Active Directoryデスクトップ・シングル・サインオンとジャストインタイム・プロビジョニングについて

環境にオンプレミスまたはAgentless Desktop Single Sign-on(DSSO)を実装する場合、ジャストインタイム(JIT)プロビジョニングを使用してユーザーをインポートするときのプロセスフローは次のようになります。

  • オンプレミスDSSOの場合、IWAはOktaにユニバーサル・プリンシパル名(UPN)を送信します。OktaはUPNを使用してユーザーを探します。Kerberosの検証はIIS側で行われるため、Oktaはユーザー認証を実行しません。
  • エージェントレスDSSOの場合、WebブラウザーはKerberosチケットをOktaに送信し、Okta Active Directory(AD)エージェントに依存してUPNを検索します。Kerberosの検証はOktaのクラウドで行われます。

ユーザーがDSSOを使用してサインインするとき:

  • ユーザーの情報がすでにOktaにインポートされアクティブになっている場合OktaはUPNを使用してユーザーを検索します。Oktaでユーザーが見つかると、Active Directory(AD)からプロファイルが再度読み込まれ、ユーザーが正常にサインインできるようになります。
  • ユーザーの情報がOktaにインポートされたが、まだアクティブになっていない場合OktaはUPNを使用してユーザーを検索します。Oktaでユーザーが見つかると、ADからユーザープロファイルが読み込まれ、ユーザーがアクティブ化されて、ユーザーが正常にサインインできるようになります。
  • ユーザーの情報がOktaにインポートされておらず、JITが有効になっている場合OktaはUPNを使用してユーザーを検証します。Oktaユーザー名の形式がUPNでなく、メールアドレスやSamAccountNameなどの別の形式が使用されている場合、この設定は無視され、UPNが検証に使用されます。
  • ユーザーの情報がOktaにインポートされておらず、JITがオフの場合:ユーザーのサインイン試行が失敗します。
  • カスタムユーザー名形式を使用する場合:JITでカスタムユーザー名形式が使用され、新規ユーザーがサインインした場合は、以前使用された認証方法(UPN、SAMAccountName、またはE メール)がADユーザーの検証に使用されます。既存のユーザーの場合、カスタム設定は無視され、ADユーザーの検証にUPNが使用されます。