Okta IWA Webエージェントのユニバーサルプリンシパル名を構成する

この手順は、複数のドメインを持つ企業にのみ適用されます。また、IWA Webエージェントのバージョン1.8.1以降が必要です。

Windows Active Directoryでは、ユニバーサル・プリンシパル名（UPN）はメール形式で表示されるシステム・ユーザーの名前です。会社に複数のドメインがあり、ユーザーが仕事にサインインするときに指定するドメインがOkta組織の基盤となるドメインと異なる場合は、OktaIWA WebエージェントでUPN変換を構成する必要があります。たとえば、ユーザーがusername@abc.comを使用して仕事にサインインしていて、Okta組織にusername@xyz.comなどのユーザー名が含まれているとします。

この場合、会社がOktaに送信する認証済みユーザー名は、Okta組織のユーザー名と一致しません。Oktaダッシュボードに自動的にサインインする代わりに、ユーザーは資格情報を入力するように求められます。これを修正するには、web.configファイルにルールを追加して、会社がOkta組織に送信する認証済みユーザー名を変換します。

match属性は、IWA WebエージェントがUPNをチェックするために使用する正規表現を指定します。UPNがUPN変換ルールに一致する場合、IWA Webエージェントはreplace属性で指定された式を使用して、変換されたUPNを計算します。詳細については、次を参照してください。

• 一致構文：https://msdn.microsoft.com/en-us/library/az24scfc(v=vs.110).aspx
• 置換構文：https://msdn.microsoft.com/en-us/library/ewy2t5e0(v=vs.110).aspx

IWA Webエージェントは、構成ファイルで指定された順序ですべてのルールを連続してチェックし、UPNに一致する最初のルールを適用します。UPNに一致するルールがない場合、IWA Webエージェントは元のUPNをOktaに送信します。

管理者は/IWA/authenticated.aspxページを使用して、変換ルールを検証およびデバッグできます。

1. C:\inetpub\wwwroot\IWAに移動して、web.configファイルを開きます。

2. <upnTransformation>要素（<oktaSSOConfigGroup>要素の子）内に次のルールを挿入します。このルールは、すべてのユーザー名をドメインabc.comからドメインxyz.comに変換します。

<upnTransformation> <rule match="(.+)@abc\.com" replace="${1}@xyz.com" /> </upnTransformation>

company.localをcompany.comに変換したり、company.comをcompany.okta.comに変換したりするなど、ほかの一般的なユースケースにも同じロジックを適用できます。