SSO用にMacブラウザを設定する
ブラウザを設定しないことを選択してもIWA SSOは可能かもしれませんが、Oktaはブラウザタイプの関連情報をレビューしてから、ブラウザを設定することを推奨します。
OS/X Safari
IWAはOS/XのSafariで自動的に有効化されます。 OS/XのホストがWindowsドメインメンバーであることを確認してください。 Macintosh OS/XホストをWindowsドメインに追加する方法は、 「OS X Mountain Lion:Macをネットワークアカウントサーバーに追加する」という記事をお読みください。
Mozilla Firefox
次の設定ではFirefoxが適切にKerberosチケットをIWAで渡すことができますが、それでもFirefoxはユーザーにHTTPSページからHTTPページへの切り替えについて警告します。この問題を解決するには、IWAをHTTPSモードでデプロイします。
- Firefoxアドレスバーで、 about:configと入力します。
注: Firefox3.x以降では、注意を促す警告メッセージが表示されます。
- 設定ページが読み込まれたら、以下を 検索 フィールド に入力します。
network.negotiate-auth.trusted-uris
- 複数IWAインスタンスがデプロイされる場合、このフィールドにIWAサーバーのホスト名がコンマ ',' 区切りで表示されます。
注:複数のホスト名を入力する場合、入力順は問題になりません。
Oktaでは、IWAホスト サーバーの完全修飾ドメイン名(FQDN) を入力することを推奨しています。そうしないと、以下の値をTRUEにトグルすることも必要になります。
network.automatic-ntlm-auth.allow-non-fqdn
network.negotiate-auth.allow-non-fqdn
- 上記のそれぞれの[value(値)] を右クリックして、値をTrueにします。
- [OK]をクリックします。
Google Chrome
Windowsと同様、OS/X上のChromeでは、IWA機能は自動的に有効になっており、許可リストに従って機能します。サイトがブラウザにKerberosチケットを提供することを求めた場合、そのサイトが許可リストにある場合にのみブラウザはチケットを提供します。
- 端末アプリケーションを起動します。
- アカウント用のKerberosチケットを作成します。
kinit username@example.com
username@example.comをあなたのユーザー名とドメイン名で置き換え、プロンプトに応じてパスワードを入力します。
- Chrome許可リストを設定します。
$ defaults write com.google.Chrome AuthServerWhitelist "*.example.com"
$ defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.example.com"
example.comをドメイン名で置き換えます。