Macのエージェントレスデスクトップシングルサインオンにブラウザーを構成する

Apple MacintoshのmacOSは、SafariChromeMicrosoft Edge(Chromium)、Firefoxブラウザーを使ったエージェントレスデスクトップシングルサインオン(ADSSO)をサポートします。

macOSホストがWindowsドメインのメンバーであることを確認してください。macOSホストをWindowsドメインに追加する方法については、「Join your Mac to a network account server」を参照してください。

自社でホスティングしているSign-In Widgetを利用している場合は、「Sign-In Widget による使用が可能なサードパーティ製cookie」で手順を参照してください。

ユーザーが600を超えるセキュリティグループに属している場合、またはKerberosトークンが大きすぎてOktaがそれを受け入れられない場合、ADSSOは機能しません。大規模なKerberosパケットを利用するユーザーがADSSOを実装または移行すると、「400 Bad Request(不正な要求)」応答が表示されます。

Safari

ADSSOは、macOSのSafariで自動的に有効になります。

ChromeにOkta orgのURLを追加する

各コンピューターのChromeを手動で構成できます。ターミナルまたはデバイス管理ソリューションを使用して、ADSSOを使用するすべてのクライアントマシンに構成をプッシュすることもできます。

手動による方法

各コンピューターで次のタスクを実行します。

  1. [Customize and control Google Chrome(Google Chromeのカスタマイズと構成)](右上端に3つのドット)をクリックします。
  2. [Settings(設定)]を選択します。
  3. [Privacy and security(プライバシーとセキュリティ)]を選択します。
  4. [Third-party cookies(サードパーティ製cookie)]をクリックします。
  5. サードパーティ製cookieの使用が許可されるサイトセクションの[Add(追加)]をクリックします。
  6. Okta orgのURLを入力します。モデルとして「org.kerberos.okta.com」という文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。

    カスタムドメインを利用しているときは、CookiesAllowedforURLsというコンテンツ設定にそのURLを追加します。

  7. [Add(追加)]をクリックします。

ターミナルまたはデバイス管理による方法

ADSSOを使用するすべてのクライアントマシンに構成をプッシュするときは、この方法で行います。

モデルとして次のエントリを使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。

defaults write com.google.Chrome AuthServerAllowlist org.kerberos.okta.com

defaults write com.google.Chrome AuthNegotiateDelegateAllowlist org.kerberos.okta.com

Microsoft Edge(Chromium)にOkta orgのURLを入力する

ターミナルまたはデバイス管理ソリューションを使用して、ADSSOを使用するすべてのクライアントマシンに構成をプッシュするようにMicrosoft Edge(Chromium)を構成します。

次のエントリをモデルとして使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。

defaults write com.microsoft.Edge AuthServerAllowlist org.kerberos.okta.com

defaults write com.microsoft.Edge AuthNegotiateDelegateAllowlist org.kerberos.okta.com

Mozilla FirefoxにOkta orgのURLを追加する

各コンピューターでFirefoxを手動で構成します。

  1. Firefox Webブラウザーを開いて[Address(アドレス)]バーに「about:config」を入力し、[Enter]キーを押します。
  2. [Proceed with Caution(注意して続行)]メッセージが表示された場合は、[Accept the Risk and Continue(リスクを受け入れて続行する)]をクリックします。
  3. [Search preference name(設定名を検索)]フィールドに「network.negotiate-auth.trusted-uris」を入力します。
  4. [Edit(編集)]をクリックし、Okta orgのURLを入力します。モデルとして「org.kerberos.okta.com」という文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。
  5. [Save(保存)]をクリックします。

次の手順

エージェントレスデスクトップシングルサインオンを有効にする