À propos de l'authentification unique de bureau sans agent Active Directory et de l'approvisionnement juste-à-temps

Lorsque vous implémentez l'Agentless Desktop SSO en local ou sans agent dans votre environnement, voici le processus de l'importation d'utilisateurs via l'approvisionnement JIT:

  • Pour la DSSO locale, IWA envoie à Okta le nom principal universel (UPN). Okta utilise l'UPN pour localiser un utilisateur. Okta n'effectue pas l'authentification des utilisateurs, car la validation Kerberos a lieu côté IIS.

  • Pour l'Agentless Desktop SSO, le navigateur Web envoie le ticket Kerberos à Okta et utilise l'Active Directory (AD) Agent Okta pour rechercher l'UPN. La validation Kerberos est réalisée dans le cloud dans Okta.

Lorsqu'un utilisateur se connecte à l'aide de la DSSO :

  • Si les informations le concernant sont déjà importées et actives dans Okta : Okta utilise l'UPN pour rechercher l'utilisateur. Si Okta trouve l'utilisateur, le profil se recharge depuis Active Directory (AD) et l'utilisateur parvient à se connecter.
  • Si les informations le concernant sont importées mais pas encore actives dans Okta : Okta utilise l'UPN pour rechercher l'utilisateur. Si Okta trouve l'utilisateur, le profil utilisateur se charge depuis AD, l'activation de l'utilisateur s'effectue et parvient à se connecter.
  • Si les informations le concernant n'ont pas été importées sur Okta et que JIT est activé : Okta utilise l'UPN pour valider l'utilisateur. Si le format de nom d'utilisateur Okta n'est pas un UPN et qu'un autre format est utilisé à la place, Okta ignore ce paramètre et utilise la validation de l'UPN. Une adresse e-mail ou SamAccountName sont des exemples d'autres formats.
  • Si les informations le concernant n'ont pas été importées dans Okta et que JIT est désactivé, la tentative de connexion de l'utilisateur échoue.
  • Si un format de nom d'utilisateur personnalisé est utilisé : lorsqu'un nouvel utilisateur se connecte à l'aide d'un format de nom d'utilisateur personnalisé avec JIT, Okta utilise la méthode d'authentification précédemment utilisée pour la validation de l'utilisateur AD. UPN, SAMAccountName ou une adresse e-mail sont des exemples de méthodes d'authentification précédemment utilisées. Okta ignore le paramétrage personnalisé pour les utilisateurs existants et utilise l'UPN pour la validation de l'utilisateur AD.