Azure Active DirectoryをIDプロバイダーにする

Azure Active Directory(AAD)に認証を委任するには、OktaでAADをIDプロバイダー(IdP)として構成する必要があります。

はじめに

Azure Active DirectoryでのOktaエンタープライズアプリの作成を完了し、以下をメモします。

  • ログインURL

  • AADの識別子

  • ダウンロードした証明書(Base64)

この手順を開始する

この手順には次のタスクが含まれます。

  1. Azure ADをIDプロバイダーとして追加する

  2. Microsoft AzureポータルでOktaアプリを更新する

この手順では、SAMLを使用してAADをIDプロバイダーとして設定する手順を示します。OpenID Connectの使用については、「OktaでのIDプロバイダーの作成」を参照してください。OpenID Connectを使用してIdPを作成した後、Azureのルーティングルールをセットアップできます。「IDプロバイダーのルーティングルールの構成」を参照してください。

Azure ADをIDプロバイダーとして追加する

  1. Admin Consoleで、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。

  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Add SAML 2.0 IdP(SAML 2.0 IdPを追加)]を選択します。
  3. [Name(名前)]フィールドに 「AAD」またはIDプロバイダーの名前を入力します。
  4. [AUTHENTICATION SETTINGS(認証設定)]セクションの以下のフィールドに入力します。

    フィールド
    [IdP Username(IdPユーザー名)]

    idpuser.email と入力します。

    [Filter(フィルター)] 任意。

    [Only allow usernames that match defined RegEx pattern(定義された正規表現パターンに一致するユーザー名のみを許可)]チェックボックスを選択し、正規表現パターンを入力します。このパターンによりIdPユーザー名がフィルタリングされ、IdPが意図しないユーザーや特権ユーザーを認証するのを防ぐことができます。

    [Match against(照合対象)] ドロップダウンリストからOktaユーザー属性を選択します。例:Oktaユーザー名

    このOktaユーザー属性は、既存のユーザーを検索するためにIdPユーザー名と照合されます。

    [Account Link Policy(アカウントリンクポリシー)]

    [Automatic(自動)]を選択すると、受信IdPユーザーがOktaの既存のユーザーにリンクされます。

    ユーザーを手動でリンクする場合、またはユーザーをリンクしない場合は、[Disable(無効)]を選択します。

    [Auto-link Restrictions(自動リンクの制限)]

    任意。

    指定した特定のグループに自動アカウントリンクを制限できます。

    ドロップダウンリストから[Specific Groups(特定のグループ)]を選択し、グループ名を入力します。一致するユーザーが指定されたグループのいずれかに属している場合にのみ、IdPユーザーが自動的にリンクされます。

    [If no match is found(一致が見つからない場合)] 任意。[Create new user (JIT)(新規ユーザー(JIT)を作成)]を選択して、一致しないユーザー用に新しいアカウントを作成します。

  5. [JIT Settings(JITの設定)]エリアで以下のフィールドに入力します。

    フィールド
    [Profile Source(プロファイルソース)] [Update attributes for existing users(既存ユーザーの属性を更新)]チェックボックスを選択します。
    [Reactivation Settings(再アクティベーションの設定)] 任意。

    [Reactivate users who are deactivated in Okta(Oktaで非アクティブ化されたユーザーを再度有効にする)]チェックボックスと[Unsuspend users who are suspended inOkta(Oktaで一時停止されているユーザーの一時停止を解除する)]チェックボックスを選択します。

    [Group Assignments(グループの割り当て)] 任意。

    プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。

    ユーザーを特定のグループに割り当てること、SAML属性名とグループフィルターに基づいて欠落しているグループに追加すること、グループの完全同期を実行することができます。

  6. [SAML Protocol Settings(SAMLプロトコル設定)]エリアの以下のフィールドに入力します。

    フィールド
    [IdP Issuer URI(IdP発行者URI)] 以前に記録した[Azure AD Identifier(Azure AD識別子)]フィールドの値を入力します。
    [IdP Single Sign-On URL(IdPシングルサインオンURL)] 前に記録したAzure AD[Login URL(ログインURL)]フィールドの値を入力します。
    [IdP Signature Certificate(IdP署名証明書)] [Browse files(ファイルを参照)]をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、[Open(開く)]をクリックします。

  7. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  8. [Identity Providers(IDプロバイダー)]ページで、AAD IDプロバイダーの展開()アイコンをクリックし、次のフィールドの値を記録します。
    • [Assertion Consumer Service URL(アサーションコンシューマーサービスURL)]
    • [Audience URL(オーディエンスURL)]

IdPとしてAzureを追加した後、そのルーティングルールを構成します。ルーティングルールにより、ユーザーのデバイス、メールドメイン、またはアクセスしようとしているアプリなどに基づき、ユーザーをIdPに導くことができます。「IDプロバイダーのルーティングルールの構成」を参照してください。

Microsoft AzureポータルでOktaアプリを更新する

  1. Microsoft Azureポータルにサインインし、左上のポータルメニューアイコンをクリックして、[Azure Active Directory]を選択します。
  2. 左側のメニューで[Enterprise Applications(エンタープライズアプリケーション)]をクリックし、アプリケーションのリストで[Okta]を選択します。
  3. 左メニューで[Single sign-on(シングルサインオン)]をクリックし、[SAML]をクリックします。
  4. [Basic SAML Configuration(基本SAML構成)]エリアで[Edit(編集)]をクリックし、以下のフィールドに入力します。

    フィールド
    [Identifier (Entity ID)(識別子(エンティティID))] 手順8で記録したオーディエンスURIの値を入力します。
    [Reply URL (Assertion Consumer Service URL)(返信URL(Assertion Consumer Service URL))] 手順8で記録したAssertion Consumer Service URLの値を入力します。

  5. [Save(保存)][Close(閉じる)]をクリックします。

次の手順

Azure Active Directory属性をOkta属性にマッピングする