Okta IWA Webエージェントインストール前提条件

以下に、Okta IWA Webエージェントをインストールするための前提条件を示します。。

  • IWA DSSOを設定する前に、Okta ADエージェントがインストールされ設定されており、代理認証が有効になっている必要があります。Active Directory統合の管理を参照してください。
  • Port 80(http)およびPort 443 ( https)が、 Okta IWA Webエージェントをホストするのと 同じサーバー上の着信トラフィック用にオープンであることを確認してください。

    : Oktaでは、SSLを有効にすることを強く推奨しています。

  • Windows Server 2008 R2、Windows Server 2012、Server 2016、またはWindows Server 2019以降。IWA WebエージェントはWindows Sever 2008でも稼働しますが、最良の結果を得るために、OktaではWindows Server 2008 R2およびWindows Sever 2012を推奨しています。

    Windows Server 2008 R2を使用する場合は、以下の事項に留意してください。

    • Microsoftは、Windows Server 2008 R2ユーザーが延長サポート契約を持つことを要求します。Microsoftはまた、2020年までにはWindows Server 2008 R2をサポート終了する計画です。
    • Windows Server 2008 R2を実行するサーバーにIWA Webエージェントがインストールされている場合、追加のセキュリティ設定が必要です。詳細は、Transport Layer Security 1.2プロトコルを有効にするを参照してください。
  • .NET 4.5.2(最低限) から .NET 4.6.x および ASP .NET 4.5まで。 .NETより低いバージョンをお持ちの場合は、4.5.2以上にアップグレードしてください。
  • 統合のセキュリティを改善するために、通信にはTLS 1.2セキュリティプロトコルのみを使用します。ADエージェントが正しくインストールするように、 .NET framework 4.5.2 以降が実行されていることを確認してください。Windows 2008 R2ではTLS 1.2はデフォルトで無効になっているため、レジストリから有効にする必要があります。 Windows 2008 R2をお持ちの場合は、次のregkeyが正しく設定されていることを確認してください。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

  • IIS 7.5以上をサーバーにインストールする必要があります。必要なIISバージョンがインストールされていないと、インストーラーは中止し、エラーメッセージを受け取ります。
  • ADエージェント3.0.4.x以上。Okta ADエージェントは、OktaIWA Webエージェントをホストするのと同じサーバーにある必要はありません。
  • 複数ドメインを持つ企業の場合、 Okta IWA Webエージェントのユニバーサルプリンシパル名の構成を参照してください。
  • IWAエージェントは、ドメインユーザー グループからユーザーが継承するデフォルト許可を超える追加の特権は何も必要としません。ただし、以下の事項に留意してください。

    • インストーラーは、Webアプリケーションファイルにアクセスできるようにするために、サーバーアカウント用に追加のローカル許可を設定します。
    • IWAエージェントは、C:\inetpub\webroot\IWA内のファイルの読み取りおよび実行許可を必要とします。
    • 既存のアカウントを使用する場合、下記を確認してください。
      • アカウントがアクティブで、パスワードが無期限
      • アカウントにC:\inetpub\wwwroot\IWAディレクトリとその内容の読み取りおよび実行許可がある