Active Directoryデスクトップ・シングル・サインオンとジャストインタイム・プロビジョニングについて

環境にオンプレミスまたはエージェントレス・デスクトップ・シングル・サインオン(DSSO)を実装する場合、ジャストインタイム(JIT)プロビジョニングを使用してユーザーをインポートするときのプロセス・フローは次のようになります。

  • エージェントレスDSSOの場合、WebブラウザーはKerberosチケットをOktaに送信し、Okta Active Directory(AD)エージェントに依存してUPNを検索します。Kerberosの検証はOktaのクラウドで行われます。

ユーザーがDSSOを使用してサインインするとき:

  • ユーザーの情報がすでにOktaにインポートされアクティブになっている場合:OktaはUPNを使用してユーザーを検索します。 Oktaでユーザーが見つかると、Active Directory(AD)からプロファイルが再度読み込まれ、ユーザーが正常にサインインできるようになります。
  • ユーザーの情報がOktaにインポートされたが、まだアクティブになっていない場合:OktaはUPNを使用してユーザーを検索します。 Oktaでユーザーが見つかると、ADからユーザー・プロファイルが読み込まれ、ユーザーがアクティブ化されて、ユーザーが正常にサインインできるようになります。
  • ユーザーの情報がOktaにインポートされておらず、JITが有効になっている場合:OktaはUPNを使用してユーザーを検証します。 Oktaユーザー名の形式がUPNでなく、メール・アドレスやSamAccountNameなどの別の形式が使用されている場合、この設定は無視され、UPNが検証に使用されます。
  • ユーザーの情報がOktaにインポートされておらず、JITがオフの場合 :ユーザーのサインイン試行が失敗します。
  • カスタム・ユーザー名形式を使用する場合:JITでカスタム・ユーザー名形式が使用され、新規ユーザーがサインインした場合は、以前使用された認証方法(UPN、SAMAccountName、またはメール)がADユーザーの検証に使用されます。既存のユーザーの場合、カスタム設定は無視され、ADユーザーの検証にUPNが使用されます。