Okta Credential Provider for Windowsのインストール

インストーラーをダウンロードしたら、次の手順を実行します。

インストール・プロセスでアプリケーション構成から情報をコピーするため、ブラウザーでMicrosoft RDP(MFA)アプリケーションの[一般]タブを開いておいてください。


Oktaでは、標準インストール、サイレント・インストール、および一括展開をサポートしています。

トピック:

標準インストール

  1. インストーラーをダウンロードしたディレクトリに移動します。
  2. .zipアーカイブからファイルを展開します。
  3. Setup.exeを管理者として実行します。
  4. プロンプトに従ってインストールを完了します。
  5. 情報

    インストーラー・パッケージにはC++ランタイム・ライブラリが含まれています。これらの再頒布可能ランタイム・ライブラリが存在しない場合はインストールするように求められ、存在する場合は修復するように求められます。
    次に示すように、このインストーラーではVisual C++ 14ランタイム・ライブラリが求められます。

    閉じたスクリーンショット

    MadCap:conditions="Primary.do-not-publish">:パッケージにはC++インストーラーが含まれています。インストーラーが存在しない場合はインストールするように求められ、存在する場合は修復するように求められます。次に示すように、このインストーラーではVisual C++ 14ランタイム・ライブラリが求められます。閉じたスクリーンショット

  6. [アプリの構成]ダイアログで、次に示すように、クライアントIDクライアント・シークレット、およびOkta URLを入力します。閉じたスクリーンショット

    [アプリの構成]画面

    これらの値を取得するには、ブラウザーでOktaのMicrosoft RDP(MFA)アプリに移動します。[一般]タブを選択し、[クライアントの認証情報]セクションまで下にスクロールすると、クライアントIDとクライアント・シークレットを確認できます。Okta URLは、組織がOktaへのアクセスに使用するURLで、https://<yourorg>.okta.comという形式です。

    この情報を上記の[アプリケーションの構成]画面で入力し、[次へ]をクリックします。

  7. [次へ][閉じる]をクリックしてインストールを完了します。
  8. 2番目に表示される[アプリの構成]画面で、次の2つのオプションについて選択します。閉じたスクリーンショット

    • [資格情報プロバイダーをフィルター]:このオプションは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。このオプションを選択すると、Okta MFA Credential ProviderがRDP接続に多要素認証を適用する唯一の方法になり、認証されていないユーザーが使用する資格情報プロバイダーを選択できなくなります。
    • [RDPのみ]:デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証の両方のイベントの間にOktaの多要素認証が挿入されます。このボックスをオンにすると、ローカル(対話型)ログオンに対するOktaの多要素認証が削除されます。
    • (EAバージョンのみ)[Oktaパスワード・リセット用リンクを表示(セルフ・サービス)]:このボックスをオンにすると、エンド・ユーザーがOktaを介してパスワードをリセットするためのオプションがWindowsサインオン画面に追加されます。
  9. インストールを確認するには、マシンをロックします。表示されるサインイン画面で、次のWindows Server 2012 R2の例のように、Oktaアイコンがサインイン・オプションとして表示されることを確認します。Windows Server 2016では画面が少し異なります。閉じたスクリーンショット

サイレント・インストール

  1. インストーラーをダウンロードしたディレクトリに移動します。
  2. .zipアーカイブからファイルを展開します。

  3. Windowsサーバーで、解凍したアーカイブのvcredist_x64フォルダーから次のコマンドを実行します。

    vcredist_x64.exe /install /quiet /norestart

  4. 次のコマンドを実行して、Okta Windows Credential Providerをサイレント・インストールします。

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CLIENT_ID="cid" CLIENT_SECRET="cs" OKTA_URL="https://a.b.c"

    パラメーター

    CLIENT_ID:この値は、OktaのMicrosoft RDP(MFA)アプリケーションの[一般]タブで確認できます。RDPエージェントの構成ファイルで手動で編集することもできます。

    CLIENT_SECRET:この値は、OktaのMicrosoft RDP(MFA)アプリケーションの[一般]タブで確認できます。ClientSecretをリセットすると、構成ファイルの値が暗号化されるため、エージェントの再インストールが必要になります。RDPエージェントの構成ファイルで手動で編集することもできます。

    OKTA_URL:組織のURLです。https://org_name.okta.comの形式を使用する必要があります。HTTPSが必要です。*.oktapreview.comまたは*.okta-emea.comもサポートされています。

  5. その他のプロパティーを変更します。

    前の手順で追加したパラメーターに加え、以下のプロパティーを変更して多要素認証が常に強制されるようにすることができます。

    プロパティー定義デフォルト値推奨値
    FilterCredentialProvider

    このプロパティーは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。trueの場合、Okta MFA Credential ProviderがRDP接続に多要素認証を適用する唯一の方法になり、認証されていないユーザーが使用する資格情報プロバイダーを選択できなくなります。

