OktaをMicrosoft Entra IDの外部認証方法として構成する

Microsoft Entra IDは、外部認証方法（EAM）をサポートするようになりました。これにより、Oktaなどの外部認証プロバイダーを、Microsoftリソースまたはアプリにアクセスするための第2要素として使用できます。「Microsoft Entra多要素認証での外部の方法のプロバイダーの参照」を参照してください。

開始する前の確認事項

この手順を実行する前に、管理者権限を持つMicrosoft Entra IDアカウントがあることを確認します。

この手順を開始する

この手順では、Microsoft Entra IDとOktaで構成を行い、2つの製品が相互にEAMトークンを交換できるようにする必要があります。

Microsoft Entra IDでアプリを登録する

これは、Microsoft Entra IDとOktaを統合するアプリです。EAMトークンをOktaと交換するために使用されます。

1. Microsoft Entra IDでアプリを登録するリダイレクトURI（Redirect URI）で、Webのプラットフォームタイプを選択し、フィールドにOkta orgの認可エンドポイントへのパスを入力します。これは、Microsoft Entra IDがOktaに認可リクエストを行うURLです。URLは次のようになります：https://<org-name>.okta.com/oauth2/v1/authorize。

   「Microsoft Entra IDを使って新しい外部認証プロバイダーを構成する」を参照してください。

2. MicrosoftアプリケーションID（Microsoft Application ID）とMicrosoftテナントID（Microsoft Tenant ID）をコピーして、安全な場所に貼り付けます。次の項目を構成する際にこれらの項目が必要になります。
   • Microsoft Entra IDの外部認証方法によるOktaのアプリ
   • Microsoft Entra IDのEAM

Microsoft Entra IDの外部認証方法によるOktaのアプリを構成する

これは、Microsoft Entra IDからのEAMトークンを受け取るOktaのアプリです。

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. アプリカタログを参照（Browse App Catalog）をクリックします。
3. Microsoft Entra IDの外部認証方法（Microsoft Entra ID External Authentication Methods）を検索して選択します。
4. 統合を追加（Add Integration）をクリックします。
5. Microsoft Entra IDからコピーしたMicrosoftテナントID（Microsoft Tenant ID）を入力します。
6. Microsoft Entra IDからコピーしたMicrosoftアプリケーションID（Microsoft Application ID）を入力します。
7. Microsoftテナントタイプ（Microsoft Tenant Type）から、次のいずれかのオプションを選択します。
   • グローバルAzure（Global Azure）：通常のMicrosoftアカウントにはこのオプションを選択します。
   • 米国政府機関向けAzure（Azure for US Government）：米国政府機関のMicrosoftアカウントにはこのオプションを選択します。
   • 21Vianetが運用するMicrosoft Azure（Microsoft Azure operated by 21Vianet）：中国で開設されたMicrosoftアカウントにはこのオプションを選択します。
8. 完了（Done）をクリックします。
9. 任意。割り当て（Assignments）タブを選択して、アプリをユーザーおよびグループに割り当てます。アプリの統合を割り当てるを参照してください。
10. サインオン（Sign On）タブを選択します。設定（Settings）セクションで、クライアントIDのクリップボードにコピー（Copy to clipboard）のアイコンをクリックします。クライアントIDを安全な場所に貼り付けます。

Microsoft Entra IDのEAMを作成する

EAMは、認可リクエストを管理するMicrosoft Entra IDのエンジンです。

1. Microsoft Entra ID管理センターでEAMを作成する手順に従います。「管理センターでEAMを作成する」を参照してください。
2. 次のプロパティをフォームに入力します。
   1. わかりやすい名前（Okta MFAなど）を入力します。
   2. クライアントID（Client ID）フィールドにOktaからコピーしたクライアントIDを入力します。
   3. 末尾にクライアントIDを追加したディスカバリーエンドポイント（Discovery Endpoint）URLを入力します。

      https://<org-name>.okta.com/.well-known/openid-configuration?client_id=<client id>：

