Kerberosアプリケーションを追加する

このチュートリアルの目的は、Access Gateway Admin UIコンソールを介してOktaでKerberosアプリケーションをセットアップするプロセスを順を追って説明することです。

アーキテクチャ

Kerberosアーキテクチャ

フロー (missing or bad snippet)
詳しくはKerberos リファレンス アーキテクチャをご覧ください

開始する前に

以下を確認します:

    (missing or bad snippet)
  • WindowサーバーがIISアプリケーションとActive Directory Servicesで構成され、Domain Controllerとして実行されKerberos (IWA) SSOを実装している。
    メモ:これはサンプルアーキテクチャです。大規模な実働環境ではアプリケーションサーバー(IIS)やDCを実装することは稀です。
  • Access Gateway DNS がWindows DNSサーバーでサポートされている。
  • 外部アプリのバージョンがサポート対象であることを確認します。サポートされるKerberosアプリのバージョンは以下の通りです。
  • (missing or bad snippet)
重要事項

重要

Access Gatewayが顧客の環境でホストされている場合、コマンドライン管理コンソールを使用してDNSを変更できます。例えば、Static Networking(スタティックネットワーキング)(オプション1)を選択し、Windows DNS IPとその他必要な値を定義できます。
詳細は、「Access Gateway Command Line Managementコンソール リファレンス」の「ネットワーク」セクションをご覧ください。

典型的なワークフロー

タスク

説明

含めるグループを作成する
  • ベストプラクティスとして、アプリケーションに割り当てるグループを任意で作成しておきます。

Access GatewayをWindows DNSに追加する

  • WindowsがAccess GatewayのDNSプロバイダーとなる必要があります。このタスクでは、Access Gatewayインスタンスにとって適切な Windows DNS エントリを追加します。

Windows Access Gatewayサービスアカウントを作成する

  • Access Gatewayは既知のWindows資格情報を必要とし、これらはKerberosサービスを構成するためにインスタンスによって使用されます。このタスクでは、必要なサービスアカウントを作成します。

キータブを作成する

  • Access GatewayはKerberosサービスを作成するためにキータブを必要とします。このタスクでは、キータブファイルを作成してそれをAccess Gatewayにアクセスできる場所に転送します。

Kerberosサービスを追加する

  • Kerberosを使用してWindowsと交信するためには、Kerberosサービスが必要です。このタスクでは、事前に作成した資格情報とキータブを使用してKerberosサービスを構成します。

制限付き委任用にWindows Server IISを構成する

  • Kerberosでは、Window IISを制約付き委任に構成する必要があります。このタスクでは、制約付き委任を構成し、テストユーザーを使用してKerberosサービスを検証します。
アプリケーションを作成する
  • Microsoft IIS IWAアプリケーションを作成します。
アプリケーションをテストする
  • ヘッダーおよびポリシーシミュレーションを使用してアプリケーションをテストします。
トラブルシュート
  • 必要に応じて統合のトラブルシューティングを行います。

関連項目

(missing or bad snippet)