サービス プリンシパル名の設定
サービス プリンシパル名(SPN)を設定してOktaがエージェントレスデスクトップ シングル サインオン(DSSO)用のKerberos認証を交渉できるようにします。サービス プリンシパル名(SPN)を設定するにはドメイン管理者権限が必要です。
- Active Directory(AD)環境で管理者としてコマンドプロンプトを開き、次のコマンドを実行してSPNを追加します。
setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>
HTTP/<myorg>.kerberos.okta.comがSPNです。<ServiceAccountName>がエージェントレスDSSOの早期アクセス バージョンの設定時に使用する値で、<oktaorg>がOkta org(oktapreview、okta-emea、またはokta)です。例:
setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin
.このコマンドは、新しいADユーザーアカウントとSPNを作成しません。そうではなく、新しいSPN を既存のADユーザーアカウントに追加します。
SPNはフォレスト全体で一意であるため、各フォレストで一度実行するだけで済みます。複数のフォレストがある場合、各フォレストでステップ1を繰り返します。このコマンドは、カスタムURLを使用するものも含め、すべての組織に適用できます。 - エージェントレスDSSOを使用したいすべてのデバイス用のインターネットサイトリストにhttps://<myorg>.kerberos.<oktaorg>.comを追加します。
- Okta管理者コンソールを開いて、 [Security(セキュリティ)] > [Delegated Authentication(代理認証)] > [Delegated Authentication(代理認証)] > [Edit(編集)]に移動します。
- ADインストールで[Edit(編集)]をクリックします。
- サービス アカウントユーザー名が古い形式(例: HTTP/<myorg>.<oktaorg>.com)であれば、SPN が設定されたサービスアカウントのUPNに変更します。
- [Validate service account credential on save]を選択します。
- [Save(保存)]をクリックします。
これにより、あなたの組織用の新しいDNSレコードの作成が開始されます。
- digやnslookupなどのコマンドラインツールを使用して、新しいKerberosのURL にアクセスできることを確認します。例:
$ dig <yourOrg>.kerberos.<oktaorg>.com
$ nslookup <yourOrg>.kerberos.<oktaorg>.com
コマンドが成功したことを確認するために、LinuxまたはWindowsコマンドリファレンスマニュアルで出力メッセージの説明を参照してください。Kerberos URL にアクセスできれば、残りの手順を完了します。成功を示す出力がない場合、5分後にコマンドをもう一度実行するか、Oktaサポートにサポートを求めてください。