Okta IWA Webエージェントのユニバーサルプリンシパル名を構成する

この手順は、複数のドメインを使用するエンタープライズにのみ適用されます。これには、バージョン1.8.1以降のIWA Webエージェントが必要です。

Active Directory内のユニバーサルプリンシパル名(UPN)は、メール形式で表されるシステムユーザー名です。ユーザーがOkta orgとは異なるドメインにサインインするときは、UPN変換を構成する必要があります。

たとえば、ユーザーが仕事のためのサインインにusername@abc.comを使用していて、Okta orgのユーザー名の形式がusername@xyz.comであるとします。これは、会社がOktaに送信する認証済みユーザー名がOkta orgのユーザー名と一致しないことを意味します。ユーザーはOkta Dashboardに自動的にサインインできず、代わりに資格情報の入力を求められます。これは、認証済みのユーザー名をOkta orgのユーザー名形式に変換する、エージェントのweb.configファイルにルールを追加することで修正できます。

match属性は、IWA WebエージェントがUPNのチェックに使用する正規表現を指定します。UPNがUPN変換ルールに一致する場合、IWA Webエージェントは、replace属性によって指定される式を使ってUPNの変換を計算します。matchとreplaceの詳細については、「正規表現言語 - クイックリファレンス」と「正規表現での置換」を参照してください。

IWA Webエージェントは、構成ファイルに指定されている順序でルールをチェックし、UPNに一致する最初のルールを適用します。UPNに一致するルールがない場合、IWA Webエージェントは元のUPNをOktaに送信します。

管理者は/IWA/authenticated.aspxを使って変換ルールを検証およびデバッグできます。

  1. C:\inetpub\wwwroot\IWA\web.configファイルを編集します。
  1. <oktaSSOConfigGroup>要素の子として次のルールを挿入します。ルールは、abc.comが含まれるすべてのユーザー名を、xyz.comを使用するように変換します。

    <upnTransformation> <rule match="(.+)@abc\.com" replace="${1}@xyz.com" /> </upnTransformation>

  2. company.localcompany.comに変換したり、company.comcompany.okta.comに変換したりするなど、その他の一般的なユースケースにも同じロジックを適用できます。