移行を準備する

orgをMicrosoft Entra IDからOktaに移行する前に、Microsoft Entra IDでサービスアプリを作成し、Okta Workflowsを構成する必要があります。

開始する前に

Microsoft Entra IDでサービスアプリを作成する

サービスアプリにAPIのアクセス許可を割り当てて、Microsoft Entra IDからOktaにアプリメタデータをエクスポートできるようにします。

アプリを登録する

  1. Microsoft Entra管理センターで、 [App registrations(アプリの登録)][New registration(新規登録)]に移動します。[アプリケーションの登録]ダイアログが開きます。

    Microsoft Entra IDでアプリを登録する

  2. アプリの名前を入力し、[Accounts in this organizational directory only(この組織のディレクトリ内のアカウントのみ)」を選択します。

    Microsoft Entra IDでアプリケーションダイアログを登録します。

  3. [Register(登録)]をクリックします。

APIのアクセス許可を追加する

  1. [Manage(管理)][API permissions(APIのアクセス許可)]に移動します。

  2. [Add a permission(アクセス許可を追加)]をクリックします。[APIのアクセス許可をリクエスト]ダイアログが開きます。

    Microsoft Entra IDでアクセス許可を追加します。

  3. [Microsoft APIs]タブで[Microsoft Graph]を選択します。

    Microsoft Entra IDでアクセス許可をリクエストします。

  4. [Application permissions(アプリケーションのアクセス許可)]を選択し、次のアクセス許可をアプリに追加します。

    • Application.Read.All
    • AppRoleAssignment.ReadWrite.All
    • Policy.Read.All
  5. [Grant admin consent(管理者の同意を付与する)]をクリックします。前の手順で選択した各アクセス許可に対して管理者の同意が付与されます。

    Microsoft Entra IDで管理者の同意を付与する

クライアントシークレットを作成します。

  1. [Manage(管理)][Certificates & secrets(証明書とシークレット)]に移動します。

  2. [クライアントシークレット]タブを選択し、[New client secret(新しいクライアントシークレット)]をクリックします。[クライアントシークレットの追加]ダイアログが開きます。

    Microsoft Entra IDでクライアントシークレットを作成する

  3. 説明と有効期限を入力して、[Add(追加)]をクリックします。

  4. [Client secrets(クライアントシークレット)タブで、列に表示されるシークレットをコピーします。後でOkta Workflowsで使用できるように安全な場所に保管します。

    Microsoft Entra IDでクライアントシークレットをコピーする

OAuth 2.0トークンエンドポイントをコピーする

  1. [Manage(管理)][App registrations(アプリの登録)]に移動します。

  2. [Endpoints(エンドポイント)]をクリックします。

    Microsoft Entra IDのエンドポイント

  3. [OAuth 2.0 token endpoint (v2)(OAuth 2.0トークンエンドポイント(v2))]リンクをコピーします。後でOkta Workflowsで使用できるように安全な場所に保管します。

    Microsoft Entra IDでOAuth 2.0トークンエンドポイントをコピーする

Okta Workflowsを構成する

Microsoft Entra ID移行用にOkta Workflowsを構成するには、次の手順に従います。

Microsoft Entra ID移行フローテンプレートをOkta Workflowsに追加する

  1. Okta Workflowsコンソールにサインインします。

  2. テンプレートページに移動します。

  3. [Entra ID Configuration Export and Migration to Okta(Entra ID構成のエクスポートとOktaへの移行)]フローを検索して選択します。

  4. [Add Template(テンプレートを追加)]をクリックします。

  5. 確認ダイアログで、[Add Template(テンプレートを追加)]をもう一度クリックします。テンプレートがフォルダとしてWorkflows環境に追加されます。同じ名前のフォルダが存在する場合は、同じ名前の2番目のフォルダが追加されます。

