Okta IWA Webエージェントのユニバーサルプリンシパル名を構成する
この手順は、複数のドメインを持つ企業にのみ適用されます。また、IWA Webエージェントのバージョン1.8.1以降が必要です。
Windows Active Directoryでは、ユニバーサル・プリンシパル名(UPN)はメール形式で表示されるシステム・ユーザーの名前です。会社に複数のドメインがあり、ユーザーが仕事にサインインするときに指定するドメインがOkta組織の基盤となるドメインと異なる場合は、OktaIWA WebエージェントでUPN変換を構成する必要があります。たとえば、ユーザーがusername@abc.comを使用して仕事にサインインしていて、Okta組織にusername@xyz.comなどのユーザー名が含まれているとします。
この場合、会社がOktaに送信する認証済みユーザー名は、Okta組織のユーザー名と一致しません。Oktaダッシュボードに自動的にサインインする代わりに、ユーザーは資格情報を入力するように求められます。これを修正するには、web.configファイルにルールを追加して、会社がOkta組織に送信する認証済みユーザー名を変換します。
match属性は、IWA WebエージェントがUPNをチェックするために使用する正規表現を指定します。UPNがUPN変換ルールに一致する場合、IWA Webエージェントはreplace属性で指定された式を使用して、変換されたUPNを計算します。詳細については、次を参照してください。
- 一致構文:https://msdn.microsoft.com/en-us/library/az24scfc(v=vs.110).aspx
- 置換構文:https://msdn.microsoft.com/en-us/library/ewy2t5e0(v=vs.110).aspx
IWA Webエージェントは、構成ファイルで指定された順序ですべてのルールを連続してチェックし、UPNに一致する最初のルールを適用します。UPNに一致するルールがない場合、IWA Webエージェントは元のUPNをOktaに送信します。
管理者は/IWA/authenticated.aspxページを使用して、変換ルールを検証およびデバッグできます。
- C:\inetpub\wwwroot\IWAに移動して、web.configファイルを開きます。
- <upnTransformation>要素(<oktaSSOConfigGroup>要素の子)内に次のルールを挿入します。このルールは、すべてのユーザー名をドメインabc.comからドメインxyz.comに変換します。
<upnTransformation> <rule match="(.+)@abc\.com" replace="${1}@xyz.com" /> </upnTransformation>
company.localをcompany.comに変換したり、company.comをcompany.okta.comに変換したりするなど、ほかの一般的なユースケースにも同じロジックを適用できます。