Okta IWA WebエージェントのSSLを構成する

OktaIWA Webエージェントとクラウドアプリの間の安全な接続を確保するには、Secure Socket Layer(SSL)を構成します。これはセキュリティにとって重要であり、OneNoteやメールなどの一部のWindows 10ユニバーサルアプリケーションでの認証にとっては厳しい要件となります。「Windows 10でOffice 2016アプリケーションにサインインできない」を参照してください。

IWA WebエージェントがWindows 2008 R2を実行しているサーバーにインストールされている場合、Windows Server 2008 R2でTLS 1.2を有効にする必要がある場合があります。

SSL証明書を取得する

GoDaddy、Viresign、Diticertなどのサードパーティ認証局からSSL証明書を取得することをお勧めします。証明書署名リクエストの作成とSSL証明書のインストールに慣れていない場合は、選択した認証局が提供するドキュメントを参照してください。sslstoreの次のガイドは参考になります。

CSR Generation for SSL Certificates

How to Install an SSL/TLS Certificate In Microsoft IIS 7

証明書作成に関する考慮事項:

  • Subject Alternate Names(サブジェクトの別名)(SAN)が1つ以上ある証明書を取得することをお勧めします。証明書にSANが含まれていない場合は、FirefoxとChromeのユーザーがブラウザーでデスクトップSSO Webサイトへの接続を試みると、エラーが発生します。
  • IWA Redirect URL(IWAリダイレクトURL)は、CNまたはSANに入力されたものと一致する必要があります。例:
    • サーバーのホスト名をIWAリダイレクトURL( https://IWAserver/IWAなど)に使用する場合、CNまたはSAN値は 「IWAServer」になります。
    • サーバーのFQDNをIWAリダイレクトURLとして使用する場合(例:https://IWAserver.mycompany.com/IWA)、CNまたはSANの値は「IWAserver.mycompany.com」になります。
    • 証明書のCNまたはSANの値がIWAserverの場合、URLが証明書で指定されているものと一致しないため、https://IWAserver.mycompany.comへの接続試行は失敗します。
  • フェイルオーバーを提供するために複数のサーバーにデスクトップSSOをインストールする場合は、ワイルドカード証明書(例:*.mycompany.com)を取得するか、各サーバーのURLのSANエントリーが含まれる証明書(例:https://IWA1.mycompany.com、https://IWA2.mycompany.comなど)を取得することを強くお勧めします。これにより、各サーバーで同じ証明書を使用できるようになります。

SSLを有効にする

  1. Admin Console[Security(セキュリティ)][Delegated Authentication(委任認証)]に移動します。
  2. 下にスクロールして[On-Prem Desktop SSO(オンプレミスデスクトップSSO)]に移動し、[Edit(編集)]をクリックします。
  3. [IWA Agents(IWAエージェント)]エリアで[Edit(編集)] をクリックします。
  4. [IWA redirect URL(IWAリダイレクトURL)]フィールドで、URLをhttpからhttpsに変更します。
    IWAリダイレクトURLは、[Common Name(一般名)]フィールドで使用されているのと同じ命名規則を使用する必要があります。つまり、[Common Name(一般名)]フィールドでFQDNまたはホスト名を使用する場合、IWAリダイレクトURLでもそれを使用する必要があります。
  5. [Save(保存)]をクリックします。

次の手順

Okta IWA Webエージェント用にルーティングルールを構成する