ユーザーをOffice 365にプロビジョニングする
Okta orgから、Office 365のユーザーを作成・更新・デプロビジョニング・同期できます。ユーザーを異なるソースディレクトリからOktaにインポートし、プロファイルマッピングを使用してOffice 365にプロビジョニングできます。
はじめに
- 「Office 365向けにシングルサインオンを構成する」を完了します。
- WS-Federationに利用しているOffice 365管理者アカウントのMicrosoft MFAを無効にします。MFAが有効になっていると、Oktaでのプロビジョニングとシングルサインオンのセットアップが中断される可能性があります。
-
Bring users into Okta(ユーザーをOktaに取り込む):Active Directory(AD)などのディレクトリやSalesforceなどのアプリからユーザーをインポートできます。現在Oktaでは、完了まで2時間以上かかるインポートをサポートしていません。このタイプのインポートがある場合はサポートを受けてください。また、Oktaで直接ユーザーを作成することもできます。詳しくは、以下を参照してください。
-
プロビジョニングのニーズに応じて、プロビジョニングのタイプを決定します。「Office 365のプロビジョニングオプション」を参照してください。
-
Microsoftにグローバル管理者アカウントとOktaテナントにアプリ管理者アカウントがあることを確認してください。
この手順を開始する
Office 365でユーザーをプロビジョニングするには、以下のタスクを順番に実行する必要があります。
OktaからOffice 365へのプロビジョニングをセットアップする
API統合を有効にし、ユーザーのインポートとプロビジョニングに管理者の同意を得て、ユーザーライフサイクルの段階で設定を構成することで、プロビジョニングの作業を自動化することができます。
API統合を有効にする
Office 365では、Microsoft APIに対して認証を行うために同意が必要です。これにより、OktaでOffice 365アプリケーションでプロビジョニングを行うことができます。
- に移動します。
- [Enable API Integration(API統合を有効にする)]をオンにします。
-
[Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックして同意します。[Microsoft Azure login(Microsoft Azureログイン)]ページにリダイレクトされます。
- [Accept(承認)]をクリックします。Microsoft Azureポータルでスコープを受け入れると、Oktaにリダイレクトされます。
プロビジョニングのタイプと設定を選択する
これらのプロビジョニングオプションは選択するプロビジョニングタイプによって異なります。[Profile Sync(プロファイルの同期)]はデフォルトで選択されています。
- に移動します。
-
[Office 365 Provisioning Type(Office 365プロビジョニングタイプ)]を選択します。
プロビジョニングタイプは[Profile Sync(プロファイルの同期)]から[Licenses & Role Management(ライセンスとロールの管理)]、[Universal(ユニバーサル)]、[User Sync(ユーザーの同期)]から選択して変更することができます。「Office 365のプロビジョニングオプション」を参照してください。
Universal Sync(ユニバーサル同期)の場合のみ: Active Directoryグループとリソースを同期するには、[Send full profile, contacts, and conference rooms from these AD instances(これらのADインスタンスからフルプロファイル、連絡先、会議室を送信)]を選択します。
サービスアカウントは「svc_OKTA_sync_{appId}」形式のユーザー名でAzure Active Directoryに作成されます。このアカウントは削除してはいけません。また、アカウントのロールを追加や削除は決してしないでください。
サービスアカウントにMFAを使用してはいけません。また、すべてのAzure Active Directoryの条件付きアクセスポリシーから除外する必要があります。
- その他のプロビジョニング設定を有効または無効にします。「Office 365のプロビジョニングおよびデプロビジョニングスタートガイド」を参照してください。
- [Save(保存)]をクリックします。
Office 365にプロビジョニングされた各ユーザーには、StsRefreshTokensValidFromという属性があります。これは、ユーザーがパスワードを変更したときに既存のユーザーセッションを無効にし、トークンを更新する日付です。その際、ユーザーはアプリに再度サインインする必要があります。この属性は、プロビジョニングタイプに基づいて自動的に計算および入力されます。
