Active Directoryデスクトップ シングル サインオン前提条件

以下に、新しいデスクトップ シングル サインオン(DSSO)設定を実装する、または既存のDSSO 設定から移行するための前提条件を示します。

  • OktaエージェントレスDSSOにはOktaエージェントレスDSSOにはAES暗号化タイプ(AES128_HMAC_SHA1、AES256_HMAC_SHA1)が必要です。RC4暗号化はサポートされていません。

    AES128/256暗号化をエージェントレスDSSOまたはMSアプリのサイレントアクティベーションで使用するには、ADドメインとOkta DSSOのサービスアカウント用にAESを有効にする必要があります。それがADドメイン用に有効になっていないと、KerberosイベントログにKerberosエラーKDC_ERR_ETYPE_NOTSUPPが表示されます。暗号化を有効にするには、「Kerberos対応暗号化タイプ」を参照してください。

  • すべてのサインインフローおよびブラウザブックマークが正しいURLを使用することを確認します。
  • ADサービスアカウント。このサービスアカウントの場合:
    • ドメイン管理者アカウントでなく、OktaテナントKerberosサービス用ドメインユーザーアカウント。これはセキュリティ上のベストプラクティスです。
    • ログオン先制限がオンで、架空のホスト名とアカウントがAccount is sensitive and cannot be delegated(アカウントが機密で委託できない)とマークされている。これはセキュリティ上のベストプラクティスです。
  • DelAuthページを更新するためのOktaスーパー管理者許可がある。アプリ管理者は、ADを管理するためのアクセス権が付与された場合に十分な許可がある場合もあります。