Configurer les navigateurs Mac pour la SSO

Bien que la SSO IWA puisse fonctionner si vous choisissez de ne pas configurer votre navigateur, Okta vous recommande de consulter les informations pertinentes pour votre type de navigateur, puis de configurer votre navigateur.

macOS Safari

IWA est activé automatiquement dans Safari sur macOS. Assurez-vous que l'hôte macOS est membre d'un domaine Windows. Pour en savoir plus sur la façon d'ajouter votre hôte macOS à un domaine Windows, consultez l'Assistance Apple et recherchez des articles sur la façon d'associer votre Mac à un serveur de compte réseau.

Mozilla Firefox

La configuration suivante permet à Firefox de transmettre correctement le ticket Kerberos à IWA, mais Firefox avertit toujours l'utilisateur de la transition d'une page HTTPS à une page HTTP. Pour résoudre ce problème, déployez IWA en mode HTTPS.

  1. Dans la barre d'adresse de Firefox, saisir about:config

    Firefox 3.x et versions ultérieures affichent un message d'avertissement vous demandant d'agir avec précaution.

  2. Après le chargement de la page de configuration, saisissez ce qui suit dans le champ Rechercher :

    network.negotiate-auth.trusted-uris

  3. Dans ce champ, indiquez le nom d'hôte du ou des serveurs IWA, en séparant les valeurs multiples par une virgule ',' si deux instances IWA ou plus sont déployées.

    L'ordre n'a pas d'importance si vous saisissez plusieurs noms d'hôte.

    Okta vous recommande de saisir le nom de domaine complet (FQDN) de vos serveurs hôtes IWA. Si vous ne le faites pas, vous devrez également basculer les valeurs suivantes sur TRUE :

    network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn
  4. Faites un clic droit sur la colonne Valeur pour chacun des éléments ci-dessus et basculez la valeur sur True.
  5. Cliquez sur OK.

Google Chrome

La capacité IWA est activée automatiquement dans Chrome sur OS/X et, tout comme sur Windows, la capacité est régie par une liste d'autorisation. Si un site demande à votre navigateur de fournir le ticket Kerberos, le navigateur ne fournit le ticket que si le site figure sur la liste d'autorisation.

  1. Lancez l'application Terminal.
  2. Créez un ticket Kerberos pour le compte : kinit user.name@example.com

    Remplacez user.name@example.com par votre nom d'utilisateur et votre domaine, puis saisissez votre mot de passe lorsque vous y êtes invité.

  3. Configurez la liste d'autorisation de Chrome :

    $ defaults write com.google.Chrome AuthServerAllowlist "*.example.com"

    $ defaults write com.google.Chrome AuthNegotiateDelegateAllowlist "*.example.com"

    Remplacez example.com par votre domaine.

Pour en savoir plus sur la façon de gérer les politiques Chrome sur macOS, consultez l'Aide Google et recherchez les articles sur la Liste d’autorisation de délégation Auth/Negotiate et Liste d’autorisation du serveur d’authentification.

Étapes suivantes

Activer l'agent IWA Web OKTA