サービス アカウントを作成し、サービス プリンシパル名を設定する
Oktaがエージェントレスデスクトップ シングル サインオン(DSSO)用のKerberos認証を交渉できるようにするには、新しいサービスアカウントを作成し、サービス プリンシパル名(SPN)を設定する必要があります。サービスアカウント自体は管理者許可は必要ありませんが、SPNを設定するには特定の許可が必要です。「Delegating Authority to Modify SPNs(SPNを変更する権利の委託)」を参照してください。
サービス アカウントの資格情報が変更されたら、同時にOktaサービスアカウントも更新して、サービス停止を回避してください。セキュリティ上の注意として、Oktaではサービスアカウントの資格情報を定期的に更新することを推奨しています。
- Active Directoryユーザーとコンピューター(ADUC)Microsoft 管理コンソール(MMC)コンソールを開くには、Active Directoryサーバー上で[開始] > [実行]をクリックし、
dsa. mscと入力して、Enterを押します。 - 新しいアカウントを作成したいフォルダーを右クリックし、[New(新規)]>[User(ユーザー)]を選択します。
- 以下のフィールドに入力します。
- First name(名) :ユーザーの名を入力します。
- Initials(イニシャル) :オプションです。ユーザーのミドルネームのイニシャルを入力します。
- Last name(姓):ユーザーの姓を入力します。
- Full name(姓名) :オプションです。ユーザーの姓名を入力します。
- User logon name(ユーザーログオン名):ユーザー名を入力します。
- User logon name(ユーザーログオン名)(Windows 2000より前) :オプションです。自動的に生成された名前を変更します(ある場合)。
- [Next(次へ)]をクリックします。
- [Password(パスワード)] と [Confirm Password(パスワードの確認)]フィールドに入力し、 [User must change password at next logon(ユーザーは次回ログオン時にパスワード変更が必要]チェックボックスをクリアします。
Oktaでは、[Password never expires(パスワードを無期限にする)]を選択して、サービス中断を避けることを推奨しています。セキュリティ上の注意として、サービスアカウントの資格情報を定期的に更新してください。
- [Next(次へ)]をクリックして[Finish(終了)]をクリックします。
- ステップ6で作成したユーザーを右クリックし、[Properties(プロパティ)]を選択して [Account(アカウント)] タブを選択してから、[Account Options(アカウントオプション)] 領域で[This account supports Kerberos AES 128 bit encryption(このアカウントで Kerberos AES 128 ビット暗号化をサポートする)] または [This account supports Kerberos AES 256 bit encryption(このアカウントで Kerberos AES 256 ビット暗号化をサポートする)]チェックボックスを選択します。
- [Apply(適用)]をクリックします。
- グループポリシーを作成し、ADサーバー上でAES暗号化を有効にします。「Kerberos対応暗号化タイプ」を参照してください。
- コマンドプロンプトを開いて、次のコマンドを実行し、サービスアカウント用のSPNを設定します。
setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>
ここで、 HTTP/<myorg>.kerberos.okta.com がSPNです。<ServiceAccountName>がエージェントレスDSSOの早期アクセス バージョンの設定時に使用する値で、<oktaorg>がOkta org(oktapreview、okta-emea、または okta)です。例: setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin.