Microsoft IIS IWAアプリケーションを作成する
Access Gatewayで必要なMicrosoft IIS IWAアプリケーションを作成するには、このタスクを完了します。
- Access Gateway管理者UIコンソールにサインインします。
- アプリケーションタブをクリックします。
- [+Add(+追加)]をクリックします。
- 左列のメニューから[Microsoft IIS IWA]を選択し、[Create(作成する)]をクリックします。
Microsoft IIS、OWA、またはSharePoint IWAなどのアプリケーションが無効である場合、設定で有効なKerberosサービスが構成されているかを確認します。
- 必要に応じて、[Essentials(基本情報)]ペインを展開し、以下を入力します
フィールド 値 Label(ラベル) Oktaテナントに表示されているアプリケーションの名前。
例:Microsoft IISアプリケーションPublic Domain(パブリックドメイン) アプリケーションの外部向けURL。
例: https://iis.idaasgateway.netProtected Web Resource(保護対象Webリソース) Microsoftバッキングアプリケーションの完全修飾URL。 Group(グループ) このグループには、アプリケーションにアクセスできるユーザーが含まれます。 - ロードバランサーの割り当て(任意)
ロードバランサーとしてAccess Gatewayのみを使用します。「負荷分散」を参照してください。
- 保護対象Webリソースタブを展開します。
- [Load Balancing By Access Gateway(Access Gatewayによる負荷分散)]を有効にします。
ターゲットの負荷分散インスタンスを表すホスト名と重みのテーブルが表示されます。このテーブルは初期時点では空です。テーブル内のエントリを変更するには[edit(編集)]をクリックし、エントリを削除するには[delete(削除)]をクリックします。
- [URL scheme(URLスキーム)]として[HTTP]または[HTTPS]を選択します。追加されたそれぞれの保護対象Webリソースがスキームを継承します。
- 任意。[Host Header value(ホストヘッダーの値)]を有効にし、指定します。
- ホストを追加するには次のステップに従い、必要に応じて繰り返してください:
- [Add protected web resource(保護対象Webリソースを追加)]をクリックします。
- 完全修飾のホスト名:ポートの組み合わせを入力します(例:https://backendserver1.atko.com:7001)。
- 1から100までの重みを入力します。ホストを無効に指定するには0を入力します。
重み付けは、ホストにルーティングされるリクエストの割合(%)を表します。
たとえば、2つのホストの重み付けが2:1の場合、リクエストの約66%が重みが2のホストにルーティングされ、約33%が重みが1のホストにルーティングされます。
- [Okay(OK)]をクリックします。
- 証明書タブを展開します。
デフォルトでは、アプリを作成すると、システムによって自己署名付きワイルドカード証明書が生成され、アプリに割り当てられます。
- 任意。[Generate self-signed certificate(自己署名付き証明書を生成)]をクリックします。自己署名付き証明書が作成され、自動的にアプリに割り当てられます。
- 任意。リストから既存の証明書を選択します。[Search(検索)]フィールドを使って共通名で証明書を絞り込みます。リストの操作には進む(>)と戻る(<)の矢印を使用します。
- [Next(次へ)]をクリックします
- アプリケーションペインに以下を入力します:
フィールド 値 [Kerberos Realm(Kerberos領域)] 関連する領域の名前を入力する - [Next(次へ)]をクリックします。
- 属性ペインで:
[Add attribute(属性を追加)]をクリックし、sAMAccountNameに対応する属性を追加します。
- 次を確認します:
フィールド 値 Data Source(データソース)
IDP
Field(フィールド) ユーザーsAMAccountNameと相関するIDP属性
Type(タイプ)
ヘッダー
Name(名前) iwa_username - [Save(保存)]をクリックします。
- [Done(完了)] をクリックします。
Access Gateway管理者UIコンソールアプリを含むすべてのアプリ。自己署名付き証明書または署名済み証明書が必要です。
SSLを終了する場所には必ず署名済み証明書を含めます。SSLは、Access Gateway、またはロードバランサーなどのその他のネットワークコンポーネントで終了できます。
Access Gateway管理者UIコンソールアプリでSSLをロードバランサーで終了するときは、ロードバランサーが信頼する証明書を使用する必要もあります。
Access Gateway管理者UIコンソールアプリでSSLを終了するときは、署名済み証明書を使用する必要があります。この証明書は、Access Gatewayノードに存在し、Access Gateway管理者UIコンソールアプリと関連付けられている必要があります。
アプリケーションが追加され、アプリケーション一覧ページが表示されます。