Okta Active Directory Agentをインストールする

ホストサーバーに最新バージョンのOkta Active Directory(AD)Agentをダウンロードしてインストールし、最新の機能を利用可能にして最適なパフォーマンスが得られるようにします。複数のOkta AD Agent実行している場合は、それらがすべて同じバージョンであることを確認してください。ドメイン内で異なるバージョンを実行すると、そのドメイン内のすべてのエージェントが、最も古いエージェントのレベルで機能することになる可能性があります。これは、ほかのドメインには影響しません。

別のコンピューターからエージェントをダウンロードするには、Okta AD Agentのインストーラーをホストサーバーにコピーします。

Okta AD AgentをDMZサーバーにインストールする場合は、特定のポートを開く必要があります。「Active Directory統合用のDMZサーバーポートを構成する」を参照してください。

  1. ホストサーバーでWebブラウザーを開き、[Super Admin(スーパー管理者)]権限でOkta Admin Consoleにサインインします。
  2. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
    1. [Add Directory(ディレクトリを追加)]をクリックし、[Add Active Directory(Active Directoryを追加)]を選択します。
    2. インストール要件を確認し、[Set Up Active Directory(Active Directoryをセットアップ)]をクリックします。
    3. [Download Agent(エージェントをダウンロード)]をクリックします。
  3. ホストサーバーで、インストーラーの.exeファイルを探してダブルクリックし、インストールを完了します。
    1. [Do you want to run this file?(このファイルを実行しますか?)]というメッセージが表示されたら、[Run(実行)]をクリックします。
    2. [Next(次へ)]をクリックします。
    3. デフォルトのインストールフォルダーをそのまま使用するか、[Browse(参照)]をクリックして別の場所を選択します。[Install(インストール)]をクリックします。
    4. このエージェントで管理するデフォルトのADドメインを受け入れるか、[Domain(ドメイン)]フィールドにドメイン名を入力します。[Next(次へ)]をクリックします。
    5. Okta AD Agentを次のように実行するドメインユーザーを選択します。
      • [Create or use the Okta Service account (recommended)(Oktaサービスアカウントを作成または使用する(推奨))]を選択し、プロンプトを完了してパスワードを設定します。セキュリティのために複雑なパスワードを使用することをお勧めします。
      • 既存のドメインユーザーとして実行するようにOkta AD Agentを割り当てる場合は、[Use an alternate account that I specify(指定した代替アカウントを使用する)]を選択します。
    6. Okta AD Agentサービスアカウントにグループ管理対象サービスアカウント(gMSA)を使用している場合は、アカウント名を入力し、[Password(パスワード)]フィールドは空のままにします。アカウント名の末尾にドル記号($)を含める必要があります(例:gMSA01$@example.com)。

    7. [Next(次へ)]をクリックします。
    8. 任意。ADエージェントが接続するプロキシーサーバーを指定します。
      ADエージェントのバージョン3.4.11以降をインストールする場合、インターネットトラフィックがプロキシーを経由する必要がある環境では、ADエージェントインストーラーのサインインフローで、インストーラー内で指定されたプロキシー設定が使用されます。プロキシー設定が指定されていない場合は、デフォルト設定が使用されます。
    9. [Next(次へ)]をクリックします。
    10. OktaOkta AD Agentを登録するドメインを選択します。Okta AD AgentOktaサービスに登録するには、Oktaサブドメイン名を入力します。これは、例:<mycompany>.okta.comの<mycompany>の部分です。
    11. [Next(次へ)]をクリックします。
    12. [Okta Sign In(Oktaサインイン)]ページで、管理者のユーザー名とパスワードを入力し、[Sign in(サインイン)]をクリックします。
    13. Okta AD Agentにはいくつかの権限が必要です。[Allow Access(アクセスを許可)]をクリックします。エージェントのインストールが完了します。

      エラーメッセージ「The underlying connection was closed. Could not establish trust relationship for the SSL/TLS service channel(SSL/TLSサービスチャネルの信頼関係を確立できませんでした。基になる接続が閉じられました)」が表示された場合は、デフォルトでSSLピン留めが有効になっているバージョンのOkta AD Agentをインストールしている可能性があり、これによってOktaとの通信が妨げられています。これは、多くの場合、SSLプロキシーに依存する環境で発生します。インストールを完了するには、ドメインokta.comを許可リストに追加してSSLプロキシー処理をバイパスすることをお勧めします。SSL証明書ピンニングを無効にすることもできます。

    14. [Finish(終了)]をクリックします。
  4. Okta AD Agentが起動したら、ブラウザーに戻り、[Next(次へ)]をクリックします。
  5. 構成オプションを選択します。
    1. (このドメインの初回インストールのみ)[Connect an Organizational Unit to Okta(組織単位をOktaに接続)]画面で、ユーザーおよびグループをインポートするOUを選択します。
    2. [Okta Username format(Oktaユーザー名のフォーマット)]リストで、ADからインポートされたエンドユーザーがOktaにログインするときに使用するフォーマットを1つ選択します。
      • メールアドレス
      • SAMアカウント名
      • ユーザープリンシパル名(UPN)
      • カスタム

      ここで選択するユーザー名のフォーマットは、最初にユーザーをインポートするときの正しいフォーマットであることが重要です。この値を変更すると、既存のユーザーでエラーが発生する可能性があります。

    3. [Next(次へ)]をクリックします。
    4. [Import AD Users and Group(ADユーザーおよびグループをインポート)]ダイアログで、[Next(次へ)]をクリックします。

    :OUとインポートの設定、およびその他の設定を再構成するには、[Settings(設定)]タブに戻ります([Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[Active Directory]>[Settings(設定)])。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。

  6. [Select the attributes to build your Okta User profile(Oktaユーザープロファイルを作成するための属性を選択します)]画面で、デフォルトの属性を受け入れるか、Oktaユーザープロファイルの特定の属性を選択します。属性は、ビジネスのニーズの変化に応じて変更できます。

    Oktaのユーザープロファイルと属性の詳細については、「Active Directory属性を操作する」を参照してください。

  7. [Next(次へ)]をクリックします。
  8. [Done(完了)]をクリックします。
  9. インポート、アカウント、およびプロビジョニングの設定を定義します。

次の手順

Active Directoryのインポートとアカウントの設定を構成する

Active Directoryのプロビジョニング設定を構成する