Active Directoryデスクトップシングルサインオンとジャストインタイムプロビジョニングについて
環境にオンプレミスまたはエージェントレスのデスクトップシングルサインオン(DSSO)を実装する場合、ジャストインタイム(JIT)プロビジョニングを使ってユーザーをインポートする際のプロセスフローは次のようになります。
-
エージェントレスDSSOの場合、WebブラウザーはKerberosチケットをOktaに送信し、Okta Active Directory(AD)エージェントに依存してUPNを検索します。Kerberosの検証はOktaのクラウドで行われます。
ユーザーがDSSOを使用してサインインする場合:
- ユーザーの情報がすでにOktaにインポートされアクティブになっている場合:OktaはUPNを使用してユーザーを検索します。Oktaでユーザーが見つかると、Active Directory(AD)からプロファイルが再度読み込まれ、ユーザーは正常にサインインできるようになります。
- ユーザーの情報がOktaにインポートされたが、まだアクティブになっていない場合:OktaはUPNを使用してユーザーを検索します。Oktaでユーザーが見つかると、ADからユーザープロファイルが読み込まれ、ユーザーがアクティブ化されて、ユーザーは正常にサインインできるようになります。
- ユーザーの情報がOktaにインポートされておらず、JITが有効になっている場合:OktaはUPNを使用してユーザーを検証します。Oktaユーザーの名前がUPN以外の形式である場合、Okta はこの設定を無視してUPN検証を使用します。その他の形式には、メールアドレスやSamAccountNameなどがあります。
- ユーザーの情報がOktaにインポートされておらず、JITがオフの場合:ユーザーのサインイン試行は失敗します。
- カスタムユーザー名形式を使用する場合:新規ユーザーがカスタムユーザー名形式とJITを使ってサインインする場合、OktaはADユーザーの検証に以前使用されていた認証方式を使用します。以前の認証方式には、UPN、SAMAccountName、メールなどがあります。既存ユーザーの場合、カスタム設定は無視され、ADユーザーの検証にUPNが使用されます。