デスクトップシングルサインオンに関するよくある質問

リモートでエージェントレスDSSOを使用できますか？

いいえ。エージェントレスDSSOを介してサインインするには、ネットワークに接続している必要があります。ただし、VPNを使用する場合は、エージェントレスDSSOを使用できます。

DSSOを使用する際に特別なポートを開く必要がありますか？

いいえ。

コンピューターはドメインに参加している必要がありますか？

はい。エージェントレスDSSOを使用するには、コンピューターがドメインに参加している必要があります。

マシンにエージェントをインストールする必要がありますか？

いいえ。エージェントレスDSSOを使用すると、マシンにIWAエージェントを用意する必要がなくなります。代わりに、Kerberos検証がOktaサーバーで実行されます。

トラブルシューティング時にOktaで401エラーが表示されます。どこかに不具合があるのでしょうか？

これは想定される動作です。エンドユーザーがブラウザーに<myorg>.okta.comと入力すると、Oktaは、orgでエージェントレスDSSOが有効化されたものとみなします。その上で、KDCに対する401認証チャレンジを開始し、OktaKerberos チケットをに返します。

書き換えルールは再作成できますか？

いいえ。

UPNドメイン名のサフィックスはADドメインのプライマリDNSサフィックスと同一にする必要がありますか？

いいえ。OktaではユーザーSIDを使用してユーザーを特定し、認証します。リクエストはSIDを使用してユーザーオブジェクトに解決されるため、これらのサフィックスが一致していなくても問題にはなりません。

エージェントレスDSSOにレート制限はありますか？

エージェントレスDSSOエンドポイント（/login/agentlessDSSO）の現在のレート制限は1000/分です。ログインが成功するたびにエージェントレスDSSOエンドポイントに対して2つのhttpコマンドが実行されるため、これは、「トークンのレート制限を設定する（任意）」で説明されているオンプレミスのレート制限の2倍になります。1分あたりに成功するサインインフロー数は、オンプレミスIWAと同じです。