Okta IWA WebエージェントのSSLを構成する
Okta IWA Webエージェントとクラウド・アプリの間の安全な接続を確保するには、Secure Socket Layer(SSL)を構成します。これはセキュリティにとって重要であり、OneNoteやメールなどの一部のWindows 10ユニバーサルアプリケーションでの認証にとっては厳しい要件となります。「Windows 10でOffice 2016アプリケーションにサインインできない」を参照してください。
注:IWA WebエージェントがWindows 2008 R2を実行しているサーバーにインストールされている場合は、Windows Server 2008 R2でTLS 1.2を有効にする必要がある場合があります。
SSL証明書を取得する
GoDaddy、Viresign、Diticertなどの第三者認証局からSSL証明書を取得することをお勧めします。証明書署名要求の作成とSSL証明書のインストールに慣れていない場合は、選択した認証局が提供するドキュメントを参照してください。sslstoreの以下のガイドは参考になります。
CSR Generation for SSL Certificates
How to Install an SSL/TLS Certificate In Microsoft IIS 7
証明書作成に関する考慮事項:
- サブジェクトの別名(SAN)が1つ以上ある証明書を取得することをお勧めします。証明書にSANが含まれていない場合は、FirefoxとChromeのユーザーがブラウザーでデスクトップSSO Webサイトに接続しようとすると、エラーが発生します。
- IWAリダイレクトURLは、CNまたはSANに入力されたものと一致する必要があります。例:
- サーバーのホスト名をIWAリダイレクトURL( https://IWAserver/IWAなど)に使用する場合、CNまたはSAN値は 「IWAServer」です。
- サーバーのFQDNをIWAリダイレクトURLとして使用する場合(例:https://IWAserver.mycompany.com/IWA)、CNまたはSANの値は「IWAserver.mycompany.com」になります。
- 証明書のCNまたはSANの値がIWAserverの場合は、URLが証明書で指定されているものと一致しないため、https://IWAserver.mycompany.comへの接続の試行は失敗します。
- フェイルオーバーを提供するために複数のサーバーにデスクトップSSOをインストールする場合は、ワイルドカード証明書(例:*.mycompany.com)を取得するか、各サーバーのURLのSANエントリーが含まれる証明書(例:https://IWA1.mycompany.com、https://IWA2.mycompany.comなど)を取得することを強くお勧めします。これにより、各サーバーで同じ証明書を使用できるようになります。
SSLを有効にする
- Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]に移動します。
- 下にスクロールして[On-Prem Desktop SSO(オンプレミス・デスクトップSSO)]に移動し、[編集]をクリックします。
- [IWA Agents(IWAエージェント)]エリアで、[編集]
をクリックします。
- [IWA redirect URL(IWAリダイレクトURL)]フィールドで、URLをhttpからhttpsに変更します。
IWAリダイレクトURLは、[Common Name(一般名)]フィールドで使用されているのと同じ命名規則を使用する必要があります。つまり、[Common Name(一般名)]フィールドでFQDNまたはホスト名が使用されている場合は、IWAリダイレクトURLでも使用する必要があります。 - [保存]をクリックします。