Okta Credential Provider for Windowsをインストールする

標準、サイレント、マスデプロイのいずれかのインストール方法を使用してOkta Credential Provider for Windowsをインストールします。

インストール要件については、Okta MFA Credential Provider for Windowsを参照してください。

標準インストール

  1. Admin Consoleで、設定(Settings) > ダウンロード(Downloads)に移動します。

  2. リストでOkta MFA Credential Provider for Windowsを見つけ、最新をダウンロード(Download Latest)をクリックします。
  3. インストーラーファイルをダウンロードした場所に移動します。
  4. .msiファイルを開き、プロンプトに従います。必要に応じてMicrosoft Visual C++と.NETランタイムライブラリをインストールまたは修復します。
  5. アプリの構成(App Configuration)ダイアログで、クライアントID、クライアントシークレット、Okta orgのURLを入力します。クライアントIDおよびクライアントシークレットはOktaのMicrosoft RDP(MFA)アプリの一般(General)タブにあります。
  6. 次へ(Next)をクリックします。
  7. 適用する資格情報フィルターを選択します。
    • 資格情報プロバイダーをフィルター(Filter Credential Provider):このエージェントを選択すると、これがRDP接続にMFAを適用するためにOktaユーザーが使用する唯一の方法になります。認証されていないユーザーは資格情報プロバイダーを選択できません。このオプションは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。
    • RDPのみ(RDP Only):デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証のイベントの間にOktaのMFAが挿入されます。このオプションを選択すると、ローカル(対話型)サインインフローからOkta MFAが削除されます。
    • Oktaパスワードリセット用リンクを表示(セルフサービス)(Display Okta password reset link (self service)):このオプションを選択すると、エンドユーザーがOktaを介してパスワードをリセットできるようにするオプションがWindowsサインオンページに追加されます。
  8. 次へ(Next)をクリックします。必要に応じて、.NET FrameworkおよびIEのTLSを有効にする(Enable TLS 1.2 for .NET Framework and for IE)を選択します。
  9. 次へ(Next)閉じる(Close)の順でクリックします。
  10. マシンをロックしてインストールを確認します。資格情報プロバイダーが正常にインストールされると、サインインページにOktaがサインインオプションとして表示されます。

サイレントインストール

  1. Microsoft Visual C ++再配布可能パッケージと.NET Frameworkがインストールされていることを確認します。

  2. Admin Consoleで、設定(Settings) > ダウンロード(Downloads)に移動します。

  3. リストでOkta MFA Credential Provider for Windowsを見つけ、最新をダウンロード(Download Latest)をクリックします。
  4. インストーラーファイルをダウンロードした場所に移動します。
  5. .msiファイルを開き、プロンプトに従います。必要に応じてMicrosoft Visual C++と.NETランタイムライブラリをインストールまたは修復します。

  6. 次のいずれかのコマンドを実行して、Windows向けOkta Credential Providerをサイレントインストールします。

    方法

    コマンド

    説明
    1

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CLIENT_ID="cid" CLIENT_SECRET="cs" OKTA_URL="https://a.b.c"

    • CLIENT_ID:OktaのMicrosoft RDP(MFA)アプリの一般(General)タブでこの値を検索します。RDPエージェントの構成ファイルでこの値を手動で編集することもできます。
    • CLIENT_SECRET:OktaのMicrosoft RDP(MFA)アプリの一般(General)タブでこの値を検索します。クライアントシークレットがリセットされたら、エージェントを再インストールする必要があります。シークレットはエージェントの構成ファイルで暗号化されているためです。RDPエージェントの構成ファイルでこの値を手動で編集することもできます。
    • OKTA_URL:orgのURLです。https://org_name.okta.comの形式を使用します。HTTPSは必須です。*.okta-gov.com*.oktapreview.com*.okta-emea.comを使用することもできます。

    2

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CFGFILE="d:\config.json"

    • CFGFILEパラメーターのファイル名は完全修飾である必要があります。
    • 以下はconfig.jsonファイルの内容です。ClientSecretパラメーターは暗号化しないでください。
    {
    "Url": "https://org.okta.com",
    "ClientId": "0oa.....n0h7",
    "ClientSecret": "1g3....A_X",
    "RdpOnly": true,
    "SslPinningEnabled": true
}
  7. MFAを強制適用するためのその他のプロパティを変更します。rdp_app_config.jsonファイルを編集します。デフォルトでは、このファイルはC:\Program Files\Okta\Okta Windows Credential Provider\configフォルダにあります。次のPowerShellスクリプトを使用することもできます。このスクリプトは.zipアーカイブを展開した場所、または以下のsetup.exeファイルがある場所から実行してください。 
    
