Authorization
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)をフローに初めて追加するときに、Oktaでは接続の構成が求められます。これにより、Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アカウントへのコネクターが作成され、アカウント情報も保存されるため、将来のAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)フローに接続を再利用できます。
Okta Workflowsコンソールの接続(Connections)ページでは、一意の接続を複数作成し、管理できます。
接続を初めて作成するときは、Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)管理者アカウントを利用することをOktaはお勧めします。
アプリケーション
利便性のために、OktaはAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) OAuthアプリケーションを開発しました。
-
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) for Okta Workflows:Okta Workflows本番orgとの接続向け
-
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) for Okta Preview:Okta Workflows プレビューorgとの接続向け
Okta WorkflowsにAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)接続を作成すると、Oktaはこのアプリを自動的にサービスプリンシパルオブジェクトとしてAzureテナントに作成します。
Azureテナント内のオブジェクトは、Okta Azureテナントから登録済みアプリオブジェクトを参照します。これらのサービスプリンシパルオブジェクトに追加の構成は必要ありません。
Office 365 GCC Highテナント
Okta for Government HighのOkta Workflowsがサポートするのは、Office 365 GCC Highテナントからのアカウントを使った接続のみです。
開始する前に
フローにAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)カードを追加するには、次の前提条件が適用されます。
スコープ
サポートされるOAuthスコープを必ず有効にします。Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)コネクターに関するガイダンスを参照してください。
接続
-
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)管理者アカウントを使って接続を作成する
-
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)ユーザーアカウントを使って接続を作成する
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)管理者アカウントを使って接続を作成する
-
Workflowsコンソールで接続(Connections)ページを開きます。
-
新規接続(New Connection)をクリックします。
-
新規接続(New Connection)ダイアログでリストからAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)接続を選択します。
-
一意の接続ニックネーム(Connection Nickname)を入力します。これは、複数のAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)接続を作成してチームで共有することを計画している場合に便利です。
-
作成(Create)をクリックします。
-
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アカウントにサインインして接続を接続します。
-
次のいずれかのオプションを選択します。
- 管理者として、一般ユーザーが接続を作成するのは望ましくない(As an admin you don't want regular users to create connections)。承認(Accept)をクリックし、Organizationに代わって同意する(Consent on behalf of your organization)オプションが選択されていないことを確認します。
- 管理者として、レギュラーユーザーも接続を作成できることが望ましい(As an admin you want regular users also able to create connections)承認(Accept)をクリックし、Organizationに代わって同意する(Consent on behalf of your organization)オプションを選択します。組織のすべてのユーザーアカウントは接続を作成できます。
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)ユーザーアカウントで接続を作成する
-
Workflowsコンソールで接続(Connections)ページを開きます。
-
新規接続(New Connection)をクリックします。
-
新規接続(New Connection)ダイアログでリストからAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)接続を選択します。
-
一意の接続ニックネーム(Connection Nickname)を入力します。これは、複数のAzure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)接続を作成してチームで共有することを計画している場合に便利です。
-
作成(Create)をクリックします。
-
Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)アカウントにサインインして接続を接続します。
-
次のいずれかのオプションを選択します。
- 直接要求された権限を承認できる(Can accept the permissions requested directly):このオプションを選択すると、管理者はこのOktaアプリについて、一般ユーザーが同意できるようにします。
- 管理者の承認が必要(Need admin approval):ユーザーはアプリケーションへのアクセス権を付与するために、管理者に連絡する必要があります。「すべてのアプリへの同意」または「テナント全体の管理者同意の付与」を参照してください。
- 承認リクエストの送信が必要(Need to submit an approval request):ユーザーは、このアプリをリクエストする正当な理由を指定のスペースに入力する必要があります。管理者の同意ワークフローを有効にするを参照してください。
-
承認(Accept)をクリックします。
管理者のアプリ承認
管理者は、Oktaアプリへのアクセス権を一般ユーザーのアカウントに付与できます。接続の構成時に、管理者が組織に代わって同意する(Consent on behalf of your organization)オプションを選択し忘れて承認(Accept)をクリックした場合、認可ページでは同じ管理者アカウントが使用されない可能性があります。これは、Oktaアプリが接続を認可し、システムに記憶されているためです。
次のタスクでは、管理者が一般ユーザーのアカウントにOktaアプリへのアクセス権を付与する別の方法を示します。
すべてのアプリへの同意
このタスクでは、選択された権限について、ユーザーがすべてのアプリ、または検証済みパブリッシャーからのアプリに同意できるようにします。Global Adminとしてのみ権限を構成します。「ユーザーがアプリケーションに同意する方法の構成」を参照してください。
-
Azureポータルで、を選択します。
-
次のいずれかの権限オプションを選択します。
- ユーザーによるアプリへの同意を許可する(Allow user consent for apps):これは、安全性が低いオプションです。
- 検証済みパブリッシャーからのアプリへのユーザーによる同意を許可する(Allow user consent for apps from verified publishers)これは、より安全なオプションです。権限を低影響として構成します。Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。)コネクターに関するガイダンスを参照してください。
-
エンタープライズアプリケーション(Enterprise applications)から管理者同意リクエスト(Admin consent requests)ページに移動し、確認してアクセス権を付与します。
テナント全体の管理者同意の付与
Oktaアプリのテナント全体の管理者同意は、自分の管理者アカウントまたは別の管理者アカウントによってOktaアプリが認可されている場合にのみ許可されます。アプリケーションへのテナント全体の管理者同意の付与を参照してください。
-
Azureポータルでに移動します。
-
次のいずれかのOktaアプリを選択します。
- Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) for Okta Workflows
- Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) for Okta Preview
-
を選択します。
組織内のすべての一般ユーザーには、Oktaアプリへの同意権限が付与されています。
管理者の同意ワークフローの有効化
管理者同意を必要とするアプリケーションへのアクセス権を一般ユーザーが要求できるようにします。ユーザーは、管理者がリクエストを承認するまで接続を直接作成できません。Global Adminとしてのみ権限を構成します。「管理者同意ワークフローの構成」を参照してください。
- Azureポータルでを選択します。
- 管理(Manage)の下でユーザー設定(User settings)を選択します。
- の下で、はい(Yes)を選択します。「管理者同意ワークフローの構成」を参照してください。
- エンタープライズアプリケーション(Enterprise applications)から管理者同意リクエスト(Admin consent requests)ページに移動し、確認してアクセス権を付与します。
ユーザーによる接続の作成を禁止する
エンタープライズアプリケーション内のOktaアプリを削除してから認可し直すことで、過去に付与された管理者同意を削除します。アプリを削除すると、テナント全体の管理者同意が取り消されます。個々のユーザー同意の取り消しは許可されません。
既存のすべての接続は、1時間後に動作を停止します。過去に構成した、アクティブ状態の維持が望ましい管理者接続については、手動で再認可し、同意プロセスを使って接続失敗を回避します。
-
Azureポータルでを選択します。
-
次のいずれかのOktaアプリを選択します。
- Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) for Okta Workflows
- Azure Active Directory(Azure Active Directoryからライセンスを割り当て解除する。) for Okta Preview
-
削除(Delete)を選択します。
過去に付与された管理者同意が取り消されます。一般ユーザーは、管理者同意が付与されるまで接続を作成できなくなります。
接続の再認可
自分のアカウントを使って接続を正常に作成したときは、そのアカウントを使って複数の接続を作成できます。すでに接続を作成済みの場合、管理者によって設定が変更されない限り、これらの接続を再認可できます。