Kerberosアプリケーションを追加する

OktaでKerberosアプリケーションを追加するには、Access Gateway Admin UIコンソールを使用します。

アーキテクチャとフロー

詳細については、「Kerberosの概要」を参照してください。

はじめに

次の事項を確認します。

  • Access Gatewayがインストールされ、構成されている。「Access Gatewayのデプロイメントを管理する」を参照してください。
  • Access GatewayOkta orgをIDプロバイダー(IdP)としてを使用している。「Access Gateway内のIDプロバイダーを構成する」を参照してください。
  • Okta orgで管理者権限を持っており、グループの作成やアプリケーションの割り当てが可能である。
  • WindowsサーバーにIISアプリケーションと、ドメインコントローラーとして実行され、Kerberos(IWA)SSOを実装するActive Directory Servicesが構成されている。これはアーキテクチャの例に過ぎません。実際には、大規模な実稼働環境で、アプリケーションサーバー(IIS)をドメインコントローラーとしても使用するケースはまれです。
  • Windows DNSサーバーがAccess GatewayのDNSを提供する。
  • 以下のサポートされているKerberosのバージョンを持っている:
    • Microsoft IIS IWA:IIS 7以降
    • Microsoft OWA IWA:IIS 7以降

Access Gatewayを顧客環境でホストしている場合、コマンドライン管理コンソールを使用してDNSの変更を行うことができます。「DNS設定の管理」を参照してください。

一般的なワークフロー

タスク 説明
包含するグループを作成する

アプリケーションで使用するオプションのグループを作成します。

Access GatewayをWindows DNSに追加する

WindowsがAccess GatewayのDNSプロバイダーとなります。Access GatewayインスタンスのDNSエントリを追加します。

Windows Access Gatewayサービスアカウントを作成する

サービスアカウントを作成します。Access Gatewayは既知のWindows資格情報を必要とし、インスタンスはこれを使用してKerberosサービスを構成します。

キータブを作成する

キータブファイルを作成します。

Kerberosサービスを追加する

Kerberosサービスを作成・構成します。

制約付き委任用のWindows Server IISを構成する

Kerberosでは、Window IISを制約付き委任用に構成する必要があります。

アプリケーションを作成する

Microsoft IIS IWAアプリケーションを作成します。

アプリケーションをテストする

ヘッダーおよびポリシーシミュレーションを使用してアプリケーションをテストします。

トラブルシューティング

統合のトラブルシューティングを行います。