はじめに こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です...
【Okta】Active DirectoryとOktaの連携(初期セットアップ編)
はじめに
こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています
今回はOktaとActive Directoryの連携について、実際の連携の第一歩である初期セットアップ設定についてご紹介したいと思います
全体の概要については、下記エントリーをご参照ください
前提条件
OktaとADの統合には前提条件がありますので公式ドキュメントをご参照ください
Okta AD AgentのインストールについてはIE10以降しか使えず、Edgeで試そうとしたところ上手くいきませんでした
OktaとADの連携手順
OktaとADの連携のセットアップの手順は下記の通りです
- ADサーバーの構築
- ホストサーバーにOkta AD Agentをインストール
- ユーザー、グループ、属性のインポート設定
セットアップ自体は既存のADができていればすぐできます
ADサーバーの構築
WindowsサーバーへのADの構築は下記をご参照ください
今回はWindows Server2022で構築し、フォレスト・ドメイン機能レベルはWindows Server 2016となっています
ホストサーバーにOkta AD Agentインストール
ADサーバーを構築した後は、AD参加したサーバーにOkta AD Agentをインストールします
ドメインコントローラーにAgentをインストールすることも可能ですが、ドメインコントローラーへの影響をなくすために、実運用では分けることが推奨となっています
ホストサーバーからOkta管理画面にSuper Admininstrator権限を持つユーザーでログインし、Directory
→Directory Integrations
からAdd Active Directory
をクリックします
![]() |
Set Up Active Directory
をクリックします
![]() |
Download Agent
をクリックして、Okta AD Agentをダウンロードします
![]() |
後ほど使うOkta Organization URL
は後ほど利用するので控えておきましょう
※テナントのURLなのであえて控えておく必要はないかもしれません
![]() |
ダウンロードしたAgentを展開します
![]() |
ドメインは自動的に入力されますので、問題なければNext
をクリックします
![]() |
Oktaサービスアカウントを作成します
このウィザードの中で新規に作成することが推奨となりますが、既存のドメインユーザーを利用することもできます
既存のドメインユーザーを使う場合はパスワードの有効期限をなしにして、Oktaサービスアカウントに必要な権限を付与する等の作業が別途必要があります
![]() |
Oktaサービスアカウントのパスワードを作成します
![]() |
プロキシサーバーを経由する構成となっている場合は、プロキシサーバーの情報を入力します
今回は不要のためスキップします
![]() |
Okta Organization URL
を入力してNext
をクリックします
![]() |
Oktaへのログイン画面がポップアップで表示されるのでAD AgentをダウンロードしたOkta管理者ユーザーでログインします
![]() |
ログイン完了するとOkta AD Agentへの権限付与の承認が求められるのでAllow Access
をクリックします
![]() |
以上でOkta AD Agentのインストールは完了です
![]() |
ユーザー、グループ、属性のインポート設定
Okta管理画面上でもAgent Installationが完了したことが確認できるのでNext
をクリックします
![]() |
次にADから同期する対象のユーザー、グループが含まれるOUを選択します
こちらは後ほど変更可能なので一旦変更せずにNext
をクリックします
![]() |
ADユーザーとグループのインポート設定が完了しました
![]() |
最後にOktaユーザーに付与する属性を選択します
こちらも後ほど変更が可能なので変更せずにNext
をクリックします
![]() |
Done
をクリックして、Oktaでの初期設定も完了です
![]() |
Windows ServerにOkta AD Agent Managerが追加されています
![]() |
開くとAgentが起動していることが確認でき、サービスアカウントの情報やドメイン、プロキシサーバー情報が確認・変更することが可能です
![]() |
OktaとAD連携の初期セットアップ完了!
OktaとADの連携が完了したら、Okta管理画面からAgentの状態やユーザーの同期状況が確認できます
![]() |
OktaからADへの同期についてはProvisioning
タブのTo App
で確認できます
![]() |
ADからOktaへの同期についてはTo Okta
で確認できます
![]() |
さいごに
AD統合の初期セットアップはADサーバーがあればそこまで時間がかからず、手順もシンプルで進めることができます
まだOktaとADがAD Agentを介してつながっただけの状態なので、次回から同期する属性や対象ユーザー・グループなど、詳細に見ていこうと思います