Microsoft Entra IDに接続する方法
WorkatoでMicrosoft Entra ID(旧称Azure Active Directory)に接続するには、Microsoft Entra IDとWorkatoでの設定手順を含む複数のステップが必要です。
Microsoft MFAの強制適用
Microsoftは、必須の多要素認証(MFA)を、さまざまなアプリケーションおよびアカウントに段階的にロールアウトしています。 この強制適用は、2025年以降も継続されます。 詳細については、MicrosoftのAzureおよび管理ポータルに対する必須の多要素認証ドキュメントを参照してください。
短期間の通知による強制適用の変更でサービスが中断されることを避けるため、Workatoで使用するすべてのMicrosoftアカウントについて、今すぐMFAを有効にすることを強くお勧めします。
サービスを中断なく維持するには、次の手順を実行します。
Microsoft MFA設定ガイドに従って、Microsoft組織のMFAを有効にします。 詳細については、Microsoft 365の多要素認証を設定するを参照してください。
WorkatoでMicrosoftコネクションに再接続します。
プロンプトが表示されたら、MFAでOAuthフローを完了します。
レシピをテストして、更新されたコネクションで動作することを確認します。
Microsoft Entra IDでWorkatoアプリを作成する
Microsoft Entra IDでWorkatoアプリを作成するには、次の手順を完了する必要があります:
アプリケーションを登録する
WorkatoアプリケーションをMicrosoft Entra IDに登録します。
Microsoft Entra IDにサインインします。
App registrationsを選択します。
表示されたページで、+ New registrationをクリックします。
アプリケーションに名前を付けます。 これは、このアプリケーションのユーザー向け表示名です。 Microsoftでは、この名前を後で変更できます。
Microsoft Entra IDでアプリケーションを登録する
Supported account typesで、ユースケースに一致するオプションを選択します:
- この組織ディレクトリ内のアカウントのみ(既定のディレクトリのみ - シングルテナント): 自社のMicrosoft Entra IDディレクトリ内のユーザーのみがWorkatoに接続する場合は、これを選択します。
- Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts: 他の組織のユーザーが接続する必要がある場合、たとえばベンダー、パートナー、または複数企業のデプロイメントシナリオ(
[email protected]または[email protected])では、これを選択します。
アプリのマニフェストを更新する
アプリをシングルテナントとして登録し、後でマルチテナントに切り替える必要がある場合は、アカウントタイプを変更する前に、まずアプリのマニフェストで"requestedAccessTokenVersion"を2に更新する必要があります。 マニフェストを更新しない場合、次のエラーが発生する可能性があります: Property api.requestedAccessTokenVersion is invalid on the Microsoft Entra platform。 詳細については、Microsoft Entraアプリマニフェスト(Azure AD Graph形式)のドキュメントを参照してください。
アプリマニフェストを更新する
Redirect URIフィールドで、プラットフォームタイプをWebに設定し、次のリダイレクトURIを指定します: https://www.workato.com/oauth/callback。
次のページには、新しく作成されたアプリケーションの詳細が表示されます。 Application (client) IDとDirectory (tenant) IDに注目してください。 後でWorkatoで認証する際に、これらの値が必要になります。 Azure portalでAccounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accountsを選択する場合は、特定のDirectory (tenant) IDの代わりに、WorkatoのTenant IDフィールドもcommonに設定します。 詳細については、WorkatoでMicrosoft Entra IDに接続するのステップ5を参照してください。
Application (client) IDとDirectory (tenant) IDをメモする
アプリケーションに権限を割り当てる
次に、Workatoアプリケーションに権限を割り当てます。
この手順では、Workatoとのコネクションを確立するために必要な最小限の権限を付与する方法を示します。 必要な権限は可変であり、ユースケースに基づきます。 最適に動作するためにWorkatoアプリケーションに割り当てる必要がある可能性のある追加の権限については、Microsoft Entra ID権限セクションを参照してください。
左側のナビゲーションサイドバーからAPI permissionsを選択します。
+ Add a permissionをクリックします。
Microsoft Graphをクリックして権限インターフェイスを開きます。
権限インターフェイスを開く
Application permissionsを選択します。
アプリケーションの権限を選択する
Userまでスクロールします。 必要なその他の権限とともに、次の権限を追加します。 詳細については、権限を参照してください。
Directory.Read.AllDirectory.ReadWrite.AllGroup.ReadWrite.AllGroup.CreateGroup.Read.AllGroupMember.Read.AllGroupMember.ReadWrite.AllUser.ManageIdentities.AllUser.Read.AllUser.ReadWrite.All
必要な権限を選択する
Add permissionsをクリックします。
これらの権限がMicrosoft Graphに追加されていることが表示されます。 ただし、それらをアプリケーションに正式に付与するには管理者の承認が必要です。
管理者アカウントでログインしている場合は、[組織名]に管理者の同意を与えますをクリックします。
管理者の同意が付与されると、MicrosoftはStatus列をGrantedに更新します。
管理者の同意が付与されると、MicrosoftがStatus列を更新する
アプリケーションのクライアントシークレットを生成する
左側のナビゲーションサイドバーからCertificates & secretsを選択します。
+ New client secretをクリックします。
新しいクライアントシークレットを作成する
表示されるインターフェイスで、シークレットの説明を指定し、シークレットの有効期限を決定します。
Valueをコピーし、安全な場所に保存します。 Microsoft Entra IDがこの値を表示するのは、このときだけです。
WorkatoでMicrosoft Entra IDに接続する
Workatoで次のフィールドを設定します。
WorkatoでMicrosoft Entra IDに接続する
- コネクション名
- コネクションに名前を付けます。
- 場所
- コネクションの場所(フォルダ)を選択します。
- Client ID
- Client IDを指定します。AzureではこれをApplication (client) IDと呼びます。 Azure portal > App registrationsに移動して、この値を取得します。 アプリケーションを選択し、Application (client) IDをコピーします。
- クライアントシークレット
- AzureでシークレットのValueと呼ばれるクライアントシークレットを指定します。 これはステップ1.3で取得したものです。
- テナント
- 権限を要求する予定のディレクトリテナントを指定します。 Azureでは、これはDirectory (tenant) IDと呼ばれます。 Azure portal > App registrationsに移動して、この値を取得します。 アプリケーションを選択し、Directory (tenant) IDをコピーします。 Supported account typesでAccounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accountsが選択されている場合は、Tenant値をcommonに設定します。 詳細については、アプリケーションを登録するのステップ5を参照してください。
接続をクリックします。
権限
アプリケーションに割り当てることができる権限には、Delegated permissionsとApplication permissionsの2種類があります。 最適に動作するために、Microsoft Entra IDには次のMicrosoft Graph権限が必要です。
アプリケーションの権限
Directory.Read.AllDirectory.ReadWrite.AllGroup.ReadWrite.AllGroup.CreateGroup.Read.AllGroupMember.Read.AllGroupMember.ReadWrite.AllUser.ManageIdentities.AllUser.Read.AllUser.ReadWrite.All
委任された権限
Directory.Read.AllDirectory.ReadWrite.AllDirectory.AcessAsUser.AllGroup.ReadWrite.AllGroupMember.ReadAllGroup.Read.AllGroup.Read.AllGroupMember.ReadWrite.AllUser.ReadUser.ReadBasic.AllUser.Read.AllUser.ReadWrite.All
Last updated: