サービス・プリンシパル名を設定する
サービス・プリンシパル名(SPN)を設定して、Oktaがエージェントレス・デスクトップ・シングル・サインオン(DSSO)でKerberos認証をネゴシエートできるようにします。サービス・プリンシパル名(SPN)を設定するには、ドメイン管理者権限が必要です。
- Active Directory(AD)環境で管理者としてコマンド・プロンプトを開き、次のコマンドを実行してSPNを追加します。
setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>HTTP/<myorg>.kerberos.okta.comはSPNです。<ServiceAccountName>は、エージェントレスDSSOの早期アクセス・バージョンを構成するときに使用した値で、<oktaorg>は、Okta組織(oktapreview、okta-emea、またはokta)です。 例:
setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadminこのコマンドでは、新しいADユーザー・アカウントとSPNは作成されません。代わりに、既存のADユーザー・アカウントに新しいSPNが追加されます。
SPNはフォレスト全体で一意であるため、これを行う必要があるのは各フォレストで1回だけです。複数のフォレストがある場合は、フォレストごとに手順1を繰り返します。このコマンドは、カスタムURLを使用している組織を含む、すべての組織に適用できます。 - エージェントレスDSSOを使用するすべてのデバイスのインターネット設定のイントラネット・サイト・リストにhttps://<myorg>.kerberos.<oktaorg>.comを追加します。
- Okta管理コンソールを開き、[セキュリティー] > [委任認証] > [エージェントレスDSSO] > [編集]に移動します。
- ADインスタンスで、[編集]をクリックします。
- サービス・アカウントのユーザー名が古い形式(例:HTTP/<myorg>.<oktaorg>.com)の場合は、SPNが設定されたサービス・アカウントのUPNに変更します。
- [保存時にサービス・アカウント認証情報を検証する]を選択します。
- [保存]をクリックします。
これにより、組織の新しいDNSレコードの作成が開始されます。
- digやnslookupなどのコマンド・ライン・ツールを使用して、新しいKerberos URLに到達できることを確認します。例:
$ dig <yourOrg>.kerberos.<oktaorg>.com$ nslookup <yourOrg>.kerberos.<oktaorg>.comコマンドが成功したかどうかを判断するには、LinuxまたはWindowsのコマンド・リファレンス・ドキュメントを参照して、出力メッセージの意味を確認してください。Kerberos URL に到達できた場合は、残りの手順を完了します。成功したことを示す出力が表示されない場合は、5分後に再度コマンドを実行するか、Oktaサポートにお問い合わせください。