Microsoft Entra ID をIDプロバイダーにする

Microsoft Entra IDに認証を委任するには、OktaでIDプロバイダー（IdP）として構成する必要があります。

開始する前に

「でOktaエンタープライズアプリを作成するMicrosoft Entra ID 」を完了し、以下をメモします。

ログインURL（Login URL）
AADの識別子（AAD Identifier）
ダウンロードした証明書（Base64）

この手順を開始する

この手順には次のタスクが含まれます。

Microsoft Entra IDをIDプロバイダーとして追加します。
Microsoft AzureポータルでOktaアプリを更新します。

ヒント:

この手順では、SAMLを使用してAADをIDプロバイダーとして設定する手順を示します。OpenID Connectの使用については、「OktaでのIDプロバイダーの作成」を参照してください。OpenID Connectを使用してIdPを作成した後、Azureのルーティングルールをセットアップできます。IDプロバイダーのルーティングルールを構成するを参照してください。

Microsoft Entra IDをIDプロバイダーとして追加する

Admin Consoleで、セキュリティ（Security） > IDプロバイダー（Identity Providers）に移動します。
IDプロバイダーを追加（Add Identity Provider）をクリックして、SAML 2.0 IdPを追加（Add SAML 2.0 IdP）を選択します。
名前（Name）フィールドにAADまたは希望するIDプロバイダーの名前を入力します。

認証設定（AUTHENTICATION SETTINGS）（Authentication Settings）セクションの以下のフィールドに入力します。

フィールド	値
IdPユーザー名（IdP Username）	`idpuser.email` と入力します。
フィルター（Filter）	任意。定義された正規表現パターンに一致するユーザー名のみを許可（Only allow usernames that match defined RegEx pattern）チェックボックスを選択し、正規表現パターンを入力します。このパターンによりIdPユーザー名がフィルタリングされ、IdPが意図しないユーザーや特権ユーザーを認証するのを防ぐことができます。
照合対象（Match against）	ドロップダウンリストからOktaユーザー属性を選択します。例：Oktaユーザー名（Okta Username）。このOktaユーザー属性は、既存のユーザーを検索するためにIdPユーザー名と照合されます。
アカウントリンクポリシー（Account Link Policy）	自動（Automatic）を選択すると、受信IdPユーザーがOktaの既存のユーザーにリンクされます。ユーザーを手動でリンクする場合、またはユーザーをリンクしない場合は、無効（Disable）（Disabled）を選択します。
自動リンクの制限（Auto-link Restrictions）	任意。指定した特定のグループに自動アカウントリンクを制限できます。ドロップダウンリストから特定のグループ（Specific Groups）を選択し、グループ名を入力します。一致するユーザーが指定されたグループのいずれかに属している場合にのみ、IdPユーザーが自動的にリンクされます。
一致が見つからない場合（If no match is found）	任意。Create new user (JIT)（新規ユーザー（JIT）を作成）を選択して、一致しないユーザー用に新しいアカウントを作成します。

JITの設定（JIT Settings）エリアで以下のフィールドに入力します。

フィールド	値
プロファイルソース（Profile Source）	既存ユーザーの属性を更新（Update attributes for existing users）チェックボックスを選択します。
再アクティベーションの設定（Reactivation Settings）	任意。で非アクティブされたユーザーを再度有効化する（Reactivate users who are deactivated in ） Oktaチェックボックスとで停止されたユーザーの停止を解除する（Unsuspend users who are suspended in） Oktaチェックボックスを選択します。
グループの割り当て（Group Assignments）	任意。プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。ユーザーを特定のグループに割り当てること、SAML属性名とグループフィルターに基づいて欠落しているグループに追加すること、グループの完全同期を実行することができます。

フィールド

値

プロファイルソース（Profile Source）

既存ユーザーの属性を更新（Update attributes for existing users）チェックボックスを選択します。

再アクティベーションの設定（Reactivation Settings）

任意。

で非アクティブされたユーザーを再度有効化する（Reactivate users who are deactivated in ） Oktaチェックボックスとで停止されたユーザーの停止を解除する（Unsuspend users who are suspended in） Oktaチェックボックスを選択します。

グループの割り当て（Group Assignments）

任意。

プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。

ユーザーを特定のグループに割り当てること、SAML属性名とグループフィルターに基づいて欠落しているグループに追加すること、グループの完全同期を実行することができます。

SAMLプロトコル設定（SAML Protocol Settings）エリアの以下のフィールドに入力します。

フィールド	値
IdP発行者URI（IdP Issuer URI）	以前に記録した Microsoft Entra ID識別子（ Identifier）フィールドの値を入力します。
IdPシングルサインオンURL（IdP Single Sign-On URL）	前に記録したAzure ADログインURL（Login URL）フィールドの値を入力します。
IdP署名証明書（IdP Signature Certificate）	ファイルを参照（Browse files）をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、開く（Open）をクリックします。

IDプロバイダーを追加（Add Identity Provider）をクリックします。
IDプロバイダー（Identity Providers）ページで、AAD IDプロバイダーの展開（）アイコンをクリックし、次のフィールドの値を記録します。
- アサーションコンシューマーサービスURL（Assertion Consumer Service URL）
- オーディエンスURL（Audience URL）（Audience URI）

IdPとしてAzureを追加した後、そのルーティングルールを構成します。ルーティングルールにより、ユーザーのデバイス、メールドメイン、またはアクセスしようとしているアプリなどに基づき、ユーザーをIdPに導くことができます。IDプロバイダーのルーティングルールを構成するを参照してください。

Microsoft AzureポータルでOktaアプリを更新する

Microsoft Azureポータルにサインインし、左上のポータルメニューアイコンをクリックして Microsoft Entra ID を選択します。
左側のメニューでエンタープライズアプリケーション（Enterprise Applications）（Enterprise applications）をクリックし、アプリケーションのリストでOktaを選択します。
左メニューでシングルサインオン（Single sign-on）をクリックし、SAMLをクリックします。

基本SAML構成（Basic SAML Configuration）（Edit）エリアで編集（Edit）（Basic SAML Configuration）をクリックし、以下のフィールドに入力します。

フィールド	値
Identifier (Entity ID)（識別子（エンティティID））	手順8で記録したオーディエンスURIの値を入力します。
Reply URL (Assertion Consumer Service URL)（返信URL（Assertion Consumer Service URL））	手順8で記録したAssertion Consumer Service URLの値を入力します。

保存（Save）と閉じる（Close）をクリックします。

次の手順

Microsoft Entra ID属性をOkta属性にマッピングする