Dépannage de l'authentification unique de bureau sans agent

Une fois l'Agentless Desktop SSO activé, vous parcourerez vers votre locataire Okta et affichez la page de connexion habituelle.

Vous n'avez pas été routé(e) vers le point de terminaison Agentless Desktop SSO. Confirmez que votre adresse IP est ajoutée à la zone adéquate et que celle-ci est adaptée pour l'Agentless Desktop SSO.

Je travaille à distance et l'Agentless Desktop SSO ne fonctionne pas.

Pour que l'Agentless Desktop SSO fonctionne, votre navigateur doit pouvoir se connecter au centre de distribution de clés (KDC) sur votre domaine. Cela est essentiel pour la validation Kerberos. Si vous n'êtes pas en mesure de vous connecter au KDC, vous n'obtiendrez pas de ticket Kerberos ni ne pourrez vous authentifier. Si un VPN (Virtual Private Network) est disponible, utilisez-le pour rejoindre votre réseau. Si le KDC est disponible via le VPN, l'Agentless Desktop SSO fonctionnera.

J'utilise la zone adéquate et je suis en local, et l'Agentless Desktop SSO échoue toujours.

Confirmez l'exactitude du nom d'utilisateur et du mot de passe du compte SPN, tels qu'utilisés sur AD et stockés dans la configuration Okta. Si le compte a expiré ou a été modifié, le flux sera interrompu.

J'ai vérifié que j'utilisais la zone adéquate et le compte approprié pour le SPN, je suis en local et l'Agentless Desktop SSO échoue toujours.

Cela pourrait indiquer un type d'échec Kerberos. Avec des outils tels que Wireshark, capturez le trafic de votre réseau durant vos tentatives d'activation de l'Agentless Desktop SSO. Une fois le trafic capturé, appliquez un filtre pour obtenir les données Kerberos. Comparez ce trafic avec les journaux de l'Observateur d'événements sur votre KDC. Avec ces deux outils (ou des outils similaires) vous devriez pouvoir identifier les échecs Kerberos.

Afin de consulter les événements Kerberos à des fins de débogage, il vous faudra peut-être activer la journalisation d'événements Kerberos. Pour plus d'informations, consultez le lien https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/identity/enable-kerberos-event-logging.

Validateur Kerberos et échec de connexion

Si la variation d'horloge entre votre réseau d'entreprise et le SSO Okta sans agent devient trop importante, la connexion et la validation Kerberos échoueront. Ce problème ne surviendra pas si l'horloge du contrôleur de votre domaine est synchronisée avec un serveur de temps externe.

Expérience d'authentification lente ou qui échoue

Durant la connexion Agentless Desktop SSO, Okta effectue une recherche SID. Durant le délai d'exécution de l'accès anticipé, cela est effectué via un appel à l'agent AD. Si vous rencontrez un problème de ralentissement ou d'échecs de connexion, pensez à augmenter le nombre de threads d'interrogation pour vos agents AD, ou à ajouter de nouveaux agents AD pour vos domaines. Pour les détails sur la façon de procéder, consultez les sections Installer plusieurs agents Okta Active Directory et Modifier le nombre de threads pour l'Active Directory Agent Okta.

Si cela se produit, vous constaterez que les journaux de l'agent AD contiennent un très grand nombre d'appels LDAP lus, sans qu'aucune ligne Next action = NONE (Action suivant = aucune) n'apparaisse. Par exemple :

2018/06/11 23:14:34.441 Debug -- N079-H076(57) -- Sending result for READ_LDAP action (id=ADS2n15k1yGW23cn10g7) finished, (executionTime=00:00:00.2196026)

La SSO de bureau ne fonctionne pas

Veillez à ce que le nom d'hôte du serveur puisse être résolu depuis le réseau client.

Que faire si je reçois le message d'erreur : The request was aborted: Could not create SSL/TLS secure channel?

Votre agent IWA Web Okta peut passer hors ligne et le message d'erreur The request was aborted: Could not create SSL/TLS secure channel (La requête a été abandonnée : échec de création d'un canal sécurisé SSL/TLS) peut s'afficher si votre agent IWA Web Okta remplit les conditions suivantes :

  • Être installé sur un serveur exécutant Windows Server 2008 R2 SP1
  • Être configuré pour l'utilisation de HTTPS
  • Être configuré pour le basculement automatique
  1. Sur le même serveur Windows 2008 R2 que celui qui héberge votre agent IWA Web, ajoutez les valeurs suivantes au registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\DisabledByDefault : 0 (DWORD)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\Enabled : 1 (DWORD)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\DisabledByDefault : 0 (DWORD)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\Enabled : 1 (DWORD)
  2. Redémarrez le serveur.