Okta Active Directory Agentをインストールする
各ホストサーバーに最新バージョンのOkta Active Directory(AD)エージェントをダウンロードしてインストールします。これにより、最新の機能を確実に利用でき、最適なパフォーマンスが得られます。
複数のOkta ADエージェントを実行しているときは、すべてを同一バージョンにします。ドメイン内で異なるバージョンを実行すると、そのドメイン内のすべてのエージェントが、最も古いエージェントのレベルで動作する可能性があります。その他のドメインは影響を受けません。
別のコンピューターからエージェントをダウンロードするには、Okta ADエージェントのインストーラーをホストサーバーにコピーします。
Okta ADエージェントをDMZサーバーにインストールする場合は、特定のポートを開く必要があります。「Active Directory統合用のDMZサーバーポートを構成する」を参照してください。
- ホストサーバーでWebブラウザーを開き、適切な権限を持つアカウントでOkta Admin Consoleにサインインします。「必要な権限を持つOktaアカウント」を参照してください。
-
Admin Consoleで に移動します。
- [Add Directory(ディレクトリを追加)]をクリックし、[Add Active Directory(Active Directoryを追加)]を選択します。
- インストール要件を確認し、[Set Up Active Directory(Active Directoryをセットアップ)]をクリックします。
- [Download Agent(エージェントをダウンロード)]をクリックします。
- ホストサーバーでインストーラーの.exeファイルを探してダブルクリックし、インストールを完了します。
- 「Do you want to allow this app to make changes to your device?(このアプリがデバイスに変更を加えるのを許可しますか?)」というメッセージが表示されたら、[Yes(はい)]をクリックします。
- [Next(次へ)]をクリックします。
- デフォルトのインストールフォルダーをそのまま使用するか、[Browse(参照)]をクリックして別の場所を選択します。[Install(インストール)]をクリックします。
- [Next(次へ)]をクリックします。
- このエージェントで管理するデフォルトのADドメインを受け入れるか、ドメイン名を入力します。[Next(次へ)]をクリックします。
- Okta ADエージェントを次のように実行するドメインユーザーを選択します。
- [Create or use the Okta Service account(Oktaサービスアカウントを作成または使用する)](推奨)を選択し、プロンプトに従ってパスワードを設定します。セキュリティが強化されるように、複雑なパスワードを使用します。
- 既存のドメインユーザーとして実行するようにOkta ADエージェントを割り当てるときは、[Use an alternate account that I specify(指定した代替アカウントを使用する)]を選択します。このオプションを選択する場合には、Oktaサービスアカウントの権限リストに含まれている権限がアカウントにあることを確認してください。
Okta ADエージェントサービスアカウントにグループ管理対象サービスアカウント(gMSA)を使用しているときは、アカウント名を入力し、[Password(パスワード)]フィールドは空のままにします。アカウント名の末尾にドル記号($)を含めます。(例:gMSA01$@example.com)。
- [Next(次へ)]をクリックします。
- 任意。ADエージェントが接続に使用するプロキシサーバーを指定します。プロキシサーバーを指定しない場合、インストーラーによってデフォルトのプロキシ設定が検出され、それが使用されます。
- [Next(次へ)]をクリックします。
- Okta orgのURLを入力します(例:https://mycompany.okta.com)。[Next(次へ)]をクリックします。
- アクティベーションリンクをクリックし(例:https://mycompany.okta.com)インストーラーが表示するコードを入力します。
- [Okta Sign In(Oktaサインイン)]ページで、ディレクトリの管理権限とエージェントの管理および登録権限があるアカウントを使ってサインインします。
- 権限は、エージェントをOktaに登録するために必要となります。[Allow Access(アクセスを許可)]をクリックします。エージェントのインストールが完了します。
「The underlying connection was closed. Could not establish trust relationship for the SSL/TLS service channel(基本的な接続が閉じられました。SSL/TLSサービスチャンネルの信頼関係を確立できませんでした)」というエラーメッセージが表示される場合があります。これは、SSLピンニングがデフォルトで有効なバージョンのOkta ADエージェントをインストールしている可能性が高いことを示します。これにより、Oktaとの通信が妨げられます。多くの場合、これはSSLプロキシに依存する環境で発生します。インストールを完了するには、許可リストにokta.comドメインを追加してSSLプロキシ処理をバイパスします。SSL証明書ピンニングを無効にすることもできます。
- [Finish(終了)]をクリックします。
- Okta ADエージェントが起動したら、ブラウザーに戻って[Next(次へ)]をクリックします。
- 構成オプションを選択します。
- (First time installations for this domain only)(このドメインの初回インストールのみ)[Connect an Organizational Unit to Okta(組織単位をOktaに接続)]ページでユーザーとグループのインポート元となるOUを選択します。
- [Okta Username format(Oktaユーザー名の形式)]リストで、ADからインポートされたエンドユーザーがOktaへのログイン時に使用するいずれかの形式を選択します。
- メールアドレス
- SAMアカウント名
- ユーザープリンシパル名(UPN)
- カスタム
選択するユーザー名の形式は、ユーザーの初めてのインポート時に正しい必要があります。この値を変更すると、既存のユーザーでエラーが生じる可能性があります。
- [Next(次へ)]をクリックします。
- [Import AD Users and Group(ADユーザーおよびグループをインポート)]ダイアログで[Next(次へ)]をクリックします。
OU、インポート、その他の設定を再構成するには、[Settings(設定)]タブに戻ります( )。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。
-
[Select the attributes to build your Okta User profile(Oktaユーザープロファイルを作成するための属性を選択します)]ページでデフォルトの属性を受け入れるか、Oktaユーザープロファイルの特定の属性を選択します。属性は、ビジネスニーズの変化に応じて変更できます。
Oktaのユーザープロファイルと属性の詳細については、「Active Directory属性を操作する」を参照してください。
- [Next(次へ)]をクリックします。
- [Done(完了)] をクリックします。