Azure Active DirectoryをIDプロバイダーにする
Azure Active Directory(AAD)に認証を委任するには、OktaでAADをIDプロバイダー(IdP)として構成する必要があります。
はじめに
Azure Active DirectoryでのOktaエンタープライズアプリの作成を完了し、以下をメモします。
-
Login URL(ログインURL)
-
AAD Identifier(AADの識別子)
-
ダウンロードした証明書(Base64)
この手順を開始する
この手順には次のタスクが含まれます。
この手順では、SAMLを使用してAADをIDプロバイダーとして設定する手順を示します。OpenID Connectの使用については、「OktaでのIDプロバイダーの作成」を参照してください。OpenID Connectを使用してIdPを作成した後、Azureのルーティングルールをセットアップできます。「IDプロバイダーのルーティングルールの構成」を参照してください。
Azure ADをIDプロバイダーとして追加する
-
Admin Consoleで、 に移動します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Add SAML 2.0 IdP(SAML 2.0 IdPを追加)]を選択します。
- [Name(名前)]フィールドに 「AAD」またはIDプロバイダーの名前を入力します。
-
[AUTHENTICATION SETTINGS(認証設定)]セクションの以下のフィールドに入力します。
フィールド 値 [IdP Username(IdPユーザー名)] idpuser.email と入力します。
[Filter(フィルター)] 任意。 [Only allow usernames that match defined RegEx pattern(定義された正規表現パターンに一致するユーザー名のみを許可)]チェックボックスを選択し、正規表現パターンを入力します。このパターンによりIdPユーザー名がフィルタリングされ、IdPが意図しないユーザーや特権ユーザーを認証するのを防ぐことができます。
[Match against(照合対象)] ドロップダウンリストからOktaユーザー属性を選択します。例:Okta Username(Oktaユーザー名)。 このOktaユーザー属性は、既存のユーザーを検索するためにIdPユーザー名と照合されます。
[Account Link Policy(アカウントリンクポリシー)]
[Automatic(自動)]を選択すると、受信IdPユーザーがOktaの既存のユーザーにリンクされます。 ユーザーを手動でリンクする場合、またはユーザーをリンクしない場合は、[Disable(無効)]を選択します。
[Auto-link Restrictions(自動リンクの制限)]
任意。 指定した特定のグループに自動アカウントリンクを制限できます。
ドロップダウンリストから[Specific Groups(特定のグループ)]を選択し、グループ名を入力します。一致するユーザーが指定されたグループのいずれかに属している場合にのみ、IdPユーザーが自動的にリンクされます。
[If no match is found(一致が見つからない場合)] 任意。[Create new user (JIT)(新規ユーザー(JIT)を作成)]を選択して、一致しないユーザー用に新しいアカウントを作成します。 -
[JIT Settings(JITの設定)]エリアで以下のフィールドに入力します。
フィールド 値 [Profile Source(プロファイルソース)] [Update attributes for existing users(既存ユーザーの属性を更新)]チェックボックスを選択します。 [Reactivation Settings(再アクティベーションの設定)] 任意。 [Reactivate users who are deactivated in Okta(Oktaで非アクティブ化されたユーザーを再度有効にする)]チェックボックスと[Unsuspend users who are suspended inOkta(Oktaで一時停止されているユーザーの一時停止を解除する)]チェックボックスを選択します。
[Group Assignments(グループの割り当て)] 任意。 プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。
ユーザーを特定のグループに割り当てること、SAML属性名とグループフィルターに基づいて欠落しているグループに追加すること、グループの完全同期を実行することができます。
-
[SAML Protocol Settings(SAMLプロトコル設定)]エリアの以下のフィールドに入力します。
フィールド 値 [IdP Issuer URI(IdP発行者URI)] 以前に記録した[Azure AD Identifier(Azure AD識別子)]フィールドの値を入力します。 [IdP Single Sign-On URL(IdPシングルサインオンURL)] 前に記録したAzure AD[Login URL(ログインURL)]フィールドの値を入力します。 [IdP Signature Certificate(IdP署名証明書)] [Browse files(ファイルを参照)]をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、[Open(開く)]をクリックします。 - [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
- [IDプロバイダー]ページで、AAD IDプロバイダーの展開()アイコンをクリックし、次のフィールドの値を記録します。
- [Assertion Consumer Service URL(アサーションコンシューマーサービスURL)]
- [Audience URL(オーディエンスURL)]
IdPとしてAzureを追加した後、そのルーティングルールを構成します。ルーティングルールにより、ユーザーのデバイス、メールドメイン、またはアクセスしようとしているアプリなどに基づき、ユーザーをIdPに導くことができます。「IDプロバイダーのルーティングルールの構成」を参照してください。
Microsoft AzureポータルでOktaアプリを更新する
- Microsoft Azureポータルにサインインし、左上のポータルメニューアイコンをクリックして、[Azure Active Directory]を選択します。
- 左側のメニューで[Enterprise Applications(エンタープライズアプリケーション)]をクリックし、アプリケーションのリストで[Okta]を選択します。
- 左メニューで[Single sign-on(シングルサインオン)]をクリックし、[SAML]をクリックします。
-
[Basic SAML Configuration(基本SAML構成)]エリアで[Edit(編集)]をクリックし、以下のフィールドに入力します。
フィールド 値 [Identifier (Entity ID)(識別子(エンティティID))] 手順8で記録したオーディエンスURIの値を入力します。 [Reply URL (Assertion Consumer Service URL)(返信URL(Assertion Consumer Service URL))] 手順8で記録したAssertion Consumer Service URLの値を入力します。 - [Save(保存)]と[Close(閉じる)]をクリックします。