エージェントレスデスクトップシングルサインオンを有効にする
-
Admin Consoleで、に移動します。
- エージェントレスデスクトップSSO までスクロールします。
- 編集(Edit)をクリックし、DSSOモードを選択します。
- オフ(Off)
- テスト(Test):エージェントレスDSSOエンドポイントの直接URL(
https://myorg.okta.com/login/agentlessDsso)を使用してサインインすることで、DSSOをテストできます。 - オン(On):本番環境でSSOを有効にできるようにし、ユーザーがデフォルトのサインインエンドポイントからエージェントレスDSSOサインインエンドポイントを経由してサインインできるようにします。エンドユーザーがDSSO URLを明示的に入力する必要はありません。
- ADインスタンス(AD Instances)で、SPNを構成したActive Directoryインスタンスを選択します。
- 次のフィールドを入力して、選択したActive DirectoryドメインのエージェントレスDSSOを構成します。
-
デスクトップSSO(Desktop SSO) :本番環境を有効にするかテストを有効にするかに応じて、有効(Enabled)または無効(Disabled)を選択します。
-
サービスアカウントのユーザー名(Service account username):ドメインのサフィックスや、Netbios名のプレフィックスのない、Active Directoryのサインオン名です(「サービスアカウントを作成してサービスプリンシパル名を構成する」を参照)。
sAMAccountNameまたはUPNのユーザー名部分を使用できます。org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。このフィールドでは大文字と小文字が区別されます。UPNプレフィックスが
sAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります例:agentlessDsso@mydomain.com。サービスアカウントのユーザー名とActive Directoryユーザーのアカウント名が一致しない場合、エージェントレスDSSOが失敗する可能性があります。この場合は、デフォルトのサインインページに戻され、システムログにGSS_ERRエラーが記録されます。サービスアカウントのユーザー名とActive Directoryユーザーアカウントは、大文字と小文字が区別されます。サービスアカウントでAES暗号化が有効になっている場合は、これらが一致する必要があります。
-
サービスアカウントのパスワード(Service account password):Active Directoryで作成したアカウントのパスワード。
- 保存時にサービスアカウント認証情報を検証する(Validate service account credential on save):任意。大文字と小文字は区別されません。Kerberosレルムの構成を保存する任意の手順として、サービスアカウントの認証情報を検証します。オンになっている場合は、Active Directoryエージェントによってサービスアカウントが認証されます。認証情報を検証できない場合は、エラーメッセージが表示されます。検証を行わない場合、またはActive Directoryエージェントが応答しないために検証できない場合は、チェックボックスをオフにして検証をスキップできます。
-
- 許可されたネットワークゾーン(Allowed network zones)に、エージェントレスDSSOを実装するマシンに関連付けられたゾーンを追加します。 注:
IDプロバイダー(IdP)ディスカバリーがオンの場合、ネットワークゾーンのオプションは使用できません。IdPディスカバリーとエージェントレスDSSOの両方がオンの場合、エージェントレスDSSOネットワークゾーンは、IdPルーティングルールによって制御されます。デフォルトのIdPルーティングルールの更新は、「デスクトップシングルサインオンIDプロバイダーのデフォルトのルーティングルールを更新する」で行います。
- 保存(Save)をクリックします。
次の手順