サービスプリンシパル名を設定する
サービスプリンシパル名(SPN)を設定して、OktaがAgentless Desktop Single Sign-on(DSSO)でKerberos認証をネゴシエートできるようにします。サービスプリンシパル名(SPN)を設定するには、ドメイン管理者権限が必要です。
- Active Directory(AD)環境で管理者としてコマンドプロンプトを開き、次のコマンドを実行してSPNを追加します。
setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea|okta-gov.com>.com <ServiceAccountName>ここで、HTTP/<myorg>.kerberos.okta.comはSPN、<ServiceAccountName>はエージェントレスDSSOを構成するときに使用した値、<oktaorg>はOkta org(oktapreview、okta-emea、またはokta)です。例:
setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadminこのコマンドでは、新しいADユーザーアカウントとSPNは作成されません。代わりに、既存のADユーザーアカウントに新しいSPNが追加されます。
子ドメインは、親ドメインがOktaでKerberos領域としても構成されている場合にのみ、親ドメインに存在するSPNを使用できます。
SPNはフォレスト全体で一意であるため、各フォレストでこれを行う必要があるのは1回だけです。複数のフォレストがある場合は、フォレストごとに手順1を繰り返します。このコマンドは、カスタムURLを使用しているorgを含む、すべてのorgに適用できます。 - Agentless DSSOを使用するすべてのデバイスのインターネット設定のイントラネットサイトリストにhttps://<myorg>.kerberos.<oktaorg>.comを追加します。
- Okta Admin Consoleを開き、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]>[Agentless DSSO]>[Edit(編集)]に移動します。
- ADインスタンスで、[Edit(編集)]をクリックします。
- サービスアカウントのユーザー名が古い形式(例:HTTP/<myorg>.<oktaorg>.com)の場合は、SPNが設定されたサービスアカウントのUPNに変更します。
- [Validate service account credential on save(保存時にサービスアカウント認証情報を検証する)]を選択します。
- [Save(保存)]をクリックします。
これにより、orgの新しいDNSレコードの作成が開始されます。
- digやnslookupなどのコマンドラインツールを使用して、新しいKerberos URLに到達できることを確認します。例:
$ dig <yourOrg>.kerberos.<oktaorg>.com$ nslookup <yourOrg>.kerberos.<oktaorg>.comコマンドが成功したかどうかを判断するには、LinuxまたはWindowsのコマンドリファレンスドキュメントを参照して、出力メッセージの意味を確認してください。Kerberos URLに到達できた場合は、残りの手順を完了します。成功したことを示す出力が表示されない場合は、5分後に再度コマンドを実行するか、Oktaサポートにお問い合わせください。