OktaでMicrosoft ADFSをインストールして構成する

Active Directory Federation Services(ADFS)用のOkta多要素認証(MFA)プロバイダーをインストールする前に、以下を行う必要があります。

  • 認証要素を選択する
  • Microsoft ADFS(MFA)アプリケーションによって認証されるグループを定義する
  • Microsoft ADFS(MFA)アプリケーションを追加する
  • オリジン間リソース共有を有効にする

OpenID Connectとシングルサインオンをサポートするように構成されていないOkta orgでもMicrosoft ADFSをインストールして構成できますが、MFAをサービスとして使用する必要があります。

  1. 認証要素を選択します。
    1. Admin Consoleで、[Security(セキュリティ)][Authenticators(オーセンティケーター)]に移動します。
    2. [Add Authenticator.(オーセンティケーターを追加)]ダイアログから、オーセンティケーターを選択します。たとえば、Okta Verifyです。
    3. 特定要素の設定を構成する

      4. Oktaとしては、最低でもOkta Verifyをオーセンティケーターとして追加することを推奨します。

    4. 一部のオーセンティケーターにはより多くの設定が存在し、[Actions(アクション)] [Edit(編集)]をクリックして構成できます。

      5. 「MFAオーセンティケーターについて」も参照してください。

  2. Microsoft ADFS(MFA)アプリケーションによって認証されるグループを定義します。

    1. Oktaテナントに管理者としてサインインします。
    2. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。
    3. [Add Group(グループを追加)]をクリックします。
    4. [Add group(グループを追加)]ダイアログのフィールドに入力して、[Save(保存)]をクリックします。
    5. グループにユーザーを追加します。「ユーザー、グループ、プロファイル」を参照してください。

  3. Microsoft ADFS(MFA)アプリケーションを追加します。

    1. 管理者としてOkta orgにサインインします。
    2. Oktaで、[Applications(アプリケーション)]>[Applications(アプリケーション)]>[Add Application(アプリケーションの追加)]に移動し、Microsoft ADFS(MFA)を検索し、[Add(追加)]をクリックします。
    3. 一意のアプリケーションラベルを入力します。
    4. [Next(次へ)]をクリックします。

    5. OpenID Connectとシングルサインオンが有効になっているOkta orgの場合:

      1. [Sign-On(サインオン)]オプションページで[OpenID Connect]が選択されていることを確認し、適切な[Redirect URI(リダイレクトURI)]を入力し、[Done(完了)]をクリックします。

        リダイレクトURIの末尾がフォワードスラッシュであることを確認します。例:https://yourdomain.com/

      OpenID Connectとシングルサインオンが有効になっていないOkta orgの場合:

      1. [Sign-On(サインオン)]タブを選択し、[MFA as a service(サービスとしてのMFA)]が選択されていることを確認します。
    6. [General(一般)]タブを選択して、[Client ID(クライアントID)][Client secret(クライアントシークレット)]の値をメモします。これらの値は、「ADFSサーバーにOkta ADFSプラグインをインストールする」のタスクで必要になります。[Client ID(クライアントID)]フィールドと[Client secret(クライアントシークレット)]フィールドが表示されている、Microsoft ADFSアプリケーションの[General(一般)]オプションMFA as a service(サービスとしてのMFA)を構成するには、この2つのフィールドの値が必要です。
    7. 構成を変更する手順に従い、useOIDCfalseになっていることを確認するか、このように構成します。
      構成を変更した後は、エージェントを再起動する必要があります。

  4. オリジン間リソース共有(CORS)を有効にします。

    CORSの詳細については、「CORSの概要」を参照してください。

    1. 管理者としてOkta orgにサインオンします。
    2. [Security(セキュリティ)]>[API]に移動します。
    3. [Trusted Origins(信頼済みオリジン)]タブを選択し、[CORS]をクリックします。
    4. [Add Origin(オリジンを追加)]をクリックします。
    5. 以下の情報を入力します。
      • [Name(名前)]
      • [Origin URL(オリジンURL)]:ADFSサービス名にすることができます。
      • [CORS]チェックボックスを選択し、[Save(保存)]をクリックします。