制約付き委任用のWindows Server IISを構成する
ここでは、制約付き委任用のMicrosoft Windows Internet Information Services(IIS)サーバーを構成および検証する方法について説明します。
注:
Access Gatewayでサポートされるのは、ISSサーバーのホスト名であるデフォルトIISアプリとの接続のみです。IISにより多くのサイトが構成されている場合、この機能を使用するにはOktaプロフェッショナルサービスが開発したカスタムソリューションが必要になります。
制約付き委任を構成する
- Microsoft Windows ServerでIISアプリケーションを起動します。
- 接続(Connections)ペインでサイト(Sites)フォルダーを開き、デフォルトWebサイト(Default Web Site)をクリックします。
- デフォルトWebサイトホーム(Default Web Site Home)ペインで認証(Authentication)をダブルクリックします。
- 次のオプションを構成します:
- 匿名アクセス(Anonymous access):無効
- Windows認証(Windows Authentication):有効
- IISアプリケーションを終了します。
- Active Directoryユーザーとコンピューター(Active Directory Users and Computers)アプリケーションを起動します。
- Kerberosサービスを追加するで作成したAccess Gatewayサービスアカウントユーザーを探して選択します。
- ユーザー名を右クリックし、プロパティ(Properties)を選択します。
- 委任(Delegation)タブを選択します。
- 指定されたサービスへの委任でのみこのユーザーを信頼する(Trust this user for delegation to specified services only)を選択し、任意の認証プロトコルを使用する(Use any authentication protocol)を選択します。
- 追加(Add)をクリックします。
- IISホストを委任に追加します。
- 名前をチェックする(Check Names)をクリックし、サーバーがドメインに参加していることを確認します。
- OKをクリックします。
- サービスを追加(Add Services)ダイアログボックスで委任プロトコルを選択し、OKをクリックします。
- IISアプリケーションを終了します。
制約付き委任を検証する
- Active Directoryユーザーとコンピューター(Active Directory Users and Computers)アプリケーションを起動します。
- Access Gatewayインスタンスを選択します。
- をクリックします。
- Access Gatewayユーザーを作成し、次へ(Next)をクリックします。
- Access Gateway管理者UIコンソールに戻ります。
- 設定(Settings)に移動します。
- シミュレーション(Simulate)をクリックします。
- ADユーザーをテスト(Test AD User)およびWebリソースをテスト(Test Web Resource)フィールドを完了します。テストユーザーとIISサーバーホストのFQDN値を使用します。