   4. アプリID（App ID）フィールドにMicrosoftアプリケーションIDを入力します。
3. 許可をリクエスト（Request Permission）をクリックします。
4. アカウントの選択（Pick an account）ページからセットアップするアカウントを選択します。
5. リクエストされた許可（Accept）ページで承諾（Accept）（Permissions requested）をクリックします。
6. EAMをオンにするには、有効化とターゲット（Enable）セクションで有効化（Enable）（Enable and target）トグルを選択します。
7. 外部の方法を追加する（プレビュー）（Save）ページで保存（Save）（Add external method (Preview)）をクリックします。

MicrosoftユーザーをOktaにマッピングする

この手順では、Microsoft Entra IDの関連ユーザーにEAMリクエストが行われると、認証するアプリユーザーをOktaに通知します。これにより、同じエンドユーザーがMicrosoft Entra IDとOktaの両方で認証されることになります。

Microsoft Entra ID管理センターとOkta Admin Consoleを使用してユーザーアカウントをマッピングします。

1. Microsoft Entra ID管理センターに移動します。
2. ユーザー（Users）をクリックします。
3. Oktaユーザーを検索して選択します。
4. オブジェクトID（Object ID）（Copy to clipboard）の横にあるクリップボードにコピー（Copy to clipboard）（Object ID）のアイコンをクリックします。このIDを安全な場所に貼り付けます。
5. Oktaで、Microsoft Entra IDの外部認証方法（Microsoft Entra ID External Authentication Methods）アプリを開きます。

   1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

   2. Microsoft Entra IDの外部認証方法（Microsoft Entra ID External Authentication Methods）アプリを選択します。この名前はorgでは異なっている場合があります。
6. 割り当て（Assignments）タブを選択し、割り当て（Assign） > ユーザーに割り当て（Assign to People）またはグループに割り当て（Assign to Groups）をクリックします。
7. Microsoft Entra ID管理センターの管理者ユーザーに対応するユーザーアカウントの横にある割り当て（Assign）をクリックします。
8. Microsoft Entra ID管理センターのオブジェクトID（Object ID）をオブジェクトID（Object ID）フィールドに貼り付けます。
   注:

   オブジェクトIDを指定しないと、EAMは認証時に失敗します。

9. Save and Go Back (保存して戻る)（Save and go back）をクリックします。
10. 完了（Done）をクリックします。

MicrosoftユーザーアカウントをOktaにマッピングする他の方法

• Okta APIを使用します。Okta開発者用ドキュメントの「アプリケーションユーザーを割り当てる」を参照してください。

• カスタムOkta Workflowsソリューションを使用して、Microsoft Entra ID外部認証方法アプリに割り当てられているユーザーのMicrosoftユーザーIDを自動入力します。「 Microsoft Entra ID（Azure Active Directory（Azure Active Directoryからライセンスを割り当て解除する。））コネクター」を参照してください。

エンドユーザーエクスペリエンス

このセクションでは、ユーザーがOktaで認証してMicrosoftで保護されているアプリにアクセスするために実行する手順について説明します。

1. ユーザーは、Microsoft Entra IDで保護されているアプリにサインインします。
2. Microsoft Entra ID条件付きアクセスポリシーで必要な場合、MFAが求められます。
3. ユーザーはMicrosoft EAMを選択します。
4. 認証のためにOktaにリダイレクトされます。
5. ユーザーは、Oktaポリシーで必要なAuthenticatorを使用してOktaで認証します。
6. 認証に成功すると、OktaはユーザーをMicrosoft Entra IDにリダイレクトします。
7. Microsoft Entra IDにより、ユーザーは保護されているアプリにサインインします。

System Logフィールド

Oktaでは、Microsoftからの相関関係IDをOkta System LogのdebugContext.debugData.microsoftEntraExternalAuthenticationMethodClientRequestIdフィールドに記録します。これは、EAMフローのOktaリクエストを追跡します。エラーがある場合、Microsoftは値をCorrelation IDとしてユーザーに表示します。Oktaサポートに送信するリクエストには相関関係IDを含めてください。

統合のトラブルシューティングを行う

OktaのMicrosoft EAMアプリに対する認証ポリシーのデフォルト認証要件は、1つの要素です。これは、OktaではMicrosoft認証フローを完了するために単一のステップアップ要素を提供するためです。認証ポリシーは更新できますが、Microsoftの認証要件を満たせない場合は、統合によってエラーが発生し、失敗する可能性があります。

関連項目

アプリ統合を開始する

アプリの統合について