【Okta】Azure ADのユーザー情報をOktaへスタイリッシュにインポートしたい

はじめに

こんにちはこんばんは、スタイリッシュさをこよなく愛するネクストモードのおはらふです

Azure ADとOktaを連携する機会は多く、ネクストモードでも様々な技術検証を行なっております
今回はAzure ADにあるユーザー情報をOktaにインポートする、スタイリッシュなやり方を紹介したいと思います

尚、2023年1月5日までに検証が確認できている内容となります

背景

昨今の情報システム環境ですと何らかの形でAzure ADにユーザー情報がある場合は多く、 例えばMicrosoft 365（旧Office365）を使っている場合、そのユーザー管理はAzure ADを使っていることになります

せっかくAzure ADにユーザー情報があるのなら、その情報をOktaにインポートすればスタイリッシュじゃない？というのが今回の趣旨です
Azure ADからOktaへのユーザー移行でも使える手順となりますので、参考にしてみてください

Azure ADからOktaへユーザーをインポートする方法

大きくは以下3つの方法が考えられます

• Azure ADのユーザーダウンロード機能を使いエクスポートし、Oktaのcsvフォーマットにコピペしてインポート
• Azure ADをIdPとして構成し、Azure ADからOktaへ属性情報をマッピングさせる
• OktaをIdPとして構成し、Azure ADからOktaへ属性情報をマッピングさせる

ひとつめのやり方はどう考えてもスタイリッシュじゃないので考えないことにします

残りふたつは設定さえ行えば自動でユーザー情報が同期されるので、とてもスタイリッシュで良いです
今回はこのうちの、OktaをIdPとして構成し、Azure ADからOktaへ属性情報をマッピングさせる方法をご紹介します

前提：OktaとMicrosoft 365（Azure AD）とのWS-Federation

前回のBlogにTips的に書いた、Azure ADとOktaのWS-Federation環境を事前に設定ください

WS-Federation環境を構成することで、Oktaからのプロビジョニングはもちろんのこと、Azure ADからのインポートも可能となります

Azure ADからユーザー情報をスタイリッシュにインポートする

Azure ADとOktaのWS-Federationが完了すると、後はスタイリッシュにGUIでボタンを押すだけでインポートが可能となります
Importする情報はデフォルトでも良い感じにやってくれますが、もしこだわる場合は任意で属性情報のマッピングを行うとよりスタイリッシュです

手順は簡単です
Oktaの管理コンソールから「Applications → 作ったMicrosoft 365アプリ → Import」へと進んでください
この画面へたどり着いたら、あとはスタイリッシュに「Import Now」ボタンを押すだけです

スタイリッシュな設定ができていれば、このような画面が出てくるはずです
あとは一括もしくはお好きなユーザーをインポートしてください

気をつけるポイント

• スケジュールインポートも可能だが、連携したドメインの制約に注意

• 初回インポート時はAuto Confirm系の設定を外しておいた方が無難

  

• 何らかのライセンスを付与していないとインポートされない（有効なユーザとみなされない）

こちらのブログにもありますが、Azure ADとのWS-Federation環境を構築すると、そのドメインの新規ユーザー作成はOktaからのみ作成可能となります

スケジュールインポートを設定しても、該当ドメインの新規ユーザーをインポートする機会がないため、特に意味のない行為になります
非連携ドメイン（例：*.onmicrosoft.com）はその制約がなく、Microsoft側で新規ユーザー作成可能なので、Oktaでもそちらを使う場合はスケジュール設定してみてください

基本的には一回限りのインポートになるはずなので、Auto Confirm系の設定を外し、想定通りのユーザーがインポートされそうかの確認をお勧めします

尚、Microsoft側で無料でもいいので何らかのライセンスを付与していないと、Oktaへインポート対象にならないので注意してください

さいごに

Azure ADからのユーザー情報インポートは、Okta OINのWS-Federationアプリを使うことで簡単にスタイリッシュに行うことが可能です

結局スタイリッシュってどういう意味なの？という疑問は、それ自体がスタイリッシュじゃないのでお答えしかねます