デスクトップシングルサインオンに関するよくある質問

はい。両方が有効になっている場合、ユーザーがサインインしようとすると、Oktaは最初にエージェントレスDSSOに対して認証を試みます。それが失敗すると、オンプレミスのIWAサーバーにフォール・バックします。

いいえ。Agentless DSSOを介してサインインするには、ネットワークに接続している必要があります。ただし、VPNを使用する場合は、Agentless DSSOを使用できます。

No.

はい。Agentless DSSOを使用するには、コンピューターがドメインに参加している必要があります。

いいえ。Agentless DSSOを使用すると、マシンにIWAエージェントを用意する必要がなくなります。代わりに、Kerberos検証がOktaサーバーで実行されます。

これは予想される動作です。エンドユーザーがブラウザーに移動して<myorg>.okta.comと入力すると、OktaはorgでAgentless DSSOが有効になっていることを確認し、KDCに対して401認証チャレンジを開始します。その後、KDCはKerberosチケットをOktaに返します。

No.

いいえ。OktaではユーザーSIDを使用してユーザーを特定し、認証します。リクエストはSIDを使用してユーザーオブジェクトに解決されるため、これらのサフィックスが一致していなくても問題にはなりません。

Agentless DSSOエンドポイント（/login/agentlessDSSO）の現在のレート制限は1000/分です。ログインが成功するたびにAgentless DSSOエンドポイントに対して2つのhttpコマンドが実行されるため、これは、「トークンのレート制限を設定する（任意）」で説明されているオンプレミスのレート制限の2倍になります。1分あたりに成功するログイン数は、オンプレミスIWAと同じになります。

高可用性を実現するために、複数のOkta IWA Webエージェントを別々のサーバーにインストールできます。ユーザーに対して地理的に近い場所に複数のWebエージェントをインストールすると、地域の負荷分散テクノロジーと組み合わせてパフォーマンスが向上する場合があります。一例として、DNSネットマスクの順序付けを有効にすることが挙げられます。

最新のエージェント・リリースを取得するには、管理コンソールで、［Settings（設定）］→［Downloads（ダウンロード）］に移動します。

新しいエージェントにアップグレードする前に既存のエージェントをアンインストールする必要はありません。インストーラーは、既存のWeb.configファイルの名前をタイム・スタンプのサフィックス（たとえば、web.config.636531690091372202）に変更して、以前のすべての構成のコピーを保持します。

エージェントを更新した後、以前のカスタム編集内容を新しい構成ファイルに移行させる必要があります。

アップグレード・プロセス中、エージェントは要求を処理できません。IWAエージェントのアップグレード中に、ユーザーに404または500エラー・ページが表示されます。複数のIWAサーバーがある環境では、プライマリのアップグレード中に、手動でセカンダリIWAサーバーにフェイルオーバーすることをお勧めします。

OktaがIWAトークンの処理に失敗した場合にエンド・ユーザーがリダイレクトされるカスタム・エラー・ページを構成することができます。このオプションは、Oktaをソリューションに組み込み、エンドツーエンドのブランディングを制御してエンド・ユーザー・エクスペリエンスを向上させたい場合に便利です。指定するカスタム・エラー・ページは、組織内のすべてのIWAユーザーに適用されます。

注：カスタム・エラー・ページの設定は、不明なユーザーまたはJITエラーによって発生したサインイン・エラーには適用されません。この場合、ユーザーはOktaのサインインページにリダイレクトされます。

Okta Classic Engineにログインしたユーザーは常にカスタムドメインにルーティングされます。