Okta から Entra ID への移行|SSOアプリの再登録とテスト観点
目次 クリックで開く
企業のクラウドシフトが加速し、ID基盤(IdP)の重要性がかつてないほど高まっています。その中で、先行して導入していたOktaから、Microsoft 365のライセンスに含まれるMicrosoft Entra ID(旧Azure AD)への統合を検討する企業が急増しています。
本記事では、IT実務担当者が直面する「SSOアプリの再登録」と「移行後のテスト観点」に絞り、実務で役立つ技術的な詳細と手順を徹底的に解説します。単なるツールの置き換えではなく、セキュリティレベルを維持しつつ、ユーザーの利便性を損なわない移行を実現するための「完全版」ガイドです。
OktaからEntra IDへの移行が急増する背景とメリット
なぜ今、多くの企業がOktaからEntra IDへの乗り換えを選択しているのでしょうか。その理由は、単なるコスト削減に留まりません。
コスト最適化:M365ライセンスへの統合による二重払いの解消
多くの企業がすでにMicrosoft 365(E3/E5等)を導入しており、Entra ID P1/P2のライセンスを保有しています。これに加えてOktaのライセンス料を支払うことは、IT予算における「二重払い」の状態を生んでいます。これを解消することで、年間で数百万〜数千万円規模のコスト削減が期待できます。
運用効率化:Microsoft エコシステムとの親和性
Intuneによるデバイス管理や、Defender for Cloud AppsによるCASB(Cloud Access Security Broker)機能など、MicrosoftのセキュリティスタックとEntra IDは密接に連携します。IdPをEntra IDに集約することで、デバイスの準拠状態に基づいたアクセス制御が容易になります。
例えば、退職者のアカウント削除を自動化する際も、同一プラットフォーム内であれば設定は簡潔です。こうした「ID管理の自動化」については、以下の関連記事でも詳しく触れています。
関連記事:SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ
OktaとEntra IDの機能比較表
移行を検討する際、まず理解すべきは両者の機能的な差異です。実務に直結する項目を比較表にまとめました。
| 比較項目 | Okta (Workforce Identity) | Microsoft Entra ID (P1/P2) |
|---|---|---|
| SSOプロトコル | SAML 2.0, OIDC, SWA, WS-Fed | SAML 2.0, OIDC, WS-Fed, OAuth 2.0 |
| プロビジョニング | SCIM (非常に柔軟) | SCIM (属性マッピングに制限あり) |
| 多要素認証 (MFA) | Okta Verify, FastPass, WebAuthn | Microsoft Authenticator, Windows Hello, FIDO2 |
| アクセス制御 | Sign-on Policy (直感的) | 条件付きアクセス (詳細だが複雑) |
| オンプレ連携 | Okta Access Gateway (OAG) | Application Proxy / Global Secure Access |
| 価格体系 | アプリ数やユーザー数に応じた積み上げ | M365ライセンスに内包、または月額課金 |
※最新の価格やライセンス仕様については、必ず Microsoft Entra 公式料金ページ をご確認ください。
SSOアプリ移行の全体ロードマップ
移行プロジェクトを無策で進めると、認証エラーによる業務停止を招きます。以下の4フェーズで計画を進めるのが実務上の定石です。
フェーズ1:現状分析とアプリの仕分け
Oktaに登録されている全アプリを抽出し、「Entra IDへ移行するもの」「この機会に廃止するもの」を分類します。特に、SWA(Secure Web Authentication)で連携しているアプリ(ID/Passを代理入力するもの)は、Entra IDでは「パスワードベースのSSO」として設定し直す必要があり、移行難易度がやや上がります。
フェーズ2:検証環境の構築とPoC
一部の検証用ライセンスを用いて、主要なアプリ(Slack, Zoom, Google Workspace等)のシングルサインオンが正しく動作するか検証します。この際、OktaとEntra IDを「信頼関係」で結ぶ(フェデレーション)のではなく、アプリごとにIdPの設定を切り替える方式が、テストの切り戻しもしやすく安全です。
