Microsoftに管理者の同意を提供してOktaでの認証を可能にする
Microsoftでは、管理者がOktaによるMicrosoftテナントのユーザーとデータへのアクセスに同意することを求めています。同意することで、Oktaがお客様の代わりにMicrosoft Graph APIにアクセスし、Microsoft Office 365から提供される情報を使用できるようになります。
はじめに
Microsoftテナントでグローバル管理者権限があることを確認してください。
Oktaに必要な権限とその理由
Oktaでは、以下の権限が必要です。
- プロビジョニング:Office 365からユーザーをプロビジョニングまたはデプロビジョニングします。
- シングルサインオン:OAuthベースの認証を使用するOffice 365アプリでユーザーを認証および承認するため。これらのアプリには、Yammer、Dynamics CRM、Teams、Formsなどがあります。
- プロビジョニングを構成するとき、またはOffice 365アプリのシングル・サインオンを構成するときに、管理者の同意を提供する必要があります。どちらの場合も、OktaにはMicrosoftテナントで次の権限が必要です。
権限 | Oktaでできること |
---|---|
User.ReadWrite.All |
ユーザーの作成、参照、更新、および削除。 |
Group.ReadWrite.All |
グループの作成・参照・更新・削除。 |
GroupMember.ReadWrite.All |
グループのメンバーの追加または削除。 |
Organization.Read.All |
テナントの取得済みライセンスと残りのシートの一覧表示。 |
Application.Read.All |
テナントのアプリケーション登録とサービスプリンシパルの一覧表示。 |
RoleManagement.ReadWrite.Directory |
ユーザー・グループ・サービスプリンシパルへのディレクトリロールの割り当て。 |
Microsoftに管理者の同意を提供してOktaでの認証を可能にする
管理者の同意は、次の2つの方法で提供できます。
Microsoftに管理者の同意を提供してプロビジョニングでの認証を可能にする
OktaからOffice 365に対して引き続きプロビジョニングを機能させるには、永続的なグローバル管理者権限を持つOffice 365サービスプリンシパルアカウントを、Oktaの各Office 365アプリケーションに関連付ける必要があります。
Office 365アプリのプロビジョニングを初めて有効にする場合は、次の手順に従います。
- Oktaで、
- に移動します。
- [Enable API Integration(API統合を有効化)]チェックボックスを選択します。
- 管理者ユーザー名と管理者パスワードを入力します。
[Microsoft Office 365で認証]をクリックします。
[Microsoft account log in(Microsoftアカウントログイン)]ページにリダイレクトされます。
- Microsoftで、
- Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
- [Okta Microsoft Graph Client(Okta Microsoft Graphクライアント)]ページに記載されている手順を読んで受け入れます。
- Oktaで、
- 設定を[Save(保存)]します。
プロビジョニングでの認証のためにMicrosoftに示した管理者の同意を再認証する
orgが2021年12月より前にMicrosoftへのプロビジョニングを有効にした場合、Office 365の既存のプロビジョニング設定を変更する前に、管理者の同意を付与する必要があります。Oktaがリクエストする権限が変更されたため、これは以前に管理者の同意を付与していた場合にも当てはまります。
Office 365アプリのプロビジョニングを既に有効にしていて、同意を再認証する必要がある場合は、次の手順に従います。
- Oktaで、
- に移動します。
[Re-authenticate with Microsoft Office 365(Microsoft Office 365で再認証)]をクリックします。
[Microsoft account log in(Microsoftアカウントログイン)]ページにリダイレクトされます。
- Microsoftで、
- Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
- [Okta Microsoft Graph Client(Okta Microsoft Graphクライアント)]ページに記載されている手順を読んで受け入れます。
- Oktaで、
- 設定を[Save(保存)]します。
Microsoftに管理者の同意を提供してシングルサインオンでの認証を可能にする
- Oktaで、
- に移動します。
- [API Credentials(API資格情報)]セクションで、[Allow administrator to consent for Advanced API access(管理者が高度なAPIアクセスに同意できるようにする)]のボックスをオンにします。
[Authenticate with Microsoft Office 365(Microsoft Office 365で認証)]をクリックします。
[Microsoft account log in(Microsoftアカウントログイン)]ページにリダイレクトされます。
- Microsoftで、
- Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
- [Okta Microsoft Graph Client(Okta Microsoft Graphクライアント)]ページに記載されている手順を読んで受け入れます。
- Oktaで、
- 設定を[Save(保存)]します。
シングルサインオンによる認証のためにMicrosoftに示した管理者の同意を再認証する
次の場合、Oktaの既存のMicrosoft管理者の同意を再認証する必要があります。
- Okta End-User Dashboardに新しいOffice 365アプリを追加し、そのアプリにOAuthが必要な場合。
- Office 365アプリのURLが変更される場合。
- Oktaで、
- に移動します。
[API Credentials(API資格情報)]セクションで、[Re-authenticate with Microsoft Office 365(Microsoft Office 365で再認証)]をクリックします。
[Microsoft account log in(Microsoftアカウントログイン)]ページにリダイレクトされます。
- Microsoftで、
- Microsoftテナントのグローバル管理者としてMicrosoftにログインします。
- [Okta Microsoft Graph Client(Okta Microsoft Graphクライアント)]ページに記載されている手順を読んで受け入れます。
- Oktaで、
- 設定を[Save(保存)]します。