WindowsでAgentless Desktop Single Sign-onを使用できるようにブラウザーを構成する

Agentless DSSOは、Chrome、ChromiumバージョンのMicrosoft Edge、Internet Explorer、Firefoxを使用するWindowsでサポートされています。以前のバージョンのMicrosoft Edge(レガシー)はサポートされていません。

Agentless DSSO用にWindows環境でブラウザーを構成するには:

  • ドメイン内のWindowsサーバーでグループポリシーオブジェクト(GPO)を作成して、ドメイン内のすべてのWindowsクライアントマシンにIntegrated Windows Authentication(IWA)とURLの設定を適用します。
  • ブラウザーでIWAを有効にします。
  • Internet Explorer(IE)のローカルイントラネットにOktaを追加します。OktaのURLにはhttps://<myorg>.kerberos.okta.comを含める必要があります。

注:1人のユーザーが600を超えるセキュリティ・グループのメンバーシップを持っている場合、またはKerberosトークンが大きすぎてOktaが現時点でそれを受け入れられない場合、エージェントレスDSSOは機能しません。大きなKerberosパケットを持つユーザーが、エージェントレスDSSOを実装または移行すると、400の応答が表示され、通常のサインイン・ページにリダイレクトされます。

Internet Explorer

この手順はInternet Explorerに固有のものですが、同様のプロセスを使用してWindowsでChromeとChromium Edgeを構成できます。

  1. ブラウザーでIWAを有効にします。
    1. Internet Explorerで、[Tools(ツール)]>[Internet Options(インターネットオプション)]の順に選択します。Windows 10以降で、[Start(スタート)]メニューの[Settings(設定)]アイコンをクリックし、検索バーで[Internet Options(インターネット・オプション)]を検索します。
    2. [Advanced(詳細設定)]タブをクリックして、[Security(セキュリティ)]設定まで下にスクロールし、[Enable Integrated Windows Authentication(Integrated Windows Authenticationを使用する)]をオンにします。
    3. [OK]をクリックします。

    :Internet ExplorerでセッションCookieが保存できることを確認します([Internet Options(インターネット・オプション)]>[Privacy(プライバシー)]タブ)。保存できない場合、SSOも、標準のサインイン機能も動作しません。

  2. ローカル・イントラネット・ゾーンを構成してOktaを信頼済みサイトに指定します。
    1. IEで、[Options(オプション)]>[Security(セキュリティ)]を開きます。
    2. [Local Intranet(ローカルイントラネット)]>[Sites(サイト)]>[Advanced(詳細設定)]をクリックして、前の手順で構成したOkta orgのURLを追加します。例: https://<myorg>.kerberos.okta.com
    3. [Close(閉じる)]をクリックして、ほかの構成オプションでは[OK]をクリックします。
  3. GPOを作成して、Agentless DSSOを使用するすべてのクライアントマシンに展開します。

Chrome

Ookta URLをChromeの許可リストに追加する必要があります。

  1. Google Chromeのエージェントレス・デスクトップ・シングル・サインオンに次のレジストリ・エントリを追加します。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]

    "DisableAuthNegotiateCnameLookup"=dword:00000001

  2. レジストリに次のエントリを文字列として追加します。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]

    "AuthServerAllowlist"=org.kerberos.okta.com

注:org.kerberos.okta.comを、エージェントレス・デスクトップ・シングル・サインオンが構成されているOkta orgに置き換えてください。例:acme.kerberos.okta.com。

Firefox

  1. Firefox Webブラウザーを開き、アドレスバーにabout:configと入力します。
  2. [Proceed with Caution(注意して続行)]メッセージが表示された場合は、[Accept the Risk and Continue(リスクを受け入れて続行する)]をクリックします。
  3. [Search preference name(設定名を検索)]フィールドにnetwork.negotiate-auth.trusted-urisと入力します。
  4. [Edit(編集)]をクリックし、<org>.kerberos.okta.comと入力して、[Save(保存)]をクリックします。

次の手順

Agentless Desktop Single Sign-onを有効にする