<p>こんにちは、<a href="https://www.yesod.co/corporate" target="_blank" rel="nofollow noopener noreferrer">株式会社イエソド</a>でソフトウェアエンジニアをしている、<a href="https://twitter.com/tbashiyy" target="_blank" rel="nofollow noopener noreferrer">tbashiyy</a>です。</p>
<p>この記事は、「<a href="https://adventar.org/calendars/6330" target="_blank" rel="nofollow noopener noreferrer">Okta Advent Calendar 2021</a>」の18日目の記事です!</p>
<h1 id="%E8%A6%81%E7%B4%84">
<a class="header-anchor-link" href="#%E8%A6%81%E7%B4%84" aria-hidden="true"></a> 要約</h1>
<ul>
<li>OktaでAzureAD(Office 365)のSSO設定をするときに、既存のアカウントがある場合は、AzureAD側・Okta側双方で <code>ImmutableID</code>の設定が必要になる</li>
<li>PowerShellで上書きする方法が一般的？のようですが、私のようなwindows機を持っていない人でも、<code>Microsoft Graph API</code> を使えば簡単にできます！</li>
</ul>
<h1 id="%E8%AA%B2%E9%A1%8C">
<a class="header-anchor-link" href="#%E8%AA%B2%E9%A1%8C" aria-hidden="true"></a> 課題</h1>
<p>弊社では、IdPとしてOktaを導入しています。<br>
また、AzureAD(Office365)も利用しているので、SSOを構成する必要があったのですが、チュートリアル通りに設定してもうまくSSOが出来ませんでした。</p>
<p>そこで、いろいろ検索をかけていく中で、下記のようなことが判明しました。</p>
<ul>
<li>OktaからAzureAD（Office365）にSSOをする際には、 <code>ImmutableID</code>と呼ばれるものが必要になる。</li>
<li>そして、AzureADの管理画面上から作成したユーザーについては、<code>ImmutableID</code>が発行されていない。</li>
</ul>
<p>参考にさせていただいた記事などはこちらです（感謝）🙏<br>
okta公式(OktaからOffice 365へのSSOがエラーになる：AADSTS51004)<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__86480d1f78a97" src="https://embed.zenn.studio/card#zenn-embedded__86480d1f78a97" data-content="https%3A%2F%2Fsupport.okta.com%2Fhelp%2Fs%2Farticle%2FSSO-from-Okta-to-office365-shows-error-AADSTS51004%3Flanguage%3Dja" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://support.okta.com/help/s/article/SSO-from-Okta-to-office365-shows-error-AADSTS51004?language=ja" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://support.okta.com/help/s/article/SSO-from-Okta-to-office365-shows-error-AADSTS51004?language=ja</a><br style="display:none">
kobasoさんの記事<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__6fd0040809a46" src="https://embed.zenn.studio/card#zenn-embedded__6fd0040809a46" data-content="https%3A%2F%2Fnote.com%2Fkobaso%2Fn%2Fn6ab079fa0d34" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://note.com/kobaso/n/n6ab079fa0d34" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://note.com/kobaso/n/n6ab079fa0d34</a><br style="display:none">
thdyさんの記事<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__19d74be09e6c4" src="https://embed.zenn.studio/card#zenn-embedded__19d74be09e6c4" data-content="https%3A%2F%2Fzenn.dev%2Fthdy%2Farticles%2Fokta_azuread_integrations" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/thdy/articles/okta_azuread_integrations" style="display:none" target="_blank">https://zenn.dev/thdy/articles/okta_azuread_integrations</a></p>
<p>ここまでたどり着いた私はもう余裕の表情です。<br>
だって、PowerShellからImmutableID付与していけばいいだけなんですもん！！！</p>
<p>......</p>
<p>Windows機、持ってないやん。（終）</p>
<h1 id="windows%E6%A9%9F%E3%81%8C%E3%81%AA%E3%81%8Fpowershell%E3%81%8C%E4%BD%BF%E3%81%88%E3%81%AA%E3%81%84">
<a class="header-anchor-link" href="#windows%E6%A9%9F%E3%81%8C%E3%81%AA%E3%81%8Fpowershell%E3%81%8C%E4%BD%BF%E3%81%88%E3%81%AA%E3%81%84" aria-hidden="true"></a> Windows機がなくPowerShellが使えない</h1>
<p>会社ではMacを使っています。<br>
そんな私はどうにかMacでPowerShellが使えないか色々調べてみたのですが、どうもうまく動きません。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__1eb142d16c6c7" src="https://embed.zenn.studio/card#zenn-embedded__1eb142d16c6c7" data-content="https%3A%2F%2Fdocs.microsoft.com%2Fja-jp%2Fpowershell%2Fscripting%2Finstall%2Finstalling-powershell-on-macos%3Fview%3Dpowershell-7.2" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.microsoft.com/ja-jp/powershell/scripting/install/installing-powershell-on-macos?view=powershell-7.2" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.microsoft.com/ja-jp/powershell/scripting/install/installing-powershell-on-macos?view=powershell-7.2</a></p>
