Okta IWA Webエージェントの詳細
Okta IWA Webエージェントは、Oktaサービスでデスクトップ・シングル・サインオン(DSSO)を可能にする軽量のインターネット・インフォメーション・サービス(IIS)Webエージェントです。 DSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。Okta IWA Webエージェントは、MicrosoftのIWAとASP.NETを使用して、指定されたゲートウェイIPからユーザーを認証します。
IWA認証フロー — 図2 
フォレストが1つしかない場合は、どのIWAエージェント要求がルートされるかは問題になりません。複数のフォレストがある場合は、ネットワーク構成を考慮に入れる必要があります。マシンAのユーザーAがフォレストAにあるIWAエージェントにのみリダイレクトし、マシンBのユーザーBがフォレストBにあるエージェントにのみリダイレクトするようにする必要があります。推奨される方法は、トラフィックをOktaからグローバル・リダイレクトURLにリダイレクトし、エンドポイントに対して正しいルーティングを実行するようにオンプレミスDNSを設定するという方法です。 また、オンプレミスの負荷分散をセットアップし、オンラインおよびオフラインになっているエージェントをロード・バランサーで検出する機能をセットアップする必要がある場合もあります。
オンプレミス・エージェントでSecure Sockets Layer(SSL)の使用に移行することを強くお勧めします。これは重要なセキュリティー対策であるだけでなく、アプリケーション認証(特にOneNoteやメールなどのWindows 10ユニバーサル・アプリケーション)にとっても厳しい要件です。
注:Office 2016およびWindows 10の最新ビルドには、サインイン・ワークフロー用のWebアカウント・マネージャー(WAM)が組み込まれています( この Microsoftの記事を参照してください)。WAMにはhttpsが必要です — 認証ワークフロー中にhttps以外のトラフィックをブロックします。このユース・ケース用にIWAを構成する方法の詳細については、「SSLの構成」を参照してください。
IWA DSSOを再度有効にする場合は、IDプロバイダー(IDP)のルーティング・ルールを手動で再アクティブ化する必要があります。