Okta IWA Webエージェントのユニバーサル・プリンシパル名を構成する

この手順は、複数のドメインを持つ企業にのみ適用されます。また、IWA Webエージェントのバージョン1.8.1以降が必要です。

Windows Active Directoryでは、 ユニバーサル・プリンシパル名(UPN)はメール形式で表示されるシステム・ユーザーの名前です。会社に複数のドメインがあり、ユーザーが仕事にサインインするときに指定するドメインがOkta組織の基盤となるドメインと異なる場合は、 Okta IWA Webエージェント でUPN変換を構成する必要があります。たとえば、ユーザーがusername@abc.comを使用して仕事にサインインしていて、Okta組織にusername@xyz.comなどのユーザー名が含まれているとします。

この場合、会社がOktaに送信する認証済みユーザー名は、Okta組織のユーザー名と一致しません。Oktaダッシュボードに自動的にサインインする代わりに、ユーザーは認証情報を入力するように求められます。これを修正するには、web.configファイルにルールを追加して、会社がOkta組織に送信する認証済みユーザー名を変換します。

match 属性は、IWA WebエージェントがUPNをチェックするために使用する正規表現を指定します。UPNがUPN変換ルールに一致する場合、IWA Webエージェントはreplace 属性で指定された式を使用して、変換されたUPNを計算します。詳細については、次を参照してください。

IWA Webエージェントは、構成ファイル で指定された順序ですべてのルールを連続してチェックし、UPNに一致する最初のルールを適用します。 UPNに一致するルールがない場合、IWA Webエージェントは元のUPNをOktaに送信します。

管理者は/IWA/authenticated.aspxページを使用して、変換ルールを検証およびデバッグできます。

  1. C:\inetpub\wwwroot\IWA に移動して、 web.configファイルを開きます。
  1. <upnTransformation>要素(<oktaSSOConfigGroup>要素の子)内に次のルールを挿入します。 このルールは、すべてのユーザー名をドメイン

    abc.comからドメインxyz.comに変換します。

<upnTransformation> <rule match="(.+)@abc\.com" replace="${1}@xyz.com" /> </upnTransformation>

company.localcompany.comに変換したり、company.comcompany.okta.comに変換したりするなど、ほかの一般的なユース・ケースにも同じロジックを適用できます。