Active Directoryデスクトップ・シングル・サインオンの前提条件
新しいデスクトップ・シングル・サインオン(DSSO)構成を実装するとき、または既存のDSSO構成を移行するときの前提条件は次のとおりです。
- Okta組織に統合したActive Directory(AD)ドメイン。
- 委任認証を有効にする必要があります。委任認証を有効にするを参照してください。
- サービス・プリンシパル名(SPN)を構成するためのADの権限。「Delegating Authority to Modify SPNs」 (https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc731241(v=ws.11))を参照してください。
- OktaエージェントレスDSSOのAES暗号化タイプ(AES128_HMAC_SHA1またはAES256_HMAC_SHA1、あるいはその両方)。RC4暗号化はサポートされていません。エージェントレスDSSOまたはMSアプリのサイレント・アクティベーションでAES128/256暗号化を使用するには、ADドメインと、Okta DSSOのサービス・アカウントの両方でAESを有効にする必要があります。ADドメインで有効になっていない場合は、Kerberosイベント・ログにKerberosエラーKDC_ERR_ETYPE_NOTSUPPが表示されます。暗号化を有効にするには、「Windows Configurations for Kerberos Supported Encryption Type」を参照してください。
- すべてのサインイン・フローおよびブラウザーのブックマークで正しいURLが使用されています。
-
ADサービス・アカウント:
- OktaテナントのKerberosサービスには、ドメイン管理者アカウントではなく、ドメイン・ユーザー・アカウントを使用します。これはセキュリティーのベスト・プラクティスです。
- 架空のホスト名を使用して[ログオン先]の制限を有効にするとともに、[アカウントは重要なので委任できない]をオンにします。これはセキュリティーのベスト・プラクティスです。
-
DelAuthページを更新するためのOktaスーパー管理者権限。アプリ管理者も、ADを管理するためのアクセス権が付与されている場合、十分な権限を持っている可能性があります。