Synchroniser les mots de passe avec Okta à partir d'Active Directory

Vous utilisez l'AD Password Sync Agent Okta pour synchroniser les mots de passe d'Active Directory (AD) dans Okta et sur les applications intégrées qui prennent en charge la synchronisation de mots de passe.

Lorsque l'authentification déléguée sur AD est activée, les mots de passe de répertoires ne sont pas synchronisés dans Okta, car l'authentification déléguée réalise l'authentification et qu'il n'existe pas de mot de passe Okta. Avec l'authentification déléguée, les utilisateurs utilisent le mot de passe de leur répertoire pour se connecter sur Okta.

Les mots de passe de répertoires doivent parfois être synchronisés depuis un répertoire vers une application, via Okta. Pour effectuer cette synchronisation, un utilisateur va utiliser son mot de passe de répertoire pour s'authentifier dans Okta. Okta vérifie le mot de passe, puis détermine si l'utilisateur est affecté à une application qui utilise la synchronisation de mots de passe. Si aucune application affectée n'utilise la synchronisation de mots de passe, le mot de passe sera mis en cache durant cinq jours. Si l'application utilise la synchronisation de mots de passe, le mot de passe sera synchronisé sur l'application, il sera stocké sur Okta comme mot de passe de l'application, puis le mot de passe de répertoire sera mis en cache durant cinq jours.

Si les utilisateurs se connectent sur Okta avec l'authentification unique de bureau sans agent (DSSO), plutôt qu'en utilisant un nom d'utilisateur ou un mot de passe, l'agent de synchronisation de mot de passe devra effectuer le suivi des modifications de mots de passe sur AD, puis synchroniser les modifications sur Okta. Vous pouvez également demander à vos utilisateurs de modifier leur mot de passe AD dans Okta ou de se connecter sur Okta après qu'un mot de passe a été modifié sur AD, afin que leurs mots de passe se synchronisent sur les applications.

Les scénarios décrits dans le tableau suivant visent à vous aider à déterminer si vous avez besoin d'installer l'AD Password Sync Agent Okta.

Scénario Expérience utilisateur Résultat
Okta est connecté à un domaine AD. Un AD Password Sync Agent d'Okta n'est pas déployé.
  • L'utilisateur modifie son mot de passe depuis la page de connexion de sa station de travail.
  • L'utilisateur se connecte sur son appareil.
  • L'utilisateur tente de se connecter à une autre application qui prend en charge la synchronisation de mots de passe.
 L'utilisateur reçoit un message indiquant que le mot de passe est erroné s'affiche, car le nouveau mot de passe n'a pas été synchronisé sur l'application. Pour synchroniser le nouveau mot de passe sur les applications intégrées d'Okta, les utilisateurs doivent se déconnecter d'Okta, puis se reconnecter sur Okta.
Okta est connecté à un domaine AD et l'authentification unique de bureau sans agent (DSSO) est active. Un AD Password Sync Agent d'Okta n'est pas déployé.
  • L'utilisateur modifie son mot de passe depuis la page de connexion de sa station de travail.
  • L'utilisateur se connecte sur son appareil.
  • L'utilisateur tente de se connecter à une autre application qui prend en charge la synchronisation de mots de passe.
 L'utilisateur reçoit un message indiquant que le mot de passe est erroné s'affiche, car le nouveau mot de passe n'a pas été synchronisé sur l'application. Pour synchroniser le nouveau mot de passe, les utilisateurs doivent se déconnecter d'Okta , puis se reconnecter dans Okta.
Okta est connecté à un domaine AD et la DSSO peut être active ou inactive. Un AD Password Sync Agent Okta est installé sur chaque contrôleur de domaine du domaine.
  • L'utilisateur modifie son mot de passe depuis la page de connexion de sa station de travail.
  • L'utilisateur se connecte sur son appareil.
  • L'utilisateur tente de se connecter à une autre application qui prend en charge la synchronisation de mots de passe.
 L'utilisateur peut accéder à l'application. L'AD Password Sync Agent d'Okta a intercepté l'événement de modification de mot de passe et l'a renvoyé dans Okta.

Workflow de réinitialisation de mot de passe Active Directory

Lorsqu'un utilisateur modifie son mot de passe AD sur Okta, Okta utilise l'agent AD afin d'envoyer la requête à AD. Une réinitialisation de mot de passe AD ne constitue pas un événement de synchronisation de mot de passe.

Voici un workflow de réinitialisation de mot de passe classique :

  • La tentative d'authentification d'un utilisateur sur Okta échoue.
  • L'utilisateur demande une réinitialisation de mot de passe.
  • L'utilisateur répond correctement à la question associée au mot de passe oublié ou effectue une authentification par SMS, qui inclut une question associée au mot de passe oublié.
  • L'utilisateur est authentifié dans Okta, mais pas sur AD.
  • L'utilisateur est invité à saisir un nouveau mot de passe.
  • Le nouveau mot de passe est temporairement conservé par Okta.
  • Okta renvoie le mot de passe vers AD. Cela nécessite des permissions élevées sur le compte de service de l'agent Active Directory (AD) d'Okta.
  • La réinitialisation de mot de passe AD active la synchronisation de mots de passe sur des applications qui utilisent la synchronisation de mots de passe.
  • Okta oublie le mot de passe.

