Macのエージェントレスデスクトップシングルサインオンにブラウザーを構成する
Apple MacintoshのmacOSは、Safari、Chrome、Microsoft Edge(Chromium)、Firefoxブラウザーを使ったエージェントレスデスクトップシングルサインオン(ADSSO)をサポートします。
macOSホストがWindowsドメインのメンバーであることを確認してください。macOSホストをWindowsドメインに追加する方法については、「ネットワークアカウントサーバにMacを接続する」を参照してください。
自社でホスティングしているSign-In Widget を利用している場合は、「Sign-In Widgetが使用するサードパーティクッキー」で手順を参照してください。
ユーザーが600を超えるセキュリティグループに属している場合、またはKerberosトークンが大きすぎてOktaがそれを受け入れられない場合、ADSSOは機能しません。大規模なKerberosパケットを利用するユーザーがADSSOを実装または移行すると、「400 Bad Request(不正な要求)」応答が表示されます。
Safari
ADSSOは、macOSのSafariで自動的に有効になります。
ChromeにOkta orgのURLを追加する
各コンピューターのChromeを手動で構成できます。ターミナルまたはデバイス管理ソリューションを使用して、ADSSOを使用するすべてのクライアントマシンに構成をプッシュすることもできます。
手動による方法
各コンピューターで次のタスクを実行します。
- Google Chromeのカスタマイズと構成(Customize and control Google Chrome)(右上端に3つのドット)をクリックします。
- 設定(Settings)を選択します。
- プライバシーとセキュリティ(Privacy and security)を選択します。
- サードパーティ製cookie(Third-party cookies)をクリックします。
- サードパーティ製cookieの使用が許可されるサイト(Sites allowed to use third-party cookies)セクションの追加(Add)をクリックします。
- Okta orgのURLを入力します。モデルとして
org.kerberos.okta.comという文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。注:カスタムドメインを利用しているときは、CookiesAllowedforURLsというコンテンツ設定にそのURLを追加します。
- 追加(Add)をクリックします。
ターミナルまたはデバイス管理による方法
ADSSOを使用するすべてのクライアントマシンに構成をプッシュするときは、この方法で行います。
モデルとして次のエントリを使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
defaults write com.google.Chrome AuthServerAllowlist org.kerberos.okta.com
defaults write com.google.Chrome AuthNegotiateDelegateAllowlist org.kerberos.okta.com
Microsoft Edge(Chromium)にOkta orgのURLを入力する
ターミナルまたはデバイス管理ソリューションを使用して、ADSSOを使用するすべてのクライアントマシンに構成をプッシュするようにMicrosoft Edge(Chromium)を構成します。
モデルとして次のエントリを使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
defaults write com.microsoft.Edge AuthServerAllowlist org.kerberos.okta.com
defaults write com.microsoft.Edge AuthNegotiateDelegateAllowlist org.kerberos.okta.com
Mozilla FirefoxにOkta orgのURLを追加する
各コンピューターでFirefoxを手動で構成します。
- Firefox Webブラウザーを開いて、アドレス(Address)バーに
about:configを入力し、Enterを押します。 - 注意して続行(Proceed with Caution)メッセージが表示された場合は、リスクを受け入れて続行する(Accept the Risk and Continue)をクリックします。
- 設定名を検索(Search preference name)フィールドに
network.negotiate-auth.trusted-urisを入力します。 - 編集(Edit)をクリックし、Okta orgのURLを入力します。モデルとして
org.kerberos.okta.comという文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。 - 保存(Save)をクリックします。
次の手順