Active Directoryデスクトップ シングル サインオンの既知の問題
新しいデスクトップ シングル サインオン(DSSO)設定を実装する、または既存のDSSO 設定から移行する際の既知の問題には、以下のようなものがあります。
- エージェントレスDSSOは、ユーザーの1人が600より多くのセキュリティグループのメンバーである場合には機能しません。600より多くのセキュリティグループのメンバーであるユーザーがエージェントレスDSSOを実装するかそれに移行すると、レスポンスコード400が返され、通常のサインインページにリダイレクトされます。
- Windows機能レベル2008以下にはよりセキュリティレベルの低い暗号化RC4が使用されます。Oktaでは、Windows機能レベル2008以上にアップグレードして、最もセキュアな暗号化アルゴリズムを使用するようにしてください。
- エージェントレスDSSOを再有効化する場合、IDプロバイダー(IDP)ルーティング ルールを手動で再アクティベートする必要があります。
- 代理認証が無効になっており、[Don't create Okta password(Oktaパスワードを作成しない)]が選択されていると、エージェントレスDSSOは機能しません。代理認証の詳細は、「代理認証」を参照してください。
- 自動DSSO フェイルオーバーに使用されるデフォルトサインイン ページはHTMLカスタマイズをサポートしません。
- IDプロバイダー(IdP)カスタマーエラーページと組織のURLが同じである場合には、リダイレクトの無限ループが発生します。
- サービスアカウントユーザー名とActive Directoryユーザーアカウント名が一致しないと、エージェントレスDSSOは失敗します。その場合、デフォルトサインオン ページに戻され、syslogにGSS_ERRが表示されます。サービスアカウントユーザー名とActive Directoryユーザーアカウント名では大文字と小文字が区別されます。
- RC4_HMAC_MD5暗号化はADSSOとOffice 365のサイレント アクティベーションではサポートされていません。ADSSOやOffice 365のサイレント アクティベーションを使用する場合、OktaではAES 128ビット(AES-128)またはAES 256ビット(AES-256)暗号化を推奨しています。AES暗号化を実装してKDC_ERR_ETYPE_NOTSUPPエラーがWindowsイベントビューアに表示される場合、「Kerberos Unsupported eタイプエラー」を参照してください。
- Microsoft Edge(レガシー)はサポートされていません。新しいChromiumベースのEdgeはサポートされています。
- Microsoft Teams versions 4.0.8.0以降はサポートされています。