デスクトップシングルサインオンの前提条件

新しいデスクトップシングルサインオン（DSSO）構成を実装するとき、または既存のDSSO構成を移行するときの前提条件は次のとおりです。

• Okta orgに統合したActive Directory（AD）ドメイン。
• 委任認証を有効化。「Active Directoryの委任認証を有効にする」を参照してください。
• サービスプリンシパル名（SPN）を構成するためのADの権限。「Delegating Authority to Modify SPNs」を参照してください。
• Okta Agentless DSSOのAES暗号化タイプ（AES128_HMAC_SHA1またはAES256_HMAC_SHA1、あるいはその両方）。RC4暗号化はサポートされません。エージェントレスDSSOまたはMSアプリのサイレントアクティベーションでAES128/256暗号化を使用するには、ADドメインと、Okta DSSOのサービスアカウントの両方でAESを有効にする必要があります。ADドメインで有効になっていない場合は、KerberosイベントログにKerberosエラーKDC_ERR_ETYPE_NOTSUPPが表示されます。暗号化を有効にするには、「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。
• すべてのサインインフローおよびブラウザーのブックマークで正しいURLが使用されています。

• 次のセキュリティのベストプラクティスが含まれるADサービスアカウント：

  • OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメインユーザーアカウントを使用します。
  • 架空のホスト名を使用して［logon to（ログオン先）］の制限を有効にするとともに、［Account is sensitive and can't be delegated（アカウントは重要なので委任できない）］をオンにします。

• DelAuthページを更新するためのOktaスーパー管理者権限。アプリ管理者も、ADを管理するためのアクセス権が付与されている場合、十分な権限を持っている可能性があります。