SSOを使用できるようにWindowsブラウザーを構成する

IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザー・タイプの関連情報を確認し、ご使用の環境で適切である場合は、説明に従ってブラウザーを構成することをお勧めします。

Microsoft Edgeブラウザーはサポートされていません。

  1. OktaテナントのURLと、デスクトップSSO IWA WebエージェントをホストするサーバーのURLを信頼できるゾーンに追加します。

    注: URL hostname.companyname.com は、当該サーバーの完全修飾ドメイン名です。 たとえば、 my-iis7-host.corp.acme.comのようになります。このURLを[信頼済みサイトのゾーン]に信頼済みサイトとして表示するだけでは不十分です。

    ほとんどの組織は、ユーザーのインターネット・オプションでこの設定を構成するためにグループ・ポリシーを設定しています。

    1. Windowsの [コントロール パネル] で、 [ネットワークとインターネット] > [インターネット オプション] > [セキュリティー] > [ローカル イントラネット] > [サイト] > [詳細設定]の順に選択します。
    2. [この Web サイトをゾーンに追加する] フィールドに次のように入力します。

      https://hostname.companyname.comまたはhttp://hostname.companyname.com

      および

      必要に応じて、https://_subdomain_.okta.comまたはhttps://_subdomain_.okta-emea.com、あるいはhttps://_subdomain_.oktapreview.com

    3. [追加]をクリックします。
    4. [OK]を2回クリックして、[インターネット オプション]を閉じます。
  2. ブラウザーを構成します。

    Windows Internet Explorer

    1. Internet Explorerで、 [ツール] > [インターネット オプション]の順に選択します。
    2. [詳細設定]タブをクリックして、[セキュリティー]設定まで下にスクロールし、 [統合 Windows 認証を使用する]をオンにします。
    3. [OK]をクリックします。

    Internet ExplorerでセッションCookieが保存できることを確認します([インターネット オプション] > [プライバシー]タブ)。保存できない場合、SSOも、標準のサインイン機能も動作しません。

    Mozilla Firefox

    以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。

    1. Firefoxのアドレス・バーに about:configと入力します。

      Firefoxバージョン3.x以降では、警告メッセージが表示されます。ボタンをクリックしてメッセージを消去し、続行します。

    2. 構成ページが読み込まれたら、[検索]フィールドに次のように入力します。
      network.negotiate-auth.trusted-uris
    3. このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ 「,」 で区切られて表示されます。

      IWAホスト・サーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。 入力しない場合は、次の値をTrueに切り替える必要もあります。

      複数のホスト名を入力する場合、順序は重要ではありません。

      network.automatic-ntlm-auth.allow-non-fqdn
      network.negotiate-auth.allow-non-fqdn
    4. 上記のそれぞれの[値]列を右クリックして、値をTrueに切り替えます。
    5. [OK]をクリックします。

    Google Chrome

    IWAはChrome for Windowsでは自動的に有効になり、機能は許可リスト主導になります。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがサイトにチケットを提供します。

    許可リストは、起動時に次のコマンドライン・パラメーターを使用することでブラウザーに提供されます。

    --auth-server-whitelist=

    例:

    --auth-server-whitelist="*hostname.companyname.com"

    これにより、 hostname.companyname.com で終わるURLが許可リストに含まれていることがChromeに通知されます。 「*」 プレフィックスを付けない場合、URLは完全に一致する必要があります。

    hostname.companyname.com という値は、Okta IWA Webエージェントをホストしているサーバーを示します。

    起動時に 「--auth-server-whitelist」 コマンドライン・パラメーターが指定されていない場合、許可リストには、ローカル・マシンまたはローカル・イントラネットのセキュリティー・ゾーン内のサーバーが含まれます。この動作はInternet Explorerと一致しています。

    WindowsでChromeを起動し、このコマンドライン・パラメーターを指定するには、次の手順を実行します。

    1. デスクトップのChromeアイコンを右クリックするか、 [スタート] > [すべてのプログラム] > [Google Chrome] を選択して [Google Chrome]を右クリックして、 [プロパティ]を選択します。
    2. [対象] フィールドで、既存の値の末尾にカーソルを移動し、新しいコマンドライン・パラメーターのテキストを追加します。
    3. [OK]をクリックします。

次の手順

Okta IWA Webエージェントをアクティブ化する