承認

Azure Active Directoryをフローに初めて追加するときに、Oktaでは接続の構成が求められます。

接続を初めて作成するときは、Azure Active Directory管理者アカウントを利用することをお勧めします。これにより、Azure Active Directoryアカウントに接続するだけでなく、アカウント情報が保存されるため、将来のAzure Active Directoryフローに接続を再利用できます。

OAuthアプリ統合

利便性のために、Oktaはプレビューセルと本番セルの両方でAzure Active DirectoryにアクセスするためのOAuthアプリ統合を開発しました。

  • Azure Active Directory for Okta Preview Workflows

  • Azure Active Directory for Okta Workflows

前提条件

スコープ

サポートされるOAuthスコープを必ず有効にします。「Azure Active Directoryコネクターのガイダンス」を参照してください。

接続

Azure Active Directory管理者アカウントとの接続を作成する

  1. Workflowsコンソールで[Connections(接続)]ページを開きます。

  2. [New Connection(新規接続)]をクリックします。

  3. [New Connection(新規接続)]ダイアログでリストからAzure Active Directory接続を選択します。

  4. 一意の[Connection Nickname(接続ニックネーム)]を入力します。これは、複数のAzure Active Directory接続を作成してチームで共有することを計画している場合に便利です。

  5. [Create(作成)]をクリックします。

  6. Azure Active Directoryアカウントにサインインして接続を承認します。

  7. 次のいずれかのオプションを選択します。

    • As an admin you don't want regular users to create connections(管理者として、一般ユーザーが接続を作成するのは望ましくない)[Accept(承認)]をクリックし、[Consent on behalf of your organization(組織に代わって同意する)]オプションが選択されていないことを確認します。
    • As an admin you want regular users also able to create connections(管理者として、一般ユーザーも接続を作成できることが望ましい)[Accept(承認)]をクリックし、[Consent on behalf of your organization(組織に代わって同意する)]オプションを選択します。組織のすべてのユーザーアカウントは接続を作成できます。

Azure Active Directoryユーザーアカウントとの接続を作成する

  1. Workflowsコンソールで[Connections(接続)]ページを開きます。

  2. [New Connection(新規接続)]をクリックします。

  3. [New Connection(新規接続)]ダイアログでリストからAzure Active Directory接続を選択します。

  4. 一意の[Connection Nickname(接続ニックネーム)]を入力します。これは、複数のAzure Active Directory接続を作成してチームで共有することを計画している場合に便利です。

  5. [Create(作成)]をクリックします。

  6. Azure Active Directoryアカウントにサインインして接続を承認します。

  7. 次のいずれかのオプションを選択します。

    1. Can accept the permissions requested directly(直接要求された権限を承認できる)。このオプションを選択すると、管理者はこのOktaアプリについて、一般ユーザーが同意できるようにします。
    2. Need admin approval(管理者の承認が必要)。ユーザーはアプリケーションへのアクセス権を付与するために、管理者に連絡する必要があります。「すべてのアプリへの同意」またはテナント全体の管理者同意の付与」を参照してください。
    3. Need to submit an approval request(承認リクエストの送信が必要)。ユーザーは、このアプリをリクエストする正当な理由を指定のスペースに入力する必要があります。「管理者の同意ワークフローの有効化」を参照してください。

  8. [Accept(承認)]をクリックします。

Admin app approval(管理者のアプリ承認)

管理者は、Oktaアプリへのアクセス権を一般ユーザーのアカウントに付与できます。接続の構成時に、管理者が[Consent on behalf of your organization(組織に代わって同意する)]オプションを選択し忘れて[Accept(承認)]をクリックした場合、承認ページでは同じ管理者アカウントが使用されない可能性があります。これは、Oktaアプリが接続を承認し、システムに記憶されているためです。

次のタスクでは、管理者が一般ユーザーのアカウントにOktaアプリへのアクセス権を付与する別の方法を示します。

すべてのアプリへの同意

このタスクでは、選択された権限について、ユーザーがすべてのアプリ、または検証済みパブリッシャーからのアプリに同意できるようにします。グローバル管理者としてのみ権限を構成します。「ユーザーがアプリに同意する方法の構成」を参照してください。

