Azureレシピ　⑤OktaとAzure AD

• 
• 

ビジネス開発本部 第３応用技術部
第２チーム
渥美 淳一

きっかけ

前回、Gartner が 4 年連続でアクセス管理のリーダー企業に選出した Microsoft の Azure AD をご紹介しました。

同じく、4 年連続でアクセス管理のリーダー企業に選出された IDaaS があります。

それが「Okta」です。

ガートナーのアクセス管理部門マジック・クアドラントで、Okta が 4 年連続でリーダーの評価を獲得

Okta は 2020 年 9 月に日本法人を設立しました。

ID 管理を中心としたクラウド移行、ゼロトラスト実現を目指す日本において大きな注目を集めています。

この Okta は、どのような IDaaS なのか？

リーダーの評価を受けるその実力は？

同じ IDaaS である Azure AD と共存の可能性はあるのか？

そういった探究心から、Okta の無料トライアルを利用してみました。

調べてみた

Okta はさすがリーダー企業に選ばれるだけあって、IDaaS に必要とされる多くの機能を持っていました。

その中でも特に、以下の好感度が高かったです。

Okta をメインディレクトリとする統合 ID 管理が可能 統合エンドポイント管理、SASE、CASB との連携によりゼロトラストを実現 Cisco Duo Security や FIDO2 といった、高度かつ便利な多要素認証をサポート サインイン時にユーザー、場所、クライアントアプリや OS 等による柔軟なアクセス制限が可能 6500 超のアプリケーションへのシングルサインオン設定を提供 テレワークで使われるようになった VPN のセキュリティを容易に強化 利用者は自身でパスワードリセットできる（情報システム部門の負担軽減）

やってみた

ID 統合

Microsoft 365 をお使いの場合、その認証基盤である Azure AD と、オンプレミスの Active Directory を ID 統合します。

この ID 統合を、ここでは Okta に任せてみたいと思います。

そのためのツール「Okta AD エージェント」を使えば簡単に行えます。

このとき、クラウドにパスワード情報を同期しないパターンを採用でき、安心しました。

① Okta AD エージェントが Active Directory から ID 情報を取得 ② Okta AD エージェントから Okta Identity Cloud に ID 情報を同期 ③ Okta から Microsoft 365（Azure AD）に ID 情報を同期

このとき Okta で、ユーザーやグループに許可する Microsoft 365 機能（Teams や Outlook など）を選択できました。

つまり Okta は ID 管理と同時に、利用するライセンスも管理できたため、運用管理のしやすさを感じました。

ID 連携

ID 統合後、Microsoft 365 と ID 連携（フェデレーション）できました。

Okta による ID 統合および ID 連携は、設定が理解しやすい形に最適化されており、スムーズに実現できました。

以下は ID 統合完了後（つづき）のフローです。

④ Okta サインイン画面に ID とパスワードを入力 ⑤ パスワードが正しいかを Active Directory に確認 ⑥ プッシュ通知による多要素認証 ⑦ トークン（許可証）を発行 ⑧ トークンを受理 ⑨ Microsoft 365 シングルサインオン

Okta は ⑦ の前に、サインオンポリシーをチェックします。

例えば、「リモートワーカーは誰なのか？」

「リモートワーカーが所属する部署は？」

「どこからのアクセスか？」（国、IP アドレス）

「使用する OS やアプリケーションは？」

などをチェックし、許可するか、拒否するか、を判定できます。

これにより、リモートワーカーは Web ブラウザ以外からの Microsoft 365 の利用禁止、などの制御が可能です。

多要素認証

Okta は多要素認証サービスを提供しますが、他の多要素認証サービスとも連携できました。

今回は IDaaS 連携、エンドポイントセキュリティ連携に定評のある「Cisco Duo Security」と組み合わせてみました。

新解釈・ゼロトラストセキュリティ

こちらも ID 統合完了後（つづき）のフローです。

④ Okta サインイン画面に ID とパスワードを入力 ⑤ パスワードが正しいかを Active Directory に確認 ⑥ Okta から Cisco Duo Security に多要素認証を委任 ⑦ プッシュ通知による多要素認証 ⑧ トークン（許可証）を発行 ⑨ トークンを受理 ⑩ Microsoft 365 シングルサインオン

初めて ⑥ を行うとき、各自で Cisco Duo Security のセットアップをスムーズにできたのは便利でした。

また、ユーザーごとに Okta か Cisco Duo Security のどちらを使うかを選択できました。

例えば管理者と従業員で別々の多要素認証を使わせることも可能です。

Okta 導入後も、それまで利用していた多要素認証サービスやワンタイムパスワード製品を使い続けることができます。

準拠しているデバイスのみ許可

さらにエンドポイントを管理する Microsoft Intune との連携を試みました。

Intune が「準拠しているデバイス」と判定した場合に限り、Microsoft 365 アクセスを許可できました。

④ Okta サインイン画面に ID とパスワードを入力 ⑤ パスワードが正しいかを Active Directory に確認 ⑥ プッシュ通知による多要素認証 ⑦ トークン（許可証）を発行 ⑧ トークンを受理後、準拠しているデバイスか否かを診断 ⑨ 準拠しているデバイスのみ、Microsoft 365 シングルサインオン

Intune は Azure AD の「条件付きアクセス」と連携します。

Okta による認証後、さらに Azure AD の条件付きアクセスが使えるか？が検証のポイントでした。

今回の検証により、Okta のサインオンポリシーと Azure AD の条件付きアクセスを併用できることを確認しました。

Microsoft 365 を使う上で、共存するメリットはあると感じました。

クライアント VPN

利用シーンが増えているクライアント VPN と IDaaS の SAML 連携を検証してみました。

今回は Palo Alto Networks 社のクライアント VPN（GlobalProtect）を使いました。

こちらも問題なく動作しました。

設定が簡単で、スピーディーに SAML 連携を導入・スタートできる点が収穫でした。

① クライアント VPN 接続要求 ② SAML 連携により Okta サインイン画面に自動的にリダイレクト（ID とパスワードを入力） ③ パスワードが正しいかを Active Directory に確認 ④ プッシュ通知による多要素認証 ⑤ トークン（許可証）を発行 ⑥ トークンを受理し、クライアント VPN 接続に成功

この場合も前述の Okta サインオンポリシーが使えました。

これにより、クライアント VPN 接続にも条件に設けることができ、安全性が高まりました。

おわりに

今回は Azure AD と Okta を中心とした、ID 管理ベースのゼロトラストに挑戦してみました。

今後も Azure を中心に、お客様にとって有益なレポートを積極的に公開してまいります。

ご興味がおありでしたら是非、お気軽に弊社の担当営業までご連絡ください。

• 
• 

ラインナップ

ピックアップ

ナレッジセンターを検索する