Active Directoryデスクトップ シングル サインオンとジャストインタイム プロビジョニングについて

以下オンプレミスで実装するか、自社環境にエージェントレスデスクトップシングルサインオン(DSSO)を実装する場合、ジャストインタイム(JIT)プロビジョニングを使用してユーザーをインポートした場合のプロセスです。

  • オンプレミスDSSOの場合、IWAはOktaにユニバーサルプリンシパル名(UPN)を送信します。OktaはそのUPNを使ってユーザーの場所を特定します。Kerberos検証はIIS側で行われるため、Oktaはユーザー認証を行いません。
  • エージェントレスDSSOの場合、WebブラウザはKerberosチケットをOktaに送信し、UPNの検索はOkta Active Directory(AD)エージェントに依存します。Kerberos検証はOktaからクラウドで行われれます。

ユーザーがDSSOを使用してサインインした場合:

  • ユーザーの情報が既にOktaにインポートされてアクティブな場合: OktaはUPN を使用してユーザーを探します。 Oktaがユーザーを見つけると、Active Directory(AD)からプロファイルが再ロードされてユーザーはサインインに成功します。
  • ユーザーの情報がOktaにインポートされているがまだアクティブでない場合: OktaはUPN を使用してユーザーを探します。Oktaがユーザーを見つけると、ADからプロファイルがロードされてユーザーはサインインに成功します。
  • ユーザーの情報がOktaにインポートされておらず、JIが有効な場合: OktaはUPNを使用してユーザーを検証します。Oktaユーザー名形式がUPNでなく、メールアドレスやSamAccountNameが使用されている場合、この設定は無視されUPNが検証に使用されます。
  • その情報がOktaにインポートされておらず、JIT がオフの場合: サインインに失敗します。
  • カスタムユーザー名形式が使用されている場合:カスタムユーザー名がJITと共に使用されており、新しいユーザーがサインインすれば、前に使用された認証方法(UPN、SAMAccountName、またはメール)がADユーザー認証に使用されます。既存のユーザーの場合、カスタム設定は無視され、UPNがADユーザー認証に使用されます。