WindowsにOkta RADIUSサーバー・エージェントをインストールして構成する

Okta RADIUSサーバー・エージェントは、単一要素認証(SFA)または多要素認証(MFA)を使用して認証をOktaに委任します。Windowsサービスとしてインストールされ、パスワード認証プロトコル(PAP)をサポートします。

RADIUSクライアントは、クライアントへのアクセスを要求するユーザーの資格情報(ユーザー名とパスワード)をRADIUSエージェントに送信します。その後、組織の設定によって以下のケースに分かれます。

  • MFAが無効でユーザーの資格情報が有効な場合、ユーザーは認証されます。
  • MFAが有効でユーザーの資格情報が有効な場合、ユーザーは2つ目の認証要素を選択するよう求められます。ユーザーはその1つを選択し(たとえば、Google AuthenticatorまたはOkta Verifyなど)、検証コードの要求を取得します。クライアントに送り返されたコードが正しい場合、ユーザーはアクセス権を取得します。

:一部のアプリケーションまたはサービス(AWS Workspaceなど)はログイン時にMFAの選択を提供せず、代わりにユーザーのユーザー名とパスワードに加えてMFAコードを要求します。ユーザーが複数のMFA(Okta VerifyとYubiKeyなど)に登録している場合、どちらを使用するかユーザーが指定する必要はありません。入力したコードは、検証が成功するまで各ハンドラーによって処理されます。

サポートされているオペレーティング・システム

Okta RADIUS Agentは、次のバージョンのWindowsサーバーにインストールできます。

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Windowsバージョン2008、2008 R2、および2003 R2はサポートされていません。

要件と制限

バージョン2.2.0以降へのアップグレードとSSLピンニング

RADIUSエージェント・バージョン2.2.0以降SSLピニングが有効になっており、追加のセキュリティー・レイヤーが提供されます。新しいエージェントにアップグレードする現在のユーザーでは、SSLピニングがデフォルトで有効になっていません。v2.2.0より前のバージョンのエージェントからアップグレードする場合は、アップグレード後に以下を実行します。

注意

Webセキュリティー・アプライアンスを含むネットワーク上のエージェントに対して、次の手順を実行しないでください。

  1. Okta RADIUSエージェントがあるフォルダーを開きます。デフォルトのインストール・フォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
  2. このフォルダーからcurrent\user\config\radius\config.propertiesに移動します。変更を加える前に、このファイルのバック・アップを作成することをお勧めします。メモ帳などのテキスト・アプリケーションを使用して、Okta RADIUSエージェントのインストール・フォルダーにあるcurrent\user\config\radius\config.propertiesファイルを開きます。
  3. ファイルの最後に、ragent.ssl.pinning = trueという行を追加します。
  4. ファイルを保存します。
  5. 使用可能なWindows管理ツールを使って、Okta RADIUS Agentサービスを再起動します。

このプロセスにより、エージェントの通信は、新しいエージェントが知っている公開鍵を使って有効な証明書を提示できるサーバーのみに制限されます。

典型的なワークフロー

タスク

説明

RADIUSエージェントをダウンロードする
  1. 管理コンソールで、[設定] > に移動します [ダウンロード]します。
  2. RADIUSアプリケーションの横にある[ダウンロード]リンクを選択します。
  3. 次のいずれかのコマンドを使用して、ローカル・マシンでハッシュを生成します。setupを、ダウンロードしたエージェントへのファイル・パスに置き換える必要があることに注意してください。
    • Linuxsha512sum setup.rpm
    • MacOSshasum -a 512 setup.rpm
    • WindowsCertUtil -hashfile setup.exe SHA512
  4. 生成されたハッシュが[ダウンロード]ページのハッシュと一致することを確認します。
RADIUSアプリを構成する
  • OktaでRADIUS認証を有効にするには、Okta RADIUSサーバー・エージェントをインストールし、Okta管理コンソールで1つ以上のRADIUSアプリケーションを構成する必要があります。 管理コンソールのRADIUSアプリケーションを使用すると、Oktaは、異なるRADIUS対応アプリを区別し、それらを同時にサポートすることができます。さらに、 Okta RADIUSアプリケーションは、ポリシーの作成とグループへのアプリケーションの割り当てをサポートします。
    RADIUSアプリの構成の詳細については、 OktaのRADIUSアプリケーションを参照してください。

エージェントをインストールする
追加プロパティーを構成する
エージェントを管理する
  • [プログラム] > [Okta RADIUS Agent Manager]からOkta RADIUS Agent Managerを開いて、共有シークレット、RADIUSポート、プロキシー設定を変更できます。
ログ・ファイルにアクセスして管理する

トラブルシューティングする

エージェントをアンインストールする