単一のアプリインスタンスで複数のOffice 365ドメインを連携認証する
Oktaでは、単一のOffice 365アプリインスタンス内で複数のMicrosoft Office 365ドメインを自動的に連携認証できます。これにより、それぞれのOffice 365ドメインに対して個別にOffice 365アプリインスタンスを構成する必要がなくなります。
これは以下のシナリオで役立ちます:
- 単一のOffice 365テナントに複数のOffice 365ドメインがあり、ドメインごとに個別のアプリインスタンスを作成するのを避けたい場合。
- 単一のOffice 365テナントに複数のOffice 365ドメインがあり、すべてのドメインに同一のポリシーのセットを適用したい場合。
開始する前に
-
この機能は手動のWS-Federation方式では使用できません。
-
以下が必要になります:
- 有効なMicrosoft Office 365テナント
- 検証済みのMicrosoft Office 365ドメイン
- 自動のWS-Federationを使用してOkta orgに追加されたOffice 365アプリ
この手順を開始する
この手順には次のタスクが含まれます:
1. ドメインを構成する
-
Office 365アプリインスタンスで、[Edit(編集)]モードで[Sign On(サインオン)]>[Settings(設定)]を開きます。
- [Sign On Methods(サインオン方法)]で[WS-Federation]を選択します。
- WS-Federationの構成で[Automatic(自動)]を選択します。
- [View Setup Instructions(設定手順を表示)]をクリックします。Office 365 WS-Federationを構成するための手順が新しいウィンドウで開きます。
- 手順のセクション「連携認証のためのドメインを準備する」を参照して、連携認証用にドメインを適切に準備したことを確認してください。
- [Sign On(サインオン)]タブに戻り、Microsoft Office 365テナントの[Office 365 Admin Username(Office 365管理者ユーザー名)]と[Office 365 Admin Password(Office 365管理者パスワード)]を入力します。
- [Office 365 Domains(Office 365ドメイン)]で、[Fetch and Select(取得して選択)]をクリックして検証済みドメインを追加します。Office 365テナントの検証済みドメインが表示されます。
- 連携認証するドメインを選択します。
- [Sign On(サインオン)]タブに戻り、[Save(保存)]をクリックします。
2. 連携認証済みを検証する
- 連携認証したOffice 365ドメインに属するエンドユーザーとしてOktaにサインインします。
- Okta End-User DashboardからOffice 365にアクセスします。
- 正常にログインできることを確認します。
- すべての連携認証済みOffice 365ドメインのテストユーザーに対して、これらの手順を繰り返します。
または、それぞれの連携認証済みドメインに対して次のPowerShellコマンドレットを使用すると、ドメインが正常に連携認証されたことを確認できます:
Get-MSOlDomainFederatioNSettings -domainname <domain name>注意
-
単一のアプリでドメインを複数のサブドメインとフェデレーションすると、サインインエラーが発生します
単一のアプリでドメインを複数のサブドメインとフェデレーションすると、サブドメインのメンバーがサインイン時にエラーを受け取ります。これを回避するには、PowerShellを使用してドメインを手動でフェデレーションします。「WS-Federation(PowerShell)方法を使用してシングルサインオンを構成する」を参照してください。
-
手動のWS-FederationまたはSWAに切り替えると、ドメインの連携認証が解除されます
自動のWS-Federationから手動のWS-Federationに、または、WS-FederationからSWAに切り替えると、関連したすべてのドメインの連携認証が解除されます。
-
Office 365アプリインスタンスを削除しないでください
自動的に連携認証されるOffice 365ドメインの複数のインスタンスがあり、自動的に連携認証されるOffice 365の単一のインスタンスに移行中の場合は、それらのインスタンスを無効化してください。削除はしないでください。
-
連携認証を解除する際、すべてのドメインの連携認証が解除されるまで待ってください
連携認証済みのドメインに対して連携認証方法を自動から手動に変更する場合、自動的に連携認証されたすべてのドメインの連携認証が解除されるまで待つようにしてください。Oktaで連携認証解除の処理が完了する前にドメインを手動で連携認証しようとした場合、そのドメインが以前は自動的に連携認証されたドメインであったという理由から、手動で連携認証したドメインの削除がOktaで試行される可能性があります。
次のコマンドレットを使用して、自動的に連携認証されたドメインの連携認証が解除されていることを確認します:
Get-MSOlDomainFederatioNSettings -domainname <domain name>ドメインの連携認証の解除中に、多少のダウンタイムが発生することを想定する必要があります。
-
営業時間外にドメインを構成して、重複したアプリの割り当てを回避しましょう
個別のOffice 365アプリインスタンスで構成済みのOffice 365ドメインを構成する際、Office 365アプリの重複したセットがエンドユーザーに割り当てられることがあります。元のアプリインスタンスの構成を解除するのに十分な時間を確保するため、このアクションを営業時間外に実行することを推奨しています。