WindowsにOkta RADIUSサーバー・エージェントをインストールして構成する
Okta RADIUSサーバー・エージェントは、単一要素認証(SFA)または多要素認証(MFA)を使用して認証をOktaに委任します。Windowsサービスとしてインストールされ、パスワード認証プロトコル(PAP)をサポートします。
RADIUSクライアントは、クライアントへのアクセスを要求するユーザーの資格情報(ユーザー名とパスワード)をRADIUSエージェントに送信します。その後、組織の設定によって以下のケースに分かれます。
- MFAが無効でユーザーの資格情報が有効な場合、ユーザーは認証されます。
- MFAが有効でユーザーの資格情報が有効な場合、ユーザーは2つ目の認証要素を選択するよう求められます。ユーザーはその1つを選択し(たとえば、Google AuthenticatorまたはOkta Verifyなど)、検証コードの要求を取得します。クライアントに送り返されたコードが正しい場合、ユーザーはアクセス権を取得します。
注:一部のアプリケーションまたはサービス(AWS Workspaceなど)はログイン時にMFAの選択を提供せず、代わりにユーザーのユーザー名とパスワードに加えてMFAコードを要求します。ユーザーが複数のMFA(Okta VerifyとYubiKeyなど)に登録している場合、どちらを使用するかユーザーが指定する必要はありません。入力したコードは、検証が成功するまで各ハンドラーによって処理されます。
サポートされているオペレーティング・システム
Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。
要件と制限
バージョン2.2.0以降へのアップグレードとSSLピンニング
RADIUSエージェント・バージョン2.2.0以降はSSLピニングが有効になっており、追加のセキュリティー・レイヤーが提供されます。新しいエージェントにアップグレードする現在のユーザーでは、SSLピニングがデフォルトで有効になっていません。v2.2.0より前のバージョンのエージェントからアップグレードする場合は、アップグレード後に以下を実行します。
Webセキュリティー・アプライアンスを含むネットワーク上のエージェントに対して、次の手順を実行しないでください。
- Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストール・フォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
- このフォルダーからcurrent\user\config\radius\config.propertiesに移動します。変更を加える前に、このファイルのバック・アップを作成することをお勧めします。メモ帳などのテキスト・アプリケーションを使用して、Okta RADIUSエージェントのインストール・フォルダーにあるcurrent\user\config\radius\config.propertiesファイルを開きます。
- ファイルの最後に、ragent.ssl.pinning = trueという行を追加します。
- ファイルを保存します。
- 使用可能なWindows管理ツールを使って、Okta RADIUS Agentサービスを再起動します。
このプロセスにより、エージェントの通信は、新しいエージェントが知っている公開鍵を使って有効な証明書を提示できるサーバーのみに制限されます。
典型的なワークフロー
タスク | 説明 |
|---|---|
| RADIUSエージェントをダウンロードする |
|
| RADIUSアプリを構成する |
|
| エージェントをインストールする | |
| 追加プロパティーを構成する | |
| エージェントを管理する | |
| ログ・ファイルにアクセスして管理する | |
トラブルシューティングする | |
| エージェントをアンインストールする |