<p>色々ためしてとりあえずPowerShellからやるのは厳しそうだったので、天下のMicrosoftさんなら、APIぐらい公開してるやろと思い、探し始めました。</p>
<p>すると思惑通りちゃんとありました！！！</p>
<h1 id="microsoft-graph-api-%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#microsoft-graph-api-%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B" aria-hidden="true"></a> Microsoft Graph API を利用する</h1>
<p><a href="https://docs.microsoft.com/ja-jp/graph/use-the-api" target="_blank" rel="nofollow noopener noreferrer">Micorsoft Graph API</a>とは、</p>
<blockquote>
<p>Microsoft Graph は、Microsoft Cloud サービス リソースへのアクセスを可能にする RESTful Web API です。アプリを登録 して、サービス または ユーザーの認証トークンを取得する と、Microsoft Graph API に対して要求を行うことができます。</p>
</blockquote>
<p>要するに、AzureADのリソースに対してAPI経由で色々操作できるものみたいですね！（雑）<br>
細かい利用方法やできることについては、公式リファレンスに移譲して、ここからは本題のGraph APIを利用してImmutableIDの上書き方法について説明します。</p>
<p>公式リファレンス<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__cdb7c395a3922" src="https://embed.zenn.studio/card#zenn-embedded__cdb7c395a3922" data-content="https%3A%2F%2Fdocs.microsoft.com%2Fja-jp%2Fgraph%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.microsoft.com/ja-jp/graph/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.microsoft.com/ja-jp/graph/</a></p>
<p>また、便利なことに　<a href="https://developer.microsoft.com/ja-jp/graph/graph-explorer" target="_blank" rel="nofollow noopener noreferrer">Graph Explorer</a>が用意されているので、ブラウザから権限のあるアカウントでサインインするだけでそのままAPIを叩けます。<br>
ここから先は、Gpraph Exploerを利用して説明をします。</p>
<h2 id="1.-%E6%A8%A9%E9%99%90%E3%81%AE%E3%81%82%E3%82%8B%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%A7%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#1.-%E6%A8%A9%E9%99%90%E3%81%AE%E3%81%82%E3%82%8B%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%A7%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B" aria-hidden="true"></a> 1. 権限のあるアカウントでサインインする</h2>
<p>まず、Graph Exploerへアクセスし、下記画像の赤枠の箇所から、権限のあるアカウントでサインインします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/2aefd0fc1ba2-20211217.png" alt loading="lazy" class="md-img"></p>
<h2 id="2.-%E7%8F%BE%E7%8A%B6%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AEimmutableid%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#2.-%E7%8F%BE%E7%8A%B6%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AEimmutableid%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B" aria-hidden="true"></a> 2. 現状のユーザーのImmutableIDを確認する</h2>
<p>Graph Exploerの上部で <code>HTTP Method</code>と リクエストURLを指定し、<code>クエリの実行</code> を押すことで実行をすることができます。</p>
<p>まずはじめに、下記のリクエストをなげて、ユーザーのImmutableIDを確認します。</p>
<div class="code-block-container"><pre><code>GET https://graph.microsoft.com/v1.0/users?$select=onPremisesImmutableId&amp;$select=displayName&amp;$select=userPrincipalName
</code></pre></div><p>クエリパラメータの<code>$select={parameter}</code>で、レスポンスに返ってくるフィールドを指定することができます。<br>
上のリクエストの中で、<code>onPremisesImmutableId</code> というものがありますが、これが今回上書きをしていきたい <code>ImmutableID</code>に該当しています。</p>
<p>リクエストを投げると、下記のようなレスポンスが返ってくると思います。</p>
<div class="code-block-container"><pre><code>{
  "value": [
    {
	"onPremisesImmutableId": null, // 設定がない場合はnullになる
	"displayName": "苗字　名前",
	"userPrincipalName": "xxxx@domain.com",
    },
    {
	"onPremisesImmutableId": "xxxxxxx", // すでに設定されていれば何か入っている
	"displayName": "苗字　名前2",
	"userPrincipalName": "yyyy@domain.com",
    },
  ]
}
		