  1. Azureポータルで、[Azure Active Directory]>[Enterprise applications(エンタープライズアプリケーション)]>[Consent and permissions(同意と権限)]>[User consent settings(ユーザーの同意設定)]を選択します。

  2. 次のいずれかの権限オプションを選択します。

    • Allow user consent for apps(ユーザーによるアプリへの同意を許可する)。これは、安全性が低いオプションです。
    • Allow user consent for apps from verified publishers(検証済みパブリッシャーからのアプリへのユーザーによる同意を許可する)。これは、より安全なオプションです。権限を低影響として構成します。「Azure Active Directoryコネクターのガイダンス」を参照してください。

  3. [Enterprise applications(エンタープライズアプリケーション)]から[Admin consent requests(管理者同意リクエスト)]ページに移動し、確認してアクセス権を付与します。

テナント全体の管理者同意の付与

Oktaアプリのテナント全体の管理者同意は、自分の管理者アカウントまたは別の管理者アカウントによってOktaアプリが承認されている場合にのみ許可されます。「アプリケーションへのテナント全体の管理者同意の付与」を参照してください。

  1. Azureポータルで、[Azure Active Directory]>[Enterprise applications(エンタープライズアプリケーション)]に移動します。

  2. 次のいずれかのOktaアプリを選択します。

    • Azure Active Directory for Okta Preview Workflows
    • Azure Active Directory for Okta Workflows

  3. [Permissions(権限)]>[Grant admin consent(管理者同意の付与)]を選択します。

    組織内のすべての一般ユーザーには、Oktaアプリへの同意権限が付与されています。

管理者の同意ワークフローの有効化

管理者同意を必要とするアプリケーションへのアクセス権を一般ユーザーが要求できるようにします。ユーザーは、管理者がリクエストを承認するまで接続を直接作成できません。グローバル管理者としてのみ権限を構成します。「管理者同意ワークフローの構成」を参照してください。

  1. Azureポータルで、[Azure Active Directory]>[Enterprise applications(エンタープライズアプリケーション)]を選択します。
  2. [Manage(管理)]の下にある[User settings(ユーザー設定)]を選択します。
  3. [Admin consent requests(管理者同意リクエスト)]>[Users can request admin consent to apps they are unable to consent to(ユーザーは自分では同意できないアプリへの管理者同意を要求できる)]の下で、[Yes]を選択します。「管理者同意ワークフローの構成」を参照してください。
  4. [Enterprise applications(エンタープライズアプリケーション)]から[Admin consent requests(管理者同意リクエスト)]ページに移動し、確認してアクセス権を付与します。

ユーザーによる接続の作成を禁止する

エンタープライズアプリケーション内のOktaアプリを削除してから承認し直すことで、過去に付与された管理者同意を削除します。アプリを削除すると、テナント全体の管理者同意が取り消されます。個々のユーザー同意の取り消しは許可されません。

既存のすべての接続は、1時間後に動作を停止します。過去に構成した、アクティブ状態の維持が望ましい管理者接続については、手動で再承認し、同意プロセスを使って接続失敗を回避します。

  1. Azureポータルで、[Azure Active Directory]>[Enterprise applications(エンタープライズアプリケーション)]を選択します。

  2. 次のいずれかのOktaアプリを選択します。

    • Azure Active Directory for Okta Preview Workflows
    • Azure Active Directory for Okta Workflows

  3. [Delete(削除)]を選択します。

過去に付与された管理者同意が取り消されます。一般ユーザーは、管理者同意が付与されるまで接続を作成できなくなります。

接続の再承認

自分のアカウントを使って接続を正常に作成したときは、そのアカウントを使って複数の接続を作成できます。すでに接続を作成済みの場合、管理者によって設定が変更されない限り、これらの接続を再承認できます。

(欠落または不良スニペット)