SSOを使用できるようにMacブラウザーを構成する

IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザータイプの関連情報を確認し、ブラウザーを構成することをお勧めします。

macOS Safari

IWAは、macOSのSafariで自動的に有効になります。macOSホストがWindowsドメインのメンバーであることを確認してください。macOSホストをWindowsドメインに追加する方法の詳細は、Appleサポートドキュメントの、Macをネットワークアカウントサーバーに参加させる方法に関する記事をを参照してください。

Mozilla Firefox

以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。

  1. Firefoxのアドレス・バーにabout:configと入力します。

    Firefox 3.x以降では、注意して続行するように求める警告メッセージが表示されます。

  2. 構成ページが読み込まれたら、[Search(検索)]フィールドに次のように入力します。

    network.negotiate-auth.trusted-uris

  3. このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ「,」で区切られて表示されます。

    複数のホスト名を入力する場合、順序は重要ではありません。

    IWAホスト・サーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。入力しない場合は、次の値をTrueに切り替える必要もあります。

    network.automatic-ntlm-auth.allow-non-fqdn
    network.negotiate-auth.allow-non-fqdn
  4. 上記のそれぞれの[Value(値)]列を右クリックして、値をTrueに切り替えます。
  5. [OK]をクリックします。

Google Chrome

IWA機能は、OS/XのChromeでは自動的に有効になります。Windowsと同様に、この機能は許可リストによって管理されます。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがチケットを提供します。

  1. ターミナルアプリケーションを起動します。
  2. アカウントのKerberosチケットを作成します: kinit user.name@example.com

    user.name@example.comをユーザー名とドメインに置き換え、プロンプトが表示されたらパスワードを入力します。

  3. Chromeの許可リストを構成します。

    $ defaults write com.google.Chrome AuthServerAllowlist "*.example.com"

    $ defaults write com.google.Chrome AuthNegotiateDelegateAllowlist "*.example.com"

    example.comをご使用のドメインに置き換えてください。

macOSでChromeポリシーを管理する方法については、Googleサポートドキュメントの、AuthNegotiateDelegateAllowlistAuthServerAllowlistに関する記事を参照してください。。

次の手順

Okta IWA Webエージェントをアクティブ化する