Créer un compte de service et configurer un nom principal de service
Pour utiliser l'authentification Kerberos pour l'Agentless Desktop SSO, il vous faut créer un compte de service et définir un nom principal de service (SPN) pour ce compte. Le compte de service ne nécessite pas de permissions administrateur, mais vous avez besoin de permissions spécifiques pour définir un nom principal de service. Consultez la section Déléguer l'autorité pour modifier les SPN.
Lorsque les identifiants du compte de service sont modifiés, mettez à jour les informations d'identification du compte de service Okta correspondant en parallèle afin d'éviter les interruptions de service. Par mesure de sécurité, Okta recommande de mettre à jour les informations d'identification du compte de service régulièrement.
Lorsque la fonctionnalité sur la conformité aux normes FIPS (Federal Information Processing Standards, FIPS) est activée, le nom d'utilisateur du compte de service et le mot de passe du compte de service doivent respecter ces critères :
- La longueur combinée du nom d'utilisateur du compte de service et du nom de domaine doit être au minimum de 16 caractères.
- Le mot de passe du compte de service doit comporter au moins 14 caractères.
Lancer la procédure
- Pour ouvrir la console Microsoft Management Console (MMC) Active Directory Users and Computers (ADUC), sur le serveur Active Directory, cliquez sur , saisissez dsa. msc, puis appuyez sur Entrée.
- Effectuez un clic droit sur le dossier dans lequel vous souhaitez créer le compte et sélectionnez .
- Renseignez les champs suivants :
- Prénom : saisissez le prénom de l'utilisateur.
- Initiales : facultatif. Saisissez l'initiale du deuxième prénom de l'utilisateur.
- Nom de famille : saisissez le nom de famille de l'utilisateur.
- Nom complet : facultatif. Saisissez le nom complet de l'utilisateur.
- Nom de connexion de l'utilisateur: saisissez un nom d'utilisateur.
- Nom de connexion de l'utilisateur (avant Windows 2000): facultatif. Modifiez le nom généré automatiquement si nécessaire.
- Cliquez sur Suivant.
- Renseignez les champs Mot de passe et Confirmer le mot de passe, puis décochez la case à cocher L'utilisateur doit modifier le mot de passe à la prochaine connexion.
Okta recommande de sélectionner l'option Le mot de passe n'expire jamais afin d'éviter les interruptions de service. Par mesure de sécurité, mettez à jour les informations d'identification du compte de service régulièrement.
- Cliquez sur Suivant et sur Terminer.
- Effectuez un clic droit sur l'utilisateur que vous venez de créer, sélectionnez Propriétés, puis l'onglet Compte.
- Dans la section Options de compte, cochez la case Ce compte prend en charge le chiffrement Kerberos AES 128 bits ou la case Ce compte prend en charge le chiffrement Kerberos AES 256 bits.
- Cliquez sur Appliquer.
-
Créez une politique de groupe pour activer le chiffrement AES sur le serveur AD. Consultez la section Configurations Windows pour le type de chiffrement pris en charge par Kerberos.
La politique de groupe peut être créée sur le contrôleur de domaine ou sur le serveur sur lequel l'AD Agent Okta est installé. La politique est appliquée à l'ensemble du domaine et s'applique à tous les serveurs de domaine et les stations de travail au sein du domaine.
-
Pour configurer un SPN pour le compte de service, ouvrez une invite de commande et exécutez la commande suivante en tant qu'administrateur :
setspn -S HTTP/<myorg>.kerberos.<oktaorg>.com <ServiceAccountName>
- HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea>.com : il s'agit du SPN.
- <ServiceAccountName> : il s'agit de la valeur utilisée lors de la configuration de l'Agentless Desktop SSO.
- <oktaorg> : il s'agit de votre org Okta (okta, oktapreview, ou okta-emea).
Consultez la section Setspn.
Étapes suivantes
Configurer des navigateurs pour l'authentification unique de bureau sans agent sous Windows
Configurer des navigateurs pour l'authentification unique de bureau sans agent sur Mac