</code></pre></div><h2 id="3.-onpremisesimmutableid%E3%81%AE%E3%81%AA%E3%81%84%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AB%E4%B8%80%E6%84%8F%E3%81%AAid%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%A6%E3%81%84%E3%81%8F">
<a class="header-anchor-link" href="#3.-onpremisesimmutableid%E3%81%AE%E3%81%AA%E3%81%84%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AB%E4%B8%80%E6%84%8F%E3%81%AAid%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%A6%E3%81%84%E3%81%8F" aria-hidden="true"></a> 3. <code>onPremisesImmutableId</code>のないユーザーに一意なIDを付与していく</h2>
<p>上で、<code>ImmutableID</code>が設定されていないユーザーが把握できたと思うので、そのユーザーに対して <code>ImmutableID</code>を付与していきます。<br>
<code>ImmutableID</code>はユニークな文字列であればなんでも良さそうだったので、私は<code>UUIDv4</code>でランダム生成したものを利用しました。</p>
<p>リクエストは、<code>PATCH</code>で下記URLに対してをImmutbaleIDを指定したbodyとともに送ります。</p>
<div class="code-block-container"><pre><code>PATCH https://graph.microsoft.com/v1.0/users/&lt;userPrincipalName&gt;

BODY

{
  "onPremisesImmutableId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx"
}
</code></pre></div><p>これを、設定していないユーザー分やります。<br>
（人数多い場合は普通にスクリプト書いた方がいいです。）</p>
<h2 id="4.-%E5%85%88%E3%81%BB%E3%81%A9%E8%A8%AD%E5%AE%9A%E3%81%97%E3%81%9Fimmutableid%E3%82%92okta%E4%B8%8A%E3%81%A7%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#4.-%E5%85%88%E3%81%BB%E3%81%A9%E8%A8%AD%E5%AE%9A%E3%81%97%E3%81%9Fimmutableid%E3%82%92okta%E4%B8%8A%E3%81%A7%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> 4. 先ほど設定したImmutableIDをOkta上で設定する</h2>
<p>AzureAD側でImmutableIDの設定が完了したら、最後にOktaで各ユーザーに対してImmutableIDを設定していきます。</p>
<p>Application &gt; Microsoft Office 365 &gt; Assignments で、各ユーザーの設定画面を開き、ImmutableIDの設定画面があるので、先ほど設定したものを転記していきます。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/f8c1576a103e-20211217.png" alt loading="lazy" class="md-img"></p>
<p>これでImmutableIDの設定は完了です！　無事SSOができることを確認しましょう！</p>
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
<p>AzureADにすでにユーザーが作られているようなケースで、OktaからSSOを構成する際にはまったことを書きました。</p>
<p>ちなみに、OktaからAzureADへのProvisioningで作られたユーザーについては、作成時にImmutableIDが自動的に付与されるみたいです。</p>


OktaでAzureADのSSOを構成するときに詰まったImmutableIDの上書きをPowerShellを使わないでやる方法

Windows機がなくPowerShellが使えない

1. 権限のあるアカウントでサインインする

2. 現状のユーザーのImmutableIDを確認する

3. onPremisesImmutableIdのないユーザーに一意なIDを付与していく

Discussion