Okta IWA Webエージェントのインストールの前提条件

Okta IWA Webエージェントをインストールするための前提条件は次のとおりです。

  • IWA DSSOを構成する前に、Okta AD Agentをインストールして構成し、委任認証を有効にしておく必要があります。Active Directory統合を管理するを参照してください。
  • ポート80(httpの場合)とポート443 (httpsの場合)が、Okta IWA Webエージェントをホストする同じサーバーの受信トラフィック用に開いていることを確認します。

    :SSLを有効にすることを強くお勧めします。

  • Windows Server 2008 R2、Windows Server 2012、Server 2016、またはWindows Server2019以降。IWA WebエージェントはWindows Server 2008でも動作しますが、最良の結果を得るには、Windows Server 2008 R2とWindows Server 2012をお勧めします。

    Windows Server 2008 R2を使用する場合、次の点に注意してください。

    • Microsoftでは、Windows Server 2008 R2ユーザーに拡張サポート契約を結ぶように求めています。また、Microsoftは2020年までにWindows Server 2008 R2をEOLする予定です。
    • Windows Server 2008 R2を実行しているサーバーにIWA Webエージェントをインストールする場合は、追加のセキュリティー構成が必要です。詳細については、Transport Layer Security 1.2プロトコルを有効にするを参照してください。
  • .NET 4.5.2(最低)、最高で.NET 4.7.xおよびASP .NET 4.7。.NETのそれよりも古いバージョンを使用している場合は、4.5.2以降にアップグレードしてください。
  • 統合のセキュリティーを向上させるため、現在はTLS 1.2セキュリティー・プロトコルのみを使用して通信しています。ADエージェントが正しくインストールされるように、.NET Framework 4.5.2以降を実行するようにしてください。Windows 2008 R2ではTLS 1.2がデフォルトで無効になっているため、レジストリーを使用して有効にする必要があります。Windows 2008 R2を使用している場合は、次のregkeysが正しく設定されていることを確認してください。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

  • IIS 7.5以降がサーバーにインストールされている必要があります。必要なIISのバージョンがインストールされていない場合、インストーラーは終了し、エラー・メッセージが表示されます。
  • AD Agent 3.0.4.x以降。Okta AD Agentは、Okta IWA Webエージェントをホストするのと同じサーバー上にある必要はありません。
  • 企業に複数のドメインがある場合は、 Okta IWA Webエージェントのユニバーサル・プリンシパル名を構成するを参照してください。
  • IWAエージェントは、ユーザーがDomain Usersグループから継承するデフォルトの権限以外の追加の権限を必要としません。ただし、次の点に注意してください。

    • インストーラーは、サービス・アカウントがWebアプリケーション・ファイルにアクセスできるように、追加のローカル権限を構成します。
    • IWAエージェントには、C:\inetpub\webroot\IWAにあるファイルの読み取り権限および実行権限が必要です。
    • 既存のアカウントを使用する場合は、次を確認してください。
      • アカウントはアクティブになっていて、パスワードの有効期限はありません。
      • アカウントには、C:\inetpub\wwwroot\IWAディレクトリーとそのコンテンツの読み取りおよび実行に対する権限があります。