サービスアカウントを作成してサービスプリンシパル名を構成する

エージェントレスデスクトップシングルサインオン(DSSO)でKerberos認証を使用するには、新しいサービスアカウントを作成し、そのサービスアカウントのサービスプリンシパル名(SPN)を設定する必要があります。サービスアカウント自体には管理者権限は必要ありませんが、SPNを設定するには特定の権限が必要です。「Delegating Authority to Modify SPNs」を参照してください。

サービスアカウントの認証情報が変更された場合は、サービスの停止を回避するために、対応するOktaサービスアカウントの認証情報も同時に更新します。セキュリティ上の理由から、サービスアカウントの認証情報は定期的に更新することをお勧めします。

連邦情報処理標準(FIPS)機能が有効になっている場合、サービスアカウントのユーザー名とパスワードは次の基準を満たす必要があります。

  • サービスアカウントのユーザー名とドメイン名を合わせた長さは、16文字以上である必要があります。
  • サービスアカウントのパスワードは、14文字以上にする必要があります。

この手順を開始する

  1. 「Active Directoryユーザーとコンピュータ(ADUC)」Microsoft管理コンソール(MMC)を開くには、Active Directoryサーバーで[Start(スタート)][Run(実行)]をクリックし、 dsa.mscと入力して、Enterキーを押します。
  2. 新しいアカウントを作成するフォルダを右クリックし、[New(新規作成)][User(ユーザー)]を選択します。
  3. 次のフィールドに入力します。
    • [First name(名)]:ユーザーの名を入力します。
    • [Initials(イニシャル)]:任意。ユーザーのミドルネームのイニシャルを入力します。
    • [Last Name(姓)]:ユーザーの姓を入力します。
    • [Full name(フルネーム)]:任意。ユーザーのフルネームを入力します。
    • [User logon name(ユーザーログオン名)]:ユーザー名を入力します。
    • [User logon name (pre-Windows 2000)(ユーザーログオン名(Windows 2000以前))]:任意。必要に応じて、自動生成される名前を変更します。
  4. [Next(次へ)]をクリックします。
  5. [Password(パスワード)]フィールドと[Confirm Password(パスワードの確認)]フィールドを入力し、[User must change password at next logon(ユーザーは次回ログオン時にパスワードの変更が必要)]チェックボックスをオフにします。

    サービスの中断を避けるため、[Password never expires(パスワードに期限を設定しない)]を選択することをお勧めします。セキュリティ上の理由から、サービスアカウントの認証情報は定期的に更新してください。

  6. [Next(次へ)]をクリックし、[Finish(終了)]をクリックします。
  7. 事前に作成したユーザーを右クリックし、[Properties(プロパティ)]を選択して[Account(アカウント)]タブを選択します。
  8. [Account Options(アカウントオプション))]セクションで[This account supports Kerberos AES 128 bit encryption(このアカウントでKerberos AES 128ビット暗号化をサポートする)]または[This account supports Kerberos AES 256 bit encryption(このアカウントでKerberos AES 256ビット暗号化をサポートする)]チェックボックスを選択します。
  9. [Apply(適用)]をクリックします。
  10. グループポリシーを作成してADサーバーのAES暗号化を有効にします。「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。

    グループポリシーは、ドメインコントローラー、またはOkta ADエージェントがインストールされているサーバーで作成できます。ポリシーはドメイン全体に適用され、ドメイン内のすべてのドメインサーバーとワークステーションに適用されます。

  11. コマンドプロンプトを開いて次のコマンドを管理者として実行して、サービスアカウントのSPNを構成します。

    setspn -S HTTP/<myorg>.kerberos.<oktaorg>.com <ServiceAccountName>

    • HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com:これはSPNです。
    • <ServiceAccountName>:これはエージェントレスDSSOの構成に使用した値です。
    • <oktaorg>:これはOkta org(oktaoktapreviewokta-emeaのいずれか)です。

      Setspn」を参照してください。

次の手順

Windowsのエージェントレスデスクトップシングルサインオンにブラウザーを構成する

Macのエージェントレスデスクトップシングルサインオンにブラウザーを構成する