Conditions nécessaires pour l'authentification unique de bureau sans agent

Vous trouverez ci-dessous les conditions nécessaires liées à l'implémentation d'une nouvelle configuration de l'authentification unique de bureau sans agent (DSSO) ou à la migration d'une configuration DSSO existante :

  • Type de chiffrement AES (AES128_HMAC_SHA1 and/or AES256_HMAC_SHA1) pour l'Agentless Desktop SSO Okta. Le chiffrement RC4 n'est pas pris en charge. Pour utiliser le chiffrement AES128/256 avec l'Agentless Desktop SSO ou l'activation silencieuse de l'application MS, vous devez activer AES pour le domaine AD ainsi que pour le compte de service utilisé pour la DSSO Okta. Si cela n'est pas activé pour le domaine AD, l'erreur Kerberos KDC_ERR_ETYPE_NOTSUPP s'affichera dans le journal d'événements Kerberos. Pour activer le chiffrement, consultez Configurations Windows pour le type de chiffrement pris en charge par Kerberos.
  • L'ensemble des flux de connexion et des marque-pages du navigateur utilise l'URL adéquate.

  • Un compte de service AD qui inclut les bonnes pratiques de sécurité suivantes :

    • Un compte d'utilisateur de domaine pour le service Kerberos du Tenant Okta, plutôt qu'un compte d'administrateur de domaine.
    • La restriction s'authentifier à est activée avec un nom d'hôte fictif, le compte porte la mention Le compte est sensible et ne peut pas être délégué.

  • Les permissions de super administrateur Okta pour la mise à jour de la page dédiée à l'authentification déléguée (DelAuth) sont disponibles. Les administrateurs de l'application peuvent également disposer de permissions suffisantes s'ils ont accès à la gestion AD.