デスクトップシングルサインオンに関するよくある質問
リモートでAgentless DSSOを使用できますか?
いいえ。Agentless DSSOを介してサインインするには、ネットワークに接続している必要があります。ただし、VPNを使用する場合は、Agentless DSSOを使用できます。
コンピューターはドメインに参加している必要がありますか?
はい。Agentless DSSOを使用するには、コンピューターがドメインに参加している必要があります。
マシンにエージェントをインストールする必要がありますか?
いいえ。Agentless DSSOを使用すると、マシンにIWAエージェントを用意する必要がなくなります。代わりに、Kerberos検証がOktaサーバーで実行されます。
トラブルシューティング時にOktaで401エラーが表示されます。どこかに不具合があるのでしょうか?
これは予想される動作です。エンドユーザーがブラウザーに移動して<myorg>.okta.comと入力すると、OktaはorgでAgentless DSSOが有効になっていることを確認し、KDCに対して401認証チャレンジを開始します。その後、KDCはKerberosチケットをOktaに返します。
UPNドメイン名のサフィックスはADドメインのプライマリDNSサフィックスと同一にする必要がありますか?
いいえ。OktaではユーザーSIDを使用してユーザーを特定し、認証します。リクエストはSIDを使用してユーザーオブジェクトに解決されるため、これらのサフィックスが一致していなくても問題にはなりません。
Agentless DSSOにレート制限はありますか?
Agentless DSSOエンドポイント(/login/agentlessDSSO)の現在のレート制限は1000/分です。ログインが成功するたびにAgentless DSSOエンドポイントに対して2つのhttpコマンドが実行されるため、これは、「トークンのレート制限を設定する(任意)」で説明されているオンプレミスのレート制限の2倍になります。1分あたりに成功するログイン数は、オンプレミスIWAと同じになります。