WindowsでAgentless Desktop Single Sign Onを使用できるようにブラウザーを構成する

Agentless DSSOは、Chrome、ChromiumバージョンのMicrosoft Edge、Internet Explorer、Firefoxを使用するWindowsでサポートされています。以前のバージョンのMicrosoft Edge(レガシー)はサポートされていません。

Agentless DSSO用にWindows環境でブラウザーを構成するには:

  • ドメイン内のWindowsサーバーでグループポリシーオブジェクト(GPO)を作成して、ドメイン内のすべてのWindowsクライアントマシンに統合Windows認証とURLの設定を適用します。
  • ブラウザーでIWAを有効にします。
  • Internet Explorer(IE)のローカルイントラネットにOktaを追加します。OktaのURLにはhttps://<myorg>.kerberos.<okta|oktapreview|okta-emea>.comを含める必要があります。

注:1人のユーザーが600を超えるセキュリティグループのメンバーシップを持っている場合、またはKerberosトークンが大きすぎてOktaが現時点でそれを受け入れられない場合、エージェントレスDSSOは機能しません。大きなKerberosパケットを持つユーザーが、エージェントレスDSSOを実装または移行すると、400の応答が表示され、通常のサインイン・ページにリダイレクトされます。

Internet Explorer

この手順はInternet Explorerに固有のものですが、同様のプロセスを使用してWindowsでChromeとChromium Edgeを構成できます。

  1. ブラウザーでIWAを有効にします。
    1. Internet Explorerで、[Tools(ツール)][Internet Options(インターネットオプション)]の順に選択します。Windows 10以降で、[Start (スタート)]メニューの[Settings(設定)]アイコンをクリックし、検索バーで[Internet Options(インターネット・オプション)]を検索します。
    2. [Advanced(詳細設定)]タブをクリックして、下にスクロールして[Security(セキュリティ)]設定に移動し、[Enable Integrated Windows Authentication(Integrated Windows Authenticationを使用する)]をオンにします。
    3. [OK(OK)]をクリックします。

    注:Internet ExplorerでセッションCookieが保存できることを確認します([Internet Options(インターネットオプション)][Privacy(プライバシー)]タブ)。保存できない場合は、SSOも、標準のサインイン機能も動作しません。

  2. ローカルイントラネットゾーンを構成してOktaを信頼済みサイトに指定します。
    1. IEで、[Options(オプション)][Security(セキュリティ)]を開きます。
    2. [Local Intranet(ローカルイントラネット)][Sites(サイト)][Advanced(詳細設定)]をクリックして、前の手順で構成したOkta orgのURLを追加します。例:https://<myorg>.kerberos.<okta|oktapreview|okta-emea>.com
    3. [Close(閉じる)]をクリックして、ほかの構成オプションでは[OK(OK)]をクリックします。
  3. GPOを作成して、Agentless DSSOを使用するすべてのクライアントマシンに展開します。

Chrome

Okta URLをChromeの許可リストに追加する必要があります。

レジストリに次のエントリを文字列として追加します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] "AuthServerAllowlist"=<myorg>.kerberos.<okta|oktapreview|okta-emea>.com

注:<myorg>.kerberos.<okta|oktapreview|okta-emea>.comは、Agentless Desktop Single Sign Onが構成されているOkta orgに置き換えてください。例:acme.kerberos.okta.com

Firefox

  1. Firefox Webブラウザーを開き、Address(アドレス)バーにabout:configと入力します。
  2. [Proceed with Caution(注意して続行)]メッセージが表示された場合は、[Accept the Risk and Continue(リスクを受け入れて続行する)]をクリックします。
  3. [Search preference name(設定名を検索)]フィールドにnetwork.negotiate-auth.trusted-urisと入力します。
  4. [Edit(編集)]をクリックし、<myorg>.kerberos.<okta|oktapreview|okta-emea>.comと入力して、[Save(保存)]をクリックします。

次の手順

Agentless Desktop Single Sign Onを有効にする