Okta IWA WebエージェントのSSLを構成する

OktaIWA Webエージェントとクラウドアプリの間の安全な接続を確保するには、Secure Socket Layer（SSL）を構成します。これはセキュリティにとって重要であり、OneNoteやメールなどの一部のWindows 10ユニバーサルアプリケーションでの認証にとっては厳しい要件となります。「Windows 10でOffice 2016アプリケーションにサインインできない」を参照してください。

注:

IWA WebエージェントがWindows 2008 R2を実行しているサーバーにインストールされている場合、Windows Server 2008 R2でTLS 1.2を有効にする必要がある場合があります。

SSL証明書を取得する

GoDaddy、Viresign、Diticertなどのサードパーティ認証局からSSL証明書を取得することをお勧めします。Okta証明書署名リクエストの作成とSSL証明書のインストールに慣れていない場合は、選択した認証局が提供するドキュメントを参照してください。sslstoreの次のガイドは参考になります。

CSR Generation for SSL Certificates

How to Install an SSL/TLS Certificate In Microsoft IIS 7

証明書作成に関する考慮事項：

Oktaは、サブジェクトの別名（Subject Alternate Names）（SAN）が1つ以上ある証明書を取得することをお勧めします。証明書にSANが含まれていない場合は、FirefoxとChromeのユーザーがブラウザーでデスクトップSSO Webサイトへの接続を試みると、エラーが発生します。
IWAリダイレクトURL（IWA Redirect URL）は、CNまたはSANに入力されたものと一致する必要があります。例：
- サーバーのホスト名をIWAリダイレクトURL（ https://IWAserver/IWAなど）に使用する場合、CNまたはSAN値は IWAServerになります。
- サーバーのFQDNをIWAリダイレクトURLとして使用する場合（例：https://IWAserver.mycompany.com/IWA）、CNまたはSANの値はIWAserver.mycompany.comになります。
- 証明書のCNまたはSANの値がIWAserverの場合、URLが証明書で指定されているものと一致しないため、https://IWAserver.mycompany.comへの接続試行は失敗します。
フェイルオーバーを提供するために複数のサーバーにデスクトップSSOをインストールする場合は、ワイルドカード証明書（例：*.mycompany.com）を取得するか、各サーバーのURLのSANエントリーが含まれる証明書（例：https://IWA1.mycompany.com, https://IWA2.mycompany.comなど）を取得することを強くお勧めします。Oktaこれにより、各サーバーで同じ証明書を使用できるようになります。

SSLを有効にする

Admin Consoleで、セキュリティ（Security） > 委任認証（Delegated Authentication）に移動します。
下にスクロールしてオンプレミスデスクトップSSO（On-Prem Desktop SSO）に移動し、編集（Edit）をクリックします。
IWAエージェント（IWA Agents）エリアで、編集（Edit）をクリックします。
IWAリダイレクトURL（IWA redirect URL）フィールドで、URLをhttpからhttpsに変更します。IWAリダイレクトURLは、一般名（Common Name）フィールドで使用されているのと同じ命名規則を使用する必要があります。つまり、一般名（Common Name）フィールドでFQDNまたはホスト名を使用する場合、IWAリダイレクトURLでもそれを使用する必要があります。
保存（Save）をクリックします。

次の手順

Okta IWA Webエージェントのルーティングルールを構成する