はじめに

OktaとActive Directoryの連携についてご紹介します。

既存でActive Directoryを利用しており、Oktaにユーザーを同期したいといったニーズは
多いためよく使われる機能でもあります。

本ブログではActive Directory→Oktaへのユーザー・グループの同期をご紹介しますが、
Okta→Active Directoryへの同期も可能です。

設定の流れ

▼Active Directory連携に関しての前提条件はOktaの公式ドキュメントを参照ください。

https://help.okta.com/oie/ja-jp/content/topics/directory/ad-agent-prerequisites.htm

以下の流れで設定していきます。

①サーバ： AD Agent インストール

②Okta： AD連携セットアップ

③AD→Oktaにユーザー・グループの同期インポート

　

①サーバ：AD Agent のインストール

AD Agent のインストール

AD AgentをインストールするサーバからOktaの管理画面にアクセスします。
（他端末からダウンロード→アップロードしてインストールする方法も可能です。）

ディレクトリ >ディレクトリ統合 >ディレクトリを追加 > "Active Directoryを追加"を押します。

"Active Directoryをセットアップ"をクリック。

"エージェントをダウンロード"をクリックしてダウンロードします。

サーバ上でダウンロードした.exeファイルを実行します。

ウィザードに従ってインストールを進めます。

ドメインが自動で入力されるので、そのまま"Next"で進めます。

AD上にサービスアカウントを新規作成します。
"Create or use the OktaService account（recommended）"にチェックされた状態で"Next"をクリック。

サービスアカウントに対して、任意のパスワードを設定します。

プロキシサーバ経由での通信をしている場合は、情報を入力します。

Okta Organization URL（=Oktaのテナント名）を入力します。

Oktaへのログイン画面が表示されるので、Okta側の管理者ユーザーでログインします。

Okta AD AgentからOktaへのアクセス権の承認を求められるため、"アクセス許可をする"を選択します。

"Finish"を押します。これでAD Agent のインストールが完了です。

サーバ上にOkta AD Agentが追加されたことが確認できます。

Okta AD Agent Managerを開くとAgentのステータス情報が確認できます。

②Okta：AD連携セットアップ

AD Agentセットアップ

Oktaの管理画面に戻ります。
AD Agentのインストールが終わったので、"次へ"をクリックして各種セットアップをしていきます。

連携する組織単位を選択して"次へ"を押します。後から変更も可能なのでデフォルトで進めます。

"次へ"を押します。

ADユーザ→Oktaユーザに登録するための属性を選択します。
デフォルトのまま"次へ"を押します。（こちらも後ほど編集できます。）

"完了"を押します。

セットアップが完了しました。
エージェントモニターより、AD Agentの稼働中のステータスや情報を確認できるようになります。

③AD→Oktaにユーザー・グループの同期インポート

事前準備
ADに新規でテスト用のユーザーとグループを作成します。

groupsの配下に"Security"グループ、users配下に新規ユーザーを作成しました。

作成したユーザーをsecurityグループに所属させました。

Okta 管理画面より

ディレクトリ>ディレクトリ統合>連携済みのActive Directoryを選択
プロビジョニング > 設定 :[統合] へ
インポート設定より、インポート対象のユーザーとグループを選択の上、"保存"をクリックします。

AD→Oktaへユーザーを同期するため、プロビジョニング > 設定 : [Oktaへ] から設定していきます。

一般設定

インポートに関わる設定を設定できます。スケジュールでインポートを実施したい場合、こちらで編集しますが、今回は手動でインポートを行なっていきます。

ユーザーの作成・統合

ADからインポートしたユーザーと既存のOktaユーザーの一致条件、ユーザーアクティブ化のタイミングなど、ユーザーを新規作成する際の設定をします。

プロファイルおよびライフサイクルのソーシング

ADユーザとOktaユーザのどちらをプロファイルソースにするかの設定を行なえます。"Active DirectoryがOktaユーザを提供するのを許可"にチェックが入っているとAD側がプロファイルソースになるためOkta上ではプロファイルの編集ができなくなります。

インポートセーフガード

AD→Oktaの同期・インポートによって、アプリ側でのユーザーアカウントが割り当て解除されてしまうことがありますが、しきい値を設定することで意図しないアカウントの停止を防ぐための機能です。

Okta属性マッピング

ADの属性をOktaユーザーの属性に紐づける設定です。
元々ベースである属性を編集することも、新たに属性を作成し追加することもできます。

インポートの実行

手動でADからのインポートを実行してみます。
インポート タブより、"今すぐインポート"をクリックします。

インポートには増分インポートとフルインポートの2種類あり、同期できる情報に差異があります。

増分インポート：ユーザーの新規作成・編集
フルインポート：削除されたユーザーやOUの移動など含む全て

なお、スケジュールでの実行ができるのは増分インポートのみとなり、フルインポートの実行は手動での作業が必要です。

インポートタイプを選択し、"インポート"をクリックします。

AD連携をしてから初回のインポートのため、フルインポートが実行されます。
スキャンされた情報が出てきたら、"OK"をクリックします。

ADユーザー→Oktaユーザーへの割り当てを確認し、"割り当て確定"をクリックします。

"確定"をクリックします。

ADのユーザーがOktaユーザーとして作成されました。

グループの同期も完了し、OktaのグループにADのグループが作成されています。

終わりに

OktaとActive Directoryとの連携、ユーザー・グループ情報の同期についてご紹介しました。

連携自体はOkta AD Agentをインストールをしてしまえばスムーズに実行ができました。

インポートや同期に関する設定は項目が多いので、少し分かりづらい部分もありますが、お客様の様々なニーズや要件に対応するため多様なカスタマイズが可能になっていますので、ぜひご活用ください。

---

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。