Office 365向けにシングルサインオンを構成する

ユーザーが以下のいずれかの方法でOffice 365にサインオンできるようにすることができます。

  • Secure Web Authentication(SWA)
  • WS-Federation:自動
  • WS-Federation:手動

SWAはOktaが開発したシングルサインオン方法です。強力な暗号化と顧客固有の秘密鍵を組み合わせて使用してエンドユーザーの資格情報を保存します。エンドユーザーがアプリをクリックすると、暗号化された資格情報が使用されて、Oktaによって安全にサインインされます。「SWAアプリの統合」を参照してください。

WS-Federationでは、暗号化されたSOAPメッセージを使用してID情報を転送するメカニズムが定義されています。Office 365用の個別のパスワードは必要ありません。「WS-Fedアプリの統合」を参照してください。

開始する前に

  • 「Office 365をOktaに追加する」を完了します。

  • ユーザーをOktaに取り込む:Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートを受けてください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。

  • WS-Federationに使用しているOffice 365管理者アカウントのMicrosoft MFAを無効にします。MFAが有効になっていると、Oktaでのプロビジョニングとシングルサインオンのセットアップが中断される可能性があります。
  • Microsoft Endpoint Manager管理センター[Web Sign-in(Webサインイン)]オプションが[Enabled(有効)]になっているAzure ADテナントを統合する場合は、その構成設定でOkta orgのURLが許可されていることを確認します。「ポリシー CSP - 認証」のMicrosoftドキュメンテーションを参照してください。

このタスクを開始する

  1. Office 365向けのシングルサインオンを構成するには、次のいずれかの方法を使用できます。

  2. シングルサインオンを構成したら、シングルサインオンの構成をテストする必要があります。

Secure Web Authenticationを使用してシングルサインオンを構成する

SWAまたはWS-Federationを使用して、ユーザーがOffice 365にサインインできるようにすることができます。可能な場合は、SWAよりも安全であるため、WS-Federationを使用します。

  1. [Office 365]>[Sign on(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[Secure Web Authentication]を選択します。
  3. ユーザー名とパスワードの設定に適切なオプションを選択します。「Secure Web Authentication」を参照してください。
  4. ユーザー名形式をマッピングします。これについては、ユーザーのプロビジョニングに関するセクション「3. プロビジョニングをテストする」で説明しています。
  5. [Save(保存)]をクリックします。

WS-Federationを使用してシングルサインオンを構成する

WS-Federationを構成する方法には、自動とPowerShellの使用の2つの方法があります。OktaによるWS-Federationの自動構成を許可するか、Oktaによって提供されるカスタマイズされたPowerShellスクリプトを使用して手動で構成することができます。Oktaがバックエンドの手順を処理するため、WS-Federationを自動的に構成することをお勧めします。

WS-Federation(自動)方法を使用してシングル・サインオンを構成する

  1. [Office 365]>[Sign on(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[WS-Federation]>[Automatic(自動)]を選択します。
  3. Office 365管理者のユーザー名とパスワードを入力します。
  4. [Fetch and Select(取得して選択)]をクリックします。連携認証に使用できるすべてのOffice 365ドメインのリストが表示されます。
  5. 連携認証するドメインを選択します。
  6. [Save(保存)]をクリックします。
情報

Office 365の管理者の資格情報が連携認証するドメイン内にないことを確認してください。

この場合、Office 365ドメインからロックアウトされます。管理者ではなくユーザーとして扱われるOkta経由で認証する必要があるため、Microsoft 365管理センターで自分自身を認証することはできません。デフォルトのOffice 365ドメインにあるアカウントの管理者の資格情報を使用していることを確認します。デフォルトのテナントドメインは、 yourtenant.onmicrosoft.comです(GCC Highではyourtenant.onmicrosoft.us)。

WS-Federation(PowerShell)方法を使用してシングルサインオンを構成する

  1. [Office 365]>[Sign on(サインオン)]>[Settings(設定)]>[Edit(編集)]に移動します。
  2. [Sign on Methods(サインオン方法)]で、[WS-Federation]>[Manual using PowerShell(PowerShellを使用した手動)]を選択します。
  3. [View Setup Instructions(設定手順を表示)]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
  4. PowerShellで使用するためにこのコマンドをコピーします。

PowerShellで、

  1. Connect-MsolServiceGCC HighではConnect-MsolService -AzureEnvironment USGovernment))と入力します。
  2. Office 365グローバル管理者のユーザー名とパスワードを入力します。
  3. カスタマイズされたPowerShellコマンドをコピーして入力します。
  4. 次のコマンドを入力して、連携認証が成功したことを確認します。
    5. Get-MsolDomainFederationSettings -DomainName yourdomain.name

シングルサインオン構成をテストする

  1. テストユーザーとしてOktaにログインします。
  2. Okta End-User DashboardからOffice 365を開きます。
  3. ユーザーがOffice 365アカウントに正常にログインしていることを確認します。

次の手順

ユーザーをOffice 365にプロビジョニングする