こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています
今回はOktaとActive Directoryの連携について、実際の連携の第一歩である初期セットアップ設定についてご紹介したいと思います
全体の概要については、下記エントリーをご参照ください
OktaとADの統合には前提条件がありますので公式ドキュメントをご参照ください
Okta AD AgentのインストールについてはIE10以降しか使えず、Edgeで試そうとしたところ上手くいきませんでした
OktaとADの連携のセットアップの手順は下記の通りです
セットアップ自体は既存のADができていればすぐできます
WindowsサーバーへのADの構築は下記をご参照ください
今回はWindows Server2022で構築し、フォレスト・ドメイン機能レベルはWindows Server 2016となっています
ADサーバーを構築した後は、AD参加したサーバーにOkta AD Agentをインストールします
ドメインコントローラーにAgentをインストールすることも可能ですが、ドメインコントローラーへの影響をなくすために、実運用では分けることが推奨となっています
ホストサーバーからOkta管理画面にSuper Admininstrator権限を持つユーザーでログインし、Directory→Directory IntegrationsからAdd Active Directoryをクリックします
Set Up Active Directoryをクリックします
Download Agentをクリックして、Okta AD Agentをダウンロードします
後ほど使うOkta Organization URLは後ほど利用するので控えておきましょう
※テナントのURLなのであえて控えておく必要はないかもしれません
ダウンロードしたAgentを展開します
ドメインは自動的に入力されますので、問題なければNextをクリックします
Oktaサービスアカウントを作成します
このウィザードの中で新規に作成することが推奨となりますが、既存のドメインユーザーを利用することもできます
既存のドメインユーザーを使う場合はパスワードの有効期限をなしにして、Oktaサービスアカウントに必要な権限を付与する等の作業が別途必要があります
Oktaサービスアカウントのパスワードを作成します
プロキシサーバーを経由する構成となっている場合は、プロキシサーバーの情報を入力します
今回は不要のためスキップします
Okta Organization URLを入力してNextをクリックします
Oktaへのログイン画面がポップアップで表示されるのでAD AgentをダウンロードしたOkta管理者ユーザーでログインします
ログイン完了するとOkta AD Agentへの権限付与の承認が求められるのでAllow Accessをクリックします
以上でOkta AD Agentのインストールは完了です
Okta管理画面上でもAgent Installationが完了したことが確認できるのでNextをクリックします
次にADから同期する対象のユーザー、グループが含まれるOUを選択します
こちらは後ほど変更可能なので一旦変更せずにNextをクリックします
ADユーザーとグループのインポート設定が完了しました
最後にOktaユーザーに付与する属性を選択します
こちらも後ほど変更が可能なので変更せずにNextをクリックします
Doneをクリックして、Oktaでの初期設定も完了です
Windows ServerにOkta AD Agent Managerが追加されています
開くとAgentが起動していることが確認でき、サービスアカウントの情報やドメイン、プロキシサーバー情報が確認・変更することが可能です
OktaとADの連携が完了したら、Okta管理画面からAgentの状態やユーザーの同期状況が確認できます
OktaからADへの同期についてはProvisioningタブのTo Appで確認できます
ADからOktaへの同期についてはTo Oktaで確認できます
AD統合の初期セットアップはADサーバーがあればそこまで時間がかからず、手順もシンプルで進めることができます
まだOktaとADがAD Agentを介してつながっただけの状態なので、次回から同期する属性や対象ユーザー・グループなど、詳細に見ていこうと思います