Okta Active Directoryエージェントをインストールする
ホスト・サーバーに最新バージョンのOkta Active Directory(AD)Agentをダウンロードしてインストールし、最新の機能を利用可能にして最適なパフォーマンスが得られるようにします。 複数のOkta AD Agentを実行している場合は、それらがすべて同じバージョンであることを確認してください。ドメイン内で異なるバージョンを実行すると、そのドメイン内のすべてのエージェントが、最も古いエージェントのレベルで機能することになる可能性があります。これは、ほかのドメインには影響しません。
別のコンピューターからエージェントをダウンロードするには、Okta AD Agentのインストーラーをホスト・サーバーにコピーします。
Okta AD AgentをDMZサーバーにインストールする場合は、特定のポートを開く必要があります。Active Directory統合用のDMZサーバー・ポートを構成するを参照してください。
- ホスト・サーバーでWebブラウザーを開き、スーパー管理者権限でOkta管理コンソールにサインインします。
- 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]。
- [ディレクトリーを追加]をクリックし、[Active Directoryを追加]を選択します。
- インストール要件を確認し、[Active Directoryをセットアップ]をクリックします。
- [エージェントをダウンロード]をクリックします。
- ホスト・サーバーで、インストーラーの.exeファイルを探してダブルクリックし、インストールを完了します。
- [このファイルを実行しますか?]というメッセージが表示されたら、[実行]をクリックします。
- [次へ]をクリックします。
- デフォルトのインストール・フォルダーをそのまま使用するか、[参照]をクリックして別の場所を選択します。[インストール]をクリックします。
- このエージェントで管理するデフォルトのADドメインを受け入れるか、[ドメイン]フィールドにドメイン名を入力します。[次へ]をクリックします。
- Okta AD Agentを次のように実行するドメイン・ユーザーを選択します。
- [Oktaサービス・アカウントを作成または使用する(推奨)]を選択し、プロンプトを完了してパスワードを設定します。 セキュリティーのために複雑なパスワードを使用することをお勧めします。
- 既存のドメイン・ユーザーとして実行するようにOkta AD Agentを割り当てる場合は、[指定した代替アカウントを使用する]を選択します。
- [次へ]をクリックします。
- 任意:ADエージェントが接続するプロキシー・サーバーを指定します。
ADエージェントのバージョン3.4.11以降をインストールする場合、インターネット・トラフィックがプロキシーを経由する必要がある環境では、ADエージェント・インストーラーのサインイン・フローで、インストーラー内で指定されたプロキシー設定が使用されます。プロキシー設定が指定されていない場合は、デフォルト設定が使用されます。 - [次へ]をクリックします。
- OktaにOkta AD Agentを登録するドメインを選択します。Okta AD AgentをOktaサービスに登録するには、Oktaサブドメイン名を入力します。これは、例:<mycompany>.okta.comの<mycompany>の部分です。
- [次へ]をクリックします。
- Oktaサインイン・ページで、管理者のユーザー名とパスワードを入力し、[サインイン]をクリックします。
- Okta AD Agentにはいくつかの権限が必要です。[アクセスを許可]をクリックします。 エージェントのインストールが完了します。
エラー・メッセージ「基になる接続が閉じられました。SSL/TLSサービス・チャネルの信頼関係を確立できませんでした」が表示された場合は、デフォルトでSSLピンニングが有効になっているバージョンのOkta AD Agentをインストールしている可能性があり、これによってOktaとの通信が妨げられています。これは、多くの場合、SSLプロキシーに依存する環境で発生します。インストールを完了するには、ドメインokta.comを許可リストに追加してSSLプロキシー処理をバイパスすることをお勧めします。SSL証明書ピンニングを無効にすることもできます。
- [終了]をクリックします。
Okta AD Agentサービス・アカウントにグループ管理対象サービス・アカウント(gMSA)を使用している場合は、アカウント名を入力し、[パスワード]フィールドは空のままにします。
- Okta AD Agentが起動したら、ブラウザーに戻り、[次へ]をクリックします。
- 構成オプションを選択します。
- (このドメインの初回インストールのみ)[組織単位をOktaに接続]画面で、ユーザーおよびグループをインポートするOUを選択します。
- [Oktaユーザー名のフォーマット]リストで、ADからインポートされたエンド・ユーザーがOktaにログインするときに使用するフォーマットを1つ選択します。
- メール・アドレス
- SAMアカウント名
- ユーザー・プリンシパル名(UPN)
- カスタム
ここで選択するユーザー名のフォーマットは、最初にユーザーをインポートするときの正しいフォーマットであることが重要です。この値を変更すると、既存のユーザーでエラーが発生する可能性があります。
- [次へ]をクリックします。
- [ADユーザーおよびグループをインポート]ダイアログで、[次へ]をクリックします。
注:OUとインポートの設定、およびその他の設定を再構成するには、 [設定]タブに戻ります([ディレクトリー] > [ディレクトリー統合] > [Active Directory] > [設定])。 Active Directoryのインポートとアカウントの設定の構成を参照してください。
-
[Oktaユーザー・プロファイルを作成するための属性を選択します]画面で、デフォルトの属性を受け入れるか、Oktaユーザー・プロファイルの特定の属性を選択します。属性は、ビジネスのニーズの変化に応じて変更できます。
Oktaのユーザー・プロファイルと属性の詳細については、Active Directory属性を操作するを参照してください。
- [次へ]をクリックします。
- [完了]をクリックします。
- インポート、アカウント、およびプロビジョニングの設定を定義します。