Références sur l'intégration AD LDS LDAP

Cette section fournit des informations de référence spécifiques aux intégrations Active Directory Lightweight Directory Services (AD LDS) Lightweight Directory Access Protocol (LDAP). Lorsque vous installerez l'agent LDAP d'Okta, vous aurez besoin de ces informations afin d'intégrer votre répertoire AD LDS à Okta. Consultez Installer l'agent LDAP Okta.

L'intégration LDAP Okta après la migration doivent définir leur mot de passe lors de leur première connexion. Vous devez utiliser Okta Active Directory Agent pour intégrer Okta aux services de domaine Active Directory (AD DS).

Version recommandée

Windows Server 2016

Problèmes connus

  • Le statut "actif" des utilisateurs qui demandent un mot de passe temporaire n'est pas modifié en "mot de passe expiré".
  • Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs sur Okta. Lorsqu'une seule source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.

Configuration de l'intégration

Durant l'installation et la configuration initiales de l'agent détaillées dans la section Installer l'agent LDAP Okta, voici les attributs utilisés pour les intégrations AD LDS :

  • Attribut d'identificateur unique : distinguishedname
  • Attribut DN : distinguedName
  • Classe d'objets utilisateur : identityperson
  • Filtre d'objets utilisateur : (objectclass=identityperson)
  • Attribut de compte désactivé : msds-useraccountdisabled
  • *Valeur du compte désactivé : TRUE
  • *Valeur du compte activét : FALSE
  • Attribut du mot de passe : unicodepwd
  • Classe d'objets de groupe : group
  • Filtre d'objets de groupe : (objectclass=group)
  • Attribut de membre : member

Lecture de schéma

Pour ajouter des attributs des classes AUX, ajoutez la classe auxiliaire comme classe d'objets auxiliaires à la configuration d'approvisionnement de répertoire.

Modification de mot de passe

Les utilisateurs peuvent modifier leur mot de passe en sélectionnant Paramètres sur le Okta End-User Dashboard

Pour autoriser les utilisateurs de modifier ou de réinitialiser leur mot de passe, cliquez surSécuritéAuthentification déléguée , sélectionnez l'onglet LDAP, puis sélectionnez Les utilisateurs peuvent modifier leurs mots de passe LDAP dans Okta.

Les valeurs des messages d'erreur AD LDS déterminent les messages d'erreur à afficher dans Okta. Par exemple, une valeur d'erreur AD LDS de 2245 correspond au message d'erreur suivant dans Okta :

Impossible de mettre à jour le mot de passe. Le nouveau mot de passe saisi ne correspond pas aux exigences du domaine en matière de longueur, de complexité ou d'historique.

Mot de passe réinitialisé

Un administrateur ou le flux mot de passe oublié de l'utilisateur peut déclencher une réinitialisation du mot de passe.

La réinitialisation de mot de passe peut échouer si le nouveau mot de passe ne répond pas aux critères de la politique de mots de passe.

Validation de mot de passe

AD LDS utilise la politique de mots de passe système ou la politique de mots de passe de domaine pour la validation de mots de passe.

Importer

Pour créer des profils utilisateur, utilisez des classes d'objet telles que user, inetOrgPerson, person ou OrganizationalPerson. Pour utiliser un profil personnalisé, mettez à jour les options identityperson.

Approvisionnement JIT

Il n'existe pas de spécificité liée à l'approvisionnement JIT AD LDS. Pour l'identification de l'utilisateur (UID), utilisez un format d'e-mail correspondant au paramètre par défaut pour un nom d'utilisateur Okta. N'utilisez pas de fournisseur d'identité (IdP) externe pour déclencher un flux de connexion.

Pour vous assurer que l'approvisionnement JIT a bien été effectué dès la première tentative, vérifiez les éléments suivants :

  • La valeur de l'attribut de nom configuré (tel que l'UID) ne doit pas exister dans Okta.
  • La valeur de l'attribut de nom configuré (tel que l'UID) doit être unique dans l'ensemble des répertoires utilisant JIT.
  • Les attributs obligatoires doivent être présents. Les attributs par défaut de Okta sont email, givenName, sn, and uid.
  • Le mot de passe doit être correct.
  • L'attribut de compte désactivé doit avoir la valeur "false" (faux) sur le serveur LDAP.

