Windows用Okta資格情報プロバイダーのインストール
インストーラーをダウンロードした後、以下のステップを完了します。
インストールプロセスでアプリケーション設定からの情報をコピーするには、Microsoft RDP (MFA) アプリケーションの [General(一般)]タブでブラウザを開いたままにします。
Oktaは、標準、サイレント インストール、マスデプロイメントをサポートします。
項目:
標準インストール
- インストーラーをダウンロードしたディレクトリに移動します。
- .zipアーカイブからファイルを抽出します
- 管理者として Setup.exeを実行します。
- 指示に従って、インストールを完了します。
-
[App Configuration(アプリの設定)]ダイアログで、client ID(クライアントID)、client secret(クライアント シークレット)、 Okta URLを下に示すように自動入力します。
スクリーンショットこれらの値を取得するために、ブラウザでOkta内のMicrosoft RDP (MFA)アプリに移動します。[General(一般)]タブを選択し、 [Client Credentials(クライアントの資格情報)] セクションにスクロールダウンして、クライアントIDとクライアントシークレットを取得します。Okta URLは、組織がOktaに接続するために使用するURL:
https://<yourorg>.okta.comです。この情報を[App Configuration(アプリの設定)]画面に、上に示すように入力して、[Next(次へ)]をクリックします。
- [Next(次へ)]と[Close(閉じる)]をクリックして、インストールを完了します。
- 2番目に開いた[App Configuration(アプリの設定)]画面で、下に示すように、次の2つのオプションから選択します。スクリーンショット
- Filter Credential Provider(フィルター資格情報プロバイダー) – このオプションは、同一サーバーに複数の資格情報プロバイダーがインストールされているときの回避策を提供します。このオプションを選択すると、Okta MFA資格情報プロバイダーがMFAをRDP接続に適用する唯一の方法になり、認証されていないユーザーがどの資格情報プロバイダーを使用するか選択できなくなります。
- RDP Only(RDPのみ) – インストールされた資格情報プロバイダーはデフォルトでOkta MFAをRDPとローカル認証イベントの間に挿入します。このボックスを選択すると、Okta MFAがローカル(インタラクティブ)ログオンから削除されます。
- (EAバージョンのみ)Display Okta password reset link (self service) (Oktaパスワードリセットリンクを表示(セルフサービス))- このボックスを選択すると、Wondowsサインオン画面にオプションが追加されます。
-
インストールを確認するために、マシンをロックします。下のWindows Server 2012 R2で示すように、表示されたサインイン画面で、Oktaアイコンがサインインオプションとして表示されることを確認します。 Windows Server 2016では、多少表示が異なります。
スクリーンショット
注
インストーラー パッケージにはC++ランタイム ライブラリが含まれています。インストーラーは、まだない場合はこれらの再配布可能ランタイム ライブラリをインストールするように、ある場合には修復するように指示します。
インストーラーは、下に示すように、Visual C++ランタイム ライブラリのインストールを指示します。
スクリーンショット 
![[App Configuration(アプリの設定)]画面](../../Resources/Images/mfa-ms-rdp-04.png)
サイレント インストール
- インストーラーをダウンロードしたディレクトリに移動します。
-
.zipアーカイブからファイルを抽出します。
- Windows server, runで、解凍したアーカイブの
vcredist_x64フォルダから次のコマンドを実行します。vcredist_x64.exe /install /quiet /norestart -
Okta Windows資格情報プロバイダーをサイレントにインストールするには、次のコマンドを実行します。
msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CLIENT_ID="cid" CLIENT_SECRET="cs" OKTA_URL="https://a.b.c"パラメーター
CLIENT_ID– OktaのMicrosoft RDP (MFA) アプリケーションの[General(一般)]タブでこの値を見つけます。RDFエージェント設定ファイルで手動で編集することもできます。CLIENT_SECRET– OktaのMicrosoft RDP (MFA) アプリケーションの[General(一般)]タブでこの値を見つけます。設定ファイル内の値は暗号化されているため、ClientSecretをリセットすると、エージェントを再インストールする必要があります。RDFエージェント設定ファイルで手動で編集することもできます。OKTA_URL– 組織のURL。https://org_name.okta.comの形式を使用してください。HTTPSは必須です。*.oktapreview.com と*.okta-emea.comもサポートされています。 -
前のステップで追加したパラメーターに加え、MFAが常に強制適用されるように以下のプロパティを変更できます。
プロパティ 定義 デフォルト値 提案値 FilterCredentialProviderこのオプションは、同一サーバーに複数の資格情報プロバイダーがインストールされているときの回避策を提供します。Trueの場合、Okta MFA資格情報プロバイダーがMFAをRDP接続に適用する唯一の方法になり、認証されていないユーザーがどの資格情報プロバイダーを使用するか選択できなくなります。
FilterCredentialProviderをTrueに、RdpOnlyをFalseに設定すると、ポリシーで要求される場合にエージェントがMFAをプロンプトします。
