Windowsのエージェントレスデスクトップシングルサインオンにブラウザーを構成する
Microsoft Windowsは、Chrome、Microsoft Edge(Chromium)、Firefoxブラウザーを使ったエージェントレスデスクトップシングルサインオン(ADSSO)をサポートします。以前のバージョンのMicrosoft Edge(レガシー)はサポートされません。
ADSSOを構成するには、Windowsでインターネットオプションを構成した上でブラウザーを構成します。コンピューターごとにブラウザーを手動で構成することも、グループポリシーオブジェクト(GPO)を使ってそれらを一元に構成することもできます。
自社でホスティングしているSign-In Widgetを利用している場合は、「Sign-In Widgetによる使用が可能なサードパーティ製cookie」で手順を参照してください。
ユーザーが600を超えるセキュリティグループに属している場合、またはKerberosトークンが大きすぎてOktaがそれを受け入れられない場合、ADSSOは機能しません。大規模なKerberosパケットを利用するユーザーがADSSOを実装または移行すると、「400 Bad Request(不正な要求)」応答が表示されます。
Windows 10または11でインターネットオプションを構成する
インターネットオプションは、コンピューターごとに手動で構成することも、GPOを作成してユーザーのコンピューターにプッシュすることもできます。いずれにしても、このタスクはブラウザーを構成する前に実行してください。
手動による方法
各コンピューターで次のタスクを実行します。
- Windows 10または11のコントロールパネルを開きます。
- [Network and Internet(ネットワークとインターネット)]をクリックします。
- [Internet Options(インターネットオプション)]をクリックします。
- [詳細]タブを選択します。
- [セキュリティ]セクションで[Enable Integrated Windows Authentication(統合Windows認証を有効にする)]が選択されていることを確認します。
- [Apply(適用)]をクリックします。
- [プライバシー]タブを選択します。
- [Advanced(詳細)]をクリックします。
- [ファーストパーティCookie]の下の[Accept(承認)]を選択します。
- [Always allow session cookies(セッションcookieを常に許可する)]が選択されていることを確認します。このオプションが選択されていない場合、シングルサインオンも標準的なサインオンも機能しません。
- [OK]をクリックし、さらに[OK]をクリックして[インターネットプロパティ]を閉じます。
グループポリシーオブジェクトによる方法
ドメイン内のWindowsサーバーでGPOを作成し、ADSSOを使用するすべてのクライアントマシンにそれをプッシュできます。GPOに次の設定が含まれることを確認します。
- 統合Windows認証を有効にします。
- ファーストパーティcookieを受け付けます。
- org.okta.comとorg.kerberos.okta.comのセッションcookieを常に許可します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
Microsoft EdgeにOkta orgのURLを入力する
各コンピューターのMicrosoft Edgeを手動で構成できます。GPOを作成し、ADSSOを使用するすべてのクライアントマシンに構成をプッシュすることもできます。いずれにしても、このタスクはWindowsでインターネットオプションを構成した後に実行してください。
手動による方法
各コンピューターで次のタスクを実行します。
- Windows 10または11のコントロールパネルを開きます。
- [Network and Internet(ネットワークとインターネット)]をクリックします。
- [Internet Options(インターネットオプション)]をクリックします。
- [セキュリティ]タブを選択します。
- [Local intranet(ローカルイントラネット)]を選択し、[Sites(サイト)]をクリックします。
- [Advanced(詳細)]をクリックします。
- [このWebサイトをゾーンに追加する]にOkta orgのURLを入力します。モデルとして「org.kerberos.okta.com」という文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
- [Add(追加)]をクリックします。
- [Close(閉じる)]をクリックし、残りのダイアログで[OK]をクリックします。
グループポリシーオブジェクトによる方法
ドメイン内のWindowsサーバーにGPOを作成し、ADSSOを使用するすべてのクライアントマシンにそれをプッシュできます。次のいずれかのタスクを実行します。
- Microsoft Edgeの管理用テンプレートを使ってGPOを作成します。「WindowsデバイスのMicrosoft Edgeポリシー設定を構成する」を参照してください。
- インターネットオプションの[ゾーン1(イントラネットサイト)]にorg.kerberos.okta.comを追加するGPOを作成します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
ChromeにOkta orgのURLを追加する
Chromeの構成は、手動で行うことも、各コンピュータのWindowsレジストリにエントリを追加して行うこともできます。いずれにしても、このタスクはWindowsでインターネットオプションを構成した後に実行してください。
手動による方法
各コンピューターで次のタスクを実行します。
- [Customize and control Google Chrome(Google Chromeのカスタマイズと構成)](右上端に3つのドット)をクリックします。
- [Settings(設定)]を選択します。
- [Privacy and security(プライバシーとセキュリティ)]を選択します。
- [Third-party cookies(サードパーティ製cookie)]をクリックします。
- サードパーティ製cookieの使用が許可されるサイトセクションの[Add(追加)]をクリックします。
- Okta orgのURLを入力します。モデルとして「org.kerberos.okta.com」という文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
カスタムドメインを利用しているときは、CookiesAllowedforURLsというコンテンツ設定にそのURLを追加します。
- [Add(追加)]をクリックします。
Windowsレジストリによる方法
各コンピューターで次のタスクを実行します。
-
Windowsレジストリを開きます。
-
次のエントリを文字列値として追加します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] "AuthServerAllowlist"=org.kerberos.okta.com
必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
カスタムドメインを利用しているときは、CookiesAllowedforURLsというコンテンツ設定にそのURLを追加します。
グループポリシーオブジェクトによる方法
ドメイン内のWindowsサーバーにGPOを作成し、ADSSOを使用するすべてのクライアントマシンにそれをプッシュできます。グループポリシーは、管理用テンプレートを使って作成できます。「管理対象PCのChromeブラウザーポリシーを設定する」を参照してください。
Mozilla FirefoxにOkta orgのURLを追加する
このタスクは、Windowsでインターネットオプションを構成した後に各コンピューターで実行してください。
- Firefox Webブラウザーを開き、[Address(アドレス)]バーに「about:config」を入力します。
- [Proceed with Caution(注意して続行)]メッセージが表示される場合は、[Accept the Risk and Continue(リスクを受け入れて続行する)]をクリックします。
- [Search preference name(設定名を検索)]フィールドに「network.negotiate-auth.trusted-uris」を入力します。
- [Edit(編集)]をクリックし、Okta orgのURLを入力します。モデルとして「org.kerberos.okta.com」という文字列を使用します。必要に応じて、orgを自分のorg名に置き換え、oktaをoktapreviewまたはokta-emeaに置き換えます。
- [Save(保存)]をクリックします。