Configurer le nom principal de service

Définissez le nom principal du service (SPN) afin d'autoriser Okta à négocier l'authentification Kerberos pour l'Agentless Desktop SSO. Les privilèges d'administrateur de domaine sont nécessaires à la définition du nom principal de service (SPN).

  1. Ouvrez une invite de commande en tant qu'administrateur dans votre environnement Active Directory (AD) et exécutez la commande suivante afin d'ajouter un SPN :

    setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea|okta-gov.com>.com <ServiceAccountName>

    HTTP/<myorg>.kerberos.okta.com est le SPN. <ServiceAccountName> est la valeur utilisée lors de la configuration de l'Agentless Desktop SSO et <oktaorg> est votre org Okta (soit oktapreview, okta-emea, soit okta). Par exemple, setspn -S HTTP/<atko.kerberos.oktapreview.com> atkospnadmin.

    Cette commande n'entraîne pas la création d'un nouveau compte utilisateur AD ni d'un SPN. Au lieu de cela, elle ajoute un nouveau SPN au compte utilisateur AD existant. Un domaine enfant peut utiliser un SPN situé dans un domaine parent, mais uniquement si le domaine parent est également configuré comme domaine Realm Kerberos sur Okta. Les SPN restent inchangés dans l'ensemble d'une forêt, donc vous n'aurez besoin de le faire qu'une seule fois dans chaque forêt. Si vous disposez de plusieurs forêts, répétez l'étape 1 pour chaque forêt. Cette commande s'applique à l'ensemble des organisations, y compris à celles qui utilisent une URL personnalisée.

  2. Ajoutez https://<myorg>.<kerberos>.<oktaorg>.com à la liste de sites Intranet au sein de vos paramètres Internet, pour l'ensemble des appareils sur lesquels vous souhaitez utiliser l'Agentless Desktop SSO.
  3. Ouvrez votre Okta Admin Console, rendez-vous sur Sécuritéauthentification déléguéeAgentless Desktop SSOModifier
    1. Sous les instances AD, cliquez sur Modifier.
    2. Si le nom d'utilisateur du compte de service est dans l'ancien format (par exemple : HTTP/<myorg>.<oktaorg>.com), modifiez-le par l'UPN du compte de service pour lequel le SPN a été défini.
    3. Sélectionnez Valider les informations d'identification du compte de service lors de l'enregistrement.
    4. Cliquez sur Enregistrer.

    Cela entraînera la création d'un nouvel enregistrement DNS pour votre org.

  4. Utilisez les outils de ligne de commande tels que dig ou nslookup afin de vous assurer que votre nouvelle URL Kerberos peut être atteinte. Par exemple :

    $ dig <votreorg>.kerberos.<oktaorg>.com

    $ nslookup <votreorg>.kerberos.<oktaorg>.com

    Pour déterminer si la commande a bien été effectuée, référez-vous à votre documentation de référence sur les commandes sur Windows ou sur Linux, pour obtenir des explications sur les messages sortants. Si l'URL Kerberos peut être atteinte, effectuez les procédures restantes. Si vous ne voyez pas s'afficher de message de réussite indiquant la finalisation de la commande, exécutez-la de nouveau cinq minutes plus tard, ou contactez l'assistance Okta.

Étapes suivantes

Configurer les navigateurs pour l'authentification unique sur Windows