サービスプリンシパル名を設定する
サービスプリンシパル名(SPN)を設定して、Oktaがエージェントレスデスクトップシングルサインオン(DSSO)でKerberos認証をネゴシエートできるようにします。サービスプリンシパル名(SPN)を設定するには、ドメイン管理者権限が必要です。
- Active Directory(AD)環境で管理者としてコマンドプロンプトを開き、次のコマンドを実行してSPNを追加します。
setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea|okta-gov.com>.com <ServiceAccountName>HTTP/<myorg>.kerberos.okta.comがSPNです。ここで、<ServiceAccountName>はエージェントレスDSSOを構成するときに使用した値、<oktaorg>はOkta org(oktapreview、okta-emea、またはokta)です。例:setspn -S HTTP/<atko.kerberos.oktapreview.com> atkospnadmin。このコマンドでは、新しいADユーザーアカウントとSPNは作成されません。代わりに、既存のADユーザーアカウントに新しいSPNが追加されます。子ドメインは、親ドメインがOktaでKerberosレルムとしても構成されている場合にのみ、親ドメインに存在するSPNを使用できます。SPNはフォレスト全体で一意であるため、各フォレストでこれを行う必要があるのは1回だけです。複数のフォレストがある場合は、フォレストごとに手順1を繰り返します。このコマンドは、カスタムURLを使用しているorgを含む、すべてのorgに適用できます。
- Agentless DSSOを使用するすべてのデバイスのインターネット設定のイントラネットサイトリストに
https://<myorg>.<kerberos>.<oktaorg>.comを追加します。 - Okta Admin Consoleを開き、に移動します。
- ADインスタンスで、編集(Edit)をクリックします。
- サービスアカウントのユーザー名が古い形式(例:
HTTP/<myorg>.<oktaorg>.com)の場合は、SPNが設定されたサービスアカウントのUPNに変更します。 - 保存時にサービスアカウント資格情報を検証する(Validate service account credential on save)を選択します。
- 保存(Save)をクリックします。
これにより、orgの新しいDNSレコードの作成が開始されます。
- digやnslookupなどのコマンドラインツールを使用して、新しいKerberos URLに到達できることを確認します。例:
$ dig <yourOrg>.kerberos.<oktaorg>.com$ nslookup <yourOrg>.kerberos.<oktaorg>.comコマンドが成功したかどうかを判断するには、LinuxまたはWindowsのコマンドリファレンスドキュメントを参照して、出力メッセージの意味を確認してください。Kerberos URLに到達できた場合は、残りの手順を完了します。成功したことを示す出力が表示されない場合は、5分後に再度コマンドを実行するか、Oktaサポートにお問い合わせください。
次の手順