-
ライセンスのみまたはプロファイル同期:StsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。
-
ユーザー同期またはUniversal Sync:ユーザーがActive Directory(AD)からリンクされている場合、StsRefreshTokensValidFrom属性がADのpwdLastSet属性に設定されます。その他すべてのユーザーのStsRefreshTokensValidFrom属性は、ユーザーがOktaでパスワードを変更したときの日時に設定されます。
OktaからOffice 365にプロファイル属性をマッピングする
ユーザーのソースがどこであるかによって、ユーザー名の形式が異なります。ユーザーがOffice 365のサインインに成功するには、Office 365のユーザー名が、連携認証するドメインのメールアドレス(username@yourfederated.domain)形式である必要があります。
プロビジョニング設定を変更するたびに、属性を再マッピングする必要があります。
ユーザー名を変更せずにマッピングする
連携認証するドメインのメールアドレス(username@yourfederated.domain)形式のユーザー名がすでにユーザーにある場合は、そのメールを再フォーマットせずにマッピングできます。
- に移動します。
- [Email(メール)]を選択します。 で
- [Save(保存)]をクリックします。
カスタムユーザー名をマッピングする
ユーザーのソースが異なるディレクトリまたはアプリの場合は、ユーザー名の形式が異なる場合があります。Okta Expression Languageを使用して、Office 365に渡されるユーザー名をカスタマイズできます。
- に移動します。
- [Custom(カスタム)]を選択します。
表示されたテキストボックスにこの式を入力します。
String.substringBefore(user.email, "@") + "@yourfederated.domain"
で - yourfederated.domainは、連携認証するドメインで置き換えます。
- [Save(保存)]をクリックします。
メールアドレスをマッピングする
連携認証するドメインにユーザーのメールアドレスが存在しない場合は、Okta Expression Languageを使用してOffice 365に渡されるメールアドレスをカスタマイズできます。
前提条件
プロビジョニングタイプはユーザー同期またはUniversal Syncを選択する必要があります。「Office 365のプロビジョニングオプション」を参照してください。
- に移動します。
- [source.email]フィールドに次の式を入力します。
String.substringBefore(user.email, "@") + "@yourfederated.domain" - yourfederated.domainは、連携認証するドメインで置き換えます。
- [Preview(プレビュー)]ボックスにOktaユーザーを入力して、マッピングの結果を確認します。
- 結果のメールアドレスが、ユーザーのOffice 365メールアドレスと一致する必要があります。
- プレビューを終了してマッピングを保存します。
- [Apply Updates Now(今すぐ更新を適用)]をクリックします。
プロビジョニングをテストする
OktaでテストユーザーにOffice 365を割り当て、Microsoftテナントに表示されることを確認することで、プロビジョニングが正しく構成されていることを確認します。プロビジョニングで[Create Users(ユーザーを作成)]オプションを選択したことを確認します。
Oktaで、
- Microsoft Office 365アプリの[Assignment(割り当て)]タブを開きます。
- [Assignment(割り当て)]をクリックします。
- 適切なOffice 365ライセンスをテストユーザーに割り当てます。
- [Done(完了)]をクリックします。
Microsoft Admin Centerで以下を行います。
- アクティブユーザーのリストを開きます。
- すべてのテストユーザーが適切なライセンスでリストに表示されていることを確認します。
Oktaで、
- テストユーザーとしてOktaにログインします。
- すべてのOffice 365アプリがユーザーダッシュボードに表示されていることを確認します。
[User Sync(ユーザー同期)]または[User Sync(ユニバーサル同期)]のプロビジョニングタイプを選択した場合、プロファイルのソースがどこであるかに関係なく、すべてのユーザーがOffice 365テナントで「Synced with Active Directory(Active Directoryと同期)」と表示されます。ただし、個々のユーザーのソースはそれぞれのディレクトリのままです。