Lorsque l'approvisionnement JIT est effectué, l'ensemble des attributs utilisateur spécifiés sur la page des paramètres LDAP et dans Profile Editor est importé. Pour sélectionner d'autres attributs obligatoires, utilisez Profile Editor.

Importation d'appartenances

Durant l'importation, si les paramètres AD LDS par défaut sont utilisés, les groupes utilisateur dans le groupe de classes d'objets sont importés et ajoutés à l'utilisateur spécifié dans l'attribut de groupe du membre.

Lors de l'importation, si l'attribut d'appartenance est défini sur seeAlso, les utilisateurs seront affectés aux groupes ajoutés à l'attribut utilisateur seeAlso.

Approvisionnement

Il n'existe pas de spécificité propre aux intégrations LDAP AD LDS.

Pour créer et affecter des mots de passe lors de la création de profils utilisateur :

  1. Contactez l'assistance client d'Okta afin d'activer les mises à jour push de mots de passe LDAP.
  2. Désactivez l'authentification déléguée :
    1. Dans Admin Console, accédez à SécuritéAuthentification déléguéeLDAP.
    2. Cliquez sur Modifier dans le volet Authentification déléguée.
    3. Décochez la case à cocher Activer l'authentification déléguée sur LDAP
    4. Cliquez sur Enregistrer.
    5. Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Désactiver l'Authentification LDAP.
  3. Dans votre Okta Admin Console, cliquez sur RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  4. Cliquez sur Modifier, sélectionnez Activer en regard de Synchroniser un mot de passe, puis Enregistrer.

    Lorsque l'option Synchroniser un mot de passe est activée, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion de l'utilisateur.

Pour affecter à LDAP des utilisateurs Okta existants, suivez les étapes ci-après :

  1. Dans votre Admin Console, accédez à RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  2. Cliquez sur Modifier, sélectionnez Activer en regard de Créer des utilisateurs, puis sur Enregistrer.
  3. Cliquez sur RépertoireGroupes.
  4. Sélectionnez le groupe Okta auquel vous souhaitez affecter des utilisateurs.
  5. Cliquez sur Gérer les répertoires.
  6. Sélectionnez une instance LDAP dans le volet gauche, puis cliquez sur Suivant.
  7. Saisissez le nom unique entier (DN) pour le conteneur LDAP du nouvel utilisateur dans le champ Nom unique de destination pour l'approvisionnement.
  8. Cliquez sur Confirmer les modifications.

Dépannage

Si l'authentification de répertoire LDAP échoue, les journaux de l'agent affichent des messages similaires à ceux présentés ci-après afin de fournir une assistance au diagnostic et à la résolution :

Agent: Réussite

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttbJoCgX6d8bVs0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=AD_LDS

Agent : DelAuth failure

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttkKzNHPmn4Cky0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?, error code=49, matched dn=CN=LynxyADLVSWih2Group,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Aucun utilisateur

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttml2duHannKQp0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=identityperson)(uid=LynxyADLDSWith2Group22s@lynxy.com)), result code=, vendor=AD_LDS

Agent: User deactivated (msDS-UserAccountDisabled = TRUE)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttoAFlo2ktz8nu0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?, error code=49, matched dn=CN=LynxyADLVSWih2Group,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Account expired

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADStxkjhWLW7DX9qN0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?, error code=49, matched dn=CN=LynxyADLVSUserForChange2,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Password Expired

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSu99dXaoVG7gFjG0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?, error code=49, matched dn=CN=delauth2,CN=\#Users,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Account locked

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv4gTD5ihbuqeep0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?, error code=49, matched dn=CN=test1706 test1706,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?'), result code=invalid credentials, vendor=AD_LDS

Rubrique liée

Installer l'Okta Active Directory Agent