Okta Credential Provider for Windowsのインストール
インストーラーをダウンロードしたら、次の手順を実行します。
インストール・プロセスでアプリケーション構成から情報をコピーするため、ブラウザーでMicrosoft RDP(MFA)アプリケーションの[一般]タブを開いておいてください。
Oktaでは、標準インストール、サイレント・インストール、および一括展開をサポートしています。
トピック:
標準インストール
- インストーラーをダウンロードしたディレクトリに移動します。
- .zipアーカイブからファイルを展開します。
- Setup.exeを管理者として実行します。
- プロンプトに従ってインストールを完了します。
-
[アプリの構成]ダイアログで、次に示すように、クライアントID、クライアント・シークレット、およびOkta URLを入力します。
スクリーンショットこれらの値を取得するには、ブラウザーでOktaのMicrosoft RDP(MFA)アプリに移動します。[一般]タブを選択し、[クライアントの認証情報]セクションまで下にスクロールすると、クライアントIDとクライアント・シークレットを確認できます。Okta URLは、組織がOktaへのアクセスに使用するURLで、
https://<yourorg>.okta.comという形式です。この情報を上記の[アプリケーションの構成]画面で入力し、[次へ]をクリックします。
- [次へ]と[閉じる]をクリックしてインストールを完了します。
- 2番目に表示される[アプリの構成]画面で、次の2つのオプションについて選択します。スクリーンショット
- [資格情報プロバイダーをフィルター]:このオプションは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。このオプションを選択すると、Okta MFA Credential ProviderがRDP接続に多要素認証を適用する唯一の方法になり、認証されていないユーザーが使用する資格情報プロバイダーを選択できなくなります。
- [RDPのみ]:デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証の両方のイベントの間にOktaの多要素認証が挿入されます。このボックスをオンにすると、ローカル(対話型)ログオンに対するOktaの多要素認証が削除されます。
- (EAバージョンのみ)[Oktaパスワード・リセット用リンクを表示(セルフ・サービス)]:このボックスをオンにすると、エンド・ユーザーがOktaを介してパスワードをリセットするためのオプションがWindowsサインオン画面に追加されます。
-
インストールを確認するには、マシンをロックします。表示されるサインイン画面で、次のWindows Server 2012 R2の例のように、Oktaアイコンがサインイン・オプションとして表示されることを確認します。Windows Server 2016では画面が少し異なります。
スクリーンショット
インストーラー・パッケージにはC++ランタイム・ライブラリが含まれています。これらの再頒布可能ランタイム・ライブラリが存在しない場合はインストールするように求められ、存在する場合は修復するように求められます。
次に示すように、このインストーラーではVisual C++ 14ランタイム・ライブラリが求められます。
MadCap:conditions="Primary.do-not-publish">注:パッケージにはC++インストーラーが含まれています。インストーラーが存在しない場合はインストールするように求められ、存在する場合は修復するように求められます。次に示すように、このインストーラーではVisual C++ 14ランタイム・ライブラリが求められます。スクリーンショット
![[アプリの構成]画面](../../Resources/Images/mfa-ms-rdp-04.png)
サイレント・インストール
- インストーラーをダウンロードしたディレクトリに移動します。
-
.zipアーカイブからファイルを展開します。
- Windowsサーバーで、解凍したアーカイブの
vcredist_x64フォルダーから次のコマンドを実行します。vcredist_x64.exe /install /quiet /norestart -
次のコマンドを実行して、Okta Windows Credential Providerをサイレント・インストールします。
msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CLIENT_ID="cid" CLIENT_SECRET="cs" OKTA_URL="https://a.b.c"パラメーター
CLIENT_ID:この値は、OktaのMicrosoft RDP(MFA)アプリケーションの[一般]タブで確認できます。RDPエージェントの構成ファイルで手動で編集することもできます。CLIENT_SECRET:この値は、OktaのMicrosoft RDP(MFA)アプリケーションの[一般]タブで確認できます。ClientSecretをリセットすると、構成ファイルの値が暗号化されるため、エージェントの再インストールが必要になります。RDPエージェントの構成ファイルで手動で編集することもできます。OKTA_URL:組織のURLです。https://org_name.okta.comの形式を使用する必要があります。HTTPSが必要です。*.oktapreview.comまたは*.okta-emea.comもサポートされています。 -
前の手順で追加したパラメーターに加え、以下のプロパティーを変更して多要素認証が常に強制されるようにすることができます。
プロパティー 定義 デフォルト値 推奨値 FilterCredentialProviderこのプロパティーは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。trueの場合、Okta MFA Credential ProviderがRDP接続に多要素認証を適用する唯一の方法になり、認証されていないユーザーが使用する資格情報プロバイダーを選択できなくなります。
FilterCredentialProviderをtrueに設定し、RdpOnlyをfalseに設定すると、ポリシーに従って必要な場合に多要素認証が要求されるようになります。
