Active Directoryデスクトップシングルサインオンの前提条件

新しいデスクトップシングルサインオン(DSSO)構成を実装するとき、または既存のDSSO構成を移行するときの前提条件は次のとおりです。

  • OktaエージェントレスDSSOのAES暗号化タイプ(AES128_HMAC_SHA1またはAES256_HMAC_SHA1、あるいはその両方)。RC4暗号化はサポートされていません。Agentless DSSOまたはMSアプリのサイレントアクティベーションでAES128/256暗号化を使用するには、ADドメインと、Okta DSSOのサービスアカウントの両方でAESを有効にする必要があります。ADドメインで有効になっていない場合は、KerberosイベントログにKerberosエラーKDC_ERR_ETYPE_NOTSUPPが表示されます。暗号化を有効にするには、「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。
  • すべてのサインインフローおよびブラウザーのブックマークで正しいURLを使用。

  • ADサービスアカウント:

    • OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメインユーザーアカウントを使用します。これはセキュリティのベストプラクティスです。
    • 架空のホスト名を使用して[logon to(ログオン先)]の制限を有効にするとともに、[Account is sensitive and cannot be delegated(アカウントは重要なので委任できない)]をオンにします。これはセキュリティのベストプラクティスです。

  • DelAuthページを更新するためのOktaスーパー管理者権限。アプリ管理者も、ADを管理するためのアクセス権が付与されている場合、十分な権限を持っている可能性があります。