  6. Workflowsのホームページで、新しいフォルダをクリックしてフローのコンポーネントを表示します。フォルダーには8つのフローと2つのテーブルが表示されます。

  7. 各フローをオンに切り替えます。

    Okta Workflowsでフローをオンにする

APIコネクター接続を作成する

  1. Okta Workflowsコンソールで[Connections(接続)]をクリックします。

  2. [New Connection(新規接続)]をクリックします。[New Connection(新規接続)]ダイアログが開きます。

    Okta Workflowsで接続を作成する

  3. [API Connector(APIコネクター)]を検索して選択します。

  4. [Create(作成)]をクリックします。

  5. コネクターの名前を入力し、[Auth Type(認証タイプ)][None]に設定します。

    Okta WorkflowsでMicrosoft Entra IDコネクターを作成する

  6. [Create(作成)]をクリックします。

Microsoft Entra IDフローにAPIコネクターを追加する

  1. Okta Workflowsで、Microsoft Entra IDフローが含まれているフォルダーを開きます。

  2. フローを選択します。

  3. [API Connector(APIコネクター)]までスクロールします。

  4. [Choose Connection(接続の選択)]をクリックし、先ほど作成した接続を選択します。

    Okta Workflowsで接続を選択します。

  5. 各フローにこれらの手順を繰り返します。

Okta Workflows接続をセットアップする

  1. WorkflowsコンソールとAdmin Consoleにサインインします。

  2. Workflowsコンソールで[Connections(接続)]をクリックします。

  3. [New Connection(新規接続)]をクリックします。[New Connection(新規接続)]ダイアログが開きます。

  4. Oktaコネクターを検索して選択します。

    Okta WorkflowsでOktaコネクターを選択します。

  5. [新規接続]ウィンドウで名前と任意の説明を入力します。

  6. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  7. [Okta Workflows OAuth]アプリを検索して選択します。

  8. [Sign On(サインオン)]タブをクリックし、[Client ID(クライアントID)][Client secret(クライアントシークレット)]の値をコピーします。

    Okta Workflows OAuthアプリのクライアントIDとクライアントシークレットをコピーします。

  9. Workflowsコンソールで、コピーした値を[Client ID(クライアントID)]フィールドと[Client Secret(クライアントシークレット)]フィールドに貼り付けます。

  10. [Domain(ドメイン)]フィールドに、https://のないOktaドメイン(atko.okta.comなど)を入力します。

  11. [権限]タブをクリックします。

  12. [Customize scopes (advanced)(スコープをカスタマイズ(高度))]を選択します。

  13. 接続に次のスコープを追加して、[Create(作成)]をクリックします。

    • okta.apps.manage

    • okta.groups.manage

    • okta.policies.manage

      Okta Workflowsでカスタマイズされたスコープを作成します。

エクスポートフローを実行する

  1. Workflowsコンソールで、Microsoft Entra IDエクスポートフローが含まれているフォルダーを開きます。

  2. [1.0 Get Entra ID Application Information - Parent Flow(1.0 Entra IDアプリケーション情報を取得する - 親フロー)]を選択します。

  3. [Run(実行)]をクリックします。

  4. 先ほどコピーしたトークンエンドポイント、クライアントID、クライアントシークレットの値を入力します。

  5. [Run(実行)]をクリックします。

  6. エクスポートされたデータを表示するには、エクスポートファイルフォルダーから[Tables(テーブル)][EntraID Application Export Table(Entra IDアプリケーションエクスポートテーブル)] を選択します。テーブルには次の情報が表示されます。

    • Application Name(アプリケーション名):アプリの名前。

    • IDMicrosoft Entra ID内のアプリの一意識別子。

    • App ID(アプリID)Microsoft Entra ID内のアプリタイプの一意識別子。

    • Entity ID(エンティティID):SAMLアプリの一意識別子。

    • ACS or Redirect URL(ACS URLまたはリダイレクトURL):SAMLアプリの場合、これはSAMLアサーションがポストされるURLです。OIDCアプリの場合、これは認証コードがポストされるリダイレクトURLです。

    • Application Protocol(アプリケーションプロトコル):アプリのプロトコルタイプ(SAMLまたは OIDC)。

    • Group Assignment(グループ割り当て):アプリが割り当てられているグループ。

    • Action(アクション)[Migrate(移行する)]が表示されます。Oktaは、Microsoft Entra IDからのアプリメタデータを使用してorgにこれらのアプリを作成します。
    • Okta App ID(OktaアプリID):空欄にしておきます。この列には、Oktaでアプリが作成されるとアプリIDが表示されます。

    • Status(ステータス):空欄にしておきます。フローが完了すると列にステータスが表示されます。

次の手順

Microsoft Entra IDからOktaに条件付きアクセスポリシーを移行する

認証ポリシー

Microsoft Entra IDからOktaにアプリを移行する

ブックマークアプリを構成する