    FilterCredentialProviderをtrueに設定し、RdpOnlyをfalseに設定すると、ポリシーに従って必要な場合に多要素認証が要求されるようになります。

    false-
    InternetFailOpenOption

    ネットワーク接続が失われた場合の認証フローの動作を設定します。trueの場合、RDPを介して認証を行うユーザーに多要素認証が求められず、パスワードのみに基づいてアクセス権が付与されます。falseの場合は、資格情報プロバイダーがOktaサービスに到達できないため、RDPを介して認証を行うユーザーにアクセス権が付与されません。

    InternetFailOpenOptionは、ターゲット・マシンに多要素認証を行うためのインターネット・アクセスがない場合の適切なアクセスを管理します。

    インターネット接続が頻繁に問題になる場合は、このプロパティーをtrueに設定します。

    false-
    RdpOnly

    デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証の両方のイベントの間にOktaの多要素認証が挿入されます。このプロパティーをtrueに設定すると、ローカル(対話型)ログオンに対するOktaの多要素認証が削除されます。

    FilterCredentialProviderをtrueに設定し、RdpOnlyをfalseに設定すると、ポリシーに従って必要な場合に多要素認証が要求されるようになります。

    false-
    WidgetTimeOutInSecondsタイムアウトまでの秒数。RDPセッションがWindowsで閉じられる可能性を防ぐには、この値をWindowsで設定されているアイドル・タイムアウトよりも小さくする必要があります。6030
    ErrorTimeOutInSecondsRDPセッションが閉じられてからエラー・メッセージが表示されるまでのタイムアウト。3030
    EnforceTimeoutVersionAgnosticWindows 2012、2016、2019のタイムアウトを強制します。 falsetrue
    SslPinningEnabledエージェントが接続するOktaサーバーの公開鍵を検証します。truetrue
    DisplayPasswordResetLink

    バージョン1.1.4から新しいバージョンにアップグレードした場合、このプロパティーを追加する必要があります。

    Active Directoryパスワードをリセットするためのリンクを表示します。falsetrue

    これらのプロパティーを変更するには、rdp_app_config.jsonファイルを編集します。このファイルは、通常はC:\Program Files\Okta\Okta Windows Credential Provider\configフォルダーにあります。また、次のPowerShellスクリプトを使用することもできます。

     $rdpAppConfig = Get-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json' -raw | ConvertFrom-Json $rdpAppConfig.RdpOnly =([System.Convert]::ToBoolean('true')) $rdpAppConfig | ConvertTo-Json | Set-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json'

    このスクリプトは、上記の手順2でインストールを実行したのと同じ場所から実行できます。

    情報

    このスクリプトは、PowerShellのバージョン3、4、および5でテスト済みです。
    システムのPowerShellのバージョンを確認するには、PowerShellを管理者として開き、$PSVersionTableを入力します。

一括展開

Microsoftのpsexec64ツールを使用して、リモート・マシンでコマンドを実行します。次のコマンドを一括展開用に変更します。

psexec64 <IP of the machine to deploy> -u <AD admin user> -p <AD admin password> msiexec /i <//machine/share/OktaWindowsCredentialProvider.msi> CLIENT_ID="<client id>" CLIENT_SECRET="<client secret>" OKTA_URL="https://yourdoman.okta.com" /qn /l*v <path for installation log>

ここで:

  • IP of the machine to deploy<AD admin user>、および<path for installation log>を組織の値に合わせて変更します。

  • client secretclient IDをアプリケーションに合わせて変更します。
  • yourorgをOkta組織の名前に変更します。

タイムアウト設定の確認

多要素認証が想定どおりに動作することを確認するには、Oktaサインイン・セッションがWindowsセッションよりも前にタイムアウトすることを確認します。

次の点に注意してください。

  • デフォルトでは、Oktaウィジェットのセッション・タイムアウトは60秒に設定されています。
  • Windows環境のタイムアウト時間を調べ、Oktaウィジェットのセッション・タイムアウト時間をWindowsのセッション・タイムアウトよりも短く設定します。
    情報

    重要

    環境でWindowsとOktaの両方のセッション時間を手動で調整してテストを用意し、それぞれに指定したタイムアウト時間が想定どおりに動作することを確認します。

Oktaウィジェットのセッション・タイムアウト時間を構成する手順は次のとおりです。

  1. C:\Program Files\Okta\Okta Windows Credential Provider\configに移動します。
  2. 任意のエディターを使用して、rdp_app_config.jsonを開きます。
  3. 以下のプロパティーと値をファイルに追加します。
    各エントリはカンマで区切ります。
    • "WidgetTimeOutInSeconds": 30
    • "ErrorTimeOutInSeconds": 30

    • "EnforceTimeoutVersionAgnostic": false
    情報

    Windowsのセッション・タイムアウト時間よりも短い時間であれば、別のタイムアウト値を指定できます。