Activer l'authentification unique de bureau sans agent

  1. Dans l'Admin Console, accédez à Sécuritéauthentification déléguée.

  2. Faites défiler jusqu'à Agentless Desktop SSO.
  3. Cliquez sur Modifier et sélectionnez un mode DSSO :
    • Désactivé
    • Test  : vous permet de tester l'Agentless Desktop SSO en vous connectant via l'URL directe de point de terminaison de l'authentification unique de bureau sans agent : https://myorg.okta.com/login/agentlessDsso.
    • Activé : vous permet d'activer la SSO dans l'environnement de production et permet aux utilisateurs une connexion depuis le point de terminaison de connexion par défaut, via un routage par le point de terminaison de la connexion Agentless Desktop SSO. L'utilisateur final n'a pas besoin de saisir l'URL DSSO exacte.
  4. Dans les instances AD, sélectionnez l'instance Active Directory sur laquelle vous avez configuré le SPN.
  5. Remplissez ces champs afin de configurer l'Agentless Desktop SSO pour le domaine Active Directory sélectionné :

    • SSO de bureau : sélectionnez Activé ou Désactivé selon que vous effectuez l'activation pour la production ou pour un test.

    • Nom d'utilisateur du compte de service : il s'agit du nom de connexion Active Directory sans suffixe de domaine ni préfixe de nom NetBIOS. (Consultez la section Créer un compte de service et configurer un nom principal de service.) Il peut s'agir du sAMAccountName ou de la partie correspondant au nom d'utilisateur de l'UPN. Il est possible que ces deux éléments soient une seule et même chaîne, à moins que l'administrateur de l'org n'ait choisi d'utiliser des valeurs différentes.

      Ce champ est sensible à la casse. Lorsque le préfixe UPN est différent de sAMAccountName, le nom d'utilisateur du compte de service doit être identique à l'UPN et inclure le suffixe de domaine. Par exemple, agentlessDsso@mondomaine.com.

      Lorsque le nom d'utilisateur du compte de service et le nom du compte utilisateur Active Directory ne correspondent pas, l'Agentless Desktop SSO peut échouer. Lorsque cela se produit, vous êtes redirigé vers la page de connexion par défaut et une erreur GSS_ERR apparaît dans le Journal système. Le nom d'utilisateur du compte de service et celui du compte utilisateur Active Directory sont sensibles à la casse et doivent correspondre lorsque le chiffrement AES est activé sur le compte de service.

    • Mot de passe du compte de service : mot de passe du compte que vous avez créé dans Active Directory.

    • Valider les informations d'identification du compte de service lors de l'enregistrement : facultatif. Non sensible à la casse. Valide les identifiants du compte de service dans le cadre d'une étape facultative de l'enregistrement de la configuration de domaine (Realm) Kerberos. Si cette case est cochée, l'Active Directory Agent authentifie le compte de service. Si les identifiants ne peuvent être validés, un message d'erreur s'affiche. Si vous ne souhaitez pas valider les identifiants ou ne le pouvez pas, car l'Active Directory Agent ne répond pas, la case peut être décochée pour passer l'étape de la validation.
  6. Pour les Zones du réseau autorisées, ajoutez les zones associées aux ordinateurs depuis lesquels vous mettrez en place l'Agentless Desktop SSO.

    Les options de zones réseau ne sont pas disponibles lorsque la découverte du fournisseur d'identité (IdP) est activée. Lorsque la découverte de l'IdP et l'Agentless Desktop SSO sont activées, les zones du réseau de l'Agentless Desktop SSO sont contrôlées via les règles de routage IdP. Mettez à jour la règle de routage IdP par défaut dans la section Mettre à jour la règle de routage par défaut du fournisseur d'identité pour l'authentification unique de bureau.

  7. Cliquez sur Enregistrer.

Étapes suivantes

Mettre à jour la règle de routage par défaut du fournisseur d'identité pour l'authentification unique de bureau sans agent