false - InternetFailOpenOptionネットワーク接続が失われた場合の認証フローの動作を設定します。trueの場合、RDPを介して認証を行うユーザーに多要素認証が求められず、パスワードのみに基づいてアクセス権が付与されます。falseの場合は、資格情報プロバイダーがOktaサービスに到達できないため、RDPを介して認証を行うユーザーにアクセス権が付与されません。
InternetFailOpenOptionは、ターゲット・マシンに多要素認証を行うためのインターネット・アクセスがない場合の適切なアクセスを管理します。
インターネット接続が頻繁に問題になる場合は、このプロパティーをtrueに設定します。
false - RdpOnlyデフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証の両方のイベントの間にOktaの多要素認証が挿入されます。このプロパティーをtrueに設定すると、ローカル(対話型)ログオンに対するOktaの多要素認証が削除されます。
FilterCredentialProviderをtrueに設定し、RdpOnlyをfalseに設定すると、ポリシーに従って必要な場合に多要素認証が要求されるようになります。
false - WidgetTimeOutInSecondsタイムアウトまでの秒数。RDPセッションがWindowsで閉じられる可能性を防ぐには、この値をWindowsで設定されているアイドル・タイムアウトよりも小さくする必要があります。 60 30 ErrorTimeOutInSecondsRDPセッションが閉じられてからエラー・メッセージが表示されるまでのタイムアウト。 30 30 EnforceTimeoutVersionAgnosticWindows 2012、2016、2019のタイムアウトを強制します。 false true SslPinningEnabledエージェントが接続するOktaサーバーの公開鍵を検証します。 true true DisplayPasswordResetLinkバージョン1.1.4から新しいバージョンにアップグレードした場合、このプロパティーを追加する必要があります。
Active Directoryパスワードをリセットするためのリンクを表示します。 false true これらのプロパティーを変更するには、
rdp_app_config.jsonファイルを編集します。このファイルは、通常はC:\Program Files\Okta\Okta Windows Credential Provider\configフォルダーにあります。また、次のPowerShellスクリプトを使用することもできます。$rdpAppConfig = Get-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json' -raw | ConvertFrom-Json $rdpAppConfig.RdpOnly =([System.Convert]::ToBoolean('true')) $rdpAppConfig | ConvertTo-Json | Set-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json'このスクリプトは、上記の手順2でインストールを実行したのと同じ場所から実行できます。
注
このスクリプトは、PowerShellのバージョン3、4、および5でテスト済みです。
システムのPowerShellのバージョンを確認するには、PowerShellを管理者として開き、$PSVersionTableを入力します。
一括展開
Microsoftのpsexec64ツールを使用して、リモート・マシンでコマンドを実行します。次のコマンドを一括展開用に変更します。
ここで:
-
IP of the machine to deploy、<AD admin user>、および<path for installation log>を組織の値に合わせて変更します。
- client secretとclient IDをアプリケーションに合わせて変更します。
- yourorgをOkta組織の名前に変更します。
ネットワーク接続が失われた場合の動作の構成
インストールの完了後、ネットワーク接続が失われた場合の認証フローの動作を構成できます。
この指定を行うには、rdp_app_config.jsonファイルを編集します。このファイルは、通常はC:\Program Files\Okta\Okta Windows Credential Provider\configフォルダーにあります。InternetFailOpenOptionの値を次のいずれかの値に切り替えます。
true:インターネット接続が失われた場合、RDPを介して認証を行うユーザーに多要素認証が求められず、パスワードのみに基づいてアクセス権が付与されます。
false:インターネット接続が失われた場合、資格情報プロバイダーがOktaサービスに到達できないため、RDPを介して認証を行うユーザーにアクセス権が付与されません。
注
上記の「サイレント・インストール」セクションの手順4に記載されているその他のプロパティーを変更することもできます。
タイムアウト設定の確認
多要素認証が想定どおりに動作することを確認するには、Oktaサインイン・セッションがWindowsセッションよりも前にタイムアウトすることを確認します。
次の点に注意してください。
- デフォルトでは、Oktaウィジェットのセッション・タイムアウトは60秒に設定されています。
- Windows環境のタイムアウト時間を調べ、Oktaウィジェットのセッション・タイムアウト時間をWindowsのセッション・タイムアウトよりも短く設定します。
重要
環境でWindowsとOktaの両方のセッション時間を手動で調整してテストを用意し、それぞれに指定したタイムアウト時間が想定どおりに動作することを確認します。
Oktaウィジェットのセッション・タイムアウト時間を構成する手順は次のとおりです。
C:\Program Files\Okta\Okta Windows Credential Provider\configに移動します。- 任意のエディターを使用して、
rdp_app_config.jsonを開きます。 - 以下のプロパティーと値をファイルに追加します。
各エントリはカンマで区切ります。"WidgetTimeOutInSeconds": 30"ErrorTimeOutInSeconds": 30"EnforceTimeoutVersionAgnostic": false
注
Windowsのセッション・タイムアウト時間よりも短い時間であれば、別のタイムアウト値を指定できます。