Okta IWA Webエージェントについて
Okta IWA Webエージェントは、 Oktaサービスえのデスクトップシングルサインオン(DSSO)を可能にする軽量インターネット情報サービス(IIS)Webエージェントです。 DSSOにより、ユーザーはWindowsネットワークにサインインする際にOktaおよびOktaを介してアクセスしたどのアプリでも自動的に認証されます。Okta IWA WebエージェントはMicrosoftの IWAとASP.NETを使用して、指定されたゲートウェイIPからユーザーを認証します。
IWA認証フロー — 図 2 
フォレストが1つだけの場合、IWAエージェントがどれにルーティングされるかは問題になりません。フォレストが複数ある場合は、ネットワーク構成を考慮し始める必要があります。マシンA上のユーザーAはフォレストAにあるIWAエージェントにのみリダイレクトされ、マシンB上のユーザーBはフォレストBにあるエージェントにのみリダイレクトされるようにする必要があります。そうするために提案される方法は、OktaからのトラフィックをグローバルリダイレクトURLにリダイレクトしてからオンプレミスDNS をセットアップしてそのエンドポイントへの正しいルーティングを行うことです。また、オンプレミス負荷分散をセットアップし、どのエージェントがロードバランサーにオンラインかオフラインかを検出する機能も必要です。
Oktaでは、オンプレミスエージェントでセキュアソケットレイヤー(SSL)を使用する方向に移行することを強く推奨しています。これは、重要なセキュリティ前提条件であるだけでなく、アプリケーション認証(特にOneNoteやMailなど、Windows 10のユニバーサル アプリケーション)でのハード要件でもあります。
注:Office 2016およびWindows 10の最新ビルドには、サインイン・ワークフロー用のWebアカウント・マネージャー(WAM)が組み込まれています( この Microsoftの記事を参照してください)。WAMにはhttpsが必要です — 認証ワークフロー中にhttps以外のトラフィックをブロックします。このユース・ケース用にIWAを構成する方法の詳細については、「SSLの構成」を参照してください。
IWA DSSOを再有効化する際、IDプロバイダー (IDP)ルーティングルールを手動でリアクティベートする必要があります。