既存のActive Directoryフォレストおよびドメインとの統合

Active Directory(AD)統合を計画するときは、既存のAD実装を確認し、次の質問について考えます。

  • ドメインはいくつありますか?
  • どのような信頼が設定されていますか?
  • どのようなフォレストがありますか?
  • Okta AD Agentは、ドメイン間の通信はサポートしますが、フォレスト間の通信はサポートしません。

    Okta AD Agentは、各フォレストにインストールし、Oktaにインポートするユーザーがいるフォレスト内の各ドメインにインストールする必要があります。1つのエージェントに複数のドメインを登録することは可能ですが、そのエージェントが使用できなくなると、すべてのドメインに影響が及ぶという点に注意してください。

    通常、フォレストにはユーザーがなく、ネットワーク・リソースのみが存在するため、Okta AD Agentをリソース・フォレストにインストールする必要はありません。

  • どの組織単位(OU)をOktaにインポートする予定ですか?
  • これらのOUに、Oktaにインポートする必要のないユーザーやリソースがありませんか?

Okta AD Agentをインストールするには、ADサービス・アカウントを使用する必要があります。サービス・アカウントは、エージェントが接続するすべてのドメインでユーザーの読み取りとアクセスを行うために、そのフォレスト内のすべてのドメインで権限を持っていることが重要になります。エージェントのインストールに必要なサービス・アカウントの詳細については、Active Directory統合の前提条件を参照してください。