コンテンツまでスキップ

【Okta】Microsoft 365とWS-Federationで役立つかも?な情報

はじめに


こんにちはこんばんは、WS-Federationをこよなく愛するネクストモードのおはらふです

みなさん、OktaとMicrosoft 365(Azure AD)のWS-Federationを楽しんでいるでしょうか?

ネクストモードは主としてGoogle Workspaceを利用しているので、Microsoft 365を業務で使うことはほぼないのですが、お客様が数多く利用していることもあり、検証用途として色々試せる環境を持っています

今回はWS-Federationをする際に色々役立つかもしれない情報を、3つご紹介したいと思います

尚、2022年12月20日までに検証が確認できている内容となります

前提:OktaとMicrosoft 365(Azure AD)とのWS-Federation


OktaからMicrosoft 365にセキュアにシングルサインオンする際は、WS-Federationというプロトコルを使います
連携手順はOktaの公式マニュアルを参照ください
ざっくりは以下の流れになります

  • Microsoft側で、連携を行うカスタムドメインの設定(例:nextmode.co.jp)
  • Microsoft側で、[*.onmicrosoft.com] ドメインにてグローバル管理者権限を持つアカウントを作成、該当アカウントのMFAを無効化
  • Okta側の手順を実施(プロビジョニングの設定)

その1:Microsoft 365(Azure AD)と連携する際の注意点


上記手順にてOktaからSSO及びプロビジョニングの設定を行うと、Oktaから1つのSaaSとしてM365の各アプリを利用できます

注意点として、連携を行うことで、Microsoft 365(Azure AD)のコンソール等から連携したドメインの新規ユーザー作成が出来なくなります

参考:https://learn.microsoft.com/ja-jp/microsoft-365/troubleshoot/domain-management/cannot-assign-federated-domain-to-user

Okta側からのみ連携したドメイン(例:nextmode.co.jp)の新規ユーザ作成が可能となりますので、ご注意ください

それすなわち、Oktaのプロビジョニング関連ライセンス(UD、LCM)を購入していないと、M365側の新規ユーザー作成が不可能となります
そのため、M365連携を希望される場合はUDとLCMの契約を強く推奨いたします

M365_WS-Fed1

 

その2:Microsoft 365(Azure AD)との連携を一時的に無効にする簡単なやり方


とはいえ、ライセンスの兼ね合いや検証環境や色々な諸事情により、Okta連携後もMicrosoft側で直接ユーザー作成をしたいケースはあると思います

その場合はOktaとM365のWS-Federationを一時的に無効化することで対応が可能です

やり方は簡単で、Okta側の管理者コンソールにて、Sign on methodsを「WS-Federation」から「Secure Web Authentication」に変更するだけで完了します

元に戻したい場合はまたWS-Federationにすれば良く、その際は前回の情報がそのまま残っているので、再度色々な設定する必要はありません

SWAにした際の影響としては、(当たり前ですが)ユーザー側はIDパスワードでのログインとなるのでご注意ください

M365_WS-fed

 

その3:Microsoft Azure Portalへのログイン


ところで本文中に度々「Microsoft 365(Azure AD)」のような表記がありましたが、そのネタバレをしたいと思います

OktaからMicrosoft 365にWS-Federationでログインした場合、同時にAzure ADにも接続を行っております
実態としては、OktaからはMicrosoft関連サービスのIDを管理している、Azure ADに接続を行っております

そのため、Microsoft 365のコンソールから頑張って辿っていけば、同じくAzure ADを利用しているAzure Portalへも認証なしに辿り着くことが可能です

ためしにこちらのAzure Portalへ接続すると、該当ドメインがOktaとWS-Federationしている場合、Oktaへリダイレクトされるはずです

このような仕様のため、ネクストモードではOktaのMicrosoft 365アプリにてWS-Federationの設定を行い、Azure Portal Loginアプリを使用しAzure ADへのログインを実現しています
該当アプリはSWAですが、ユーザー名部分のみ利用したいため使っております

Azure Portal

さいごに


OktaとMicrosoft 365(Azure AD)の連携は案外簡単に出来ますので、Microsoft製品を利用の方も是非Oktaの素晴らしさを体験いただけたらと思います

今回はOktaからMicrosoft 365(Azure AD)へのSSOやプロビジョニングの情報でしたが、次回はその逆も少し解説していきます

それではよきWS-Federationライフを!