Okta Active Directory Agentをインストールする
各ホストサーバーに最新バージョンのOkta Active Directory(AD)Agentをダウンロードしてインストールします。これにより、最新の機能を確実に利用でき、最適なパフォーマンスが得られます。
複数のOkta AD Agentを実行しているときは、すべてを同一バージョンにします。ドメイン内で異なるバージョンを実行すると、そのドメイン内のすべてのエージェントが、最も古いエージェントのレベルで動作する可能性があります。その他のドメインは影響を受けません。
別のコンピューターからエージェントをダウンロードするには、Okta AD Agentのインストーラーをホストサーバーにコピーします。
Okta AD AgentをDMZサーバーにインストールする場合は、特定のポートを開く必要があります。Active Directory統合のDMZサーバーポートを構成するを参照してください。
- ホストサーバーでWebブラウザーを開き、適切な権限を持つアカウントでOkta Admin Consoleにサインインします。「カスタム管理者ロールとロールの権限」を参照してください。
- Admin Consoleでの順に進みます。
- ディレクトリを追加(Add Directory)をクリックし、Active Directoryを追加(Add Active Directory)を選択します。
- インストール要件を確認し、Active Directoryをセットアップ(Set Up Active Directory)をクリックします。
- エージェントをダウンロード(Download Agent)をクリックします。
- ホストサーバーでインストーラーの.exeファイルを探してダブルクリックし、インストールを完了します。
- このアプリがデバイスに変更を加えるのを許可しますか?(「Do you want to allow this app to make changes to your device?)」(Yes)というメッセージが表示されたら、はい(Yes)(Do you want to allow this app to make changes to your device?)をクリックします。
- 次へ(Next)をクリックします。
- デフォルトのインストールフォルダーをそのまま使用するか、参照(Browse)をクリックして別の場所を選択します。インストール(Install)をクリックします。
- 次へ(Next)をクリックします。
- このエージェントで管理するデフォルトのADドメインを受け入れるか、ドメイン名を入力します。次へ(Next)をクリックします。
- Okta AD Agentを次のように実行するドメインユーザーを選択します。
- Oktaサービスアカウントを作成または使用する(推奨)(Create or use the Service account (recommended))を選択し、プロンプトに従ってパスワードを設定します。セキュリティが強化されるように、複雑なパスワードを使用します。
- 既存のドメインユーザーとして実行するようにOkta AD Agentを割り当てるときは、指定した代替アカウントを使用する(Use an alternate account that I specify)を選択します。このオプションを選択する場合には、Oktaサービスアカウントの権限リストに含まれている権限がアカウントにあることを確認してください。
Okta AD Agentサービスアカウントにグループ管理対象サービスアカウント(gMSA)を使用しているときは、アカウント名を入力し、パスワード(Password)フィールドは空のままにします。アカウント名の末尾にドル記号($)を含めます。例:
gMSA01$@example.com。 - 次へ(Next)をクリックします。
- 任意。ADエージェントが接続に使用するプロキシサーバーを指定します。プロキシサーバーを指定しない場合、インストーラーによってデフォルトのプロキシ設定が検出され、それが使用されます。
- 次へ(Next)をクリックします。
- Okta orgのURLを入力します(例:
https://mycompany.okta.com)。次へ(Next)をクリックします。 - アクティベーションリンク(
https://mycompany.okta.comなど)をクリックして、インストーラーが表示するコードを入力します。 - Oktaサインイン(Sign In)ページで、ディレクトリの管理権限とエージェントの管理および登録権限があるアカウントを使ってサインインします。
- 権限は、エージェントをOktaに登録するために必要となります。アクセスを許可(Allow Access)をクリックします。エージェントのインストールが完了します。
「The underlying connection was closed. 基本的な接続が閉じられました。SSL/TLSサービスチャンネルの信頼関係を確立できませんでした(Could not establish trust relationship for the SSL/TLS service channel)」というエラーメッセージが表示される場合があります。これは、SSLピンニングがデフォルトで有効なバージョンのOkta AD Agentをインストールしている可能性が高いことを示します。これにより、Oktaとの通信が妨げられます。これは、多くの場合、SSLプロキシに依存する環境で発生します。インストールを完了するには、許可リストに
okta.comドメインを追加してSSLプロキシ処理をバイパスします。SSL証明書ピンニングを無効にすることもできます。 - 終了(Finish)をクリックします。
- Okta AD Agentが起動したら、ブラウザーに戻って次へ(Next)をクリックします。
- 構成オプションを選択します。
- このドメインの初回インストールのみ((First time installations for this domain only))に組織単位を接続(Connect an Organizational Unit to)Okta ページでユーザーとグループのインポート元となるOUを選択します。
- Oktaユーザー名の形式(Username format)リストで、ADからインポートされたエンドユーザーがOktaへのログイン時に使用するいずれかの形式を選択します。
- メールアドレス
- SAMアカウント名
- ユーザープリンシパル名(UPN)
- カスタム
注意:選択するユーザー名の形式は、ユーザーの初めてのインポート時に正しい必要があります。この値を変更すると、既存のユーザーでエラーが生じる可能性があります。
- 次へ(Next)をクリックします。
- ADユーザーおよびグループをインポート(Import AD Users and Group)ダイアログで次へ(Next)をクリックします。
注:OU、インポート、その他の設定を再構成するには、設定(Settings)タブに戻ります()。Active Directoryのインポートとアカウントの設定を構成するを参照してください。
-
Oktaユーザープロファイルを作成するための属性を選択します(Select the attributes to build your Okta User profile)ページでデフォルトの属性を受け入れるか、Oktaユーザープロファイルの特定の属性を選択します。属性は、ビジネスニーズの変化に応じて変更できます。
Oktaのユーザープロファイルと属性の詳細については、Active Directory属性を操作するを参照してください。
- 次へ(Next)をクリックします。
- 完了([Done)] をクリックします。
次の手順