オンプレミスのADからOktaへユーザ同期を行う機能です。OU単位で同期することができ、ADのSecurity GroupはOktaのグループに自動同期されます。

ADとOktaのユーザ同期のために、中継用のサーバ(Okta AD Agent)を設置します。

AD Agentの構築に関する前提条件の詳細は以下を参照ください。

https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-prerequisites.htm

Domain Controllerサービスが稼働するサーバ上でAgentを稼働させることも可能ですが、実運用の場合は、Domain Controllerサービスへの影響を最小限にするため別サーバをご用意いただくことを推奨いたします。

• ハードウェア最低要件：
• 1. 2CPU, 8GB以上のRAM
  2. Windows Server 2008 R2以降
  3. .NET 4.5.2以降を実装
  4. ADユーザ(Okta上で利用するADユーザ)が所属するドメインに参加しているサーバ
  5. 常時稼働していて常時インターネット経由でOktaと通信ができる

また、AD AgentをインストールするサーバにてIEの信頼済みサイトに以下のサイトを登録しておきます

• https://*.okta.com/
• https://*.oktacdn.com/

事前準備

AD Agent構築のための事前準備事項です。

• Okta AD Agentを稼働させるサーバ
  Active DirectoryとOktaテナント間の連携処理を行うためには、Active Directoryに参加しているWindows Server端末にて、Okta AD Agentを常時稼働させる必要があるため、前ページ記載の要件を満たすサーバをご用意ください。

• AD domain adminsアカウントあるいはホストサーバのローカル管理者アカウント
  Okta AD Agentインストール時に利用します。
• 1. Okta AD Agentインストール時にインストーラによってOktaサービスアカウントを作成させる場合は、AD domain adminsのアカウントが必要です。
  2. 事前にOktaサービスアカウントとしてAD domain usersアカウントを作成済みの状態で、Okta AD Agentインストールを行う場合は、ホストサーバのローカル管理者権限が必要です。

• ADサービスアカウント
  Okta AD Agentインストールウィザードで作成されるユーザです。アカウントを事前に作成いただく方法でも構いません。
  Okta AD Agentの起動・実行ユーザとなります。
  デフォルトアカウント名「OktaService」です。
  Domain Usersグループへ所属します。

• Okta SuperAdminアカウント
  Okta AD AgentがOktaテナントへ接続する際に使用されるSuper Adminアカウント。
  個人のSuperAdminアカウントとは別のアカウントを用意することを推奨とします。個人アカウントの場合、Admin権限が外されたり、無効化されたりする可能性があるためです。

• インポート対象のOU
  Active DirectoryからOktaへインポートするユーザ・グループについて、その対象をOU単位で制限させることが可能です。事前にどのOUのユーザ・グループを対象にするか決定してください。

AD Agentの構築に関する前提条件の詳細は以下を参照ください。

https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-prerequisites.htm