Okta IWA Webエージェントについて

Okta IWA Webエージェントは、Oktaサービスでデスクトップシングルサインオン（DSSO）を可能にする軽量のインターネットインフォメーションサービス（IIS）Webエージェントです。DSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。

Okta IWA Webエージェントは、MicrosoftのIWAとASP.NETを使用して、指定されたゲートウェイIPからユーザーを認証します。

IWA認証フロー：図1

IWA認証フロー：図2

フォレストが1つしかない場合は、どのIWAエージェント要求がルートされるかは問題になりません。複数のフォレストがある場合は、ネットワーク構成を考慮し始める必要があります。マシンAのユーザーAがフォレストAにあるIWAエージェントにのみリダイレクトし、マシンBのユーザーBがフォレストBにあるエージェントにのみリダイレクトするようにします。推奨される方法は、トラフィックをOktaからグローバルリダイレクトURLにリダイレクトし、エンドポイントに対して正しいルーティングを実行するようにオンプレミスDNSを設定するという方法です。また、オンプレミスの負荷分散をセットアップし、オンラインおよびオフラインになっているエージェントをロードバランサーで検出する機能をセットアップする必要がある場合もあります。

オンプレミスエージェントによってSecure Sockets Layer（SSL）の使用に移行することを強くお勧めします。これは重要なセキュリティ対策であるだけでなく、アプリケーション認証（特にOneNoteやメールなどのWindows 10ユニバーサルアプリケーション）にとっても厳しい要件です。

このユースケース用にIWAを構成する方法の詳細については、「Okta IWA WebエージェントのSSLを構成する」を参照してください。

IWA DSSOを再度有効にする場合は、IDプロバイダー（IdP）のルーティングルールを手動で再度アクティブ化する必要があります。