$rdpAppConfig = Get-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json' -raw | ConvertFrom-Json
$rdpAppConfig.RdpOnly =([System.Convert]::ToBoolean('true'))
$rdpAppConfig | ConvertTo-Json | Set-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json'

    プロパティ

    定義

    デフォルト値

    推奨値
    FilterCredentialProvider

    この値をtrueに設定すると、これがRDP接続にMFAを適用するために使用される唯一の方法になります。認証されていないユーザーは資格情報プロバイダーを選択できません。このプロパティは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。

    このプロパティをtrueに設定し、RdpOnlyをfalseに設定すると、ポリシーでMFAが必要な場合にエージェントがMFAを要求するようになります。

    		 false -
    InternetFailOpenOption

    このプロパティは、ネットワーク接続が失われた場合の認証フローの動作を設定します。このプロパティは、ターゲットマシンにMFAを行うためのインターネットアクセスがない場合の適切なアクセスを管理します。

    このプロパティをtrueに設定すると、RDPを介して認証するユーザーにはMFAが求められず、パスワードのみに基づいてアクセス権が付与されます。

    このプロパティをfalseに設定すると、資格情報プロバイダーがOktaサービスに到達できないため、RDPを介して認証するユーザーにアクセス権が付与されません。

    インターネット接続が頻繁に問題になる場合は、このプロパティをtrueに設定します。

    		 false -
    RdpOnly

    デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証のイベントの間にOktaのMFAが挿入されます。このプロパティをtrueに設定すると、ローカル(対話型)サインインフローからOkta MFAが削除されます。

    FilterCredentialProviderをtrueに設定し、このプロパティをfalseに設定すると、ポリシーでMFAが必要な場合にエージェントがMFAを要求するようになります。

    		 false -
    WidgetTimeOutInSeconds

    タイムアウトまでの秒数。RDPセッションがWindowsによって閉じられないようにするには、この値をWindowsで設定されているアイドルタイムアウトよりも小さな値に設定します。

    デフォルトのOktaウィジェットのタイムアウトセッションは60秒です。最大値は120秒です。

    		 60 30
    ErrorTimeOutInSeconds RDPセッションが閉じてからエラーメッセージが表示されるまでのタイムアウト時間。 30 30
    EnforceTimeoutVersionAgnostic Windowsバージョン2012、2016、または2019にタイムアウト時間を強制適用します。 false true
    SslPinningEnabled エージェントが接続するOktaサーバーの公開鍵を検証します。 true true
    DisplayPasswordResetLink

    バージョン1.1.4から新しいバージョンにアップグレードした場合、このプロパティを追加する必要があります。

    		 Active Directoryパスワードをリセットするためのリンクを表示します。 false true
    DisconnectSessionOnError

    このプロパティがtrueに設定されている場合、タイムアウトまたは予期しないエラーが発生すると、Oktaはユーザーセッションの切断を試みます。

    このプロパティがfalseに設定されている場合、ユーザーのセッションは切断される代わりに終了します。保存していないデータは失われる可能性があります。

    		 false -

マスデプロイメント

Microsoftのpsexec64ツールを使用して、リモートマシンでコマンドを実行します。次のコマンドをマスデプロイ用に変更します。

>psexec64 <IP of the machine to deploy> -u <AD admin user> -p <AD admin password> msiexec /i 
<//machine/share/OktaWindowsCredentialProvider.msi> CLIENT_ID="<client id>" CLIENT_SECRET="<client secret>" 
OKTA_URL="https://yourdomain.okta.com" /qn /l*v <path for installation log>

コマンドの要素を次のように変更してください。

  • <IP of the machine to deploy><AD admin user><path for installation log>を組織の適切な値に置き換えます。
  • <client secret><client ID>を、アプリで使用されているものに合わせて置き換えます。
  • yourdomainOkta組織の名前に置き換えます。

次の手順

RDPセッションのMFAを検証する