制約付き委任用のWindows Server IISを構成する

ここでは、制約付き委任用のMicrosoft Windows Internet Information Services(IIS)サーバーを構成および検証する方法について説明します。

Access Gatewayでサポートされるのは、ISSサーバーのホスト名であるデフォルトIISアプリとの接続のみです。IISにより多くのサイトが構成されている場合、この機能を使用するにはOktaプロフェッショナルサービスが開発したカスタムソリューションが必要になります。

制約付き委任を構成する

  1. Microsoft Windows ServerでIISアプリケーションを起動します。
  2. [接続]ペインで[Sites(サイト)]フォルダーを開き、[Default Web Site(デフォルトWebサイト)]をクリックします。
  3. [デフォルトWebサイトホーム]ペインで[Authentication(認証)]をダブルクリックします。
  4. 次のオプションを構成します:
    • [Anonymous access(匿名アクセス)]:無効
    • [Windows Authentication(Windows認証)]:有効
  5. IISアプリケーションを終了します。
  6. [Active Directoryユーザーとコンピューター]アプリケーションを起動します。
  7. Kerberosサービスを追加する」で作成したAccess Gatewayサービスアカウントユーザーを探して選択します。
  8. ユーザー名を右クリックし、[Properties(プロパティ)]を選択します。
  9. [Delegation(委任)]タブを選択します。
  10. [Trust this user for delegation to specified services only(指定されたサービスへの委任でのみこのユーザーを信頼する)]を選択し、[Use any authentication protocol(任意の認証プロトコルを使用する)]を選択します。
  11. [Add(追加)]をクリックします。
  12. IISホストを委任に追加します。
  13. [Check Names(名前をチェックする)]をクリックし、サーバーがドメインに参加していることを確認します。
  14. [OK]をクリックします。
  15. [サービスを追加]ダイアログボックスで委任プロトコルを選択し、[OK]をクリックします。
  16. IISアプリケーションを終了します。

制約付き委任を検証する

  1. [Active Directory Users and Computers(Active Directoryユーザーとコンピューター)]アプリケーションを起動します。
  2. Access Gatewayインスタンスを選択します。
  3. [Users(ユーザー)][New User(新規ユーザー)]をクリックします。
  4. Access Gatewayユーザーを作成し、[Next(次へ)]をクリックします。
  5. Access Gateway管理者UIコンソールに戻ります。
  6. [Settings(設定)]に移動します。
  7. [Simulate(シミュレーション)]をクリックします。
  8. [Test AD User(ADユーザーをテスト)]および[Test Web Resource(Webリソースをテスト)]フィールドを完了します。テストユーザーとIISサーバーホストのFQDN値を使用します。