22/12/21 10:00

【Okta】Microsoft 365とWS-Federationで役立つかも？な情報

はじめに

こんにちはこんばんは、WS-Federationをこよなく愛するネクストモードのおはらふです

みなさん、OktaとMicrosoft 365（Azure AD）のWS-Federationを楽しんでいるでしょうか？

ネクストモードは主としてGoogle Workspaceを利用しているので、Microsoft 365を業務で使うことはほぼないのですが、お客様が数多く利用していることもあり、検証用途として色々試せる環境を持っています

今回はWS-Federationをする際に色々役立つかもしれない情報を、3つご紹介したいと思います

尚、2022年12月20日までに検証が確認できている内容となります

OktaからMicrosoft 365にセキュアにシングルサインオンする際は、WS-Federationというプロトコルを使います
連携手順はOktaの公式マニュアルを参照ください
ざっくりは以下の流れになります

上記手順にてOktaからSSO及びプロビジョニングの設定を行うと、Oktaから1つのSaaSとしてM365の各アプリを利用できます

注意点として、連携を行うことで、Microsoft 365（Azure AD）のコンソール等から連携したドメインの新規ユーザー作成が出来なくなります

Okta側からのみ連携したドメイン（例：nextmode.co.jp）の新規ユーザ作成が可能となりますので、ご注意ください

それすなわち、Oktaのプロビジョニング関連ライセンス（UD、LCM）を購入していないと、M365側の新規ユーザー作成が不可能となります
そのため、M365連携を希望される場合はUDとLCMの契約を強く推奨いたします

設定画面

とはいえ、ライセンスの兼ね合いや検証環境や色々な諸事情により、Okta連携後もMicrosoft側で直接ユーザー作成をしたいケースはあると思います

その場合はOktaとM365のWS-Federationを一時的に無効化することで対応が可能です

やり方は簡単で、Okta側の管理者コンソールにて、Sign on methodsを「WS-Federation」から「Secure Web Authentication」に変更するだけで完了します

元に戻したい場合はまたWS-Federationにすれば良く、その際は前回の情報がそのまま残っているので、再度色々な設定する必要はありません

SWAにした際の影響としては、（当たり前ですが）ユーザー側はIDパスワードでのログインとなるのでご注意ください

設定画面２

ところで本文中に度々「Microsoft 365（Azure AD）」のような表記がありましたが、そのネタバレをしたいと思います

OktaからMicrosoft 365にWS-Federationでログインした場合、同時にAzure ADにも接続を行っております
実態としては、OktaからはMicrosoft関連サービスのIDを管理している、Azure ADに接続を行っております

そのため、Microsoft 365のコンソールから頑張って辿っていけば、同じくAzure ADを利用しているAzure Portalへも認証なしに辿り着くことが可能です

ためしにこちらのAzure Portalへ接続すると、該当ドメインがOktaとWS-Federationしている場合、Oktaへリダイレクトされるはずです

このような仕様のため、ネクストモードではOktaのMicrosoft 365アプリにてWS-Federationの設定を行い、Azure Portal Loginアプリを使用しAzure ADへのログインを実現しています
該当アプリはSWAですが、ユーザー名部分のみ利用したいため使っております

設定画面３

OktaとMicrosoft 365（Azure AD）の連携は案外簡単に出来ますので、Microsoft製品を利用の方も是非Oktaの素晴らしさを体験いただけたらと思います

今回はOktaからMicrosoft 365（Azure AD）へのSSOやプロビジョニングの情報でしたが、次回はその逆も少し解説していきます

それではよきWS-Federationライフを！

Okta, 技術