認可

Azure Active Directoryをフローに初めて追加するときに、Oktaでは接続の構成が求められます。これにより、Azure Active Directoryアカウントへのコネクターが作成され、アカウント情報も保存されるため、将来のAzure Active Directoryフローに接続を再利用できます。

接続を初めて作成するときは、Azure Active Directory管理者アカウントを利用することをお勧めします。

アプリケーション

利便性のために、OktaはAzure Active Directory OAuthアプリケーションを開発しました。

• Azure Active Directory for Okta Workflows：Okta Workflows本番orgとの接続向け

• Azure Active Directory for Okta Preview：Okta Workflowsプレビューorgとの接続向け

Okta WorkflowsにAzure Active Directory接続を作成すると、Oktaはこのアプリを自動的にサービスプリンシパルオブジェクトとしてAzureテナントに作成します。

Azureテナント内のオブジェクトは、Okta Azureテナントから登録済みアプリオブジェクトを参照します。これらのサービスプリンシパルオブジェクトに追加の構成は必要ありません。

Office 365 GCC Highテナント

Okta for Government HighのOkta Workflowsがサポートするのは、Office 365 GCC Highテナントからのアカウントを使った接続のみです。

開始する前に

フローにAzure Active Directoryカードを追加するには、次の前提条件が適用されます。

スコープ

サポートされるOAuthスコープを必ず有効にします。「Azure Active Directoryコネクターのガイダンス」を参照してください。

接続

• Azure Active Directory管理者アカウントとの接続を作成する

• Azure Active Directoryユーザーアカウントとの接続を作成する

• ユーザーによる接続の作成を禁止する

• 接続の再認可

Azure Active Directory管理者アカウントとの接続を作成する

1. Workflowsコンソールで［Connections（接続）］ページを開きます。

2. ［New Connection（新規接続）］をクリックします。

3. ［New Connection（新規接続）］ダイアログでリストからAzure Active Directory接続を選択します。

4. 一意の［Connection Nickname（接続ニックネーム）］を入力します。これは、複数のAzure Active Directory接続を作成してチームで共有することを計画している場合に便利です。

5. ［Create（作成）］をクリックします。

6. Azure Active Directoryアカウントにサインインして接続を接続します。

7. 次のいずれかのオプションを選択します。

   • As an admin you don't want regular users to create connections（管理者として、一般ユーザーが接続を作成するのは望ましくない）。［Accept（承認）］をクリックし、［Consent on behalf of your organization（Organizationに代わって同意する）］オプションが選択されていないことを確認します。
   • As an admin you want regular users also able to create connections（管理者として、レギュラーユーザーも接続を作成できることが望ましい）［Accept（承認）］をクリックし、［Consent on behalf of your organization（Organizationに代わって同意する）］オプションを選択します。組織のすべてのユーザーアカウントは接続を作成できます。

Azure Active Directoryユーザーアカウントとの接続を作成する

1. Workflowsコンソールで［Connections（接続）］ページを開きます。

2. ［New Connection（新規接続）］をクリックします。

3. ［New Connection（新規接続）］ダイアログでリストからAzure Active Directory接続を選択します。

4. 一意の［Connection Nickname（接続ニックネーム）］を入力します。これは、複数のAzure Active Directory接続を作成してチームで共有することを計画している場合に便利です。

5. ［Create（作成）］をクリックします。

6. Azure Active Directoryアカウントにサインインして接続を接続します。

7. 次のいずれかのオプションを選択します。

   1. Can accept the permissions requested directly（直接要求された権限を承認できる）：このオプションを選択すると、管理者はこのOktaアプリについて、一般ユーザーが同意できるようにします。
   2. ［Need admin approval（管理者の承認が必要）］：ユーザーはアプリケーションへのアクセス権を付与するために、管理者に連絡する必要があります。「すべてのアプリへの同意」またはテナント全体の管理者同意の付与」を参照してください。
   3. ［Need to submit an approval request（承認リクエストの送信が必要）］：ユーザーは、このアプリをリクエストする正当な理由を指定のスペースに入力する必要があります。「管理者の同意ワークフローの有効化」を参照してください。

8. ［Accept（承認）］をクリックします。

Admin app approval（管理者のアプリ承認）

管理者は、Oktaアプリへのアクセス権を一般ユーザーのアカウントに付与できます。接続の構成時に、管理者が［Consent on behalf of your organization（組織に代わって同意する）］オプションを選択し忘れて［Accept（承認）］をクリックした場合、承認ページでは同じ管理者アカウントが使用されない可能性があります。これは、Oktaアプリが接続を認可し、システムに記憶されているためです。

