SSOを使用できるようにWindowsブラウザーを構成する

IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザー・タイプの関連情報を確認し、ご使用の環境で適切である場合は、説明に従ってブラウザーを構成することをお勧めします。

Microsoft Edgeブラウザーはサポートされていません。

  1. OktaテナントのURLと、デスクトップSSO IWA WebエージェントをホストするサーバーのURLを信頼できるゾーンに追加します。

    hostname.companyname.comというURLは、当該サーバーの完全修飾ドメイン名です。たとえば、my-iis7-host.corp.acme.comのようになります。このURLを[Trusted Sites zone(信頼済みサイトのゾーン)]に信頼済みサイトとして表示するだけでは不十分です。

    ほとんどの組織は、ユーザーのインターネットオプションでこの設定を構成するためにグループポリシーをセットアップしています。

    1. Windowsの[コントロールパネル][ネットワークとインターネット][インターネットオプション][セキュリティ][ローカルイントラネット][サイト][詳細設定]を選択します。
    2. [このWebサイトをゾーンに追加する]フィールドに次のように入力します。

      必要に応じて、https://hostname.companyname.comまたはhttp://hostname.companyname.comおよびhttps://_subdomain_.okta.comまたはhttps://_subdomain_.okta-emea.comまたはhttps://_subdomain_.oktapreview.comまたはhttps://_subdomain_.okta-gov.com

    3. [Add(追加)]をクリックします。
    4. [OK]を2回クリックして、[Internet Options(インターネット・オプション)]を閉じます。
  2. ブラウザーを構成します。

    Windows Internet Explorer

    1. Internet Explorerで、[ツール][インターネットオプション]を選択します。
    2. [詳細設定]タブをクリックして、下にスクロールして[セキュリティ]設定に移動し、[ Integrated Windows Authenticationを有効にする]をオンにします。
    3. [OK]をクリックします。

    Internet Explorerがセッションクッキーを保存できることを確認します([インターネットオプション][プライバシー]タブ)。保存できない場合は、SSOも、標準のサインイン機能も動作しません。

    Mozilla Firefox

    以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。

    1. Firefoxのアドレス・バーにabout:configと入力します。

      Firefoxバージョン3.x以降では、警告メッセージが表示されます。ボタンをクリックしてメッセージを消去し、続行します。

    2. 構成ページが読み込まれたら、[Search(検索)]フィールドに次のように入力します。 network.negotiate-auth.trusted-uris
    3. このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ「,」で区切られて表示されます。

      IWAホスト・サーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。入力しない場合は、次の値をTrueに切り替える必要もあります。

      複数のホスト名を入力する場合、順序は重要ではありません。

      network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn
    4. 上記のそれぞれの[Value(値)]列を右クリックして、値をTrueに切り替えます。
    5. [OK]をクリックします。

    Google Chrome

    IWAはChrome for Windowsでは自動的に有効になり、機能は許可リスト主導になります。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがサイトにチケットを提供します。

    許可リストは、起動時に次のコマンドラインパラメーターを使用することでブラウザーに提供されます。

    --auth-server-allowlist=

    例:

    --auth-server-allowlist="*hostname.companyname.com"

    これにより、hostname.companyname.comで終わるURLが許可リストに含まれていることがChromeに通知されます。「*」プレフィックスを付けない場合、URLは完全に一致する必要があります。

    hostname.companyname.comという値は、Okta(未定義の変数:okta-feature-names.IWA)Webエージェントをホストしているサーバーを示します。

    '--auth-server-allowlist'というコマンドラインパラメーターが起動時に指定されていないと、許可リストにはローカルマシンまたはローカルインターネットセキュリティゾーン内のサーバーが含まれます。この動作はInternet Explorerと一致しています。

    WindowsでChromeを起動し、このコマンドラインパラメーターを指定するには、次の手順を実行します。

    1. デスクトップのChromeアイコンを右クリックするか、[スタート][すべてのプログラム][Google Chrome]を選択して[Google Chrome]を右クリックし、[プロパティ]を選択します。
    2. [対象]フィールドで、既存の値の末尾にカーソルを移動し、新しいコマンドラインパラメーターのテキストを追加します。
    3. [OK]をクリックします。

次の手順

Okta IWA Webエージェントをアクティブ化する