フェーズ3:並行運用とパイロット移行
特定の部署やIT部門から順次、Entra ID経由でのログインに切り替えます。この期間、ユーザーは「Oktaからログインするアプリ」と「Entra ID(マイアプリポータル)からログインするアプリ」が混在する状態になります。混乱を避けるため、ポータルサイトの案内を徹底します。
このようなSaaSの整理とコスト最適化の考え方については、以下の記事も参考になります。
関連記事:SaaSコストとオンプレ負債を断つ。バックオフィス&インフラの「標的」と現実的剥がし方
SAML/OIDCアプリの再登録:ステップバイステップガイド
ここからは技術的な実務手順に入ります。OktaからEntra IDへ設定値を移管する際の重要ポイントです。
1. SAMLアプリの登録(Entra ID側)
- Entra 管理センター > エンタープライズ アプリケーション > 「新しいアプリケーション」をクリック。
- ギャラリーに存在するアプリ(Salesforce等)であればそれを選択、なければ「独自のアプリケーションの作成」を選択。
- 「シングル サインオンの設定」から SAML を選択。
- 識別子 (Entity ID) と 応答 URL (Assertion Consumer Service URL) を入力します。
- ※重要:これらの値はアプリ側から取得します。Oktaで使用していた値と同じであることが多いですが、IdP固有のパスが含まれる場合は修正が必要です。
- 属性とクレーム の設定:
- Oktaの
user.emailを Entra IDのuser.mailまたはuser.userprincipalnameにマッピングします。 - アプリが特定の属性(例:
RoleやEmployeeNumber)を要求している場合、手動で追加します。
- Oktaの
- SAML 署名証明書 をダウンロードし、アプリ側にアップロードします。
2. OIDCアプリの登録とSecretの管理
OIDCの場合、「アプリの登録」メニューから行います。Oktaでは Client ID と Client Secret が自動発行されますが、Entra IDでも同様に発行されます。ただし、Secretの有効期限に注意してください。Entra IDのデフォルトでは2年などの制限があるため、運用フェーズでの更新タスクをカレンダー登録しておく必要があります。
3. SCIMによるプロビジョニングの再設定
Oktaの強みであったプロビジョニング機能も、Entra IDで再現可能です。
- アプリ側のSCIMエンドポイントURLとAPIトークンを用意します。
- 「プロビジョニング」メニューから、マッピングする属性を定義します。
- エラーの罠:Oktaは属性が空の場合にnullを送ることがありますが、Entra IDは属性自体を送らない設定がデフォルトだったりします。アプリ側のバリデーションで弾かれる場合、マッピングの「式の作成」機能で
Coalesce関数などを使用して回避します。
移行時に必ず実施すべき「テスト観点」チェックリスト
設定完了後、以下のテストをクリアしなければ本番公開はできません。実務で使用しているチェックリストを公開します。
【認証・認可】
- [ ] 新規ブラウザ(シークレットモード)で、IdP起点(IdP-Initiated)のログインができるか。
- [ ] アプリのURLから直接アクセスし、Entra IDのログイン画面へリダイレクトされるか(SP-Initiated)。
- [ ] ログイン後、アプリ内でユーザー名やメールアドレスが正しく反映されているか。
- [ ] 権限(管理者/一般ユーザー等)がOkta時代と同じように割り当てられているか。
【アクセス制御(条件付きアクセス)】
- [ ] 社外ネットワークからのアクセス時に、正しくMFA(多要素認証)が要求されるか。
- [ ] 会社支給デバイス(Intune準拠)以外からのアクセスをブロック設定にしている場合、正しく拒否されるか。
- [ ] テストの盲点:スマホのブラウザと、スマホのネイティブアプリの両方でテストしたか。
【プロビジョニング】
- [ ] Entra IDでユーザーをアプリにアサインした直後、アプリ側にアカウントが自動作成されるか。
- [ ] Entra IDでユーザー名を変更した際、アプリ側に即時(または同期間隔内)に反映されるか。
