はじめに こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です...
【Okta】Active DirectoryとOktaの連携(AD Agent冗長化編)
はじめに
こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています
シリーズでご紹介しているOktaとADの連携について、今回はOktaとADをディレクトリ同期するために必要なOkta AD Agentの冗長化についてご紹介します
シリーズまとめはこちらを御覧ください
Okta AD Agentの冗長化について
Okta AD AgentはOktaとADを同期するために重要なコンポーネントとなります
AD Agentが停止してしまうとお互いのディレクトリの同期ができなくなってしまうため、常時の高可用性を実現するためにOktaではAD Agentの冗長化をすることができます
また、AD Agentの自動アップデートのスケジューリングを実施する場合は冗長化が必須となります
実施方法はとても簡単でAD Agentのセットアップを別サーバーに対して再度行うだけとなります
「バージョンが古いぞ!アップデートしないと!」というお話についてはまた次のブログでお会いしましょう
セットアップの方法については下記ブログをご参照ください
一台目のAD Agentサーバーの作成時にOktaサービスアカウントを作成しているはずですので、既存のOktaサービスアカウントのユーザーとパスワードを利用してインストールを進めていきます
作成が完了すると2台のエージェントが稼働している様子がOkta管理画面からも確認できます
補足情報
OktaからADに委任認証している場合はADのパスワードはOktaに5日間キャッシュされるので、AD Agentが停止してしまっても一時的にOktaにログインすることは可能です
また、30日間AD Agentが非アクティブだった(=停止していた)場合、エージェントのインストール中に割り当てられたAPIトークンは期限切れになり、エージェントを再インストールする必要がありますので冗長化して片方コスト削減のために停止しておくようなケースがある場合は気をつけましょう
さいごに
今回はOkta AD Agentの冗長化の手順をご紹介しました
特段難しい手順はなく、1台目のAD Agentインストールを実施していれば簡単に進められるかと思います
ADとの連携における冗長化については、ユーザー同期したい頻度や組織の変更頻度によるかと思いますので必須ではないですが、Okta AD Agentの自動更新を実現したい場合や日々多くのメンバーの変更が発生する大規模な組織は必要になってくるでしょう
Okta自体は高可用性をもったサービスではありますが、ADとの連携においても高可用性を実現するためにOkta AD Agentの冗長化を検討してみるのはいかがでしょうか