SSOを使用できるようにWindowsブラウザーを構成する

IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザータイプの関連情報を確認し、ご使用の環境で適切である場合は、説明に従ってブラウザーを構成することをお勧めします。Okta

Microsoft Edgeブラウザーはサポートされていません。

1. OktaテナントのURLと、デスクトップSSO IWA WebエージェントをホストするサーバーのURLを信頼できるゾーンに追加します。
   注:

   hostname.companyname.comというURLは、当該サーバーの完全修飾ドメイン名です。例：my-iis7-host.corp.acme.com。このURLを［Trusted Sites zone（信頼済みサイトのゾーン）］に信頼済みサイトとして表示するだけでは不十分です。

   ほとんどの組織は、ユーザーのインターネットオプションでこの設定を構成するためにグループポリシーをセットアップしています。

   1. Windowsのコントロールパネル（Control Panel）で、ネットワークとインターネット（Network and Internet） > インターネットオプション（Internet Options） > セキュリティ（Security） > ローカルイントラネット（Local intranet） > サイト（Sites） > 詳細設定（Advanced）を選択します。
   2. このWebサイトをゾーンに追加する（Add this website to the zone）フィールドに次のように入力します。

      必要に応じて、https://hostname.companyname.comまたはhttp://hostname.companyname.comおよびhttps://_subdomain_.okta.comまたはhttps://_subdomain_.okta-emea.comまたはhttps://_subdomain_.oktapreview.comまたはhttps://_subdomain_.okta-gov.com。

   3. 追加（Add）をクリックします。
   4. OKを2回クリックして、［Internet Options（インターネットオプション）］を閉じます。
2. ブラウザーを構成します。

   Windows Internet Explorer

   1. Internet Explorerで、ツール（Tools） > インターネットオプション（Internet Options）の順に選択します。
   2. 詳細設定（Advanced）タブをクリックして、下にスクロールしてセキュリティ（Security）設定に移動し、統合Windows認証を有効にする（Enable Integrated Windows Authentication）をオンにします。
   3. OKをクリックします。

   Internet ExplorerがセッションCookieを保存できることを確認します（インターネットオプション（Internet Options） > プライバシー（Privacy）タブ）。保存できない場合は、SSOも、標準のサインイン機能も動作しません。

   Mozilla Firefox

   以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。

   1. Firefoxの アドレスバーにabout:configと入力します。

      Firefoxバージョン3.x以降では、警告メッセージが表示されます。ボタンをクリックしてメッセージを消去し、続行します。

   2. 構成ページが読み込まれたら、検索（Search）フィールドに次のように入力します。

      network.negotiate-auth.trusted-uris

   3. このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ','で区切られて表示されます。

      IWAホストサーバーの完全修飾ドメイン名（FQDN）を入力することをお勧めします。Okta入力しない場合は、次の値をTrueに切り替える必要もあります。

      複数のホスト名を入力する場合、順序は重要ではありません。

      network.automatic-ntlm-auth.allow-non-fqdn

      network.negotiate-auth.allow-non-fqdn

   4. 上記のそれぞれの値（Value）列を右クリックして、値をTrueに切り替えます。
   5. OKをクリックします。

   Google Chrome

   IWAはChrome for Windowsでは自動的に有効になり、機能は許可リスト主導になります。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがサイトにチケットを提供します。

   許可リストは、起動時に次のコマンドラインパラメーターを使用することでブラウザーに提供されます。

   --auth-server-allowlist=

   例：

   --auth-server-allowlist="*hostname.companyname.com"

   これにより、hostname.companyname.comで終わるURLが許可リストに含まれていることがChromeに通知されます。'*'プレフィックスを付けない場合、URLは完全に一致する必要があります。

   hostname.companyname.comという値は、Okta IWA Webエージェントをホストしているサーバーを示します。

   '--auth-server-allowlist'というコマンドラインパラメーターが起動時に指定されていないと、許可リストにはローカルマシンまたはローカルインターネットセキュリティゾーン内のサーバーが含まれます。この動作はInternet Explorerと一致しています。

   WindowsでChromeを起動し、このコマンドラインパラメーターを指定するには、次の手順を実行します。

   1. デスクトップのChromeアイコンを右クリックするか、スタート（Start） > すべてのプログラム（All Programs） > Google Chrome を選択して Google Chrome を右クリックし、プロパティ（Properties）を選択します。
   2. 対象（Target）フィールドで、既存の値の末尾にカーソルを移動し、新しいコマンドラインパラメーターのテキストを追加します。
   3. OKをクリックします。

次の手順

Okta IWA Webエージェントをアクティブ化する