エージェントレス・デスクトップ・シングル・サインオンを有効にする

  1. 管理コンソールで、[セキュリティー] > に移動します [委任認証]
  2. [エージェントレス・デスクトップSSO]までスクロールします。
  3. [編集]をクリックし、DSSOモードを選択します。
    • [オフ]
    • [テスト] — エージェントレスDSSOエンドポイントの直接URL(https://<myorg>.okta.com/login/agentlessDsso)を使用してサインインすることで、DSSOをテストできます。
    • [オン] — 本番環境でSSOを有効にできるようにし、ユーザーがデフォルトのサインイン・エンドポイントからエージェントレスDSSOサインイン・エンドポイントを経由してサインインできるようにします。エンド・ユーザーがDSSO URLを明示的に入力する必要はありません。
  4. [許可されたネットワーク・ゾーン]に、エージェントレスDSSOを実装するマシンに関連付けられたゾーンを追加します。

    :(IDプロバイダー)IdPディスカバリーがオンの場合、ネットワーク・ゾーンのオプションは使用できません。IdPディスカバリーとエージェントレスDSSOの両方がオンの場合、エージェントレスDSSOネットワーク・ゾーンは、IdPルーティング・ルールによって制御されます。 デフォルトのIdPルーティング・ルールの更新は、 で行います。

  5. [ADインスタンス]で、サービス・プリンシパル名(SPN)を構成したActive Directoryインスタンスを選択します。
  6. 次のフィールドを入力して、選択したActive DirectoryドメインのエージェントレスDSSOを構成します。
    • [デスクトップSSO] — 本番環境を有効にするかテストを有効にするかに応じて、[有効]または[無効]を選択します。

    • [サービス・アカウントのユーザー名] — これは で作成した、ドメインのサフィックスやNetBIOS名のプレフィックスのないADサインオン名です。sAMAccountName、またはUPNのユーザー名部分を使用できます。組織管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。

      このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービス・アカウント・ユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります。例:agentlessDsso@mydomain.com

      サービス・アカウントのユーザー名とADユーザーのアカウント名が一致しない場合は、エージェントレスDSSOが失敗する可能性があります。この場合は、デフォルトのサインオン・ページに戻り、GSS_ERRエラーがSysLogに表示されます。サービス・アカウントのユーザー名とADユーザー・アカウントは、大文字と小文字が区別されます。サービス・アカウントでAES暗号化が有効になっている場合は、これらが一致する必要があります。

    • [サービス・アカウントのパスワード] — ADで作成したアカウントのパスワード。

    • [保存時にサービス・アカウント認証情報を検証する] — オプション。大文字と小文字は区別されません。Kerberosレルム構成を保存する際のオプションの手順として、サービス・アカウントの認証情報を検証します。オンになっている場合は、ADエージェントによってサービス・アカウントが認証されます。認証情報を検証できない場合は、エラー・メッセージが表示されます。検証を行わない場合、またはADエージェントが応答しないために検証できない場合は、チェック・ボックスをオフにして検証をスキップできます。
  7. [保存]をクリックします。

次の手順

デスクトップ・シングル・サインオンIDプロバイダーのデフォルトのルーティング・ルールを更新する