はじめに こんにちはこんばんは、スタイリッシュさをこよなく愛するネクストモードのおはらふです
【Okta】Microsoft 365とWS-Federationで役立つかも?な情報
はじめに
こんにちはこんばんは、WS-Federationをこよなく愛するネクストモードのおはらふです
みなさん、OktaとMicrosoft 365(Azure AD)のWS-Federationを楽しんでいるでしょうか?
ネクストモードは主としてGoogle Workspaceを利用しているので、Microsoft 365を業務で使うことはほぼないのですが、お客様が数多く利用していることもあり、検証用途として色々試せる環境を持っています
今回はWS-Federationをする際に色々役立つかもしれない情報を、3つご紹介したいと思います
尚、2022年12月20日までに検証が確認できている内容となります
前提:OktaとMicrosoft 365(Azure AD)とのWS-Federation
OktaからMicrosoft 365にセキュアにシングルサインオンする際は、WS-Federationというプロトコルを使います
連携手順はOktaの公式マニュアルを参照ください
ざっくりは以下の流れになります
- Microsoft側で、連携を行うカスタムドメインの設定(例:nextmode.co.jp)
- Microsoft側で、[*.onmicrosoft.com] ドメインにてグローバル管理者権限を持つアカウントを作成、該当アカウントのMFAを無効化
- Okta側の手順を実施(プロビジョニングの設定)
その1:Microsoft 365(Azure AD)と連携する際の注意点
上記手順にてOktaからSSO及びプロビジョニングの設定を行うと、Oktaから1つのSaaSとしてM365の各アプリを利用できます
注意点として、連携を行うことで、Microsoft 365(Azure AD)のコンソール等から連携したドメインの新規ユーザー作成が出来なくなります
参考:https://learn.microsoft.com/ja-jp/microsoft-365/troubleshoot/domain-management/cannot-assign-federated-domain-to-user
Okta側からのみ連携したドメイン(例:nextmode.co.jp)の新規ユーザ作成が可能となりますので、ご注意ください
それすなわち、Oktaのプロビジョニング関連ライセンス(UD、LCM)を購入していないと、M365側の新規ユーザー作成が不可能となります
そのため、M365連携を希望される場合はUDとLCMの契約を強く推奨いたします
その2:Microsoft 365(Azure AD)との連携を一時的に無効にする簡単なやり方
とはいえ、ライセンスの兼ね合いや検証環境や色々な諸事情により、Okta連携後もMicrosoft側で直接ユーザー作成をしたいケースはあると思います
その場合はOktaとM365のWS-Federationを一時的に無効化することで対応が可能です
やり方は簡単で、Okta側の管理者コンソールにて、Sign on methodsを「WS-Federation」から「Secure Web Authentication」に変更するだけで完了します
元に戻したい場合はまたWS-Federationにすれば良く、その際は前回の情報がそのまま残っているので、再度色々な設定する必要はありません
SWAにした際の影響としては、(当たり前ですが)ユーザー側はIDパスワードでのログインとなるのでご注意ください
その3:Microsoft Azure Portalへのログイン
ところで本文中に度々「Microsoft 365(Azure AD)」のような表記がありましたが、そのネタバレをしたいと思います
OktaからMicrosoft 365にWS-Federationでログインした場合、同時にAzure ADにも接続を行っております
実態としては、OktaからはMicrosoft関連サービスのIDを管理している、Azure ADに接続を行っております
そのため、Microsoft 365のコンソールから頑張って辿っていけば、同じくAzure ADを利用しているAzure Portalへも認証なしに辿り着くことが可能です
ためしにこちらのAzure Portalへ接続すると、該当ドメインがOktaとWS-Federationしている場合、Oktaへリダイレクトされるはずです
このような仕様のため、ネクストモードではOktaのMicrosoft 365アプリにてWS-Federationの設定を行い、Azure Portal Loginアプリを使用しAzure ADへのログインを実現しています
該当アプリはSWAですが、ユーザー名部分のみ利用したいため使っております
さいごに
OktaとMicrosoft 365(Azure AD)の連携は案外簡単に出来ますので、Microsoft製品を利用の方も是非Oktaの素晴らしさを体験いただけたらと思います
今回はOktaからMicrosoft 365(Azure AD)へのSSOやプロビジョニングの情報でしたが、次回はその逆も少し解説していきます
それではよきWS-Federationライフを!