コンテンツまでスキップ

【Okta】Active DirectoryとOktaの連携(初期セットアップ編)

Picture of kusumin

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています

今回はOktaとActive Directoryの連携について、実際の連携の第一歩である初期セットアップ設定についてご紹介したいと思います

全体の概要については、下記エントリーをご参照ください

 

前提条件

OktaとADの統合には前提条件がありますので公式ドキュメントをご参照ください

Okta AD AgentのインストールについてはIE10以降しか使えず、Edgeで試そうとしたところ上手くいきませんでした

OktaとADの連携手順

OktaとADの連携のセットアップの手順は下記の通りです

  1. ADサーバーの構築
  2. ホストサーバーにOkta AD Agentをインストール
  3. ユーザー、グループ、属性のインポート設定

セットアップ自体は既存のADができていればすぐできます

ADサーバーの構築

WindowsサーバーへのADの構築は下記をご参照ください

今回はWindows Server2022で構築し、フォレスト・ドメイン機能レベルはWindows Server 2016となっています

ホストサーバーにOkta AD Agentインストール

ADサーバーを構築した後は、AD参加したサーバーにOkta AD Agentをインストールします

ドメインコントローラーにAgentをインストールすることも可能ですが、ドメインコントローラーへの影響をなくすために、実運用では分けることが推奨となっています

ホストサーバーからOkta管理画面にSuper Admininstrator権限を持つユーザーでログインし、DirectoryDirectory IntegrationsからAdd Active Directoryをクリックします

Okta-AD-201

Set Up Active Directoryをクリックします

Okta-AD-202

Download Agentをクリックして、Okta AD Agentをダウンロードします

Okta-AD-203

後ほど使うOkta Organization URLは後ほど利用するので控えておきましょう

※テナントのURLなのであえて控えておく必要はないかもしれません

Okta-AD-204

ダウンロードしたAgentを展開します

Okta-AD-205

ドメインは自動的に入力されますので、問題なければNextをクリックします

Okta-AD-206

Oktaサービスアカウントを作成します

このウィザードの中で新規に作成することが推奨となりますが、既存のドメインユーザーを利用することもできます

既存のドメインユーザーを使う場合はパスワードの有効期限をなしにして、Oktaサービスアカウントに必要な権限を付与する等の作業が別途必要があります

Okta-AD-207

Oktaサービスアカウントのパスワードを作成します

Okta-AD-208

プロキシサーバーを経由する構成となっている場合は、プロキシサーバーの情報を入力します

今回は不要のためスキップします

Okta-AD-209

Okta Organization URLを入力してNextをクリックします

Okta-AD-210

Oktaへのログイン画面がポップアップで表示されるのでAD AgentをダウンロードしたOkta管理者ユーザーでログインします

Okta-AD-211

ログイン完了するとOkta AD Agentへの権限付与の承認が求められるのでAllow Accessをクリックします

Okta-AD-212

以上でOkta AD Agentのインストールは完了です

Okta-AD-223

ユーザー、グループ、属性のインポート設定

Okta管理画面上でもAgent Installationが完了したことが確認できるのでNextをクリックします

Okta-AD-213

次にADから同期する対象のユーザー、グループが含まれるOUを選択します

こちらは後ほど変更可能なので一旦変更せずにNextをクリックします

Okta-AD-214

ADユーザーとグループのインポート設定が完了しました

Okta-AD-215

最後にOktaユーザーに付与する属性を選択します

こちらも後ほど変更が可能なので変更せずにNextをクリックします

Okta-AD-216

Doneをクリックして、Oktaでの初期設定も完了です

Okta-AD-217

Windows ServerにOkta AD Agent Managerが追加されています

Okta-AD-221

開くとAgentが起動していることが確認でき、サービスアカウントの情報やドメイン、プロキシサーバー情報が確認・変更することが可能です

Okta-AD-222

OktaとAD連携の初期セットアップ完了!

OktaとADの連携が完了したら、Okta管理画面からAgentの状態やユーザーの同期状況が確認できます

Okta-AD-218

OktaからADへの同期についてはProvisioningタブのTo Appで確認できます

Okta-AD-219

ADからOktaへの同期についてはTo Oktaで確認できます

Okta-AD-220

さいごに

AD統合の初期セットアップはADサーバーがあればそこまで時間がかからず、手順もシンプルで進めることができます

まだOktaとADがAD Agentを介してつながっただけの状態なので、次回から同期する属性や対象ユーザー・グループなど、詳細に見ていこうと思います
,