サービス プリンシパル名の設定

サービス プリンシパル名(SPN)を設定してOktaがエージェントレスデスクトップ シングル サインオン(DSSO)用のKerberos認証を交渉できるようにします。サービス プリンシパル名(SPN)を設定するにはドメイン管理者権限が必要です。

  1. Active Directory(AD)環境で管理者としてコマンドプロンプトを開き、次のコマンドを実行してSPNを追加します。

    setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>

    HTTP/<myorg>.kerberos.okta.comがSPNです。<ServiceAccountName>がエージェントレスDSSOの早期アクセス バージョンの設定時に使用する値で、<oktaorg>がOkta org(oktapreview、okta-emea、またはokta)です。例: setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin.

    このコマンドは、新しいADユーザーアカウントとSPNを作成しません。そうではなく、新しいSPN を既存のADユーザーアカウントに追加します。

    SPNはフォレスト全体で一意であるため、各フォレストで一度実行するだけで済みます。複数のフォレストがある場合、各フォレストでステップ1を繰り返します。このコマンドは、カスタムURLを使用するものも含め、すべての組織に適用できます。

  2. エージェントレスDSSOを使用したいすべてのデバイス用のインターネットサイトリストにhttps://<myorg>.kerberos.<oktaorg>.comを追加します。
  3. Okta管理者コンソールを開いて、 [Security(セキュリティ)] > [Delegated Authentication(代理認証)] > [Delegated Authentication(代理認証)] > [Edit(編集)]に移動します。
    1. ADインストールで[Edit(編集)]をクリックします。
    2. サービス アカウントユーザー名が古い形式(例: HTTP/<myorg>.<oktaorg>.com)であれば、SPN が設定されたサービスアカウントのUPNに変更します。
    3. [Validate service account credential on save]を選択します。
    4. [Save(保存)]をクリックします。

    これにより、あなたの組織用の新しいDNSレコードの作成が開始されます。

  4. digやnslookupなどのコマンドラインツールを使用して、新しいKerberosのURL にアクセスできることを確認します。例:

    $ dig <yourOrg>.kerberos.<oktaorg>.com

    $ nslookup <yourOrg>.kerberos.<oktaorg>.com

    コマンドが成功したことを確認するために、LinuxまたはWindowsコマンドリファレンスマニュアルで出力メッセージの説明を参照してください。Kerberos URL にアクセスできれば、残りの手順を完了します。成功を示す出力がない場合、5分後にコマンドをもう一度実行するか、Oktaサポートにサポートを求めてください。

次のステップ

Windowsでのシングルサインオン用にブラウザを設定する