SSO用のWindowsブラウザの設定

ブラウザを設定しないことを選択してもIWA SSOは可能かもしれませんが、Oktaはブラウザタイプの関連情報をレビューしてから、環境に適切な場合には説明通りにブラウザを設定することを推奨します。

Microsoft Edgeブラウザはサポートされていません。

  1. OktaテナントのURL とデスクトップSSO IWA WebエージェントをホストするサーバーのURLを信頼されているゾーンに追加します。

    注:hostname.companyname.com というURLはそのサーバーの完全修飾ドメイン名です。 例: my-iis7-host.corp.acme.com このURLが信頼済みサイトゾーンに信頼済みサイトとして含まれているだけでは不十分です。

    ほとんどの組織はグループ ポリシーをセットアップし、ユーザーインターネットオプション内でこの設定を設定します。

    1. Windows [コントロールパネル] で、 [ネットワークとインターネット] > [インターネット オプション] > [セキュリティ] > [ローカル イントラネット] > [サイト] > [詳細設定]の順に選択します。
    2. [この Web サイトをゾーンに追加する] フィールドに、以下を入力します。

      https://hostname.companyname.com または http://hostname.companyname.com

      および

      適宜https://_subdomain_.okta.com または https://_subdomain_.okta-emea.com または https://_subdomain_.oktapreview.com

    3. [追加]をクリックします。
    4. [OK]を2度クリックして[インターネットオプション]を閉じます。
  2. ブラウザを設定します。

    Windows Internet Explorer

    1. Internet Explorerで [選択] [ツール]> [インターネット] [オプション]の順に選択します。
    2. [詳細設定]タブをクリックし、[セキュリティ]設定まで下方にスクロールして、 [統合 Windows 認証を使用する] [認証]を選択します。
    3. [OK]をクリックします。

    Internet Explorerが セッションクッキーを保存できることを確認します([インターネットオプション]>[プライバシー]タブ)。保存できない場合、SSOも標準サインインも行えません。

    Mozilla Firefox

    次の設定ではFirefoxが適切にKerberosチケットをIWAで渡すことができますが、それでもFirefoxはユーザーにHTTPSページからHTTPページへの切り替えについて警告します。この問題を解決するには、IWAをHTTPSモードでデプロイします。

    1. Firefoxアドレスバーで about:configと入力します。

      Firefoxバージョン3.x以降では、警告メッセージが表示されます。ボタンをクリックして、メッセージをクリアし、先に進みます。

    2. 設定ページが読み込まれたら、検索フィールドに
      network.negotiate-auth.trusted-uris
      と入力します。
    3. 複数IWAインスタンスがデプロイされる場合、このフィールドにIWAサーバーのホスト名がコンマ ',' 区切りで表示されます。

      Oktaでは、IWAホスト サーバーの完全修飾ドメイン名(FQDN) を入力することを推奨しています。そうしないと、以下の値をTRUEにトグルすることも必要になります。

      複数のホスト名を入力する場合、入力順は問題になりません。

      network.automatic-ntlm-auth.allow-non-fqdn
      network.negotiate-auth.allow-non-fqdn
    4. 上記のそれぞれの[value(値)] を右クリックして、値をTrueにします。
    5. [OK]をクリックします。

    Google Chrome

    Chrome for WindowsではIWAは自動的に有効になっており、この機能は許可リストに基づきます。ブラウザがサイトからKerberosチケットを提供するように求められると、ブラウザは許可リストにあるサイトにのみチケットを提供します。

    許可リストは、接続時にコマンドラインパラメータを使用してブラウザに提供されます。

    --auth-server-whitelist=

    例:

    --auth-server-whitelist="*hostname.companyname.com"

    これは、 hostname.companyname.com で終わるURLはすべて許可リストに含まれていることをChromeに知られます。 '*' プリフィクスがない場合はURLが完全に一致する必要があります。

    hostname.companyname.com という値はOktaIWA Webエージェントをホストするサーバーを示します。

    '--auth-server-whitelist' というコマンドラインパラメーターが起動時に指定されていないと、許可リストにはローカルマシンまたはローカルインターネットセキュリティゾーン内のサーバーが含まれます。この動作はInternet Explorerと同じです。

    WindowsでChromeを起動してこのコマンドラインパラメーターを指定するには:

    1. デスクトップChromeアイコンを右クリックするか、 [スタート] > [すべてのプログラム] > [Google Chrome] を選択して [Google Chrome]を右クリックしてから [プロパティ]を選択します。
    2. [ターゲット] フィールドで、カーソルを既存の値の終わりに移動し、テキストを新しいコマンドラインパラメーターに追加します。
    3. [OK]をクリックします。

次のステップ

Okta IWA Webエージェントのアクティベート