Configurer SSL pour l'agent IWA Web Okta

Configurez Secure Socket Layer (SSL) pour garantir une connexion sécurisée entre votre agent IWA Web Okta et les applications cloud. Ceci est important pour la sécurité et il s'agit d'une exigence stricte pour l'authentification sur certaines applications universelles de Windows 10 telles que OneNote et Mail. Consultez Impossible de se connecter à une application Office 2016 sur Windows 10.

Si votre agent IWA Web est installé sur un serveur exécutant Windows 2008 R2, vous devrez peut-être activer TLS 1.2 sur Windows Server 2008 R2.

Acquérir un certificat SSL

Okta recommande d'acquérir un certificat SSL auprès d'une autorité de certification tierce, comme GoDaddy, Verisign ou Digicert. Si vous ne savez pas comment créer une requête de signature de certificat et installer un certificat SSL, consultez la documentation fournie par l'autorité de certification de votre choix. Les guides suivants de sslstore sont des références utiles :

Génération de la requête de signature de certificat pour les certificats SSL

Comment installer un certificat SSL/TLS dans Microsoft IIS 7

Considérations sur la création de certificats :

  • Okta recommande d'acquérir un certificat qui possède un ou plusieurs autres noms du sujet (SAN, Subject Alternate Names). Si le certificat ne contient pas de SAN, les utilisateurs de Firefox et de Chrome rencontrent une erreur lorsque leur navigateur tente de se connecter au site Web de la SSO de bureau.
  • L'URL de redirection IWA doit correspondre à ce qui est saisi dans le CN ou le SAN. Par exemple :
    • Si vous prévoyez d'utiliser le nom d'hôte du serveur comme URL de redirection IWA (par exemple, https://IWAserver/IWA), les valeurs CN ou SAN seront IWAServer.
    • Si vous prévoyez d'utiliser le FQDN du serveur comme URL de redirection IWA (par exemple, https://IWAserver.mycompany.com/IWA), les valeurs CN ou SAN seront IWAserver.mycompany.com.
    • Si la valeur CN ou SAN de votre certificat est IWAserver, une tentative de connexion à https://IWAserver.mycompany.com échouera car l'URL ne correspondra pas à ce qui est spécifié dans le certificat.
  • Si vous prévoyez d'installer la SSO de bureau sur plusieurs serveurs pour assurer un basculement, Okta vous recommande vivement d'acquérir un certificat générique (par exemple : *.mycompany.com) ou un certificat qui contient des entrées SAN pour l'URL de chaque serveur (par exemple : https://IWA1.mycompany.com, https://IWA2.mycompany.com). Cela vous permet d'utiliser le même certificat sur chaque serveur.

Activer SSL

  1. Dans l'Admin Console, accédez à Sécuritéauthentification déléguée.
  2. Faites défiler jusqu'à SSO locale de bureau et cliquez sur Modifier.
  3. Dans la zone Agents IWA, cliquez sur Modifier .
  4. Dans le champ URL de redirection IWA, remplacez http par https dans l'URL.
    Vous devez utiliser la même convention de dénomination pour l'URL de redirection IWA que celle utilisée dans le champ Nom commun. Autrement dit, si vous utilisez le FQDN ou le nom d'hôte dans le champ Nom commun, vous devez également l'utiliser dans l'URL de redirection IWA.
  5. Cliquez sur Enregistrer.

Étapes suivantes

Configurer les règles de routage pour l'agent IWA Web Okta