Agentless Desktop Single Sign-onを有効にする

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]に移動します。
  2. [Agentless Desktop SSO(エージェントレスデスクトップSSO)]までスクロールします。
  3. [Edit(編集)]をクリックし、DSSOモードを選択します。
    • オフ
    • [Test(テスト)]:エージェントレスDSSOエンドポイントの直接URL(https://<myorg>.okta.com/login/agentlessDsso)を使用してサインインすることで、DSSOをテストできます。
    • [On(オン)]:本番環境でSSOを有効にできるようにし、ユーザーがデフォルトのサインインエンドポイントからエージェントレスDSSOサインインエンドポイントを経由してサインインできるようにします。エンドユーザーがDSSO URLを明示的に入力する必要はありません。
  4. [Allowed network zones(許可されたネットワークゾーン)]に、Agentless DSSOを実装するマシンに関連付けられたゾーンを追加します。

    :IDプロバイダー(IdP)ディスカバリーがオンの場合、ネットワークゾーンのオプションは使用できません。IdPディスカバリーとAgentless DSSOの両方がオンの場合、Agentless DSSOネットワークゾーンは、IdPルーティングルールによって制御されます。デフォルトのIdPルーティングルールの更新は、「デスクトップシングルサインオンIDプロバイダーのデフォルトのルーティングルールを更新する」で行います。

  5. [AD Instances(ADインスタンス)]で、サービスプリンシパル名(SPN)を構成したActive Directoryインスタンスを選択します。
  6. 次のフィールドを入力して、選択したActive DirectoryドメインのAgentless DSSOを構成します。
    • [Desktop SSO(デスクトップSSO)]:本番環境を有効にするかテストを有効にするかに応じて、[Enabled(有効)]または[Disabled(無効)]を選択します。

    • [Service account username(サービスアカウントのユーザー名)]:これは「サービスアカウントを作成して、サービスプリンシパル名を構成する」で作成した、ドメインのサフィックスやNetBIOS名のプレフィックスのないADサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。Org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。

      このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例:agentlessDsso@mydomain.com

      サービスアカウントのユーザー名とADユーザーのアカウント名が一致しない場合は、Agentless DSSOが失敗する可能性があります。この場合は、デフォルトのサインオンページに戻り、GSS_ERRエラーがSysLogに表示されます。サービスアカウントのユーザー名とADユーザーアカウントは、大文字と小文字が区別されます。サービスアカウントでAES暗号化が有効になっている場合は、これらが一致する必要があります。

    • [Service account password(サービスアカウントのパスワード)]:ADで作成したアカウントのパスワード。

    • [Validate service account credential on save(保存時にサービスアカウント認証情報を検証する)]:オプション。大文字と小文字は区別されません。Kerberosレルム構成を保存する際のオプションの手順として、サービスアカウントの認証情報を検証します。オンになっている場合は、ADエージェントによってサービスアカウントが認証されます。認証情報を検証できない場合は、エラーメッセージが表示されます。検証を行わない場合、またはADエージェントが応答しないために検証できない場合は、チェックボックスをオフにして検証をスキップできます。
  7. [Save(保存)]をクリックします。

次の手順

デスクトップシングルサインオンIDプロバイダーのデフォルトのルーティングルールを更新する