Agentless Desktop Single Sign Onを有効にする

  1. Admin Consoleで、[Security(セキュリティ)][Delegated Authentication(委任認証)]に移動します。
  2. [Agentless Desktop SSO(エージェントレスデスクトップSSO)]までスクロールします。
  3. [Edit(編集)]をクリックし、DSSOモードを選択します。
    • [Off(オフ)]
    • [Test(テスト)]:エージェントレスDSSOエンドポイントの直接URL(https://myorg.okta.com/login/agentlessDsso)を使用してサインインすることで、DSSOをテストできます。
    • [On(オン)]:本番環境でSSOを有効にできるようにし、ユーザーがデフォルトのサインインエンドポイントからエージェントレスDSSOサインインエンドポイントを経由してサインインできるようにします。エンドユーザーがDSSO URLを明示的に入力する必要はありません。
  4. [AD Instances(ADインスタンス)]で、SPNを構成したActive Directoryインスタンスを選択します。
  5. 次のフィールドを入力して、選択したActive DirectoryドメインのAgentless DSSOを構成します。
    • [Desktop SSO(デスクトップSSO)]:本番環境を有効にするかテストを有効にするかに応じて、[Enabled(有効)]または[Disabled(無効)]を選択します。

    • [Service account username(サービスアカウントのユーザー名)]:ドメインのサフィックスや、Netbios名のプレフィックスのない、Active Directoryのサインオン名です(「サービスアカウントを作成し、サービスプリンシパル名を設定する」を参照)。sAMAccountName、またはUPNのユーザー名部分を使用できます。org管理者が異なる値を使用しない限り、この2つは同じ文字列である可能性があります。

      このフィールドでは大文字と小文字が区別されます。UPNプレフィックスがsAMAccountNameと異なる場合、サービスアカウントユーザー名はUPNと同じものにし、ドメインのサフィックスを含める必要があります(例:agentlessDsso@mydomain.com)。

      サービスアカウントのユーザー名とActive Directoryユーザーのアカウント名が一致しない場合、エージェントレスDSSOが失敗する可能性があります。この場合は、デフォルトのサインインページに戻され、System LogにGSS_ERRエラーが記録されます。サービスアカウントのユーザー名とActive Directoryユーザーアカウントは、大文字と小文字が区別されます。サービスアカウントでAES暗号化が有効になっている場合は、これらが一致する必要があります。

    • [Service account password(サービスアカウントのパスワード)]Active Directoryで作成したアカウントのパスワード。

    • [Validate service account credential on save(保存時にサービスアカウント認証情報を検証する)]:オプション。大文字と小文字は区別されません。Kerberosレルム構成を保存する際のオプションの手順として、サービスアカウントの認証情報を検証します。オンになっている場合は、Active Directory Agentによってサービスアカウントが認証されます。認証情報を検証できない場合は、エラーメッセージが表示されます。検証を行わない場合、またはActive Directory Agentが応答しないために検証できない場合は、チェックボックスをオフにして検証をスキップできます。
  6. [Allowed network zones(許可されたネットワークゾーン)]に、エージェントレスDSSOを実装するマシンに関連付けられたゾーンを追加します。

    IDプロバイダー(IdP)ディスカバリーがオンの場合、ネットワークゾーンのオプションは使用できません。IdPディスカバリーとエージェントレスDSSOの両方がオンの場合、エージェントレスDSSOネットワークゾーンは、IdPルーティングルールによって制御されます。デフォルトのIdPルーティングルールの更新は、「デスクトップシングルサインオンIDプロバイダーのデフォルトのルーティングルールを更新する」で行います。

  7. [Save(保存)]をクリックします。

次の手順

デスクトップシングルサインオンIDプロバイダーのデフォルトのルーティングルールを更新する