Okta Active Directoryエージェントをインストールする
ホストサーバーに最新バージョンのOkta Active Directory(AD)Agentをダウンロードしてインストールし、最新の機能を利用可能にして最適なパフォーマンスが得られるようにします。複数のOkta ADエージェントを実行している場合は、それらがすべて同じバージョンであることを確認してください。ドメイン内で異なるバージョンを実行すると、そのドメイン内のすべてのエージェントが、最も古いエージェントのレベルで機能することになる可能性があります。これは、ほかのドメインには影響しません。
別のコンピューターからエージェントをダウンロードするには、Okta ADエージェントのインストーラーをホストサーバーにコピーします。
Okta ADエージェントをDMZサーバーにインストールする場合は、特定のポートを開く必要があります。「Active Directory統合用のDMZサーバーポートを構成する」を参照してください。
- ホストサーバーでWebブラウザーを開き、[Super Admin(スーパー管理者)]権限でOkta Admin Consoleにサインインします。
-
Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
- [Add Directory(ディレクトリを追加)]をクリックし、[Add Active Directory(Active Directoryを追加)]を選択します。
- インストール要件を確認し、[Set Up Active Directory(Active Directoryをセットアップ)]をクリックします。
- [Download Agent(エージェントをダウンロード)]をクリックします。
- ホストサーバーで、インストーラーの.exeファイルを探してダブルクリックし、インストールを完了します。
- [Do you want to run this file?(このファイルを実行しますか?)]というメッセージが表示されたら、[Run(実行)]をクリックします。
- [次へ]をクリックします。
- デフォルトのインストールフォルダーをそのまま使用するか、[Browse(参照)]をクリックして別の場所を選択します。[Install(インストール)]をクリックします。
- このエージェントで管理するデフォルトのADドメインを受け入れるか、[Domain(ドメイン)]フィールドにドメイン名を入力します。[次へ]をクリックします。
- Okta ADエージェントを次のように実行するドメインユーザーを選択します。
- [Create or use the Okta Service account(Oktaサービスアカウントを作成または使用する)](推奨)を選択し、プロンプトに従ってパスワードを設定します。セキュリティのために複雑なパスワードを使用することをお勧めします。
- 既存のドメインユーザーとして実行するようにOkta ADエージェントを割り当てる場合は、[Use an alternate account that I specify(指定した代替アカウントを使用する)]を選択します。
- [次へ]をクリックします。
- 任意。ADエージェントが接続するプロキシサーバーを指定します。
ADエージェントのバージョン3.4.11以降をインストールする場合、インターネットトラフィックがプロキシーを経由する必要がある環境では、ADエージェントインストーラーのサインインフローで、インストーラー内で指定されたプロキシー設定が使用されます。プロキシー設定が指定されていない場合は、デフォルト設定が使用されます。 - [次へ]をクリックします。
- OktaにOkta ADエージェントを登録するドメインを選択します。Okta ADエージェントをOktaサービスに登録するには、Oktaサブドメイン名を入力します。これは、たとえば<mycompany>.okta.comの<mycompany>の部分です。
- [次へ]をクリックします。
- [Okta Sign In(Oktaサインイン)]ページで、管理者のユーザー名とパスワードを入力し、[Sign in(サインイン)]をクリックします。
- Okta ADエージェントにはいくつかの権限が必要です。[Allow Access(アクセスを許可)]をクリックします。エージェントのインストールが完了します。
エラーメッセージ「The underlying connection was closed. Could not establish trust relationship for the SSL/TLS service channel(基になる接続が閉じられました。SSL/TLSサービスチャネルの信頼関係を確立できませんでした)」が表示された場合は、デフォルトでSSLピンニングが有効になっているバージョンのOkta ADエージェントをインストールしている可能性があり、これによってOktaとの通信が妨げられています。多くの場合、これはSSLプロキシに依存する環境で発生します。インストールを完了するには、ドメインokta.comを許可リストに追加してSSLプロキシー処理をバイパスすることをお勧めします。SSL証明書ピンニングを無効にすることもできます。
- [Finish(終了)]をクリックします。
Okta ADエージェントサービスアカウントにグループ管理対象サービスアカウント(gMSA)を使用している場合は、アカウント名を入力し、[Password(パスワード)]フィールドは空のままにします。アカウント名の末尾にドル記号($)を含める必要があります(例:gMSA01$@example.com)。
- Okta ADエージェントが起動したら、ブラウザーに戻り、[次へ]をクリックします。
- 構成オプションを選択します。
- (このドメインの初回インストールのみ)[Connect an Organizational Unit to Okta(組織単位をOktaに接続)]画面で、ユーザーおよびグループをインポートするOUを選択します。
- [Okta Username format(Oktaユーザー名の形式)]リストで、ADからインポートされたエンドユーザーがOktaにログインするときに使用するフォーマットを1つ選択します。
- メールアドレス
- SAMアカウント名
- ユーザープリンシパル名(UPN)
- カスタム
ここで選択するユーザー名の形式は、最初にユーザーをインポートするときの正しいフォーマットであることが重要です。この値を変更すると、既存のユーザーでエラーが発生する可能性があります。
- [次へ]をクリックします。
- [Import AD Users and Group(ADユーザーおよびグループをインポート)]ダイアログで、[次へ]をクリックします。
注:OUとインポートの設定、およびその他の設定を再構成するには、[設定]タブに戻ります([Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[Active Directory]>[設定])。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。
-
[Select the attributes to build your Okta User profile(Oktaユーザープロファイルを作成するための属性を選択します)]画面で、デフォルトの属性を受け入れるか、Oktaユーザープロファイルの特定の属性を選択します。属性は、ビジネスのニーズの変化に応じて変更できます。
Oktaのユーザープロファイルと属性の詳細については、「Active Directory属性を操作する」を参照してください。
- [次へ]をクリックします。
- [完了]をクリックします。
- インポート、アカウント、およびプロビジョニングの設定を定義します。