Configurer les navigateurs Windows pour la SSO

Bien que la SSO IWA puisse fonctionner si vous choisissez de ne pas configurer votre navigateur, Okta vous recommande de consulter les informations pertinentes pour votre type de navigateur, puis de configurer votre navigateur comme décrit si cela est approprié pour votre environnement.

Le navigateur Microsoft Edge n'est pas pris en charge.

  1. Ajoutez l'URL de votre locataire Okta et l'URL du serveur qui héberge votre agent Web IWA de SSO de bureau à votre zone de confiance :

    L'URL hostname.companyname.com est le nom de domaine complet du serveur en question. Par exemple, my-iis7-host.corp.acme.com. Il ne suffit pas que cette URL soit répertoriée comme site de confiance dans la zone Sites de confiance.

    La plupart des organisations configurent une politique de groupe pour configurer ce paramètre dans les options Internet de leurs utilisateurs.

    1. Dans votre Panneau de configuration Windows, sélectionnez Réseau et InternetOptions InternetSécuritéIntranet localSitesAvancé.
    2. Dans le champ Add this website to the zone (Ajouter ce site Web à la zone), saisissez :

      https://hostname.companyname.com ou http://hostname.companyname.com et https://_subdomain_.okta.com ou https://_subdomain_.okta-emea.com ou https://_subdomain_.oktapreview.com ou https://_subdomain_.okta-gov.com selon le cas qui s'applique.

    3. Cliquez sur Ajouter.
    4. Cliquez deux fois sur OK pour fermer les Options Internet.
  2. Configurez vos navigateurs :

    Windows Internet Explorer

    1. Dans Internet Explorer, sélectionnez OutilsOptions Internet.
    2. Cliquez sur l'onglet Avancé, faites défiler vers le bas jusqu'aux paramètres Sécurité et sélectionnez Activer l'authentification Windows intégrée.
    3. Cliquez sur OK.

    Assurez-vous qu'Internet Explorer peut enregistrer les cookies de la session (Options Internet, Onglet Confidentialité). Dans le cas contraire, ni la SSO ni la connexion standard ne pourront fonctionner.

    Mozilla Firefox

    La configuration suivante permet à Firefox de transmettre correctement le ticket Kerberos à IWA, mais Firefox avertit toujours l'utilisateur de la transition d'une page HTTPS à une page HTTP. Pour résoudre ce problème, déployez IWA en mode HTTPS.

    1. Dans la barre d'adresse de Firefox, saisir : about:config

      Dans les versions 3.x et ultérieures de Firefox, un message d'avertissement s'affiche. Cliquez sur le bouton pour effacer le message et poursuivre.

    2. Lors du chargement de la page de configuration, saisissez ce qui suit dans le champ Rechercher : network.negotiate-auth.trusted-uris
    3. Dans ce champ, indiquez le nom d'hôte du ou des serveurs IWA, en séparant les valeurs multiples par une virgule ',' si deux instances IWA ou plus sont déployées.

      Okta vous recommande de saisir le nom de domaine complet (FQDN) de vos serveurs hôtes IWA. Si vous ne le faites pas, vous devrez également basculer les valeurs suivantes sur TRUE :

      L'ordre n'a pas d'importance si vous saisissez plusieurs noms d'hôte.

      network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn
    4. Faites un clic droit sur la colonne Valeur pour chacun des éléments ci-dessus et basculez la valeur sur True.
    5. Cliquez sur OK.

    Google Chrome

    IWA est automatiquement activé sur Chrome pour Windows et la capacité est pilotée par la liste d'autorisation. Si un site demande à votre navigateur de fournir le ticket Kerberos, le navigateur ne fournit le ticket au site que si le site figure sur une liste d'autorisation.

    La liste d'autorisation est fournie au navigateur au démarrage à l'aide de ce paramètre de ligne de commande :

    --auth-server-allowlist=

    Par exemple :

    --auth-server-allowlist="*hostname.companyname.com"

    Cela indique à Chrome que toute URL se terminant par hostname.companyname.com fait partie de la liste autorisée. Sans le préfixe « * », l'URL doit correspondre exactement.

    La valeur hostname.companyname.com fait référence au serveur hébergeant l'agent IWA Web Okta.

    Si le paramètre de ligne de commande '--auth-server-allowlist' n'est pas spécifié au démarrage, la liste autorisée comprend les serveurs de la zone de sécurité Machine locale ou Intranet local. Ce comportement est cohérent avec celui d'Internet Explorer.

    Pour lancer Chrome sous Windows et fournir ce paramètre de ligne de commande :

    1. Cliquez avec le bouton droit de la souris sur l'icône Chrome de votre bureau ou sélectionnez CommencerTous les programmesGoogle Chrome et cliquez avec le bouton droit de la souris sur Google Chrome, puis sélectionnez Propriétés.
    2. Dans le champ Cible, déplacez le curseur à la fin de la valeur existante et ajoutez le texte de votre nouveau paramètre de ligne de commande.
    3. Cliquez sur OK.

Étapes suivantes

Activer l'agent IWA Web OKTA