WindowsにOkta RADIUSサーバーエージェントをインストールする

Okta RADIUSサーバーエージェントは、単一要素認証(SFA)または多要素認証(MFA)を使用するOktaに認証を委任します。Windowsサービスとしてインストールされ、パスワード認証プロトコル(PAP)をサポートします。

RADIUSクライアントは、クライアントへのアクセスを要求するユーザーの資格情報をRADIUSエージェントに送信します。認証リクエストは、orgの設定に基づいて処理されます。

  • MFAが無効でユーザーの資格情報が有効な場合、ユーザーは認証されます。
  • MFAが有効でユーザーの資格情報が有効な場合、ユーザーは2つ目のAuthenticatorの選択を求められます。ユーザーはその1つを選択し、検証コードのリクエストを取得します。コードが正しければ、ユーザーはアクセス権を取得します。

AWS Workspaceのような一部のアプリケーションまたはサービスは、サインイン時にMFAの選択を提供しません。その代わりに、ユーザーのユーザー名とパスワードに加えてMFAコードを求めます。ユーザーが複数のAuthenticatorに登録している場合、使用しているAuthenticatorを指定する必要はありません。検証されるまで各ハンドラーがコードを処理します。

前提条件

オペレーティングシステム

Okta RADIUSサーバーエージェントは、次のバージョンのWindows Serverにインストールできます。

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Windowsバージョン2008、2008 R2、2003 R2はサポートされません。

ブラウザー

Okta RADIUSサーバーエージェントは、デフォルトの組み込みブラウザーとしてMicrosoft Edgeを使用します。

SSLピン留めを使用する

RADIUSエージェントバージョン2.2.0以降は、SSLピン留めが有効化されており、追加のセキュリティレイヤーが提供されます。それ以前のバージョンでは、SSLピン留めはデフォルトでは有効化されません。

2.2.0より前のバージョンのエージェントからアップグレードするときは、アップグレード後に次の手順を実行します。このプロセスにより、エージェントの通信は、新しいエージェントが認識する公開鍵を使って有効な証明書を提示できるサーバーのみに制限されます。

Webセキュリティアプライアンスが配置されたネットワーク上のエージェントでは、この手順を実行しないでください。

  1. Okta RADIUSサーバーエージェントが存在するフォルダーを開きます。デフォルトのインストールフォルダーはC:\Program Files (x86)\Okta\Okta RADIUS Agent\です。
  2. current\user\config\radius\フォルダーを開き、config.propertiesファイルとadditional-config.propertiesファイルのバックアップコピーを作成します。
  3. テキストエディターでcurrent\user\config\radius\config.propertiesファイルを開きます。
  4. ファイルの最後に次の行を追加します。

    ragent.ssl.pinning = true

  5. ファイルを保存します。
  6. 使用可能なWindows管理ツールを使ってOkta RADIUSサーバーエージェントサービスを再起動します。

一般的なワークフロー

タスク

説明
Okta RADIUSサーバーエージェントをダウンロードする
  1. Admin Console[Settings(設定)][Downloads(ダウンロード)]に移動します。
  2. ダウンロードするRADIUSインストーラーの横の[Download Latest(最新をダウンロード)]リンクをクリックします。インストーラーのファイルサイズと[ダウンロード]ページに表示されるSHA-512ハッシュを書き留めます。
  3. 次のいずれかのコマンドを使用して、ローカルマシンでハッシュを生成します。コマンド内のsetupは、ダウンロードしたエージェントへのファイルパスに置き換えます。
    • Linux:sha512sum setup.rpm
    • macOS:shasum -a 512 setup.rpm
    • Windows:CertUtil -hashfile setup.exe SHA512
  4. 生成されたハッシュが[ダウンロード]ページのハッシュと一致することを確認します。
OktaによるRADIUS認証を有効化する Okta RADIUSサーバーエージェントをインストールし、Admin ConsoleでRADIUSアプリを構成します。これらのアプリを使用することで、Oktaは異なるRADIUS対応アプリを区別し、それらを同時にサポートできます。また、Okta RADIUSアプリを使用することで、ポリシーを作成し、アプリをグループに割り当てることもできます。

OktaのRADIUSアプリケーション」を参照してください。
エージェントをインストールする RADIUS Windowsエージェントをインストールする
追加プロパティを構成する プロパティを構成する
エージェントを管理する Okta RADIUSエージェントマネージャーを開き、[Programs(プログラム)][Okta RADIUS Agent Manager(Okta RADIUSエージェントマネージャー)]メニューを使って共有シークレットRADIUSポートプロキシ設定を変更します。
ログファイルにアクセスして管理する ログファイルにアクセスして管理する

トラブルシューティング

 Windows RADIUSエージェントのトラブルシューティング
エージェントをアンインストールする Windows RADIUSエージェントをアンインストールする