Okta Credential Provider for Windowsのインストール

標準、サイレント、マスデプロイメントのいずれかのインストール方法を使用してOkta Credential Provider for Windowsをインストールします。

インストール要件については、「Okta MFA Credential Provider for Windows」を参照してください。

Sign-In Widget(第3世代)はサードパーティエージェントの多要素認証をサポートしません。

標準インストール

  1. インストーラーをダウンロードした場所に移動します。
  2. .zipアーカイブからファイルを展開します。
  3. setup.exeを管理者として実行し、プロンプトに従います。必要に応じてMicrosoft Visual C++と.NETランタイムライブラリをインストールまたは修復します。
  4. [アプリの設定]ダイアログで、クライアントID、クライアントシークレット、Okta orgのURLを入力します。これらの値はOktaのMicrosoft RDP(MFA)アプリで確認できます。[一般]タブを選択し、[クライアントの資格情報]セクションに移動します。
  5. [Next(次へ)]をクリックします。
  6. [Next(次へ)][Close(閉じる)]の順にクリックして、インストールを完了します。
  7. 2番目に開いた[アプリの構成]ダイアログで、次のオプションから選択します。
    • [Filter Credential Provider(資格情報プロバイダーをフィルター)]:このエージェントを選択すると、これがRDP接続にMFAを適用するために使用される唯一の方法になります。認証されていないユーザーは資格情報プロバイダーを選択できません。このオプションは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。
    • [RDP Only(RDPのみ)]:デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証のイベントの間にOktaのMFAが挿入されます。このオプションを選択すると、ローカル(対話型)サインインフローからOkta MFAが削除されます。
    • (EAバージョンのみ)[Display Okta password reset link (self service)(Oktaパスワードリセット用リンクを表示(セルフサービス)]:このオプションを選択すると、エンドユーザーがOktaを介してパスワードをリセットできるようにするオプションがWindowsサインオンページに追加されます。
  8. マシンをロックしてインストールを確認します。正常にインストールされると、サインインページにOktaがサインインオプションとして表示されます。

サイレントインストール

  1. Microsoft Visual C ++再頒布可能パッケージと.NET Frameworkがインストールされていることを確認します。
  2. インストーラーをダウンロードした場所に移動します。
  3. .zipアーカイブからファイルを展開します。

  4. 次のいずれかのコマンドを実行して、Okta Credential Provider for Windowsをサイレントインストールします。

    方式

    コマンド

    説明
    1

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CLIENT_ID="cid" CLIENT_SECRET="cs" OKTA_URL="https://a.b.c"

    • CLIENT_ID:OktaのMicrosoft RDP(MFA)アプリの[一般]タブでこの値を検索します。RDPエージェントの構成ファイルでこの値を手動で編集することもできます。
    • CLIENT_SECRET:OktaのMicrosoft RDP(MFA)アプリの[一般]タブでこの値を検索します。クライアントシークレットをリセットしたら、エージェントを再インストールする必要があります。シークレットはエージェントの構成ファイルで暗号化されているためです。RDPエージェントの構成ファイルでこの値を手動で編集することもできます。
    • OKTA_URL:orgのURL。https://org_name.okta.comの形式を使用します。HTTPSは必須です。*.okta-gov.com*.oktapreview.com*.okta-emea.comを使用することもできます。

    2

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CFGFILE="d:\config.json"

    • CFGFILEパラメーターのファイル名は完全修飾である必要があります。
    • 以下はconfig.jsonファイルの内容です。ClientSecretパラメーターを暗号化しないでください。

    {

    "Url": "https://org.okta.com",

    "ClientId": "0oa.....n0h7",

    "ClientSecret": "1g3....A_X",

    "RdpOnly": true,

    "SslPinningEnabled": true

    }

  5. MFAを適用するためにその他のプロパティを変更します。rdp_app_config.jsonファイルを編集します。デフォルトでは、このファイルはC:\Program Files\Okta\Okta Windows Credential Provider\configフォルダにあります。次のPowerShellを使用することもできます。このスクリプトは.zipアーカイブを展開した場所から実行してください。

