OpenAM/OpenSSOの"Desktop SSO"は、一度WIndowsドメインにログオンするだけでブラウザ（IEまたはFirefox）からもシングル・サイン・オンが出来るようになるという便利な機能です。今はその設定ガイドを準備しています。設定手順については様々なドキュメントが既にあります。またブログにも手順が載っています。しかし、多くは現状に合わなくなっていたり、必要以上に複雑な手順になっていることが問題です。

例えばktpassコマンドの使い方についてです。多くの手順では２回ktpassコマンドを使っていますが、１回で十分なはずです。Service Principalをユーザにマップして、鍵を生成し、キータブファイルを生成することまでをktpassコマンド１回で出来ます。その方が間違いがなく、正確です。Host Principalを生成している手順もありましたが、これも必要ありません。

全くの誤りもあります。"Sun OpenSSO Enterprise 8.0 Deployment Planning Guide"のAnalyzing the Deployment ArchitectureにあるFigure 18–2です。SPNEGO Web認証を説明している図ですが、７番にOpenSSOからKDCへの問い合わせがあるのが間違いです。KerberosとSAMLのArtifact Profileを取り違えています。何となく気持ちは分かりますが、これはヒドイ。