OktaでMicrosoft ADFSをインストールして構成する
Active Directory Federation Services(ADFS)用のOkta多要素認証(MFA)プロバイダーをインストールする前に、次を行う必要があります。
- 認証要素を選択する
- 認証にMicrosoft ADFS(MFA)アプリを使用するグループを定義する
- Microsoft ADFS(MFA)アプリを追加する
- オリジン間リソース共有を有効にする
OpenID Connectとシングルサインオンをサポートするように構成されていないOkta orgでもMicrosoft ADFSをインストールして構成できますが、MFAをサービスとして使用する必要があります。
- 認証要素を選択します。
- Admin Consoleで、 に移動します。
- [Add authenticator(Authenticatorを追加)]をクリックします。
- 追加するAuthenticatorの[Add(追加)]をクリックします。少なくともOkta Verifyを追加します。
- Authenticatorを構成し、[Add(追加)]をクリックします。
- [Actions(アクション)]メニューで[Edit(編集)]を選択してその他の設定を構成します。
-
認証にMicrosoft ADFS(MFA)アプリを使用するグループを定義します。
- Admin Consoleで に移動します。
- [Add Group(グループを追加)]をクリックします。
- フィールドに入力して、[Save(保存)]をクリックします。
- グループにユーザーを追加します。「ユーザー、グループ、プロファイル」を参照してください。
-
Microsoft ADFS(MFA)アプリを追加します。
- 管理者としてOkta orgにサインインします。
- Admin Consoleで に移動します。
- [Browse App Catalog(アプリカタログを参照)]をクリックします。
- Microsoft ADFS (MFA)を探して選択し、[Add Integration(統合を追加)]をクリックします。
- 一意のアプリラベルを入力します。
- [Next(次へ)]をクリックします。
-
OpenID Connectとシングルサインオンが有効なOkta orgの場合:
-
[サインオン]オプションページで[OpenID Connect]を選択し、適切な[Redirect URI(リダイレクトURI)]を入力します。[Done(完了)]をクリックします。
リダイレクトURIの末尾がフォワードスラッシュであることを確認します。例:https://yourdomain.com/
OpenID Connectとシングルサインオンが有効でないOkta orgの場合:
- [サインオン]タブに移動して[MFA as a service(サービスとしてのMFA)]が選択されていることを確認します。
-
- [一般]タブに移動して[Client ID(クライアントID)]と[Client secret(クライアントシークレット)]の値を書き留めます。これらの値は、「ADFSサーバーにOkta ADFSプラグインをインストールする」のタスクで必要になります。
- 構成を変更する手順に従ってuseOIDCがfalseであることを確認するか、このように構成します。構成に変更を加えた後は、エージェントを再起動する必要があります。
-
オリジン間リソース共有(CORS)を有効にします。
CORSの詳細については、「CORSの概要」を参照してください。
- Admin Consoleで に移動します。
- [Trusted Origins(信頼済みオリジン)]タブを選択し、[CORS]をクリックします。
- [Add Origin(オリジンを追加)]をクリックします。
- 次の情報を入力します。
- [Name(名前)]
- [Origin URL(オリジンURL)]:ADFSサービス名にすることができます。
- [CORS]チェックボックスを選択し、[Save(保存)]をクリックします。