エージェントをインストールする
On-Prem MFAエージェント(v 1.3.3以降)は、RSA SecurIDのRSA認証マネージャーを含む、RADIUS対応のオンプレミスMFAサーバーでのプロキシ構成をサポートします。
プロキシのサポートを必要としないインストールでは、[proxy-only(プロキシのみ)]とマークされた手順は無視してかまいません。
はじめに
- 共通UDPポートと秘密鍵の値が使用可能で、Okta RADIUS Agentポート1812が空いていることを確認します。
エージェントをインストールする
インスタンスIDの特定
On-Prem MFAエージェントのインストーラーにはインスタンスIDが必要です。
- ブラウザーで[Okta Org]に移動し、管理者としてログインします。
- [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]の順に選択します。
- 「On-Prem MFA/RSA SecurIDの追加と構成」で使用したOn-Prem MFAまたはRSA SecurIDのいずれかのオーセンティケーターについて、[Actions(アクション)]>[Edit(編集)]の順に選択します。
- [Add New Agent(新規エージェントを追加)]をクリックします。
- 表示されたインスタンスIDをコピーします。
インストーラーの実行
- On-Prem MFA Agentインストーラーを保存したディレクトリに移動します。管理者としてインストーラーを実行します。
- [Next(次へ)]をクリックします。
- [Important Information(重要情報)]および[License Information(ライセンス情報)]ページから[Next(次へ)]をクリックします。
- デフォルトインストールフォルダを受け入れるか、別のフォルダを参照して、[Install(インストール)]をクリックします。
(プロキシのみ):インストールパスを書き留めておきます。これは、後の手順でプロキシを有効化するのに使用します。
- [Okta On-Prem Agent Configuration(Okta On-Premエージェントの構成)]ページで、 [ Instance ID(インスタンスID)]を入力します。この値は、 Okta orgのアプリの[ Settings(設定)]ページで確認できます。
- [Register Okta On-Prem MFA Agent(Okta On-Prem MFAエージェントの登録)]ダイアログで、orgの完全修飾URLを入力します(例: https://mycompany.oktapreview.com)。[Next(次へ)]をクリックします。
- (プロキシのみ)設定を変更してプロキシを含めます。
- サインインしないでOkta[Sign In(サインイン)]ページを閉じ、[File Explorer(ファイルエクスプローラー)]ウィンドウを開きます。
- config.propertiesファイル(例:<AGENT_INSTALL_PATH>\current\user\config\rsa-securid\config.properties)を見つけます。
- 任意のテキストエディターでファイルを開きます。
- ファイルの一番下にプロキシ構成のキーと値のペアを追加します。プロキシには次のキーと値のペアがあります。
proxyAddress = http://<ipaddress:[port]>
proxyUsername = <username>
proxyPassword = <password of proxyUsername> - ファイルを保存します。
- インストーラーに戻ります。
たとえば、ホストが127.0.0.1、ポートが3128で実行するhttpプロトコルを使用するプロキシのエントリは次のようになります。
すべてのプロパティーが1行に記述されている場合、その下にプロキシ設定を追加します。
-
(オプション)クライアントセッションのタイムアウトを延長します。この設定の変更については、アカウント担当者にお問い合わせください。
デフォルト値の3000ミリ秒はほとんどのケースで十分ですが、プッシュが使用されている状況では値を増やすことが必要になる場合があります。
-
エディターでconfig.propertiesファイルを開きます。
-
radiusSocketTimeoutMsフィールドを1~30000ミリ秒の値に編集します。このパラメーターがない場合は、ファイルの一番下に追加してください。
-
- [Sign In(サインイン)]画面でOktaにサインインします。
サインインするときは、スーパー管理者、アプリ管理者、またはAPI Access Managementの管理者のいずれかであるアカウントを使用する必要があります。「OpenID Connectのエンドツーエンドのシナリオ」を参照してください。
- [Allow Access(アクセスを許可)]ボタンをクリックします。
- インストーラーを前面に移動して、インストールの完了を確認します。
- [Installation Completed(インストールが完了しました)]画面が表示されます。表示されない場合は、以下の「トラブルシューティング」を参照してください。
- [Finish(完了)]ボタンをクリックして、インストールを完了します。
インストールを完了するには、Windowsを再起動する必要があります。[Yes, restart Windows now (recommended)(Windowsを今すぐ再起動する(推奨))]をクリックしてから[Finish(完了)]をクリックすると、Windowsがすぐに再起動されます。
既存のMFAエージェント用プロキシの指定
- 既存のインストールフォルダに移動します。
- C:\Program Files (x86)\....\Okta On-Prem MFA Agent\current\user\config\rsa-securid\config.propertiesを編集します。
- このファイルの一番下にプロキシの構成を追加します。キーの例は、proxyAddress、proxyUsername、proxyPasswordです。
以下は、プロトコルがhttp、ホストが127.0.0.1、ポートが3128の単純なプロキシ構成の例を示しています。
注:すべてのプロパティーが1行に記述されている場合、その下にプロキシ設定を追加します。
- このファイルを保存し、MFAエージェントのインストーラーを実行します。
- インストールが完了すると、インストールが正常に完了したことを示すメッセージが表示されます。表示されない場合、「トラブルシューティング」セクションを参照してください。
トラブルシューティング
新規インストール
インストール中にエラーが発生した場合、プロキシの設定を確認してください。sslPinningEnabled = falseを使用してインストールを再試行することもできますが、このオプションは仕組みをよく理解している場合にのみ使用してください。
アップグレード(プロキシのみ)
入力したプロキシのプロパティーに誤りがあると、インストーラーは成功したように見えても、最終的にエージェントで問題が発生します。これらのプロパティーを確認するには、Okta管理者ダッシュボードのエージェントのリストで最終接続タイムスタンプを調べます。