Active Directory統合の前提条件

このトピックでは、Active Directory(AD)統合の前提条件について説明します。

ハードウェア

Okta AD Agentをインストールするには、1つ以上のWindowsサーバーが必要です。このサーバーはホスト・サーバーと呼ばれます。このホスト・サーバーは、Oktaと通信できるように常に稼働していて、インターネットに常時接続している必要があります。

  • ホスト・サーバーは、物理サーバーまたは仮想サーバーのどちらでもかまいません。
  • サーバーには、2つ以上のCPUと8GB以上のRAMが必要です。

オペレーティング・システムとソフトウェア

ホスト・サーバーに最新バージョンのOkta AD Agentをダウンロードしてインストールし、最新の機能を利用可能にして最適なパフォーマンスが得られるようにします。複数のOkta AD Agentを実行している場合は、それらがすべて同じバージョンであることを確認してください。ドメイン内で異なるバージョンを実行すると、そのドメイン内のすべてのエージェントが、最も古いエージェントのレベルで機能することになる可能性があります。これは、ほかのドメインには影響しません。

  • ホストサーバーには、Windows Server 2012 R2、Windows Server 2016、またはWindows Server 2019以降をインストールすることをお勧めします — Okta AD Agentをインストールするには、Windowsサーバーにアクセスする必要があります。ドメイン・コントローラーにエージェントをインストールする必要はありません。エージェントのインストール時に作成されるADサービス・アカウント用に、システムに20MBのメモリが必要です。
    注: Windows ServerでIE 10以降を実行している必要があります。
  • .NET 4.5.2 以降。 以前のバージョンの.NETを使用している場合は、4.5.2以降にアップグレードしてください。

  • AD統合のセキュリティーを向上させるため、.NET Framework 4.5以降を実行している組織のデフォルトのセキュリティー・プロトコルはTLS 1.2です。Windows 2008 R2の場合、TLS 1.2はデフォルトで無効になっているため、レジストリーで有効にする必要があります。
  • ADドメイン/フォレストの機能レベル — Oktaは、2003以降のADドメイン/フォレストの機能レベルをサポートしています。ADドメインの機能レベルの詳細については、次を参照してください: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/understanding-active-directory-domain-services--ad-ds--functional-levels
    • 2003のADドメインの機能レベルを使用する場合、ADユーザー名はドメイン名の形式になっている必要があります。つまり、ユーザーは、@domain.name形式が含まれるUPN を持つ必要があるということです。
  • メンバー・サーバー — ホスト・サーバーは、ADドメインのメンバー・サーバーまたはドメイン・コントローラーにすることができます。メンバー・サーバーの使用を推奨します。
  • ホスト・サーバーからセットアップ・ウィザードを実行します – エージェントをインストールするホスト・サーバーのWebブラウザーでエージェント・セットアップ・ウィザードを実行します。この推奨方法を用いない場合は、エージェント・インストーラーをホスト・サーバーに転送して実行する必要があります。

  • アクティブなディレクトリー・フォレスト内のメンバー・サーバーである必要があります — ホスト・サーバーは、ユーザーが存在するドメインとは異なるドメインに存在できますが、同じADフォレスト内に存在している必要があります。エージェントを別のドメインに配置すると、パフォーマンスの問題が発生する可能性があります。
  • ADパスワード履歴ポリシー — ADパスワード履歴ポリシーを適用するには、Okta AD Agent、バージョン3.4.1以降を使用する必要があり、ADドメインの機能レベルはWindows Server 2012 R2以降である必要があります。
  • 高可用性 — 高可用性と冗長性を確保するには、エージェントを2台以上のコンピューターにインストールします。
  • エージェントの数 — 3万人以上のユーザーがいる場合は、最低3つのADエージェントを展開します。

以下も決める必要があります。

  • ADユーザーをOktaにインポートするときに使用するユーザー名の形式(メール、samAccountName、UPN、またはカスタム)。
  • ユーザーとグループのインポート元のOU。
  • Oktaユーザー・プロファイルにインポートするAD属性。

必要なアカウント

  • Okta管理者アカウント — ADエージェントをインストールして、ADエージェントがOktaに接続できるようにするときに使用します。このアカウントは、ADソースではなくOktaソースである必要があります。このアカウント・タイプにはスーパー管理者権限が必要です。
  • ドメイン管理者権限を持つADユーザー・アカウント — Okta AD Agentのインストーラーを実行するために必要です。同じADサービス・アカウントを使用してすべてのOkta AD Agentをインストールすることをお勧めします。インストール中に、Oktaサービス・アカウントを作成するかどうか尋ねられます。
  • Okta AD Agent・サービスを実行するためのOktaサービス・アカウント — これはADドメイン・サービスまたはユーザー・アカウントです。インストーラー(デフォルトでOktaServiceと呼ばれます) で作成することも、既存のアカウントを選択することもできます。Oktaサービス・アカウントは、エージェントが接続するすべてのドメインでユーザー・データの読み取りとアクセスを行うために、そのフォレスト内のすべてのドメインで権限を持っていることが重要になります。

Okta管理者アカウントを作成する

インストール時には、ADエージェントをOktaに接続するため、ADアカウントではなくOktaアカウントが必要です。このアカウントを作成するには、スーパー管理者である必要があります。

