Okta IWA Webエージェント用のSSLを構成する

Okta IWA Webエージェントとクラウドアプリ間の安全な接続を確保するためにSecure Socket Layer (SSL)を構成します。これはセキュリティ上重要で、認証(特にOneNoteやMailなど、Windows 10のユニバーサル アプリケーション)でのハード要件でもあります。 「Windows 10でOffice 2016アプリケーションにサインインできない」を参照してください。

:Windows 2008 R2に IWA Webエージェントがインストールされている場合、 TLS 1.2を Windows Server 2008 R2で有効にする必要があることがあります。

SSL証明書の取得

Oktaでは、GoDaddy、Verisign、Digicertなど、サードパーティ認証局からSSL証明書を取得することを推奨しています。SSL証明書の署名リクエストの作成やインストールに馴染みがない場合、ご使用認証局提供の説明書を参照してください。sslストアから入手できる便利なガイドを以下に挙げます。

CSR Generation for SSL Certificates

How to Install an SSL/TLS Certificate In Microsoft IIS 7

証明書作成に関する考慮事項:

  • Oktaでは、1つまたは複数のSubject Alternate Names(サブジェクトの別名)(SAN)がある証明書を入手することを推奨しています。証明書にSANがないと、 FirefoxとChromeユーザーはブラウザがデスクトップSSO Webサイトに接続しようとしてエラーが発生します。
  • IWAリダイレクトURL はCNまたはSANに入力したものに一致する必要があります。以下に例を挙げます。
    • サーバーのホスト名をIWAリダイレクトURL( https://IWAserver/IWAなど)に使用する場合、CNまたはSAN値は 「IWAServer」です。
    • サーバーのFQDNをIWAリダイレクトURL(https://IWAserver.mycompany.com/IWAなど)に使用する場合、CNまたはSAN値は 「IWAserver.mycompany.com」です。
    • 証明書のCN またはSAN値がIWAserverであれば、URLが証明書で指定されているものと一致しないため、 https://IWAserver.mycompany.comへの接続の試みは失敗します。
  • 複数サーバー上にDesktop SSOをインストールしてフェイルオーバーを提供する予定の場合、ワイルドカード証明書( *.mycompany.comなど)または各サーバーのURLのSANエントリ( https://IWA1.mycompany.com、https://IWA2.mycompany.comなど)を含む証明書を取得することを強く推奨しています。これにより、各サーバー上で同じ証明書を使用できるようになります。

SSLの有効化

  1. 管理コンソールで、[セキュリティー] > に移動します [Delegated Authentication(代理認証)]
  2. [On-Prem Desktop SSO(オンプレミスデスクトップSSO)] にスクロールダウンして[Edit(編集)]をクリックします。
  3. [IWAAgents(IWAエージェント)] 領域で [Edit(編集)] をクリックします。
  4. [IWA redirect URL(IWAリダイレクトURL)] フィールドでURL を httpからhttpsに変更します。
    IWAリダイレクトURLは、 [Common Name(共通名)] フィールドで使用されているのと同じ命名規則を使用する必要があります。つまり、 [Common Name(共通名)]フィールドでFQDNまたはホスト名が使用されている場合、これがIWAリダイレクトURLでも使用されなければなりません。
  5. [保存]をクリックします。

次のステップ

Okta IWA Webエージェント用ルーティングルールの構成