既存のActive Directoryフォレストおよびドメインとの統合
Active Directory(AD)統合を計画するときは、既存のAD実装を確認し、次の質問について考えます。
- ドメインはいくつありますか?
- どのような信頼が設定されていますか?
- どのようなフォレストがありますか?
- どの組織単位(OU)をOktaにインポートする予定ですか?
- これらのOUに、Oktaにインポートする必要のないユーザーやリソースがありませんか?
Okta ADエージェントは、ドメイン間の通信はサポートしますが、フォレスト間の通信はサポートしません。
Okta ADエージェントは、各フォレストと、Oktaにインポートするユーザーが存在するフォレスト内の各ドメインにインストールする必要があります。1つのエージェントに複数のドメインを登録することは可能ですが、そのエージェントが使用できなくなると、すべてのドメインに影響が及びます。
通常、フォレストにはユーザーは存在せず、ネットワークリソースのみが存在するため、Okta ADエージェントのインストールは必須ではありません。
Okta ADエージェントをインストールするには、ADサービスアカウントを使用する必要があります。サービスアカウントは、エージェントが接続するすべてのドメインでユーザーの読み取りとアクセスを行うために、そのフォレスト内のすべてのドメインで権限を持っていることが重要になります。エージェントのインストールに必要なサービスアカウントの詳細については、「Active Directory統合の前提条件」を参照してください。