Office 365のWS-Federationを構成する

Oktaで利用可能なMicrosoft Office 365のサインオン方法には、Secure Web Authentication(SWA)とWS-Federation(WS-Fed)の2つがあり、後者はより安全で望ましい方法です。

  • SWAでは、セキュリティ上の資格情報としてユーザー名とパスワードが必要となります。これらは、エンドユーザーが選択することも、管理者が割り当てることもできます。
  • WS-Federationとは、暗号化されたSOAPメッセージを使用してID情報を転送する仕組みを定義する仕様であり、これによって、セキュリティを強化できます。WS-Federationでは、Office 365用の別のパスワードを用意する必要がないため、WS-Federationの使用では、Oktaがユーザーパスワードを同期しなくても済みます。

以下の場合、Oktaはドメインフェデレーションを解除します:

  • WS-FederationからSWAに切り替えた場合
  • アプリインスタンスを削除した場合

    Oktaではアプリの削除は推奨されません。手動によるフェデレーションの場合にアプリを削除すると、ドメインは自動的には連携解除されません。PowerShellを使って手動でフェデレーションし直す必要があります。自動のフェデレーションでは、アプリを削除すると、ドメインが自動的に再度フェデレーションを行います。

WS-Federationをセットアップするには、以下を行います。

WS-Federationを自動的にセットアップする

初回セットアップ

WS-Federationを初めて構成する際には、次の手順に従ってドメインを認証して選択します。

  1. Microsoft Office 365を初めてセットアップする場合は、[General Settings(一般設定)]タブの[Next(次へ)]をクリックして、[Sign-On Options(サインオンオプション)]タブに移動します。

  2. [Sign on methods(サインオン方法)]セッションで[WS-Federation][Automatic(自動)]を選択します。
  3. 任意。[View Setup Instructions(設定手順を表示)]をクリックします。Office 365 WS-Federationを構成するための手順が新しいウィンドウに表示されます。
  4. 任意。手順の[Prepare your domain for federated authentication(フェデレーション認証のためのドメインを準備する)]セクションを参照して、連携認証用にドメインを適切に準備したことを確認してください。
  5. [Sign-On Options(サインオンオプション)]タブに戻り、[Start federation setup(フェデレーションの設定を開始)]をクリックします。Microsoftアカウントログインページにリダイレクトされます。
    1. Microsoftテナントのグローバル管理者としてMicrosoftにサインインします。
    2. 要求した権限を確認して受け入れます。
  6. [Federate domains(ドメインをフェデレーション)]をクリックします。
  7. 表示されるダイアログで、ドロップダウンリストからフェデレーションするドメインを選択します。
  8. [Next(次へ)][Save(保存)]クリックします。
  9. [Done(完了)] をクリックします。
既存の構成を編集する

以前にWS-Federationを構成している場合は、次の手順に従って変更を行います。

  1. [Office 365][Sign on(サインオン)][Edit(編集)]に移動します。[Sign on Methods(サインオン方法)][WS-Federation][Automatic(自動)]が選択されていることを確認します。

  2. 読み取り専用モードでフェデレーションされた親ドメインと子ドメインを表示するには、[View selected domains(選択したドメインを表示)]をクリックします。
  3. ドメインを追加または削除するには、[Manage verified domains(検証済みドメインを管理)]をクリックします。
  4. 別のMicrosoft Office 365アカウントで再認証するには、[Re-authenticate with Microsoft Account(Microsoftアカウントで再認証)]をクリックします。
  5. [Save(保存)]をクリックします。

WS-Federationを手動でセットアップする

  1. Microsoft Office 365を初めてセットアップする場合は、[General Settings(一般設定)]タブの[Next(次へ)]をクリックして、[Sign-On Options(サインオンオプション)]タブに移動します。

    Microsoft Office 365がすでにセットアップされている場合は、[Admin Console][Applications(アプリケーション)][Applications(アプリケーション)]を選択します。[Microsoft Office 365]アプリを見つけて選択し、[Sign On(サインオン)]タブに移動して[Edit(編集)]をクリックします。

  2. [Sign on methods(サインオン方法)]で、[WS-Federation][Manual using PowerShell(PowerShellを使用した手動)]を選択します。
  3. [View Setup Instructions(設定手順を表示)]をクリックして、ドメイン用にカスタマイズされたPowerShellコマンドを表示します。
  4. PowerShellで使用するためにこのコマンドをコピーします。