WindowsブラウザーにSSOを構成する

IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザータイプの関連情報を確認し、ご使用の環境で適切である場合は、説明に従ってブラウザーを構成することをお勧めします。

Microsoft Edgeブラウザーはサポートされていません。

  1. OktaテナントのURLと、デスクトップSSO IWA WebエージェントをホストするサーバーのURLを信頼できるゾーンに追加します。

    hostname.companyname.comというURLは、当該サーバーの完全修飾ドメイン名です。たとえば、my-iis7-host.corp.acme.comのようになります。このURLを[Trusted Sites zone(信頼済みサイトのゾーン)]に信頼済みサイトとして表示するだけでは不十分です。

    ほとんどの組織は、ユーザーのインターネットオプションでこの設定を構成するためにグループポリシーをセットアップしています。

    1. Windowsの[Control Panel(コントロールパネル)][Network and Internet(ネットワークとインターネット)][Internet Options(インターネットオプション)][Security(セキュリティ)][Local intranet(ローカルイントラネット)][Sites(サイト)][Advanced(詳細設定)]を選択します。
    2. [Add this website to the zone(このWebサイトをゾーンに追加する)]フィールドに次のように入力します。

      必要に応じて、https://hostname.companyname.comまたはhttp://hostname.companyname.comおよびhttps://_subdomain_.okta.comまたはhttps://_subdomain_.okta-emea.comまたはhttps://_subdomain_.oktapreview.comまたはhttps://_subdomain_.okta-gov.com

    3. [Add(追加)]をクリックします。
    4. [OK]を2回クリックして、[Internet Options(インターネットオプション)]を閉じます。
  2. ブラウザーを構成します。

    Windows Internet Explorer

    1. Internet Explorerで、[Tools(ツール)][Internet Options(インターネットオプション)]を選択します。
    2. [Advanced(詳細設定)]タブをクリックして、下にスクロールして[Security(セキュリティ)]設定に移動し、[ Enable Integrated WindowsAuthentication(統合Windows認証を有効にする)]をオンにします。
    3. [OK]をクリックします。

    Internet Explorerがセッションクッキーを保存できることを確認します([Internet Options(インターネットオプション)][Privacy(プライバシー)]タブ)。保存できない場合は、SSOも、標準のサインイン機能も動作しません。

    Mozilla Firefox

    以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。

    1. Firefoxの アドレスバーにabout:configと入力します。

      Firefoxバージョン3.x以降では、警告メッセージが表示されます。ボタンをクリックしてメッセージを消去し、続行します。

    2. 構成ページが読み込まれたら、[Search(検索)]フィールドに次のように入力します。 network.negotiate-auth.trusted-uris
    3. このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ「,」で区切られて表示されます。

      IWAホストサーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。入力しない場合は、次の値をTrueに切り替える必要もあります。

      複数のホスト名を入力する場合、順序は重要ではありません。

      network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn
    4. 上記のそれぞれの[Value(値)]列を右クリックして、値をTrueに切り替えます。
    5. [OK]をクリックします。

    Google Chrome

    IWAはChrome for Windowsでは自動的に有効になり、機能は許可リスト主導になります。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがサイトにチケットを提供します。

    許可リストは、起動時に次のコマンドラインパラメーターを使用することでブラウザーに提供されます。

    --auth-server-allowlist=

    例:

    --auth-server-allowlist="*hostname.companyname.com"

    これにより、hostname.companyname.comで終わるURLが許可リストに含まれていることがChromeに通知されます。「*」プレフィックスを付けない場合、URLは完全に一致する必要があります。

    hostname.companyname.comという値は、Okta IWA Webエージェントをホストしているサーバーを示します。

    '--auth-server-allowlist'というコマンドラインパラメーターが起動時に指定されていないと、許可リストにはローカルマシンまたはローカルインターネットセキュリティゾーン内のサーバーが含まれます。この動作はInternet Explorerと一致しています。

    WindowsでChromeを起動し、このコマンドラインパラメーターを指定するには、次の手順を実行します。

    1. デスクトップのChromeアイコンを右クリックするか、[Start(スタート)][All Programs(すべてのプログラム)][Google Chrome]を選択して[Google Chrome]を右クリックし、[Properties(プロパティ)]を選択します。
    2. [Target(対象)]フィールドで、既存の値の末尾にカーソルを移動し、新しいコマンドラインパラメーターのテキストを追加します。
    3. [OK]をクリックします。

次の手順

Okta IWA Webエージェントをアクティブ化する