次のタスクでは、管理者が一般ユーザーのアカウントにOktaアプリへのアクセス権を付与する別の方法を示します。

すべてのアプリへの同意

このタスクでは、選択された権限について、ユーザーがすべてのアプリ、または検証済みパブリッシャーからのアプリに同意できるようにします。グローバル管理者としてのみ権限を構成します。「ユーザーがアプリに同意する方法の構成」を参照してください。

1. Azureポータルで、［Azure Active Directory］［Enterprise applications（エンタープライズアプリケーション）］［Consent and permissions（同意と権限）］［User consent settings（ユーザーの同意設定）］を選択します。

2. 次のいずれかの権限オプションを選択します。

   • Allow user consent for apps（ユーザーによるアプリへの同意を許可する）：これは、安全性が低いオプションです。
   • Allow user consent for apps from verified publishers（検証済みパブリッシャーからのアプリへのユーザーによる同意を許可する）これは、より安全なオプションです。権限を低影響として構成します。「Azure Active Directoryコネクターのガイダンス」を参照してください。

3. ［Enterprise applications（エンタープライズアプリケーション）］から［Admin consent requests（管理者同意リクエスト）］ページに移動し、確認してアクセス権を付与します。

テナント全体の管理者同意の付与

Oktaアプリのテナント全体の管理者同意は、自分の管理者アカウントまたは別の管理者アカウントによってOktaアプリが認可されている場合にのみ許可されます。「アプリケーションへのテナント全体の管理者同意の付与」を参照してください。

1. Azureポータルで、［Azure Active Directory］［Enterprise applications（エンタープライズアプリケーション）］に移動します。

2. 次のいずれかのOktaアプリを選択します。

   • Azure Active Directory for Okta Workflows
   • Azure Active Directory for Okta Preview

3. ［Permissions（権限）］［Grant admin consent（管理者同意の付与）］を選択します。

   組織内のすべての一般ユーザーには、Oktaアプリへの同意権限が付与されています。

管理者の同意ワークフローの有効化

管理者同意を必要とするアプリケーションへのアクセス権を一般ユーザーが要求できるようにします。ユーザーは、管理者がリクエストを承認するまで接続を直接作成できません。グローバル管理者としてのみ権限を構成します。「管理者同意ワークフローの構成」を参照してください。

1. Azureポータルで、［Azure Active Directory］［Enterprise applications（エンタープライズアプリケーション）］を選択します。
2. ［Manage（管理）］の下にある［User settings（ユーザー設定）］を選択します。
3. ［Admin consent requests（管理者同意リクエスト）］［Users can request admin consent to apps they are unable to consent to（ユーザーは自分では同意できないアプリへの管理者同意を要求できる）］の下で、［Yes（はい）］を選択します。「管理者同意ワークフローの構成」を参照してください。
4. ［Enterprise applications（エンタープライズアプリケーション）］から［Admin consent requests（管理者同意リクエスト）］ページに移動し、確認してアクセス権を付与します。

ユーザーによる接続の作成を禁止する

エンタープライズアプリケーション内のOktaアプリを削除してから認可し直すことで、過去に付与された管理者同意を削除します。アプリを削除すると、テナント全体の管理者同意が取り消されます。個々のユーザー同意の取り消しは許可されません。

既存のすべての接続は、1時間後に動作を停止します。過去に構成した、アクティブ状態の維持が望ましい管理者接続については、手動で再認可し、同意プロセスを使って接続失敗を回避します。

1. Azureポータルで、［Azure Active Directory］［Enterprise applications（エンタープライズアプリケーション）］を選択します。

2. 次のいずれかのOktaアプリを選択します。

   • Azure Active Directory for Okta Workflows
   • Azure Active Directory for Okta Preview

3. ［Delete（削除）］を選択します。

過去に付与された管理者同意が取り消されます。一般ユーザーは、管理者同意が付与されるまで接続を作成できなくなります。

接続の再認可

自分のアカウントを使って接続を正常に作成したときは、そのアカウントを使って複数の接続を作成できます。すでに接続を作成済みの場合、管理者によって設定が変更されない限り、これらの接続を再認可できます。

関連項目

Azure Active Directoryコネクター

Workflows要素

Azure Active Directoryコネクターのガイダンス

Azure Active Directory管理APIの概要