Active Directory証明書サービスを構成する

Oktaは認証局(CA)の役割を果たすことができますが、多くの企業は既存の公開鍵インフラストラクチャ(PKI)をMicrosoft Active Directory証明書サービス(AD CS)で使用することを好みます。

開始する前の確認事項

以下にアクセスできることを確認してください:

  • Okta Device Accessを使用したOkta Identity Engine org が有効

  • Microsoft Active Directory証明書サービス環境

  • AD CSで新しい証明書テンプレートを更新または発行する管理者権限。「証明書テンプレートの管理」を参照してください。

このタスクを開始する

  1. 証明書テンプレートを構成する

  2. 権限を構成する

  3. 新しいテンプレートを公開する

  4. 証明書のインストールを確認する

  5. デバイスアクセス認証局を構成する

証明書テンプレートを構成する

AD CS証明書テンプレートは、証明書発行のブループリントとして機能し、キーの使用、件名の命名、セキュリティ権限などの重要なパラメーターを定義します。テンプレートを構成して、コンプライアンスを強制し、管理を合理化し、エンタープライズIDインフラストラクチャを保護します。

  1. Windowsスタートメニューにcertsrv.mscと入力するか、Windowsサーバーマネージャーのツール(Tools)メニューから認証局(Certification Authority)スナップインを開きます。

  2. 発行元の認証局(Certification Authority)を開きます。

  3. 証明書テンプレート(Certificate Templates)を右クリックして管理(Manage)を選択します。

  4. ワークステーション認証(Workstation Authentication)テンプレートを選択します。ただし、コンピューターレベルの認証に適用する任意のテンプレートを選択できます。

    テンプレートを右クリックして、テンプレートを複製する(Duplicate Template)を選択します。

  5. 新しいテンプレートのプロパティ(Properties of New Template)ウィンドウの一般(General)タブで、以下を構成します。

    • 名前(Name):テンプレートにわかりやすい名前を付けます。

    • 有効期間(Validity period):証明書の発行後、証明書が有効な期間(年)。

    • 更新期間(Renewal period):証明書の有効期限が切れるまでの期間(週)。この期間中、システムは新しい証明書を要求できます。これにより、新旧の証明書を重複させ、サービスの中断を防ぐことができます。

  6. サブジェクト名(Subject Name)タブで、 このActive Directory情報から構築する(Build from this Active Directory Information)を選択します。

    ドロップダウンメニューから、使用するサブジェクト名の形式(Subject name format)を選択します。Desktop MFAは、このリスト内の任意の形式をサポートします。

  7. Oktaでは、デバイスアクセスで発行された証明書を識別するための特定の拡張キー使用法(EKU)のオブジェクト識別子(OID)が必要です。

    新しいアプリケーションポリシーを使用して、このOIDを追加します。

    拡張(Extensions)タブでアプリケーションポリシー(Application Policy)を選択し、編集(Edit)をクリックします。

  8. アプリケーションポリシー拡張を編集する(Edit Application Policies Extension)ウィンドウで追加(Add)をクリックします。

  9. アプリケーションポリシーを追加する(Add Application Policy)ウィンドウで、新規(New)をクリックして新しいポリシーを定義します。

  10. 新しいアプリケーションポリシー(New Application Policy)ウィンドウで、以下のオプションを構成します。

    • 名前(Name)Okta Device Access

    • オブジェクト識別子1.3.6.1.4.1.51150.13.1.1

    OKをクリックして、ポリシーを作成します。

  11. 新しいOkta デバイスアクセス ポリシーがアプリケーションポリシー(Application Policies)リストにあることを確認します。

  12. OKをクリックして新しいアプリケーションポリシーの追加を確認し、もう一度OKをクリックしてアプリケーションポリシーの編集を完了します。

  13. 新規テンプレートのプロパティ(Properties of New Template)ウィンドウで、適用(Apply)をクリックして、新しいテンプレートの設定を確認します。

権限を構成する

これらのテンプレートで権限を構成する前に、デバイスの証明書のデプロイ戦略を決定してください。「ユーザーとコンピューターの読み取り権限と登録権限を追加する」を参照してください。

次のオブジェクトに証明書をデプロイできます。

  • 特定の管理者アカウントのグループ

  • 特定のデバイスのセット(例:ドメインコンピューター(Domain Computers)

  • または、それらのオプションの組み合わせ

この証明書を要求するグループとデバイスを決定したら、適切な権限を構成できます。要求するグループまたはデバイスには、このテンプレートに対して最低でも参照(Read)権限が必要です。

新しいテンプレートを公開する

  1. Windows 認証局(Certification Authority)コンソールで、証明書テンプレート(Certificate Templates)フォルダーを右クリックします。

  2. 新規(New)を選択し、発行する証明書テンプレート(Certificate Template to Issue)に進みます。

  3. リストから、作成したOkta デバイスアクセス テンプレートを選択し、OKをクリックします。

新しい証明書テンプレートは、認証局(Certification Authority)コンソールで確認できます。テンプレートが公開され、Simple Certificate Enrollment Protocol登録で使用できるようになりました。

証明書のインストールを確認する

  1. Windowsデバイスで開始をクリックし、certと入力してから、ユーザー証明書の管理(Manage user certificates)をクリックします。

  2. 個人(Personal) > 証明書(Certificates)フォルダを展開します。

  3. 新たに発行された証明書を探して証明書をダブルクリックし、証明書のプロパティを開きます。

  4. 詳細(Details)タブで、下にスクロールして拡張キー使用法(Enhanced Key Usage)フィールドを選択します。

  5. フィールドに1.3.6.1.4.1.51150.13.1.1という値のOkta デバイスアクセス が含まれていることを確認します。

  6. これにより、必要なカスタムEKUを使用して証明書が正常に発行されたことを確認できます。

Okta認証局を構成する

デバイスアクセスの認証局(CA)としてOktaを構成することは、管理対象デバイスの安全な証明書ベースの認証を可能にする上で重要な手順です。CAは、デバイスとOktaの間に信頼を確立し、org内のリソースに検証済みのエンドポイントのみがアクセスできるようにします。

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局(Certificate authority)タブで認証局を追加(Add certificate authority)をクリックします。

  3. 証明書を発行する(Issu certificates for)オプションで、 デバイスアクセス を選択します。

  4. CAルート証明書をアップロードします。File successfully uploadedメッセージが表示されます。

  5. 閉じる(Close)をクリックします。

新しいCAは、認証局(Certificate authority)タブで利用できます。