サービス・アカウントを作成して、サービス・プリンシパル名を構成する

エージェントレス・デスクトップ・シングル・サインオン(DSSO)でKerberos認証を使用するには、新しいサービス・アカウントを作成し、そのサービス・アカウントのサービス・プリンシパル名(SPN)を設定する必要があります。サービス・アカウント自体には管理者権限は必要ありませんが、SPNを設定するには特定の権限が必要です。「Delegating Authority to Modify SPNs」を参照してください。

サービス・アカウントの認証情報が変更された場合は、サービスの停止を回避するために、対応するOktaサービス・アカウントの認証情報も同時に更新します。セキュリティー上の理由から、サービス・アカウントの認証情報は定期的に更新することをお勧めします。

  1. 「Active Directory ユーザーとコンピュータ(ADUC)」Microsoft管理コンソール(MMC)を開くには、Active Directoryサーバーで[スタート] > [実行]をクリックし、dsa.mscと入力して、Enterキーを押します。
  2. 新しいアカウントを作成するフォルダーを右クリックし、[新規作成] > [ユーザー]を選択します。
  3. 以下のフィールドに入力します。
    • [名]:ユーザーの名を入力します。
    • [イニシャル]:オプション。ユーザーのミドル・ネームのイニシャルを入力します。
    • [姓]:ユーザーの姓を入力します。
    • [フル ネーム] :オプション。ユーザーのフル・ネームを入力します。
    • [ユーザー ログオン名]:ユーザー名を入力します。
    • [ユーザー ログオン名](Windows 2000以前) :オプション。必要に応じて、自動生成される名前を変更します。
  1. [次へ]をクリックします。
  2. [パスワード]フィールドと[パスワードの確認]フィールドを入力し、[ユーザーは次回ログオン時にパスワードの変更が必要]チェック・ボックスをオフにします。

サービスの中断を避けるため、[パスワードに期限を設定しない]を選択することをお勧めします。セキュリティー上の理由から、サービス・アカウントの認証情報は定期的に更新してください。

  1. [次へ]をクリックし、[完了]をクリックします。
  2. 手順6で作成したユーザーを右クリックし、[プロパティ]を選択して、[アカウント]タブを選択し、[アカウント オプション]エリアの[このアカウントで Kerberos AES 128 ビット暗号化をサポートする]チェック・ボックスまたは[このアカウントで Kerberos AES 256 ビット暗号化をサポートする]チェック・ボックスを選択します。
  3. [適用]をクリックします。
  4. グループ・ポリシーを作成して、ADサーバーでAES暗号化を有効にします。「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。
  5. コマンド・プロンプトを開き、次のコマンドを実行して、サービス・アカウントのSPNを構成します。

    setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>

HTTP/<myorg>.kerberos.okta.comはSPNです。<ServiceAccountName>は、エージェントレスDSSOの早期アクセス・バージョンを構成するときに使用した値で、<oktaorg>は、Okta組織(oktapreview、okta-emea、またはokta)です。 例:setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin

次の手順

Windowsでエージェントレス・デスクトップ・シングル・サインオンを使用できるようにブラウザーを構成する

Macでエージェントレス・デスクトップ・シングル・サインオンを使用できるようにブラウザーを構成する