Oktaと楽しいディレクトリ統合~AD Agent導入編~

Oktaと楽しいディレクトリ統合~AD Agent導入編~

こんにちは、ちゃんみおです。

OktaのAD – Okta間のAD Agentの導入編です。 Oktaと楽しいディレクトリ統合~前提編~の実践編です。

そもそもAD Agentって何

ADからユーザーをインポートを行いたい・Windowsなユーザーのパスワード変更したいなどなど、OktaがADと連携するために必要なサービスアカウトです。 Agentなしには、ADとの連携は不可能。

と、言う訳なのでとりあえずAgentを入れないと話がはじまりません。

導入方法

ブラウザ上の操作

OktaADAgentをインストール・ADにexeファイルを持っていく

ダウンロードは管理ポータルのDirectory > Directory Integrations Add Directory > Add Active Directoryから行えます。

AD – OktaのAD Agentの概要や最低限の要件(サーバーとかね)・大まかなAgentの導入までの流れが書かれていますが、ここら辺は前編で書いてたのでまぁ今回はスルーです。ふむふむって感じで

Set Up Active Directoryを選択するとダウンロードボタンが表示されます。 ダウンロードすると、導入途中に入力する予定のOkta Organization URLとOkta administrator accountが表示された画面になるので、タブはそのままにしておきましょう。

ダウンロードされるファイルはOktaADAgentSetup.exeという名称です。

AD上での操作

ADでexeを起動する

OktaADAgentSetup.exeを無事、ADまで持ってきたらあとはを起動します。 GOGO

Install先のフォルダを選択する

特にこだわりがなければ、デフォルトでprogramme files(x86)になっているのでそのままInstall

ドメインを記載する

ADのドメインを記載する

AD側にサービスアカウトを作成する

サービスアカウントを作成します。 実は先に作ってた!とかでない限りは上の選択で新しくサービスアカウントを作ります。

プロキシサーバーの設定

使っていれば設定を記載するし、使ってなければ無記入でNEXT

Oktaのサブドメインの記載

https://hogehoge.okta.com だった場合のhogehogeを書きます。

Oktaのスーパーアドミンでのサインイン

Oktaのログイン画面が表示されるのでスーパーアドミン権限でログインします。 ここで画面がうまく表示されないってときは、IEを使っている場合は、JavaScriptの有効化やIEのセキュリティ設定を確認しましょう。 それでもダメなら他のブラウザをダウンロードして試してみてね。

AD Agentがいろいろ動いていいかの確認画面

いろいろこんなことするよ!と聞かれるので、Allow Accessを選択します。

インストーラでのインストール作業はこれにて終了です。

AD Agentがサービスにいるか確認

サービスからOkta AD Agentがいるかどうかを確認します。

今後運用していって、なんか不調がおきた時とかはここを再起動とかすると調子戻ったりするから、サービス画面にOkta AD Agentがいることを忘れないようにしておくといいと思います。 ここまできたら、OKです。お疲れ様でした。

ブラウザ上の操作

Oktaから連携するOUの指定などしてく

ブラウザのOktaに戻るとBASIC Settingなる画面に切り替わっています(ならない時は、Oktaの上部のタブからDirectory Integrationを開く)

Connect an Orfanizational Unit to Oktaという画面がでてきます。 この画面では、先ほどインストールしたAD Agentが動ける環境下のOUが一覧として表示されます。

2つ表示がありますが、これはユーザー情報とグループ情報のインポートを分けられるのでこんな感じに。
Okta username formatもここで決められます。email, sAMAccountName, userPrincipalNameのどれか。ここは導入編でも書きました。
デフォルトはUPNです。

後からでも変更可能です。

ユーザープロファイル

ADからOktaに持っていくユーザープロファイルのマッピングです。
デフォルトで利用するようなプロファイルはあらかじめチェックをつけてくれています。 Oktaやさし〜

最後ほんとにこれでいいんだよね?って確認

あとから設定は変えられますが、それでもいいよね?って確認画面です。 まぁ変えられるし、AD Agentもアンインストールもできるし、迷わずDone

AD Agentを動かした結果

Active Directoryには一覧として画像のような表示がされます。 気が遠くなるくらいに長い画面ですがご了承を。

AD Agentを導入した時に設定したOktaの画面です。 先ほどセットアップした画面も含めて、ADからUserをインポートする際のルールがここで設定できたり、変更できたりなんなりできます。

べんりー

各機能のちょっとした説明

全部説明してたらキリがないのでちょこっと説明します。

AD Agentのステータス確認

インストールしたAgentがステータス確認できます。
死んでたらポチっとワンポチでなおることも。なおらないこともある。 ワンポチで一旦Agentを停止することだってできる。
1つのADにAgentが複数いたらその分表示されます。

Delegated Authentication

Oktaのログインをする時にどこのパスワードを使う?というという選択なんですが、ADと同じパスワードを利用したい!時はここを設定します。 当たり前ですが、Oktaが持っているパスワードと併用したり、Oktaにしかいないユーザーはこの機能ではなくOkta自身で発行したパスワードを使うことになります。

PROVISIONING FEATURES

ADにユーザーが更新・削除・プロフィールマスタ・パスワードの同期を行うか? の設定になります。 弊社(のテスト環境)でいうと、ユーザー更新・削除はしますが、とプロフィールマスタとパスワード同期はしない設定にしています。 プロフィールマスタという機能が、Okta上でユーザー情報を変えた場合ADのユーザー情報も変えてしまうからです。 つまり、ユーザー更新とプロフィールマスタの同居は不可能です。 パスワード同期もDelegated Authenticationと同期ができないので、を利用していないことになります。

ここら辺は、どこを何をマスタにするかなんてところ次第で設定が変わってくると思います。

OktaとADを連携するには必須の作業です。 作業後に設定が多くてちょっと困るんだよね!という気持ちもありますが、その分柔軟に設定ができるのも利点になるのでうまく活用していきたいですね〜

情報システム部門は企業のコア

CTA-IMAGE 株式会社クラウドネイティブは、情報システム部門のコンサルティング専門家集団です。 ゼロトラストの概念を国内でいち早く取り入れ、現実的に実装できる国内唯一のコンサルティング会社です。 「どの製品選べばいいの?」 「社内インフラ改革はどこから?」 「セキュリティって結局どうすれば?」 その疑問や不安にお応えします。