SSOを使用できるようにWindowsブラウザーを構成する

IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザー・タイプの関連情報を確認し、ご使用の環境で適切である場合は、説明に従ってブラウザーを構成することをお勧めします。

Microsoft Edgeブラウザーはサポートされていません。

  1. OktaテナントのURLと、デスクトップSSO IWA WebエージェントをホストするサーバーのURLを信頼できるゾーンに追加します。

    hostname.companyname.comというURLは、当該サーバーの完全修飾ドメイン名です。たとえば、my-iis7-host.corp.acme.comのようになります。このURLを[Trusted Sites zone(信頼済みサイトのゾーン)]に信頼済みサイトとして表示するだけでは不十分です。

    ほとんどの組織は、ユーザーのインターネット・オプションでこの設定を構成するためにグループ・ポリシーを設定しています。

    1. Windowsの[Control Panel(コントロール・パネル)]で、[Network and Internet(ネットワークとインターネット)]>[Internet Options(インターネット・オプション)]>[Security(セキュリティー)]>[Local intranet(ローカル・イントラネット)]>[Sites(サイト)]>[Advanced(詳細設定)]の順に選択します。
    2. [Add this website to the zone(このWebサイトをゾーンに追加する)]フィールドに次のように入力します。

      必要に応じて、https://hostname.companyname.comまたはhttp://hostname.companyname.comおよびhttps://_subdomain_.okta.comまたはhttps://_subdomain_.okta-emea.comまたはhttps://_subdomain_.oktapreview.comまたはhttps://_subdomain_.okta-gov.com

    3. [Add(追加)]をクリックします。
    4. [OK]を2回クリックして、[Internet Options(インターネット・オプション)]を閉じます。
  2. ブラウザーを構成します。

    Windows Internet Explorer

    1. Internet Explorerで、[Tools(ツール)]>[Internet Options(インターネットオプション)]の順に選択します。
    2. [Advanced(詳細設定)]タブをクリックして、[Security(セキュリティ)]設定まで下にスクロールし、[Enable Integrated Windows Authentication(Integrated Windows Authenticationを使用する)]をオンにします。
    3. [OK]をクリックします。

    Internet Explorerがセッションクッキーを保存できることを確認します([Internet Options(インターネットオプション)]>[Privacy(プライバシー)]タブ)。保存できない場合、SSOも、標準のサインイン機能も動作しません。

    Mozilla Firefox

    以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。

    1. Firefoxのアドレス・バーにabout:configと入力します。

      Firefoxバージョン3.x以降では、警告メッセージが表示されます。ボタンをクリックしてメッセージを消去し、続行します。

    2. 構成ページが読み込まれたら、[Search(検索)]フィールドに次のように入力します。 network.negotiate-auth.trusted-uris
    3. このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ「,」で区切られて表示されます。

      IWAホスト・サーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。入力しない場合は、次の値をTrueに切り替える必要もあります。

      複数のホスト名を入力する場合、順序は重要ではありません。

      network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn
    4. 上記のそれぞれの[Value(値)]列を右クリックして、値をTrueに切り替えます。
    5. [OK]をクリックします。

    Google Chrome

    IWAはChrome for Windowsでは自動的に有効になり、機能は許可リスト主導になります。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがサイトにチケットを提供します。

    許可リストは、起動時に次のコマンドライン・パラメーターを使用することでブラウザーに提供されます。

    --auth-server-whitelist=

    例:

    --auth-server-whitelist="*hostname.companyname.com"

    これにより、hostname.companyname.comで終わるURLが許可リストに含まれていることがChromeに通知されます。「*」プレフィックスを付けない場合、URLは完全に一致する必要があります。

    hostname.companyname.comという値は、OktaIWA Webエージェントをホストしているサーバーを示します。

    起動時に「--auth-server-whitelist」コマンドライン・パラメーターが指定されていない場合、許可リストには、ローカル・マシンまたはローカル・イントラネットのセキュリティー・ゾーン内のサーバーが含まれます。この動作はInternet Explorerと一致しています。

    WindowsでChromeを起動し、このコマンドライン・パラメーターを指定するには、次の手順を実行します。

    1. デスクトップのChromeアイコンを右クリックするか、[Start(スタート)]>[All Programs(すべてのプログラム)]>[Google Chrome]を選択して[Google Chrome]を右クリックして、[Properties(プロパティ)]を選択します。
    2. [Target(対象)]フィールドで、既存の値の末尾にカーソルを移動し、新しいコマンドライン・パラメーターのテキストを追加します。
    3. [OK]をクリックします。

次の手順

Okta IWA Webエージェントをアクティブ化する