- [ ] アプリからユーザーのアサインを解除した際、アプリ側のアカウントが「無効化」または「削除」されるか。
移行プロジェクトでよくあるトラブルと対処法
MFA(多要素認証)の再登録負荷
Okta VerifyからMicrosoft Authenticatorに切り替える場合、全ユーザーにQRコードの再スキャンを強いることになります。これはユーザーサポートの負荷を最大化させます。
対策: 移行期間中は、FIDO2キーの利用を推奨するか、一時的に「信頼済み場所」からのアクセスについてはMFAを免除するなど、段階的な移行緩和策を検討してください。
ブックマーク(URL)の変更による混乱
ユーザーは https://www.google.com/search?q=company.okta.com をブックマークしています。これが使えなくなることを周知するのは困難です。
対策: Okta側に「Entra ID移行のお知らせ」という名前のダミーアプリを作成し、クリックするとEntra IDのポータルへ飛ぶように設定するなどの「誘導策」が有効です。
また、会計ソフトなどの業務基盤となるツールの移行を伴う場合は、認証基盤だけでなくデータの整合性にも配慮が必要です。例えば、freee会計への移行などについては以下の記事が参考になります。
まとめ:ID基盤移行を成功させる鍵
OktaからEntra IDへの移行は、単なるコスト削減ツールとしての側面だけでなく、Microsoft 365を中心とした強力なセキュリティエコシステムへの統合を意味します。
成功の鍵は、「スモールスタート」と「徹底した属性マッピングの検証」にあります。本記事で紹介したテスト観点を網羅し、ユーザーへの丁寧なコミュニケーションを設計することで、安全かつスムーズな移行が可能となります。ID基盤はシステムの「心臓部」です。慎重な計画のもと、次世代のアイデンティティ管理を実現しましょう。
実務担当者が押さえるべき「移行の技術的盲点」
OktaからEntra IDへの移行作業において、設定ミスが起きやすく、かつ業務への影響が大きいポイントを補足します。
条件付きアクセスとOktaポリシーの「ロジックの違い」
Oktaの「Sign-on Policy」は優先順位に基づいた「上書き型(First Match)」ですが、Entra IDの「条件付きアクセス」は、複数のポリシーが該当する場合、原則として「すべての制限(拒否設定など)が累積して適用」されます。Oktaと同じ感覚でポリシーを並べると、意図せずユーザーがロックアウトされるリスクがあるため、シミュレーション機能(What If)の活用が必須です。
アプリタイプ別の移行難易度と留意点
すべてのSaaSが同じ手順で移行できるわけではありません。以下の表を参考に、工数見積もりを調整してください。
| アプリのタイプ | 移行難易度 | 主要な注意点 |
|---|---|---|
| ギャラリーアプリ(Slack等) | 低 | Entra ID側にプリセットがあるため、識別子の入力ミスが少ない。 |
| 独自SAMLアプリ | 中 | 属性名(Claim名)の命名規則がOktaと異なる場合の挙動確認が必要。 |
| プロビジョニング(SCIM)付 | 高 | 初回同期時に既存ユーザーとの「名寄せ」に失敗し、重複作成されるリスクあり。 |
公式ドキュメントとリソース
Microsoftより、Oktaからの移行に特化した技術ガイドが公開されています。パラメータ設計の際は、以下の公式情報を一次情報として参照してください。
- アプリケーションの移行を Okta から Microsoft Entra ID に移転する(Microsoft Learn)
- Microsoft Entra ID へのデプロイと移行のチェックリスト(Microsoft Learn)
データ基盤との連携を見据えたID設計
ID基盤をEntra IDに統合することは、単なるログインの共通化に留まりません。例えば、SFA(Salesforce)やデータウェアハウス(BigQuery)との連携において、一貫したユーザーID(UPN)を利用することで、高度な分析基盤の構築が可能になります。将来的にCDP的な活用やMA連携を検討している場合は、以下のアーキテクチャ設計も参考になります。
ご相談・お問い合わせ
本記事の内容を自社の状況に当てはめたい場合や、導入・運用の設計を一緒に整理したい場合は、当社までお気軽にご相談ください。担当より折り返しご連絡いたします。