Windowsのエージェントレスデスクトップシングルサインオンにブラウザーを構成する

Microsoft Windowsは、ChromeMicrosoft Edge(Chromium)、Firefoxブラウザーを使ったエージェントレスデスクトップシングルサインオン(ADSSO)をサポートします。以前のバージョンのMicrosoft Edge(レガシー)はサポートされません。

ADSSOを構成するには、Windowsでインターネットオプションを構成した上でブラウザーを構成します。コンピューターごとにブラウザーを手動で構成することも、グループポリシーオブジェクト(GPO)を使ってそれらを一元に構成することもできます。

自社でホスティングしているSign-In Widget を利用している場合は、「Sign-In Widgetが使用するサードパーティクッキー」で手順を参照してください。

Windows 10または11でインターネットオプションを構成する

インターネットオプションは、コンピューターごとに手動で構成することも、GPOを作成してユーザーのコンピューターにプッシュすることもできます。いずれにしても、このタスクはブラウザーを構成する前に実行してください。

手動による方法

各コンピューターで次のタスクを実行します。

  1. Windows 10または11のコントロールパネルを開きます。
  2. ネットワークとインターネット(Network and Internet)をクリックします。
  3. インターネットオプション(Internet Options)をクリックします。
  4. 詳細(Advanced)タブを選択します。
  5. セキュリティ(Enable Integrated Windows Authentication)セクションで統合Windows認証を有効にする(Enable Integrated Windows Authentication)(Security)が選択されていることを確認します。
  6. 適用(Apply)をクリックします。
  7. プライバシー(Privacy)タブを選択します。
  8. 詳細(Advanced)をクリックします。
  9. ファーストパーティCookie(Accept)の下の承認(Accept)(First-party Cookies)を選択します。
  10. セッションcookieを常に許可する(Always allow session cookies)が選択されていることを確認します。このオプションが選択されていない場合、シングルサインオンも標準的なサインオンも機能しません。
  11. OKをクリックし、さらにOKをクリックしてインターネットプロパティ(Internet Properties)を閉じます。

グループポリシーオブジェクトによる方法

ドメイン内のWindowsサーバーでGPOを作成し、ADSSOを使用するすべてのクライアントマシンにそれをプッシュできます。GPOに次の設定が含まれることを確認します。

  • 統合Windows認証を有効にします。
  • ファーストパーティcookieを受け付けます。
  • org.okta.comorg.kerberos.okta.comのセッションcookieを常に許可します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。

Microsoft EdgeにOkta orgのURLを追加する

各コンピューターのMicrosoft Edgeを手動で構成できます。GPOを作成し、ADSSOを使用するすべてのクライアントマシンに構成をプッシュすることもできます。いずれにしても、このタスクはWindowsでインターネットオプションを構成した後に実行してください。

手動による方法

各コンピューターで次のタスクを実行します。

  1. Windows 10または11のコントロールパネルを開きます。
  2. ネットワークとインターネット(Network and Internet)をクリックします。
  3. インターネットオプション(Internet Options)をクリックします。
  4. セキュリティ(Security)タブを選択します。
  5. ローカルイントラネット(Local intranet)を選択し、サイト(Sites)をクリックします。
  6. 詳細(Advanced)をクリックします。
  7. このWebサイトをゾーンに追加する(Add this website to the zone)にOkta orgのURLを入力します。モデルとしてorg.kerberos.okta.comという文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。
  8. 追加(Add)をクリックします。
  9. 閉じる(Close)をクリックし、残りのダイアログでOKをクリックします。

グループポリシーオブジェクトによる方法

ドメイン内のWindowsサーバーにGPOを作成し、ADSSOを使用するすべてのクライアントマシンにそれをプッシュできます。次のいずれかのタスクを実行します。

  • Microsoft Edgeの管理用テンプレートを使ってGPOを作成します。「WindowsデバイスのMicrosoft Edgeポリシー設定を構成する」を参照してください。
  • インターネットオプションのゾーン1(イントラネットサイト)(Zone 1 (Intranet Sites))org.kerberos.okta.comを追加するGPOを作成します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。

ChromeにOkta orgのURLを追加する

Chromeの構成は、手動で行うことも、各コンピュータのWindowsレジストリにエントリを追加して行うこともできます。いずれにしても、このタスクはWindowsでインターネットオプションを構成した後に実行してください。

手動による方法

各コンピューターで次のタスクを実行します。

  1. Google Chromeのカスタマイズと構成(Customize and control Google Chrome)(右上端に3つのドット)をクリックします。
  2. 設定(Settings)を選択します。
  3. プライバシーとセキュリティ(Privacy and security)を選択します。
  4. サードパーティ製cookie(Third-party cookies)をクリックします。
  5. サードパーティ製cookieの使用が許可されるサイト(Sites allowed to use third-party cookies)セクションの追加(Add)をクリックします。
  6. Okta orgのURLを入力します。モデルとしてorg.kerberos.okta.comという文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。
  7. 追加(Add)をクリックします。

Windowsレジストリによる方法

各コンピューターで次のタスクを実行します。

  1. Windowsレジストリを開きます。

  2. 次のエントリを文字列値として追加します。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] "AuthServerAllowlist"=org.kerberos.okta.com

    必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。

グループポリシーオブジェクトによる方法

ドメイン内のWindowsサーバーにGPOを作成し、ADSSOを使用するすべてのクライアントマシンにそれをプッシュできます。グループポリシーは、管理用テンプレートを使って作成できます。「管理対象PCのChromeブラウザーポリシーを設定する」を参照してください。

Mozilla FirefoxにOkta orgのURLを追加する

このタスクは、Windowsでインターネットオプションを構成した後に各コンピューターで実行してください。

  1. Firefoxブラウザーを開き、アドレス(Address)バーにabout:configと入力します。
  2. 注意して続行(Proceed with Caution)メッセージが表示された場合は、リスクを受け入れて続行する(Accept the Risk and Continue)をクリックします。
  3. 設定名を検索(Search preference name)フィールドにnetwork.negotiate-auth.trusted-urisを入力します。
  4. 編集(Edit)をクリックし、Okta orgのURLを入力します。モデルとしてorg.kerberos.okta.comという文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaoktapreviewまたはokta-emeaに置き換えます。
  5. 保存(Save)をクリックします。

次の手順

エージェントレスデスクトップシングルサインオンを有効にする