サービスアカウントを作成してサービスプリンシパル名を構成する

エージェントレスデスクトップシングルサインオン(DSSO)でKerberos認証を使用するには、新しいサービスアカウントを作成し、そのサービスアカウントのサービスプリンシパル名(SPN)を設定する必要があります。サービスアカウント自体には管理者権限は必要ありませんが、SPNを設定するには特定の権限が必要です。「権限を委任してSPNを変更する」を参照してください。

サービスアカウントの認証情報が変更された場合は、サービスの停止を回避するために、対応するOktaサービスアカウントの認証情報も同時に更新します。セキュリティ上の理由から、サービスアカウントの認証情報は定期的に更新することをお勧めします。Okta

連邦情報処理標準(FIPS)機能が有効になっている場合、サービスアカウントのユーザー名とパスワードは次の基準を満たす必要があります。

サービスアカウントのユーザー名とドメイン名を合わせた長さは、16文字以上である必要があります。

サービスアカウントのパスワードは、14文字以上にする必要があります。

この手順を開始する

  1. 「Active Directoryユーザーとコンピュータ(ADUC)」Microsoft管理コンソール(MMC)を開くには、Active Directoryサーバーでスタート(Start) > 実行(Run)をクリックし、dsa.mscと入力して、Enterキーを押します。
  2. 新しいアカウントを作成するフォルダを右クリックし、新規作成(New) > ユーザー(User)を選択します。
  3. 次のフィールドに情報を入力します。
    • 名(First name):ユーザーの名を入力します。
    • イニシャル(Initials):任意。ユーザーのミドルネームのイニシャルを入力します。
    • 姓(Last Name)(Last name):ユーザーの姓を入力します。
    • フルネーム(Full name):任意。ユーザーのフルネームを入力します。
    • ユーザーログオン名(User logon name):ユーザー名を入力します。
    • User logon name (pre-Windows 2000)(ユーザーログオン名(Windows 2000以前)):任意。必要に応じて、自動生成される名前を変更します。
  4. 次へ(Next)をクリックします。
  5. パスワード(Password)フィールドとパスワードの確認(Confirm Password)フィールドを入力し、ユーザーは次回ログオン時にパスワードの変更が必要(User must change password at next logon)チェックボックスをオフにします。

    サービスの中断を避けるため、Oktaパスワードに期限を設定しない(Password never expires)を選択することをお勧めします。セキュリティ上の理由から、サービスアカウントの認証情報は定期的に更新してください。

  6. 次へ(Next)をクリックし、終了(Finish)をクリックします。
  7. 事前に作成したユーザーを右クリックし、プロパティ(Properties)を選択してアカウント(Account)タブを選択します。
  8. アカウントオプション(Account Options))セクションでこのアカウントでKerberos AES 128ビット暗号化をサポートする(This account supports Kerberos AES 128 bit encryption)またはこのアカウントでKerberos AES 256ビット暗号化をサポートする(This account supports Kerberos AES 256 bit encryption)チェックボックスを選択します。
  9. 適用(Apply)をクリックします。
  10. グループポリシーを作成してADサーバーのAES暗号化を有効にします。「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。

    グループポリシーは、ドメインコントローラー、またはOkta AD Agentがインストールされているサーバーで作成できます。ポリシーはドメイン全体に適用され、ドメイン内のすべてのドメインサーバーとワークステーションに適用されます。

  11. コマンドプロンプトを開いて次のコマンドを管理者として実行して、サービスアカウントのSPNを構成します。

    setspn -S HTTP/<myorg>.kerberos.<oktaorg>.com <ServiceAccountName>

    • HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com:これはSPNです。
    • <ServiceAccountName>:これはエージェントレスDSSOの構成に使用した値です。
    • <oktaorg>:これはOkta org(oktaoktapreviewokta-emeaのいずれか)です。

      Setspn」を参照してください。

次の手順

WindowsでAgentless Desktop Single Sign Onを使用できるようにブラウザーを構成する

MacでAgentless Desktop Single Sign Onを使用できるようにブラウザーを構成する