Active Directoryデスクトップシングルサインオンとジャストインタイムプロビジョニングについて

環境にオンプレミスまたはAgentless Desktop Single Sign On(DSSO)を実装する場合、ジャストインタイム(JIT)プロビジョニングを使ってユーザーをインポートする際のプロセスフローは次のようになります。

  • オンプレミスDSSOの場合、IWAはOktaにユニバーサルプリンシパル名(UPN)を送信します。OktaはUPNを使用してユーザーを探します。Kerberosの検証はIIS側で行われるため、Oktaはユーザー認証を実行しません。
  • エージェントレスDSSOの場合、WebブラウザーはKerberosチケットをOktaに送信し、Okta Active Directory(AD) Agentに依存してUPNを検索します。Kerberosの検証はOktaのクラウドで行われます。

ユーザーがDSSOを使用してサインインする場合:

  • If their information is already imported and active in(ユーザーの情報がすでにOktaにインポートされアクティブになっている場合)OktaはUPNを使用してユーザーを検索します。Oktaでユーザーが見つかると、Active Directory(AD)からプロファイルが再度読み込まれ、ユーザーは正常にサインインできるようになります。
  • If their information has been imported but isn't yet active in(ユーザーの情報がOktaにインポートされたが、まだアクティブになっていない場合)OktaはUPNを使用してユーザーを検索します。Oktaでユーザーが見つかると、ADからユーザープロファイルが読み込まれ、ユーザーがアクティブ化されて、ユーザーは正常にサインインできるようになります。
  • If their information hasn't been imported into Okta and JIT is enabled(ユーザーの情報がOktaにインポートされておらず、JITが有効になっている場合)OktaはUPNを使用してユーザーを検証します。Oktaユーザーの名前がUPN以外の形式である場合、Okta はこの設定を無視してUPN検証を使用します。その他の形式には、メールアドレスやSamAccountNameなどがあります。
  • If their information has not been imported into Okta and JIT is off(ユーザーの情報がOktaにインポートされておらず、JITがオフの場合):ユーザーのサインイン試行は失敗します。
  • If a custom username format is used(カスタムユーザー名形式を使用する場合):新規ユーザーがカスタムユーザー名の形式とJITを使ってサインインする場合、OktaはADユーザーの検証に以前使用されていた認証方式を使用します。以前の認証方式には、UPN、SAMAccountName、メールなどがあります。既存ユーザーの場合、カスタム設定は無視され、ADユーザーの検証にUPNが使用されます。