    $rdpAppConfig = Get-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\ rdp_app_config.json' -raw | ConvertFrom-Json $rdpAppConfig.RdpOnly =([System.Convert]::ToBoolean('true')) $rdpAppConfig | ConvertTo-Json | Set-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json'

    プロパティ

    定義

    デフォルト値

    推奨値

    FilterCredentialProvider

    この値をtrueに設定すると、これがRDP接続にMFAを適用するために使用される唯一の方法になります。認証されていないユーザーは資格情報プロバイダーを選択できません。このプロパティは、サーバーに複数の資格情報プロバイダーがインストールされている場合の回避策を提供します。

    このプロパティをtrueに設定し、RdpOnlyをfalseに設定すると、ポリシーでMFAが必要な場合にエージェントがMFAを要求するようになります。

    		false-
    InternetFailOpenOption

    このプロパティは、ネットワーク接続が失われた場合の認証フローの動作を設定します。このプロパティは、ターゲットマシンにMFAを行うためのインターネットアクセスがない場合の適切なアクセスを管理します。

    このプロパティをtrueに設定すると、RDPを介して認証するユーザーにはMFAが求められず、パスワードのみに基づいてアクセス権が付与されます。

    このプロパティをfalseに設定すると、資格情報プロバイダーがOktaサービスに到達できないため、RDPを介して認証するユーザーにアクセス権が付与されません。

    インターネット接続が頻繁に問題になる場合は、このプロパティをtrueに設定します。

    		false-
    RdpOnly

    デフォルトでは、インストールされている資格情報プロバイダーにより、RDPとローカル認証のイベントの間にOktaのMFAが挿入されます。このプロパティをtrueに設定すると、ローカル(対話型)サインインフローからOkta MFAが削除されます。

    FilterCredentialProviderをtrueに設定し、このプロパティをfalseに設定すると、ポリシーでMFAが必要な場合にエージェントがMFAを要求するようになります。

    		false-
    WidgetTimeOutInSeconds

    タイムアウトまでの秒数。RDPセッションがWindowsによって閉じられないようにするには、この値をWindowsで設定されているアイドルタイムアウトよりも小さな値に設定します。

    デフォルトのOktaウィジェットのタイムアウトセッションは60秒です。最大値は120秒です。

    		6030
    ErrorTimeOutInSecondsRDPセッションが閉じてからエラーメッセージが表示されるまでのタイムアウト時間。3030
    EnforceTimeoutVersionAgnosticWindowsバージョン2012、2016、2019にタイムアウト時間を強制適用します。 falsetrue
    SslPinningEnabledエージェントが接続するOktaサーバーの公開鍵を検証します。truetrue
    DisplayPasswordResetLink

    バージョン1.1.4から新しいバージョンにアップグレードした場合、このプロパティを追加する必要があります。

    		Active Directoryパスワードをリセットするためのリンクを表示します。falsetrue
    DisconnectSessionOnError

    このプロパティがtrueに設定されている場合、タイムアウトまたは予期しないエラーが発生すると、Oktaはユーザーセッションの切断を試みます。

    このプロパティがfalseに設定されている場合、ユーザーのセッションは切断される代わりに終了します。保存していないデータは失われる可能性があります。

    		false-

マスデプロイメント

Microsoftのpsexec64ツールを使用して、リモートマシンでコマンドを実行します。次のコマンドをマスデプロイメント用に変更します。

>psexec64 <IP of the machine to deploy> -u <AD admin user> -p <AD admin password> msiexec /i <//machine/share/OktaWindowsCredentialProvider.msi> CLIENT_ID="<client id>" CLIENT_SECRET="<client secret>" OKTA_URL="https://yourdomain.okta.com" /qn /l*v <path for installation log>

コマンドの要素を次のように変更してください。

  • <IP of the machine to deploy><AD admin user>、および <path for installation log>を、Organizationの適切な値に置き換えます。
  • <client secret><client ID>をアプリケーションで使用されているものに合わせて置き換えます。
  • yourdomainOkta組織の名前に置き換えます。