WindowsでAgentless Desktop Single Sign Onを使用できるようにブラウザーを構成する
Agentless DSSOは、Chrome、ChromiumバージョンのMicrosoft Edge、Internet Explorer、Firefoxを使用するWindowsでサポートされています。以前のバージョンのMicrosoft Edge(レガシー)はサポートされていません。
Agentless DSSO用にWindows環境でブラウザーを構成するには:
- ドメイン内のWindowsサーバーでグループポリシーオブジェクト(GPO)を作成して、ドメイン内のすべてのWindowsクライアントマシンに統合Windows認証とURLの設定を適用します。
- ブラウザーでIWAを有効にします。
- Internet Explorer(IE)のローカルイントラネットにOktaを追加します。OktaのURLにはhttps://<myorg>.kerberos.<okta|oktapreview|okta-emea>.comを含める必要があります。
注:1人のユーザーが600を超えるセキュリティグループのメンバーシップを持っている場合、またはKerberosトークンが大きすぎてOktaが現時点でそれを受け入れられない場合、エージェントレスDSSOは機能しません。大きなKerberosパケットを持つユーザーが、エージェントレスDSSOを実装または移行すると、400の応答が表示され、通常のサインイン・ページにリダイレクトされます。
Internet Explorer
この手順はInternet Explorerに固有のものですが、同様のプロセスを使用してWindowsでChromeとChromium Edgeを構成できます。
- ブラウザーでIWAを有効にします。
- Internet Explorerで、[Settings(設定)]アイコンをクリックし、検索バーで[Internet Options(インターネット・オプション)]を検索します。 の順に選択します。Windows 10以降で、[Start (スタート)]メニューの
- [Advanced(詳細設定)]タブをクリックして、下にスクロールして[Security(セキュリティ)]設定に移動し、[Enable Integrated Windows Authentication(Integrated Windows Authenticationを使用する)]をオンにします。
- [OK]をクリックします。
注:Internet ExplorerでセッションCookieが保存できることを確認します(
タブ)。保存できない場合は、SSOも、標準のサインイン機能も動作しません。 - ローカルイントラネットゾーンを構成してOktaを信頼済みサイトに指定します。
- IEで、 を開きます。
- Okta orgのURLを追加します。例:https://<myorg>.kerberos.<okta|oktapreview|okta-emea>.com。 をクリックして、前の手順で構成した
- [閉じる]をクリックして、ほかの構成オプションでは[OK]をクリックします。
- GPOを作成して、Agentless DSSOを使用するすべてのクライアントマシンに展開します。
Chrome
Okta URLをChromeの許可リストに追加する必要があります。
レジストリに次のエントリを文字列として追加します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] "AuthServerAllowlist"=<myorg>.kerberos.<okta|oktapreview|okta-emea>.com注:<myorg>.kerberos.<okta|oktapreview|okta-emea>.comは、Agentless Desktop Single Sign Onが構成されているOkta orgに置き換えてください。例:acme.kerberos.okta.com。
Firefox
-
Firefox Webブラウザーを開き、アドレスバーに
about:config
と入力します。 - [Proceed with Caution(注意して続行)]メッセージが表示された場合は、[Accept the Risk and Continue(リスクを受け入れて続行する)]をクリックします。
-
[Search preference name(設定名を検索)]フィールドに
network.negotiate-auth.trusted-uris
と入力します。 -
[Edit(編集)]をクリックし、
<myorg>.kerberos.<okta|oktapreview|okta-emea>.com
と入力して、[Save(保存)]をクリックします。