Avant de commencer

  • Vous disposez d'un domaine AD intégré à Okta.
  • L'agent Active Directory (AD) d'Okta est installé et configuré dans chaque domaine intégré à votre forêt.
  • L'AD Password Sync Agent Okta est installé et configuré dans l'ensemble des contrôleurs de domaine de chaque domaine intégré à votre forêt.
  • L'authentification déléguée est activée. Pour plus d'informations à propos de l'authentification déléguée, consultez la section sur l'authentification.
  • Désactiver la protection LSA. Les environnements protégés par LSA ne sont pas pris en charge, car cette fonctionnalité empêche le chargement des plug-ins tiers obligatoires.
  • Le format de nom d'utilisateur Okta doit être au format UPN ou de nom de compte SAM. Si vous avez mappé Active Directory dans Okta avec tout autre format de nom d'utilisateur, l'AD Password Sync Agent d'Okta échouera.
  • Pour améliorer la sécurité liée à nos intégrations, nous communiquons désormais uniquement via le protocole de sécurité TLS 1.2. Pour Windows 2008 R2, TLS 1.2 est désactivé par défaut et doit être activé pour l'ensemble du registre. Si vous avez Windows 2008 R2, assurez-vous que les clés de registre suivantes sont correctement configurées : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001 [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

Installer l'AD Password Sync Agent d'Okta

Lors de l'installation des versions 1.4.0 et ultérieures de l'agent Active Directory Password Sync d'Okta, le redistributable Microsoft Visual C++ pour Visual Studio 2019 est installé, si ce n'est pas déjà le cas.

  1. Sur le contrôleur de domaine, rendez-vous sur la Okta Admin Console, cliquez sur Sécuritéauthentification déléguée et faites défiler le volet droit vers le bas, puis cliquez sur Télécharger l'agent de synchronisation de mot de passe AD d'Okta.
  2. Double-cliquez sur le fichier d'installation et suivez les invites.
  3. Lorsque vous y êtes invité(e), saisissez votre URL Okta. Par exemple, https://monentreprise.okta.com. Vous devez utiliser le protocole https:// dans votre saisie.
  4. Lorsque vous y êtes invité(e), choisissez où vous souhaitez installer l'AD Password Sync Agent Okta, puis cliquez sur Installer.
  5. Cliquez sur Terminer.
  6. Redémarrez le serveur.
  7. Facultatif. Répétez les étapes 1 à 6 sur chaque contrôleur de domaine de votre forêt que vous souhaitez intégrer à Okta.

Installation sans assistance

Vous pouvez utiliser un script ou une commande afin d'effectuer une installation sans assistance de l'AD Password Sync Agent d'Okta. Le mode sans assistance ne redémarre pas le système après que l'installation soit finalisée. Vous devrez redémarrer le système manuellement ou utiliser la commande shutdown /r.

La syntaxe à utiliser pour une installation en mode silencieux est : msiexec /i OktaPasswordSyncSetup-<version>.msi /quiet EXEOPTIONS="/q2 OktaURL=https://mycompany.okta.com"

Si l'installation est effectuée sur plusieurs serveurs, il vous faudra peut-être créer un fichier du registre qui définit le format de nom d'utilisateur Okta utilisé par l'AD Password Sync Agent d'Okta. La création d'une valeur DWORD nommée Nom d'utilisateur Okta (Format de nom d'utilisateur d'Okta) vous permet de choisir entre la valeur de nom de compte SAM (valeur : 1) ou UPN (valeur : 0).

Par exemple, afin de définir le format de nom d'utilisateur en nom de compte SAM, créez un fichier .reg avec les valeurs suivantes :

[HKEY_LOCAL_MACHINE\SOFTWARE\Okta\AD Password Sync]"Okta username format"=dword:00000001

Installez l'AD Password Sync Agent d'Okta sur Windows Server Core, 2e édition.

Avant d'installer l'Active Directory (AD) Password Sync Agent sur Windows Server Core, vous devez procéder comme suit :

  1. Installez le correctif logiciel Microsoft.

  2. Si vous passez à une version antérieure de l'agent, désinstallez manuellement les versions antérieures du programme d'installation Tarma. Le programme de désinstallation est situé ici :

    %ProgramData%\InstallMate\{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe

    Pour effectuer une désinstallation sans assistance, utilisez le chemin suivant : %ProgramData%\InstallMate{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe /remove /q2

  3. L'AD Password Sync Agent Okta ne prend pas en charge la console de gestion, et vous devrez utiliser regedit pour désactiver ce paramètre. Vous pouvez consulter les journaux de l'AD Password Sync Agent d'Okta via le chemin suivant : %ProgramData%\Okta\AD Password Sync\logs.

  4. Installer l'AD Password Sync Agent d'Okta. Consultez la section « Installer l'AD Password Sync Agent d'Okta ».

Configurer l'AD Password Sync Agent d'Okta

  1. Cliquez sur CommencerTous les programmesOktaSynchronisation de mot de passe AD sur OktaConsole de gestion de l'agent de synchronisation de mot de passe AD d'Okta.
  2. Cliquez sur Verify URL (Vérifier l'URL) pour vérifier que l'URL Okta est correcte et que le serveur cible est accessible. Si l'URL est valide, un message de réussite l'indiquera sous le champ de l'URL d'Okta.

Remarque : si un message d'erreur apparaît, consultez la section Résoudre les problèmes de synchronisation de mots de passe.

Vous pouvez également, si vous le souhaitez, modifier le paramètre de niveau de sévérité de journalisation. Vous pouvez contrôler les informations qui seront consignées dans les rapports de journal en sélectionnant l'une des options suivantes :

  • Aucune – aucune information n'est consignée.
  • Débogage – consigne les événements liés au débogage, aux informations et aux erreurs.
  • Informations – consigne les informations et les événements liés aux erreurs. Il s'agit du niveau de journalisation par défaut.
  • Erreur – consigne les événements liés aux erreurs uniquement.