2018年8月15日水曜日

Okta で AD 連携を試してみた

概要

オンプレもしくは既存の ActiveDirectory 連携を Okta に連携することができます
今回はその手順を紹介します

環境

  • macOS 10.13.6
  • Okta (2018/08/10 時点)
  • Active Directory (Windows Server 2012 R2)

事前作業

申し込みなどは済ませておいてください
また AD サーバの構築も完了しているものとします

エージェントのインストール

https://your-domain-name-admin.okta.com/admin/app/active_directory/setup/_new_
ここからエージェントをダウンロードします
okta_ad1.png

執筆時点では OktaADAgentSetup-3.4.13.exe というバージョンのインストーラがダウンロードできました

Okta 側はインストールするまで待ち状態になるの Windows 側でインストールを進めます
okta_ad2.png

インストーラを起動します
インストーラを起動する時は右クリックから管理者権限で実行してください
okta_ad3.png

インストールパスを設定します
基本はこのままで OK です
okta_ad4.png

インストールが完了するまで待ちましょう
okta_ad5.png

AD のドメインを設定します
AD サーバが構築されている環境であれば自動で入力されるはずです
okta_ad7.png

エージェント用のアカウントを登録します
特になければ recommended を選択します
okta_ad6.png

エージェントアカウントのパスワードを設定します
おそらくですがここは AD のパスワードポリシーが適用されています
なので複雑なパスワードでないとエラーになるので注意してください
okta_ad8.png

エージェントが Okta に接続するのにプロキシが必要であれば設定します
今回はプロキシがないのでそのままにします
okta_ad9.png

エージェントに Okta の企業ドメインを設定します
事前に登録したものを入力してください
okta_ad10.png

エージェントから Okta への接続確認をします
okta_ad11.png

成功するとログイン画面が表示されます
ログインするユーザは冒頭で指定のあった me ユーザを使います
Okta にログインするための ID/PW でログインしましょう
okta_ad12.png

エージェントに権限を与えるかの確認ダイアログが出ます
「Allow Access」を選択しましょう
okta_ad13.png

これでインストールが完了します
okta_ad14.png

Okta 側の管理画面に戻ると AD サーバで問題なくエージェントが起動している旨が表示されています
okta_ad15.png

Okta 側で AD 連携の基本設定

まずは OU の設定です
Users と Groups の OU を設定します
これも基本はそのままで OK です
okta_ad16.png

設定が完了するとダイアログが表示されます
okta_ad17.png

AD から Okta へ取り込むプロファイルを選択します
かなりの量がありますがデフォルトで Okta が選択してくれているので今回はそのままいきます
okta_ad18.png

これでエージェント連携は完了です
okta_ad19.png

ユーザをインポートする

まだ AD -> Okta のインポートは行われていません
連携した AD の「Import」タブを選択します
そこから「Import Now」することでユーザをインポートできます
okta_ad20.png

インポートのタイプを選択します
今回は「Increment Import」を選択します
Adminirator などはインポートされないので事前に一般ユーザを AD 上に作成しておきましょう
okta_ad21.png

インポートの結果が表示されます
okta_ad22.png

インポートされたユーザはまだ Okta に登録されません
インポートされたユーザの一覧からユーザをどうするか選択します
「New」「EXISTING」「IGNORE」があります
今回はインポートされたユーザを登録するので「New」を選択します
そして「Confirm Assignments」を選択し Okta にインポートします
okta_ad23.png

確認画面が表示されます
今回はメールアドレスを送信してアクティベートするのではなくインポートしたらアクティベート状態にします
okta_ad24.png

動作確認

https://your-domain-name-admin.okta.com/ にアクセスして先ほど AD から登録したユーザで Okta にログインできるか確認してみましょう
okta_ad25.png

AD に登録した際のパスワードでログインできれば連携完了です
当然ですが SSO なのですでにブラウザでログインしている場合はログイン画面が表示されずにログイン後の画面に遷移します

最後に

Okta で ActiveDirectory に登録したユーザ情報を Okta に連携する方法を紹介しました
ActiveDirectory サーバがすでにある場合はエージェントをインストールするだけなのでかなり簡単にインポートできると思います

インポートするまでの手順がかなり丁寧なのでやることは多いですがポチポチ作業が多いのでそこまで大変ではないかなと思います

ハマるポイントがあるとすれば Windows サーバにエージェントをインストールするところだと思います
自分は何度か失敗しましたがテストサーバだったので削除してやり直しましたが本番だとそうはいかないかなと思います

参考サイト

時刻:
ラベル: ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)