Kerberosアプリを追加する
OktaでKerberosアプリを追加するには、Access Gateway管理者UIコンソールを使用します。
アーキテクチャとフロー
詳細については、「Kerberosの概要」を参照してください。
開始する前に
- Access Gatewayがインストールされ、構成されている。「Access Gatewayのデプロイメントを管理する」を参照してください。
- Access GatewayがOkta orgをIDプロバイダー(IdP)として使用していることを確認します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。
- Okta orgで管理者権限を持っており、グループの作成やアプリの割り当てが可能であることを確認します。
- WindowsサーバーにIISアプリと、ドメインコントローラー(DC)として実行され、Kerberos(IWA)シングルサインオン(SSO)を実装するActive Directory(AD)サービスが構成されているようにします。これはアーキテクチャの例に過ぎません。実際には、大規模な本番環境で、アプリサーバー(IISなど)をDCとしても使用するケースはまれです。
- Windows DNSサーバーがAccess GatewayのDNSを提供するようにします。
- サポートされるバージョンのKerberosを使用していることを確認します。
- Microsoft IIS IWA:IIS 7以降
- Microsoft OWA IWA:IIS 7以降
Access Gatewayを顧客環境でホストしている場合、Access Gateway管理コンソールを使用してDNSの変更を行うことができます。「DNS設定の管理」を参照してください。
一般的なワークフロー
| タスク | 説明 |
|---|---|
| 包含するグループを作成する |
アプリで使用する任意のグループを作成します。 |
| Access GatewayをWindows DNSに追加する |
WindowsがAccess GatewayのDNSプロバイダーとなります。Access GatewayインスタンスのDNSエントリを追加します。 |
| Windows Access Gatewayサービスアカウントを作成する |
サービスアカウントを作成します。Access Gatewayは既知のWindows資格情報を必要とし、インスタンスはこれを使用してKerberosサービスを構成します。 |
| キータブを作成する |
キータブファイルを作成します。 |
| Kerberosサービスを追加する |
Kerberosサービスを作成・構成します。 |
| 制約付き委任用のWindows Server IISを構成する |
Kerberosでは、Window IISを制約付き委任用に構成する必要があります。 |
| アプリを作成する |
Microsoft IIS IWAアプリを作成します。 |
| アプリをテストする |
ヘッダーおよびポリシーシミュレーションを使用してアプリをテストします。 |
| アプリをトラブルシューティングする |
統合のトラブルシューティングを行います。 |