsoft Graph)

MS Graphフェデレーション機能を有効化した場合は、ナビゲーションが異なります。

  1. [Office 365]>[Sign On(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[WS-Federation]>[Automatic(自動)]を選択します。
  3. [Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。[Microsoft account login(Microsoftアカウントログイン)]ページにリダイレクトされます。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
    2. リクエストされた権限を確認して受け入れます。
  4. [取得して選択]をクリックします。連携認証に使用できるすべてのOffice 365ドメインのリストが表示されます。
  5. 連携認証するドメインを選択します。
  6. [Save(保存)]をクリックします。
Info(情報)

連携認証するドメイン内にOffice 365の管理者の資格情報がないことを確認してください。

存在する場合、Office 365ドメインからロックアウトされます。管理者ではなくユーザーとして扱われるOktaを介して認証する必要があるため、Microsoft 365管理センターで自分自身を認証することはできません。デフォルトのOffice 365ドメインにあるアカウントの管理者の資格情報を使用していることを確認します。デフォルトのテナントドメインは、 yourtenant.onmicrosoft.comです(GCC Highではyourtenant.onmicrosoft.us)。

WS-Federation(手動)方式を使用してシングルサインオンを構成する

  1. [Office 365]>[Sign On(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[WS-Federation]>[Manual using PowerShell(PowerShellを使用した手動)]を選択します。
  3. [View Setup Instructions(設定手順を表示)]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
  4. PowerShellで使用するためにこのコマンドをコピーします。

PowerShellで、

  1. Connect-MsolServiceGCC HighではConnect-MsolService -AzureEnvironment USGovernment))と入力します。
  2. Office 365グローバル管理者のユーザー名とパスワードを入力します。
  3. カスタマイズされたPowerShellコマンドをコピーして入力します。
  4. 次のコマンドを入力して、連携認証が成功したことを確認します。
    5. Get-MsolDomainFederationSettings -DomainName yourdomain.name

WS-Federation(手動)方式を使用してシングルサインオンを構成する(Microsoft Graph)

MS Graphフェデレーション機能を有効化した場合は、PowerShellコマンドは異なります。

  1. [Office 365]>[Sign On(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[WS-Federation]>[Manual using PowerShell(PowerShellを使用した手動)]を選択します。
  3. [View Setup Instructions(設定手順を表示)]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
  4. PowerShellで使用するためにこのコマンドをコピーします。

PowerShellで、

  1. Connect-MgGraph -Scopes Directory.AccessAsUser.Allを入力します(GCC Highの場合は、Connect-MgGraph -Environment USGov -Scopes Directory.AccessAsUser.All)。
  2. Office 365グローバル管理者のユーザー名とパスワードを入力します。
  3. カスタマイズされたPowerShellコマンドをコピーして入力します。
  4. 次のコマンドを入力して、連携認証が成功したことを確認します。
    5. Get-MgDomainFederationConfiguration -DomainId yourdomain.name

シングルサインオン構成をテストする

  1. テストユーザーとしてOktaにログインします。
  2. エンドユーザーダッシュボードからOffice 365を開きます。
  3. ユーザーがOffice 365アカウントに正常にログインしていることを確認します。

次の手順

ユーザーをOffice 365にプロビジョニングする