エージェントレスデスクトップ シングル サインオンを有効にする

  1. 管理コンソールで、[セキュリティー] > に移動します 代理認証
  2. [Agentless Desktop SSO(エージェントレスデスクトップSSO)]にスクロールします。 
  3. [Edit(編集)] をクリックして、DSSOモードを選択します。
    • Off(オフ)
    • Test(テスト) — ダイレクトエージェントレスDSSOエンドポイントURL:https://<myorg>.okta.com/login/agentlessDssoを使用してサインインすることでDSSOをテストできるようにします。
    • On(オン) — 本番環境でのSSOを有効にします。エンドユーザーがデフォルトサインインエンドポイントからサインインし、エージェントレスDSSOを介してエンドポイントにサインインできるようにします。エンドユーザーはDSSO URLで特定のタイプである必要はありません。
  4. Allowed network zones(許可ネットワークゾーン)では、エージェントレスDSSOを実装するマシンに関連付けられているゾーンを追加します。

    :IdP Discovery(IdP検出)がオンであれば、ネットワークゾーンオプションは使用できません。IdP Discovery(IdP検出)とエージェントレスDSSOが共にオンであれば、エージェントレスDSSOネットワークゾーンはIdPルーティング ルールで制御されます。 でデフォルトIdPルーティングルールを更新します。

  5. [AD Instances(ADインスタンス)]で、SPNを設定するActive Directoryインスタンスを選択します。
  6. 下記のフィールドに入力して、選択したActive Directoryドメイン用エージェントレスDSSOを設定します。
    • Desktop SSO(デスクトップSSO) — 本番環境かテストかに応じて[Enabled(有効化)] または [Disabled(無効化)] を選択します。

    • Service account username(サービスアカウントユーザー名) — これは、 で作成したADサインイン名からドメインサフィックスまたはNetbios名プリフィクスを除去したものです。これは、UPNのsAMAccountNameまたはユーザー名部分です。これらは、組織の管理者が異なる値を使用することを選ばない限り、同じ文字列です。

      このフィールドでは大文字と小文字が区別されます。UPNプリフィクスがsAMAccountNameとは異なる場合、サービスアカウントのユーザー名はドメインサフィックスを含むUPNと同じでなければなりません。例:agentlessDsso@mydomain.com

      サービスアカウントユーザー名とADユーザーアカウント名が一致しないと、エージェントレスDSSOは失敗します。その場合、デフォルトサインオン ページに戻され、SysLogにGSS_ERRが表示されます。サービスアカウントユーザー名とADユーザーアカウントでは大文字と小文字が区別され、サービスアカウントでAES暗号化が有効になっている場合には一致する必要があります。

    • Service account password(サービスアカウントのパスワード) — ADで作成したアカウントのパスワード。

    • Validate service account credential on save(サービスアカウント資格情報を保存時に検証) — オプションです。大文字と小文字は区別されません。サービスアカウント資格情報をKerberos領域設定の保存時の任意選択ステップとして検証します。選択した場合、サービスアカウントはADエージェントにより認証されます。資格情報を検証できない場合、エラーメッセージが表示されます。検証したくないか、ADエージェントが応答しないために検証できない場合、ボックスのチェックを外して、検証をスキップできます。
  7. [保存]をクリックします。

次のステップ

デフォルトデスクトップシングルサインオンIDプロバイダーのルーティング ルールの更新