False - InternetFailOpenOptionネットワークの接続が失われたら、認証フローの振る舞いを設定します。Trueなら、ユーザーはRDP全体を認証しようとしているユーザーはMFAの認証をチャレンジされず、パスワードだけに基づいてアクセスが付与されます。Falseなら、RDP全体を認証しようとしているユーザーは資格情報プロバイダーがOktaサービスに接続できないのでアクセスを付与されません。
ターゲットマシンが MFAによるインターネットアクセスを持たない場合、InternetFailOpenOptionは適切なアクセスを司ります。
インターネット接続が問題になることが多いなら、このプロパティをTrueに設定します。
False - RdpOnlyインストールされた資格情報プロバイダーはデフォルトでOkta MFAをRDPとローカル認証イベントの間に挿入します。このプロパティをTrueに設定すると、ローカル(インタラクティブ)ログオンからOkta MFAが除外されます。
FilterCredentialProviderをTrueに、RdpOnlyをFalseに設定すると、ポリシーで要求される場合にエージェントがMFAをプロンプトします。
False - WidgetTimeOutInSecondsタイムアウトまでの秒数WindowsがRDPセッションを閉じる可能性をなくすために、この値はWindowsで設定されているアイドル タイムアウトより小さくなければなりません。 60 30 ErrorTimeOutInSecondsエラーメッセージが表示されてからRDPセッションが閉じられるまでのタイムアウト時間。 30 30 EnforceTimeoutVersionAgnosticWindows 2012、2016または2019のタイムアウトを強制適用します。 False True SslPinningEnabledエージェントが接続されているOktaサーバーの公開鍵を検証します。 True True DisplayPasswordResetLinkバージョン1.1.4からそれ以降のバージョンにアップグレードした場合は、このプロパティを追加する必要があります。
Active Directoryパスワードをリセットするリンクを表示します。 False True これらのプロパティを変更するには、通常
C:\Program Files\Okta\Okta Windows Credential Provider\configフォルダにあるrdp_app_config.jsonファイルを編集する か、または次のパワーシェルスクリプトを使用します。$rdpAppConfig = Get-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json' -raw | ConvertFrom-Json $rdpAppConfig.RdpOnly =([System.Convert]::ToBoolean('true')) $rdpAppConfig | ConvertTo-Json | Set-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json'このスクリプトは、上記のステップ2でインストールを実行したのと同じ場所から実行できます。
注
このスクリプトはPowershellバージョン3、4、および5でテスト済みです。
システムのPowershellバージョン数は、管理者としてPowershellを開いて、$PSVersionTableを入力することで確認できます。
マスデプロイメント
リモートマシン上でコマンドを実行するには、Microsoft psexec64ツールを使用します。次のコマンドをマスデプロイメント用に変更します。
ここで:
-
IP of the machine to deploy、<AD admin user>、<path for installation log>は自組織の値。
- client secret と client IDは自アプリケーションの値。
- yourorgはOkta組織の名前。
ネットワーク接続が失われた場合の動作を設定
インストールを完了した後、ネットワーク接続が失われた場合の認証フローの動作を設定できます。
これには、通常 C:\Program Files\Okta\Okta Windows Credential Provider\configフォルダにあるrdp_app_config.json ファイルを編集します。InternetFailOpenOptionの値を以下の値の間で切り替えます。
true – インターネット接続が失われたら、RDP全体を認証しようとしているユーザーはMFAのチャレンジを受けず、パスワードのみに基づいてアクセスが付与されます。
false – インターネット接続が失われたら、資格情報プロバイダーがOktaサービスに接続できないので、RDP全体を認証しようとしているユーザーにはアクセスが付与されません。
注
また、上記「サイレントインストール」セクションのステップ4にリストされているその他のプロパティもどれでも変更できます。
タイムアウト設定の確認
MFA が期待通りに機能することを確実にするために、Windowsセッションの前にOktaサインインセッションがタイムアウトすることを確認します。
以下に注意してください。
- Oktaウィジェットのタイムアウトセッションはデフォルトで60秒に設定されています。
- Windows環境でタイムアウト期間を決定してから、Oktaウィジェットのセッションタイムアウト期間をWindowsタイムアウトセッションより短くセッションします。
重要
WindowsとOkta両方のセッション期間を手動で測定し、各作業用にタイムアウト期間を期待通りに指定したことのテストをその環境内でセットアップしてください。
Oktaウィジェットタイムアウトセッション期間を設定するには:
C:\Program Files\Okta\Okta Windows Credential Provider\configに移動します- エディターを選択して、
rdp_app_config.jsonを開きます。 - 以下のプロパティと値をファイルに追加します。
各入力項目をコンマで区切ります。"WidgetTimeOutInSeconds": 30"ErrorTimeOutInSeconds": 30"EnforceTimeoutVersionAgnostic": false
注
Windowsセッションタイムアウト期間より小さい限り、タイムアウト値をもう1つ指定することもできます。