ユーザーがOkta Verify for Windowsに登録しようとすると、次のいずれかのエラーメッセージが表示されます。
- サインインURLが安全ではありません
- Generic enrollment error(一般的な登録エラー)
イベントビューアに、次のような同様のエラーが表示されます。
- Extensions.WriteException: An error occurred when getting the organization status.(Extensions.WriteException:組織のステータスを取得するときにエラーが発生しました。)Exception: An error occurred while sending the request.: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.: The remote certificate is invalid according to the validation procedure.(例外:リクエストの送信中にエラーが発生しました。:基になる接続が閉じられました:SSL/TLSセキュアチャンネルの信頼関係を確立できませんでした。:検証手順に従い、リモート証明書が無効です。)
- [CertificatePinningValidator.ValidateConnection]: Certificate domain .oktapreview.com/.okta.com did not match pinned keys/certs, validation failed.([CertificatePinningValidator.ValidateConnection]:証明書ドメイン.oktapreview.com/.okta.comが固定されたキー/証明書と一致しませんでした、検証に失敗しました。)
- Okta Identity Engine(OIE)
- Okta Verifyデスクトップ
- 多要素認証(MFA)
エラーは、次の問題が原因で発生します。
- セキュリティ上の理由から、OktaはOkta Verifyとそのエンドポイント間のトラフィックの検査や変更を許可していません。
- Zscaler、Netskope、またはその他のデスクトップまたはネットワークコンポーネント(プロキシ)は、SSL証明書を検査するように設定されている場合があります。
- FastPassはフィッシング耐性があるため、中間者(Zscaler、Netskopeなどの製品)がTLSトラフィックを検査する場合、正しく機能しません。
解決策1
SSLプロキシ環境の場合:
1. 組織のデフォルトのOktaドメインを検査から除外します。通常、Oktaドメインは、*.okta.comまたは*.oktapreview.comです。Oktaドメインの完全なリストについては、「Okta IPアドレスへのアクセスを許可する」を参照してください。
2. 1台以上のワークステーションでZscalerまたはNeskopeをオフにするか、ネットワークプロキシをバイパスします。これで問題が解決した場合は、*.okta.com(本番テナントの場合)/*.oktapreview.com(サンドボックステナントの場合)またはカスタムドメイン(使用されている場合)のSSLインスペクションを防止するか、考慮するようにポリシーを変更します。
解決策2
ブラウザーのプロキシを無効にします。
たとえば、Microsoft Edgeブラウザーの場合は、システムのプロキシ設定を使用するため、Windowsプロキシ設定にアクセスし、設定をオフにします。 Edge内で、[Settings(設定)] > [System and Performance(システムとパフォーマンス)] > [Open the computer's proxy settings(コンピューターのプロキシ設定を開く)]に移動します。次に[手動プロキシセットアップ(Manual proxy setup)]で[プロキシサーバーを使用する(Use a proxy server)]をオフに切り替えて、[保存]をクリックします。
