サービス・プリンシパル名を設定する

サービス・プリンシパル名(SPN)を設定して、Oktaがエージェントレス・デスクトップ・シングル・サインオン(DSSO)でKerberos認証をネゴシエートできるようにします。サービス・プリンシパル名(SPN)を設定するには、ドメイン管理者権限が必要です。

  1. Active Directory(AD)環境で管理者としてコマンド・プロンプトを開き、次のコマンドを実行してSPNを追加します。

    setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com <ServiceAccountName>

    HTTP/<myorg>.kerberos.okta.comはSPNです。<ServiceAccountName>は、エージェントレスDSSOの早期アクセス・バージョンを構成するときに使用した値で、<oktaorg>は、Okta組織(oktapreview、okta-emea、またはokta)です。 例:setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin

    このコマンドでは、新しいADユーザー・アカウントとSPNは作成されません。代わりに、既存のADユーザー・アカウントに新しいSPNが追加されます。

    SPNはフォレスト全体で一意であるため、これを行う必要があるのは各フォレストで1回だけです。複数のフォレストがある場合は、フォレストごとに手順1を繰り返します。このコマンドは、カスタムURLを使用している組織を含む、すべての組織に適用できます。

  2. エージェントレスDSSOを使用するすべてのデバイスのインターネット設定のイントラネット・サイト・リストにhttps://<myorg>.kerberos.<oktaorg>.comを追加します。
  3. Okta管理コンソールを開き、[セキュリティー] > [委任認証] > [エージェントレスDSSO] > [編集]に移動します。
    1. ADインスタンスで、[編集]をクリックします。
    2. サービス・アカウントのユーザー名が古い形式(例:HTTP/<myorg>.<oktaorg>.com)の場合は、SPNが設定されたサービス・アカウントのUPNに変更します。
    3. [保存時にサービス・アカウント認証情報を検証する]を選択します。
    4. [保存]をクリックします。

    これにより、組織の新しいDNSレコードの作成が開始されます。

  4. digやnslookupなどのコマンド・ライン・ツールを使用して、新しいKerberos URLに到達できることを確認します。例:

    $ dig <yourOrg>.kerberos.<oktaorg>.com

    $ nslookup <yourOrg>.kerberos.<oktaorg>.com

    コマンドが成功したかどうかを判断するには、LinuxまたはWindowsのコマンド・リファレンス・ドキュメントを参照して、出力メッセージの意味を確認してください。Kerberos URL に到達できた場合は、残りの手順を完了します。成功したことを示す出力が表示されない場合は、5分後に再度コマンドを実行するか、Oktaサポートにお問い合わせください。

次の手順

Windowsでシングル・サインオンを使用できるようにブラウザーを構成する