FAQ sur l'authentification unique de bureau sans agent

Oui. Lorsque les deux sont activés et que l'utilisateur tente de se connecter, Oktaessaie d'abord de s'authentifier auprès de la Agentless Desktop SSO. Si cela échoue, il se rabat sur le serveur IWA local.

Non. Vous devez être sur le réseau pour vous connecter via l'Agentless Desktop SSO. Toutefois, si vous utilisez un VPN, l'Agentless Desktop SSO fonctionnera.

N°

Oui. Pour que l'Agentless Desktop SSO fonctionne, l'ordinateur doit être joint à un domaine.

Non. L'Agentless Desktop SSO permet de ne pas avoir besoin d'agents IWA sur vos machines. Ici, la validation Kerberos est réalisée sur les serveurs Okta.

Il s'agit d'un comportement habituel. Lorsque l' utilisateur final se rend sur le navigateur et saisit <myorg>.okta.com, Okta voit que votre org a activé l'Agentless Desktop SSO. Il génère ensuite une demande d'authentification 401 vers votre KDC, qui renvoie un ticket Kerberos vers Okta.

N°

Non. Okta utilise les identificateurs de sécurité (SID) de l'utilisateur afin de le localiser et de l'authentifier. Les deux suffixes n'ont donc pas besoin d'être identiques, parce que la requête est résolue en objet utilisateur avec les SID.

L'Agentless Desktop SSO a-t-elle des limites d'utilisation ?

Pour assurer une haute disponibilité, vous pouvez installer plusieurs agents Web IWAOkta sur des serveurs distincts. Lorsqu'elle est associée à des technologies d'équilibrage de charge régionales, l'installation de plusieurs agents Web à proximité géographique de vos utilisateurs peut améliorer les performances. Exemple : l'activation de la commande de masques de réseau DNS.

Pour obtenir la dernière version de l'agent, dans la Admin Console, accédez à ParamètresTéléchargements.

Il n'est pas nécessaire de désinstaller les agents existants avant de procéder à la mise à niveau vers un nouvel agent. Le programme d'installation conserve des copies de toutes les configurations précédentes en renommant le fichier Web.config existant avec un suffixe d'horodatage (par exemple, web.config.636531690091372202).

Après avoir mis à jour l'agent, vous devez transférer toutes les modifications personnalisées précédentes vers le nouveau fichier de configuration.

Pendant le processus de mise à niveau, l'agent ne sera pas en mesure de traiter les requêtes. Lors de la mise à niveau de l'agent IWA, les utilisateurs verront une page d'erreur 404 ou 500 Dans les environnements comportant plusieurs serveurs IWA, Okta vous recommande de basculer manuellement vers un serveur IWA secondaire pendant la mise à niveau du serveur principal.

Vous pouvez configurer une page d'erreur personnalisée vers laquelle les utilisateurs finaux sont redirigés si Okta ne parvient pas à traiter leur jeton IWA. Cette option est utile si vous intégrez Okta à votre solution et souhaitez contrôler de bout en bout l'image de votre marque pour améliorer l'expérience de l'utilisateur final. La page d'erreur personnalisée que vous indiquez s'applique à tous les utilisateurs IWA de votre organisation.

Les utilisateurs qui se connectent à Okta Classic Engine sont toujours dirigés vers leur domaine personnalisé.