ADエージェント専用のOkta管理者アカウントを使用することをお勧めします。個人のスーパー管理者アカウントを使用してADエージェントをインストールおよび実行し、その個人の管理者権限が後で低下したり取り消されたり、非アクティブ化された場合、Okta AD統合が機能しなくなります。このような場合、OktaをADに再接続するには、既存のADエージェントをアンインストールし、新しいスーパー管理者アカウントでADエージェントを再インストールする必要があります。

  1. Oktaスーパー管理者アカウントにサインインします。
  2. [管理者]をクリックして、Okta管理コンソールを開きます。
  3. [ディレクトリー] > [ユーザー] > [ユーザーを追加]をクリックします。
  4. フィールドに入力して、[保存]をクリックします。
  5. [セキュリティー] > [管理者] > [管理者を追加]をクリックします。
    1. [管理者ロールを以下に付与:]フィールドで、手順3で追加したユーザーの名前の入力を開始し、リストからユーザーを選択します。
    2. [スーパー管理者]を選択します。管理者権限の詳細については、管理者を参照してください。

Okta AD Agentの管理者アカウントは、ADソースではなくOktaソースにすることをお勧めします。これは、既存のADソースの管理者には影響しません。また、管理者をADから切断することをお勧めします( [ディレクトリー] > [ユーザー] > [その他のアクション] > [ADから切断]を選択し、切断する管理者ユーザーを選択して、[選択したものを切断]をクリックします)。

Okta AD Agent・インストーラーを実行するためのADサービス・アカウント

同じADサービス・アカウントを使用してすべてのエージェントをインストールすることをお勧めします。エージェントのインストール中に、インストーラーでOktaサービス・アカウントを作成するかどうか尋ねられます。選択に応じて、次のいずれかが必要です。

  • インストーラーにOktaサービス・アカウントの作成を許可する場合は、ADドメインの管理者アカウント。
  • 既存のドメイン・ユーザー・アカウントをOktaサービス・アカウントとして使用する場合は、ホスト・サーバーのローカル管理者権限を持つADユーザー・アカウント。

Okta AD Agent・サービスを実行するためのOktaサービス・アカウント

Oktaサービス・アカウントは、インストーラーで作成できます。インストーラーは、デフォルトでOktaServiceと呼ばれています。既存のドメイン・ユーザー・アカウントを使用する場合は、アカウントのパスワードが有効期限なしになるように設定してください。管理されたサービス・アカウントは、Okta AD Agent、バージョン3.6.0以降でサポートされています。

インストール中に、インストーラーでOktaサービス・アカウントを作成するかどうか尋ねられます。これを行うには、次の権限が必要です。

  • ドメイン管理者グループのメンバーであること。ADエージェント・サービス・アカウントとして機能する新しいADユーザーをADで作成できるようになっている必要があるため、この権限が必要になります。
  • ローカル管理者権限があること。ADエージェントをインストールしているものの、既存のユーザー・アカウントを使用してサービス・アカウントとして実行する場合は、ローカル管理者権限のみ必要になります。

どちらのオプションを使用しても、インストーラーは、選択したドメイン・ユーザーに対してサービスとしてログオンの権利を与えます。

Oktaサービス・アカウントの権限

ADエージェントは、指定したOktaアカウント(インストーラーが作成するOktaserviceアカウント、またはエージェントのインストール時に選択したドメイン・ユーザー)で実行されます。統合の構成に応じて、エージェントは次のアクションを実行します。

  • ユーザー、OU、グループを読み取る — アクセスするオブジェクトに対する読み取りアクセス権が必要です。ドメイン・ユーザーには、これを行うのに十分な権限がデフォルトで付与されています。ドメイン全体に対する読み取りアクセス権を推奨しますが、必須ではありません。
  • ユーザーを認証する — 特別な権限は必要ありません。
  • (現在のパスワードを指定して)ユーザー・パスワードを変更する — 特別な権限は必要ありません。
  • (管理上、現在のパスワードなしで)ユーザー・パスワードを設定する — ユーザーのパスワードを設定する権限が必要です。
  • Oktaからプッシュされた値を使用して、ADでユーザー、属性、メンバーシップを作成および更新する — 更新する属性の読み取りおよび書き込みを行うための権限が必要です。

Oktaサービス・アカウントの委任を構成する

Windowsサーバーで、必要に応じてADドメインでOktaサービス・アカウントへの委任を構成する必要があります。

  1. ADドメイン・コントローラーで、[Active Directoryユーザーとコンピューター]スナップインを開きます。
  2. OUまたはドメイン名を右クリックし、[制御の委任]を選択します。
  3. [オブジェクト制御の委任ウィザード]で、Oktaサービス・アカウントを追加し、委任するタスクを選択します。
    • ユーザー・アカウントの作成、削除、管理を行う — 作成および更新ユーザー・フロー。

    • ユーザー・パスワードをリセットし、次回ログオン時にパスワードを強制的に変更する — パスワードの同期。

    • すべてのユーザー情報を読み取る — インポートおよび作成ユーザー・フロー。

    • グループのメンバーシップを変更する — グループ・プッシュ。