FAQ sur l'authentification unique de bureau
Puis-je utiliser l'Agentless Desktop SSO à distance ?
Non. Vous devez être sur le réseau pour vous connecter via Agentless DSSO. Toutefois, si vous utilisez un VPN, l'Agentless Desktop SSO fonctionnera.
Dois-je ouvrir des ports spécifiques ?
Non.
Les ordinateurs doivent-ils être joints à un domaine ?
Oui. Pour que l'Agentless Desktop SSO fonctionne, l'ordinateur doit être joint à un domaine.
Ai-je besoin d'installer un agent sur mes appareils ?
Non. L'Agentless Desktop SSO permet de ne pas avoir besoin d'agents IWA sur vos machines. Ici, la validation Kerberos est réalisée sur les serveurs Okta.
Lors du dépannage, je vois s'afficher une erreur 401 d'Okta. Cela indique-t-il un échec ?
Il s'agit d'un comportement habituel. Lorsque l' utilisateur final se rend sur le navigateur et saisit <myorg>.okta.com, Okta voit que votre org a activé l'Agentless Desktop SSO. Il génère ensuite une demande d'authentification 401 vers votre KDC, qui renvoie un ticket Kerberos vers Okta.
Puis-je recréer des règles de réécriture ?
Non.
Le suffixe de mon nom de domaine UPN doit-il être identique au suffixe DNS principal du domaine AD ?
Non. Okta utilise les identificateurs de sécurité (SID) de l'utilisateur afin de le localiser et de l'authentifier. Les deux suffixes n'ont donc pas besoin d'être identiques, parce que la requête est résolue en objet utilisateur avec les SID.
L'Agentless Desktop SSO a-t-elle des limites d'utilisation ?
La limite d'utilisation actuelle pour le point de terminaison de l'Agentless Desktop SSO, /login/agentlessDSSO, est de 1 000/minute. Ce seuil est deux fois plus important que le seuil de protection en local tel que décrit à la section Seuils de protection simultanés, car chaque flux de connexion réussi exécute deux commandes http sur le point de terminaison Agentless Desktop SSO. Le nombre de connexions réussies par minute sera identique à l'IWA local.