デスクトップシングルサインオンに関するよくある質問

エージェントレスDSSOとデスクトップSSO用IWA Webアプリを同時に実行できますか?

はい。両方が有効になっている場合、ユーザーがサインインしようとすると、Oktaは最初にエージェントレスDSSOに対して認証を試みます。それが失敗すると、オンプレミスのIWAサーバーにフォールバックします。

リモートでエージェントレスDSSOを使用できますか?

いいえ。エージェントレスDSSOを介してサインインするには、ネットワークに接続している必要があります。ただし、VPNを使用する場合は、エージェントレスポンスDSSOを使用できます。

DSSOを使用する際に特別なポートを開く必要がありますか?

いいえ。

コンピューターはドメインに参加している必要がありますか?

はい。エージェントレスDSSOを使用するには、コンピューターがドメインに参加している必要があります。

マシンにエージェントをインストールする必要がありますか?

いいえ。エージェントレスDSSOを使用すると、マシンにIWAエージェントを用意する必要がなくなります。代わりに、Kerberos検証がOktaサーバーで実行されます。

トラブルシューティング時にOktaで401エラーが表示されます。どこかに不具合があるのでしょうか?

これは想定される動作です。エンドユーザーがブラウザーに<myorg>.okta.comと入力すると、Oktaは、orgでエージェントレスDSSOが有効化されたものとみなします。その上で、KDCに対する401認証チャレンジを開始し、OktaKerberos チケットをに返します。

書き換えルールは再作成できますか?

いいえ。

UPNドメイン名のサフィックスはADドメインのプライマリDNSサフィックスと同一にする必要がありますか?

いいえ。OktaではユーザーSIDを使用してユーザーを特定し、認証します。リクエストはSIDを使用してユーザーオブジェクトに解決されるため、これらのサフィックスが一致していなくても問題にはなりません。

エージェントレスDSSOにレート制限はありますか?

エージェントレスDSSOエンドポイント(/login/agentlessDSSO)の現在のレート制限は1000/分です。ログインが成功するたびにエージェントレスDSSOエンドポイントに対して2つのhttpコマンドが実行されるため、これは、「トークンのレート制限を設定する(任意)」で説明されているオンプレミスのレート制限の2倍になります。1分あたりに成功するサインインフロー数は、オンプレミスIWAと同じです。

複数のOkta IWA Webエージェントを使用できますか?

高可用性を実現するために、複数のOkta IWA Webエージェントを別々のサーバーにインストールできます。ユーザーに対して地理的に近い場所に複数のWebエージェントをインストールすると、地域の負荷分散テクノロジーと組み合わせてパフォーマンスが向上する場合があります。一例として、DNSネットマスクの順序付けを有効にすることが挙げられます。

Okta IWA Webエージェントを更新するにはどうすればよいですか?

エージェントの最新リリースを取得するには、Admin Console[Settings(設定)][Downloads(ダウンロード)]に進みます。

新しいエージェントにアップグレードする前に既存のエージェントをアンインストールする必要はありません。インストーラーは、既存のWeb.configファイルの名前をタイム・スタンプのサフィックス(たとえば、web.config.636531690091372202)に変更して、以前のすべての構成のコピーを保持します。

エージェントを更新した後、以前のカスタム編集内容を新しい構成ファイルに移行させる必要があります。

アップグレードプロセス中、エージェントは要求を処理できません。IWAエージェントのアップグレード中に、ユーザーに404または500エラーページが表示されます。複数のIWAサーバーがある環境では、プライマリのアップグレード中に、手動でセカンダリIWAサーバーにフェイルオーバーすることをお勧めします。

失敗したIWAサインインフロー用にカスタムエラーページを構成できますか?

OktaがIWAトークンの処理に失敗した場合にエンドユーザーがリダイレクトされるカスタムエラーページを構成することができます。このオプションは、Oktaをソリューションに組み込み、エンドツーエンドのブランディングを制御してエンドユーザーエクスペリエンスを向上させたい場合に便利です。指定するカスタムエラーページは、組織内のすべてのIWAユーザーに適用されます。

カスタムエラーページの設定は、未知のユーザーやJITの失敗を原因とするサインインの失敗には適用されません。この場合、ユーザーはOktaのサインインページにリダイレクトされます。

サブドメインからサインインした後にカスタムドメインにリダイレクトされるのはなぜですか?

Okta Classic Engineにサインインしたユーザーは、常にカスタムドメインにルーティングされます。