Configurer des navigateurs pour l'authentification unique de bureau sans agent sur Windows

Microsoft Windows prend en charge l'Agentless Desktop SSO (ADSSO) avec les navigateurs Chrome, Microsoft Edge (Chromium) et Firefox . Les versions précédentes de Microsoft Edge (versions héritées) ne sont pas prises en charge.

Pour configurer l'ADSSO, configurez les Options Internet dans Windows, puis votre navigateur. Vous pouvez configurer manuellement les navigateurs sur chaque ordinateur, ou les configurer de manière centralisée en utilisant un objet de politique de groupe (Group Policy Object ou GPO).

Si vous avez un Sign-In Widgetauto-hébergé, consultez la section Cookies tiers utilisés par le Sign-In Widget pour obtenir des instructions.

L'ADSSO ne fonctionne pas si un seul utilisateur est membre de plus de 600 groupes de sécurité ou si le jeton Kerberos est trop important pour qu'Okta puisse le consommer. Si un utilisateur avec un paquet Kerberos volumineux met en place ou migre une ADSSO, une réponse 400 Demande incorrecte s'affiche.

Configurer les options Internet sous Windows 10 ou 11

Vous pouvez soit configurer les options Internet manuellement sur chaque ordinateur, soit créer un GPO et l'envoyer aux ordinateurs de vos utilisateurs. Effectuez l'une des tâches ci-dessous avant de configurer votre navigateur.

Méthode manuelle

Effectuez cette tâche sur chaque ordinateur.

  1. Ouvrez le panneau de configuration de Windows 10 ou 11.
  2. Cliquez sur Réseau et Internet.
  3. Cliquez sur Options Internet.
  4. Sélectionnez l'onglet Avancé .
  5. Assurez-vous que l'option Activer l'authentification intégrée de Windows dans la section Sécurité est sélectionnée.
  6. Cliquez sur Appliquer.
  7. Sélectionnez l'onglet Confidentialité.
  8. Cliquez sur Avancé.
  9. Sélectionnez Accepter sous Cookies internes.
  10. Assurez-vous que l'option Toujours autoriser les cookies de la session est cochée. Si vous ne cochez pas cette option, ni l'authentification unique ni l'authentification standard ne pourront fonctionner.
  11. Cliquez sur OK, puis à nouveau sur OK pour fermer Propriétés de : Internet.

Méthode de l'objet de politique de groupe

Vous pouvez créer un GPO sur un serveur Windows du domaine et l'envoyer à tous les ordinateurs client qui utilisent l'ADSSO. Assurez-vous que le GPO comprend les paramètres suivants :

  • Permet l'authentification Windows intégrée.
  • Accepte les cookies internes.
  • Autorise toujours les cookies de la session pour org.okta.com and org.kerberos.okta.com. Remplacez org par le nom de votre org et okta par oktapreview ou okta-emea, le cas échéant.

Ajouter l'URL de votre org Okta à Microsoft Edge

Vous pouvez configurer Microsoft Edge manuellement sur chaque ordinateur. Vous pouvez également créer un GPO et envoyer la configuration à tous les ordinateurs client qui utilisent l'ADSSO. Effectuez l'une de ces tâches après avoir configuré les options Internet dans Windows.

Méthode manuelle

Effectuez cette tâche sur chaque ordinateur.

  1. Ouvrez le panneau de configuration de Windows 10 ou 11.
  2. Cliquez sur Réseau et Internet.
  3. Cliquez sur Options Internet.
  4. Sélectionnez l'onglet Sécurité.
  5. Sélectionnez Intranet local, puis cliquez sur Sites.
  6. Cliquez sur Avancé.
  7. Dans Ajouter ce site Web à la zone, saisissez l'URL de votre org Okta. Utilisez la chaîne suivante comme modèle : org.kerberos.okta.com. Remplacez org par le nom de votre org et okta par oktapreview ou okta-emea, le cas échéant.

    Si vous utilisez un domaine personnalisé, ajoutez cette URL au paramètre de contenu CookiesAllowedforURLs .

  8. Cliquez sur Ajouter.
  9. Cliquez sur Fermer, puis sur OK dans les boîtes de dialogue restantes.

Méthode de l'objet de politique de groupe

Vous pouvez créer un GPO sur un serveur Windows du domaine et l'envoyer à tous les ordinateurs client qui utilisent l'ADSSO. Effectuez l'une des tâches suivantes :

Ajouter l'URL de votre org Okta dans Chrome

Vous pouvez soit configurer Chrome manuellement, soit ajouter une entrée au registre Windows sur chaque ordinateur. Effectuez l'une de ces tâches après avoir configuré les options Internet dans Windows.

Méthode manuelle

Effectuez cette tâche sur chaque ordinateur.

  1. Cliquez sur Personnaliser et contrôler Google Chrome (les trois points dans le coin supérieur droit).
  2. Sélectionnez Paramètres.
  3. Sélectionnez Confidentialité et sécurité.
  4. Cliquez sur Cookies tiers.
  5. Dans la section Sites autorisés à utiliser des cookies tiers, cliquez sur Ajouter.
  6. Saisissez l'URL de votre org Okta. Utilisez la chaîne suivante comme modèle : org.kerberos.okta.com. Remplacez org par le nom de votre org et okta par oktapreview ou okta-emea, le cas échéant.

    Si vous utilisez un domaine personnalisé, ajoutez cette URL au paramètre de contenu CookiesAllowedforURLs .

  7. Cliquez sur Ajouter.

Méthode du registre Windows

Effectuez cette tâche sur chaque ordinateur.

  1. Ouvrez le registre Windows.

  2. Ajoutez cette entrée en tant que valeur de chaîne :

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] "AuthServerAllowlist"=org.kerberos.okta.com

    Remplacez org par le nom de votre org et okta par oktapreview ou okta-emea, le cas échéant.

    Si vous utilisez un domaine personnalisé, ajoutez cette URL au paramètre de contenu CookiesAllowedforURLs .

Méthode de l'objet de politique de groupe

Vous pouvez créer un GPO sur un serveur Windows du domaine et l'envoyer à tous les ordinateurs client qui utilisent l'ADSSO. Vous pouvez utiliser un modèle d'administration pour créer la politique de groupe. Consultez la section Définir les politiques du navigateur Chrome sur les PC gérés.

Ajouter URL de votre org Okta à Mozilla Firefox

Effectuez cette tâche sur chaque ordinateur après avoir configuré les options Internet dans Windows.

  1. Ouvrez le navigateur web Firefox, puis saisissez about:config dans la barre d'adresse.
  2. Si le message Agissez avec précaution s'affiche, cliquez sur Accepter le risque et continuer.
  3. Dans le champ Rechercher un nom de préférence, saisissez network.negotiate-auth.trusted-uris.
  4. Cliquez sur Modifier, puis saisissez l'URL de votre org Okta. Utilisez la chaîne suivante comme modèle : org.kerberos.okta.com. Remplacez org par le nom de votre org et okta par oktapreview ou okta-emea, le cas échéant.
  5. Cliquez sur Enregistrer.

Étapes suivantes

Activer l'authentification unique de bureau sans agent