Kerberosアプリケーションを追加する
OktaでKerberosアプリケーションを追加するには、Access Gateway Admin UIコンソールを使用します。
アーキテクチャとフロー
詳細については、「Kerberosの概要」を参照してください。
はじめに
次の事項を確認します。
- Access Gatewayがインストールされ、構成されている。「Access Gatewayのデプロイメントを管理する」を参照してください。
- Access GatewayがOkta orgをIDプロバイダー(IdP)としてを使用している。「Access Gateway内のIDプロバイダーを構成する」を参照してください。
- Okta orgで管理者権限を持っており、グループの作成やアプリケーションの割り当てが可能である。
- WindowsサーバーにIISアプリケーションと、ドメインコントローラーとして実行され、Kerberos(IWA)SSOを実装するActive Directory Servicesが構成されている。これはアーキテクチャの例に過ぎません。実際には、大規模な実稼働環境で、アプリケーションサーバー(IIS)をドメインコントローラーとしても使用するケースはまれです。
- Windows DNSサーバーがAccess GatewayのDNSを提供する。
- 以下のサポートされているKerberosのバージョンを持っている:
- Microsoft IIS IWA:IIS 7以降
- Microsoft OWA IWA:IIS 7以降
Access Gatewayを顧客環境でホストしている場合、コマンドライン管理コンソールを使用してDNSの変更を行うことができます。「DNS設定の管理」を参照してください。
一般的なワークフロー
| タスク | 説明 |
|---|---|
| 包含するグループを作成する |
アプリケーションで使用するオプションのグループを作成します。 |
| Access GatewayをWindows DNSに追加する |
WindowsがAccess GatewayのDNSプロバイダーとなります。Access GatewayインスタンスのDNSエントリを追加します。 |
| Windows Access Gatewayサービスアカウントを作成する |
サービスアカウントを作成します。Access Gatewayは既知のWindows資格情報を必要とし、インスタンスはこれを使用してKerberosサービスを構成します。 |
| キータブを作成する |
キータブファイルを作成します。 |
| Kerberosサービスを追加する |
Kerberosサービスを作成・構成します。 |
| 制約付き委任用のWindows Server IISを構成する |
Kerberosでは、Window IISを制約付き委任用に構成する必要があります。 |
| アプリケーションを作成する |
Microsoft IIS IWAアプリケーションを作成します。 |
| アプリケーションをテストする |
ヘッダーおよびポリシーシミュレーションを使用してアプリケーションをテストします。 |
| トラブルシューティング |
統合のトラブルシューティングを行います。 |