OktaでMicrosoft ADFSをインストールして構成する

Active Directory Federation Services(ADFS)用のOkta多要素認証(MFA)プロバイダーをインストールする前に、次を行う必要があります。

  • 認証要素を選択する
  • 認証にMicrosoft ADFS(MFA)アプリを使用するグループを定義する
  • Microsoft ADFS(MFA)アプリを追加する
  • オリジン間リソース共有を有効にする

OpenID Connectとシングルサインオンをサポートするように構成されていないOkta orgでもMicrosoft ADFSをインストールして構成できますが、MFAをサービスとして使用する必要があります。

  1. 認証要素を選択します。
    1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
    2. [Add authenticator(Authenticatorを追加)]をクリックします。
    3. 追加するAuthenticatorの[Add(追加)]をクリックします。少なくともOkta Verifyを追加します。
    4. Authenticatorを構成し、[Add(追加)]をクリックします。
    5. [Actions(アクション)]メニューで[Edit(編集)]を選択してその他の設定を構成します。
  2. 認証にMicrosoft ADFS(MFA)アプリを使用するグループを定義します。

    1. Admin Console[Directory(ディレクトリ)][Groups(グループ)]に移動します。
    2. [Add Group(グループを追加)]をクリックします。
    3. フィールドに入力して、[Save(保存)]をクリックします。
    4. グループにユーザーを追加します。「ユーザー、グループ、プロファイル」を参照してください。
  3. Microsoft ADFS(MFA)アプリを追加します。

    1. 管理者としてOkta orgにサインインします。
    2. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
    3. [Browse App Catalog(アプリカタログを参照)]をクリックします。
    4. Microsoft ADFS (MFA)を探して選択し、[Add Integration(統合を追加)]をクリックします。
    5. 一意のアプリラベルを入力します。
    6. [Next(次へ)]をクリックします。
    7. OpenID Connectとシングルサインオンが有効なOkta orgの場合:

      1. [サインオン]オプションページで[OpenID Connect]を選択し、適切な[Redirect URI(リダイレクトURI)]を入力します。[Done(完了)]をクリックします。

        リダイレクトURIの末尾がフォワードスラッシュであることを確認します。例:https://yourdomain.com/

      OpenID Connectとシングルサインオンが有効でないOkta orgの場合:

      1. [サインオン]タブに移動して[MFA as a service(サービスとしてのMFA)]が選択されていることを確認します。
    8. [一般]タブに移動して[Client ID(クライアントID)][Client secret(クライアントシークレット)]の値を書き留めます。これらの値は、「ADFSサーバーにOkta ADFSプラグインをインストールする」のタスクで必要になります。
    9. 構成を変更する手順に従ってuseOIDCfalseであることを確認するか、このように構成します。構成に変更を加えた後は、エージェントを再起動する必要があります。
  4. オリジン間リソース共有(CORS)を有効にします。

    CORSの詳細については、「CORSの概要」を参照してください。

    1. Admin Console[Security(セキュリティ)][API]に移動します。
    2. [Trusted Origins(信頼済みオリジン)]タブを選択し、[CORS]をクリックします。
    3. [Add Origin(オリジンを追加)]をクリックします。
    4. 次の情報を入力します。
      • [Name(名前)]
      • [Origin URL(オリジンURL)]:ADFSサービス名にすることができます。
      • [CORS]チェックボックスを選択し、[Save(保存)]をクリックします。