WindowsにOkta RADIUS Serverエージェントをインストールする

Okta RADIUS Serverエージェントは、単一要素認証(SFA)または多要素認証(MFA)を使用するOktaに認証を委任します。Windowsサービスとしてインストールされ、パスワード認証プロトコル(PAP)をサポートします。

RADIUSクライアントは、クライアントへのアクセスを要求するユーザーの資格情報(ユーザー名とパスワード)をRADIUSエージェントに送信します。次に、Org設定に応じて以下の操作を実行します。

  • MFAが無効でユーザーの資格情報が有効な場合、ユーザーは認証されます。
  • MFAが有効でユーザーの資格情報が有効な場合、ユーザーは2つ目の認証要素を選択するよう求められます。ユーザーはその1つを選択し(たとえば、Google AuthenticatorやOkta Verifyなど)、検証コードの要求を取得します。クライアントに送り返されたコードが正しい場合、ユーザーはアクセス権を取得します。

一部のアプリケーションまたはサービス(AWS Workspaceなど)はログイン時にMFAの選択を提供せず、代わりにユーザーのユーザー名とパスワードに加えてMFAコードを要求します。ユーザーが複数のMFA(Okta VerifyとYubiKeyなど)に登録している場合、どちらを使用するかユーザーが指定する必要はありません。入力したコードは、検証が成功するまで各ハンドラーによって処理されます。

サポートされているオペレーティングシステム

Okta RADIUSエージェントは、次のバージョンのWindowsサーバーにインストールできます。

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Windowsバージョン2008・2008 R2・2003 R2はサポートされていません。

要件と制限

バージョン2.2.0以降へのアップグレードとSSLピンニング

RADIUSエージェントバージョン2.2.0以降はSSLピニングが有効になっており、追加のセキュリティレイヤーが提供されます。新しいエージェントにアップグレードする現在のユーザーでは、SSLピニングがデフォルトで有効になっていません。v2.2.0より前のバージョンのエージェントからアップグレードする場合は、アップグレード後に以下を実行します。

Webセキュリティアプライアンスを含むネットワーク上のエージェントに対して、次の手順を実行しないでください。

  1. Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストールフォルダーは、C:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
  2. このフォルダーからcurrent\user\config\radius\config.propertiesに移動します。config.propertiesおよびadditional-config.propertiesファイルのバックアップコピーを作成します。テキストエディターでcurrent\user\config\radius\config.propertiesを開きます。
  3. ファイルの最後に以下を追加します。

    ragent.ssl.pinning = true

  4. ファイルを保存します。
  5. 使用可能なWindows管理ツールを使って、Okta RADIUSエージェントサービスを再起動します。

このプロセスにより、エージェントの通信は、新しいエージェントが知っている公開鍵を使って有効な証明書を提示できるサーバーのみに制限されます。

一般的なワークフロー

タスク

説明

RADIUSエージェントをダウンロードする
  1. Admin Consoleで、[Settings(設定)][Downloads(ダウンロード)]に移動します。
  2. ダウンロードするRADIUSインストーラーの横にある[Download Latest(最新をダウンロード)]リンクをクリックします。
  3. 次のいずれかのコマンドを使用して、ローカルマシンでハッシュを生成します。コマンド内のsetupは、ダウンロードしたエージェントへのファイルパスに置き換えてください。
    • Linux:sha512sum setup.rpm
    • macOS:shasum -a 512 setup.rpm
    • Windows:CertUtil -hashfile setup.exe SHA512
  4. 生成されたハッシュが[Downloads(ダウンロード)]ページのハッシュと一致することを確認します。
RADIUSアプリを構成する OktaでRADIUS認証を有効にするには、Okta RADIUS Serverエージェントをインストールし、Okta Admin Consoleで1つ以上のRADIUSアプリケーションを構成する必要があります。Okta Admin ConsoleのRADIUSアプリケーションを使用すると、Oktaは、異なるRADIUS対応アプリを区別し、それらを同時にサポートすることができます。さらに、Okta RADIUSアプリケーションは、ポリシーの作成とグループへのアプリケーションの割り当てをサポートします。

RADIUSアプリの構成について詳しくは、「OktaのRADIUSアプリケーション」を参照してください。

エージェントをインストールする RADIUS Windowsエージェントをインストールする
追加プロパティーを構成する プロパティーを構成する
エージェントを管理する [Programs(プログラム)][Okta RADIUS Agent Manager(Okta RADIUSエージェントマネージャ)]からOkta RADIUSエージェントマネージャを開いて、共有シークレット、RADIUSポート、プロキシー設定を変更できます。
ログファイルにアクセスして管理する ログファイルにアクセスして管理する

トラブルシューティング

Windows RADIUSエージェントのトラブルシューティング
エージェントをアンインストールする Windows RADIUSエージェントをアンインストールする