サービスアカウントを作成して、サービスプリンシパル名を構成する

Agentless Desktop Single Sign-on(DSSO)でKerberos認証を使用するには、新しいサービスアカウントを作成し、そのサービスアカウントのサービスプリンシパル名(SPN)を設定する必要があります。サービスアカウント自体には管理者権限は必要ありませんが、SPNを設定するには特定の権限が必要です。「Delegating Authority to Modify SPNs」を参照してください。

サービスアカウントの認証情報が変更された場合は、サービスの停止を回避するために、対応するOktaサービスアカウントの認証情報も同時に更新します。セキュリティ上の理由から、サービスアカウントの認証情報は定期的に更新することをお勧めします。

連邦情報処理標準(FIPS)機能が有効になっている場合、サービスアカウントのユーザー名とパスワードは次の基準を満たす必要があります。

  • サービスアカウントのユーザー名とドメイン名を合わせた長さは、16文字以上である必要があります。
  • サービスアカウントのパスワードは、14文字以上にする必要があります。
  1. 「Active Directoryユーザーとコンピュータ(ADUC)」Microsoft管理コンソール(MMC)を開くには、Active Directoryサーバーで[Start(スタート)]>[Run(実行)]をクリックし、dsa.mscと入力して、Enterキーを押します。
  2. 新しいアカウントを作成するフォルダを右クリックし、[New(新規作成)]>[User(ユーザー)]を選択します。
  3. 以下のフィールドに入力します。
    • [First name(名)]:ユーザーの名を入力します。
    • [Initials(イニシャル)]:任意。ユーザーのミドルネームのイニシャルを入力します。
    • [Last name(姓)]:ユーザーの姓を入力します。
    • [Full name(フルネーム)]:任意。ユーザーのフルネームを入力します。
    • [User logon name(ユーザーログオン名)]:ユーザー名を入力します。
    • [User logon name (pre-Windows 2000)(ユーザーログオン名(Windows 2000以前))]:任意。必要に応じて、自動生成される名前を変更します。
  1. [Next(次へ)]をクリックします。
  2. [Password(パスワード)]フィールドと[Confirm Password(パスワードの確認)]フィールドを入力し、[User must change password at next logon(ユーザーは次回ログオン時にパスワードの変更が必要)]チェックボックスをオフにします。

サービスの中断を避けるため、[Password never expires(パスワードに期限を設定しない)]を選択することをお勧めします。セキュリティ上の理由から、サービスアカウントの認証情報は定期的に更新してください。

  1. [Next(次へ)]をクリックし、[Finish(完了)]をクリックします。
  2. 手順6で作成したユーザーを右クリックし、[Properties(プロパティ)]を選択して、[Account(アカウント)]タブを選択し、[Account Options(アカウントオプション)]エリアの[This account supports Kerberos AES 128 bit encryption(このアカウントでKerberos AES 128ビット暗号化をサポートする)]チェックボックスまたは[This account supports Kerberos AES 256 bit encryption(このアカウントでKerberos AES 256ビット暗号化をサポートする)]チェックボックスを選択します。
  3. [Apply(適用)]をクリックします。
  4. グループポリシーを作成して、ADサーバーでAES暗号化を有効にします。「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。

    5. グループポリシーは、ドメインコントローラー、またはOkta ADエージェントがインストールされているサーバーで作成できます。ポリシーはドメイン全体に適用され、ドメイン内のすべてのドメインサーバーとワークステーションに適用されます。

  5. コマンドプロンプトを開き、次のコマンドを実行して、サービスアカウントのSPNを構成します。

    setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>

ここで、HTTP/<myorg>.kerberos.okta.comはSPN、<ServiceAccountName>はエージェントレスDSSOを構成するときに使用した値、<oktaorg>はOkta org(oktapreview、okta-emea、またはokta)です。例:setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin

次の手順

WindowsでAgentless Desktop Single Sign-onを使用できるようにブラウザーを構成する

Macでエージェントレスデスクトップシングルサインオンを使用できるようにブラウザーを構成する