Active Directoryデスクトップシングルサインオンの既知の問題
新しいデスクトップシングルサインオン(DSSO)構成を実装するとき、または既存のDSSO構成を移行するときの既知の問題は次のとおりです。
- 1人のユーザーが600を超えるセキュリティグループのメンバーである場合、またはKerberosトークンが大きすぎてOktaがそれを受け入れられない場合、エージェントレスDSSOは機能しません。大きなKerberosパケットを持つユーザーが、エージェントレスDSSOを実装または移行すると、400応答が表示され、通常のサインインページにリダイレクトされます。
- 2008以下の機能レベルのWindowsでは、安全性の低い暗号化のRC4が使用されます。最も安全な暗号化アルゴリズムが確実に使用されるように、Windowsの機能レベルを2008以上にアップグレードすることをお勧めします。
- Agentless DSSOを再度有効にする場合は、IDプロバイダー(IdP)のルーティングルールを手動で再度有効にする必要があります。
- 委任認証が無効になっていて、[Don't create Okta password(Oktaパスワードを作成しないでください)]が選択されている場合、Agentless DSSOは機能しません。委任認証の詳細については、「委任認証」を参照してください。
- DSSOの自動フェイルオーバーに使用されるデフォルトのサインインページは、HTMLのカスタマイズをサポートしません。
- IDプロバイダー(IdP)の顧客エラーページとorgのURLが同じ場合、無限のリダイレクトループが発生する可能性があります。
- サービスアカウントのユーザー名とActive Directoryユーザーのアカウント名が一致しない場合、エージェントレスDSSOが失敗する可能性があります。この場合は、デフォルトのサインインページに戻され、System LogにGSS_ERRエラーが記録されます。サービスアカウントのユーザー名とActive Directoryユーザーアカウントは、大文字と小文字が区別されており、一致する必要があります。
- RC4_HMAC_MD5暗号化は、ADSSOとOffice 365のサイレントアクティベーションではサポートされません。ADSSOまたはOffice 365のサイレントアクティベーションを使用する場合、AES 128ビット(AES-128)またはAES 256ビット(AES-256)暗号化の使用をお勧めします。AES暗号化の実装時にWindowsイベントビューアーにKDC_ERR_ETYPE_NOTSUPPエラーが表示されるときは、「Kerberos Unsupported etype error」を参照してください。
- Microsoft Edge(レガシー)はサポートされません。新しいChromiumベースのEdgeはサポートされます。
- Microsoft Teamsバージョン4.0.8.0以降がサポートされます。