Références sur l'intégration LDAP eDirectory

Cette section fournit des informations de référence spécifiques aux intégrations LDAP eDirectory. Utilisez ces informations afin d'intégrer votre eDorectory dans Okta lorsque vous installerez l'agent LDAP d'Okta. Consultez Installer l'agent LDAP Okta.

Version recommandée

LDAP Agent for NetIQ eDirectory 8.8 SP8 (20812.10)

Considérations

  • Les utilisateurs qui sollicitent une réinitialisation de leur mot de passe et doivent le modifier une fois la réinitialisation effectuée par un administrateur devront indiquer deux fois leur nouveau mot de passe afin d'accéder au Okta End-User Dashboard.
  • Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs sur Okta. Lorsqu'une unique source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.
  • Les flux de connexion et d'importation d'Okta traitent les appartenances en fonction du membre. NetIQ utilise groupMember pour suivre les appartenances aux groupes imbriqués, ce qui signifie qu'Okta ne peut pas traiter les appartenances imbriqués pour les intégrations eDirectory NetIQ.

Configuration de l'intégration

Lorsque vous installez et configurez l'agent LDAP , utilisez les attributs eDorectory suivants :

  • Attribut d'identificateur unique : localentryid
  • Attribut DN : entrydn
  • Classe d'objets utilisateur : inetorgperson
  • Filtre d'objets utilisateur : (objectclass=inetorgperson)
  • Attribut de compte désactivé : loginDisabled
  • *Valeur du compte désactivé : TRUE
  • *Valeur du compte activé : FALSE
  • Attribut du mot de passe : userpassword
  • Classe d'objets de groupe — groupofnames
  • Filtre d'objets de groupe — (objectclass=groupofnames)
  • Attribut de membre: member member

Lecture de schéma

Pour ajouter des attributs des classes AUX, ajoutez la classe auxiliaire comme classe d'objets auxiliaires à la configuration d'approvisionnement de répertoire. Par exemple, l'attribut dc est ajouté aux attributs de schéma Okta lorsque la classe d'objets auxiliaires est dcObject.

Modification de mot de passe

Les utilisateurs peuvent modifier leur mot de passe en sélectionnant Paramètres sur le Dashboard d'utilisateur final Okta.

Si vous utilisez des paramètres de mot de passe spécifiques à eDirectory sur votre instance LDAP, une modification ou une réinitialisation de mot de passe peut échouer sur Okta si un utilisateur ne dispose pas des permissions ACL adéquates pour la modification des mots de passe en autonomie. Si c'est le cas, la modification de mot de passe échouera et retournera le message d'erreur : NDS error: no access (-672).

Réinitialisation de mot de passe

Un administrateur peut déclencher une réinitialisation de mot de passe . La réinitialisation d'un mot de passe est également déclenchée lorsqu'un utilisateur clique sur le lien mot de passe oublié . La réinitialisation de mot de passe fonctionne sans ajout d'ACL spécifique.

La réinitialisation de mot de passe peut échouer si le nouveau mot de passe ne répond pas aux critères de la politique de mots de passe.

Importer

eDirectory dispose d'une précision décimale pour modifyTimestamp différente de celle des autres serveurs LDAP. La valeur habituelle est 3, mais pour eDirectory, la valeur doit être définie sur 1. Il existe deux façons de définir cette valeur :

  • Si vous bénéficiez d'une prise en charge eDirectory activée et que la version de l'agent LDAP est 5.6.2 (ou une version ultérieure), la précision décimale devrait être automatiquement définie sur 1 durant le processus d'installation. Vous pouvez modifier cette valeur sur la page Intégrations de répertoiresApprovisionnementDans Okta.
  • Si la version de votre agent LDAP est 5.6.0 ou 5.6.1, mettez à jour la précision décimale de l'ensemble des agents déployés en modifiant l'attribut generalizedTimeMillisecondDecimalPlaces à 1 dans OktaLDAPAgent.conf.

Lors de l'importation, Okta lit les différents formats pris en charge depuis les syntaxes d'attributs LDAP. Cela inclut l'horodatage loginExpirationTime de eDirectory, qui est stocké dans Okta en tant que type de données au format unifié datetime .

Les versions de l'agent LDAP antérieures à la version 5.6.0 ne prennent pas en charge les intégrations LDAP eDirectory.

Approvisionnement JIT

Il n'existe pas de spécificité liée à l'approvisionnement JIT de eDirectory. Pour l'identification de l'utilisateur (UID), utilisez un format d'e-mail correspondant au paramètre par défaut pour un nom d'utilisateur Okta. N'utilisez pas de fournisseur d'identité externe (IDP) pour déclencher la connexion.

Pour vous assurer que l'approvisionnement JIT a bien été effectué dès la première tentative, vérifiez les éléments suivants :

  • La valeur de l'attribut de nom configuré (tel que l'UID) ne doit pas exister dans Okta.
  • La valeur de l'attribut de nom configuré (tel que l'UID) doit être unique dans l'ensemble des répertoires utilisant JIT.
  • Les attributs obligatoires doivent être présents. Les attributs par défaut de Okta sont email, givenName, sn, and uid.
  • Le mot de passe doit être correct.
  • L'attribut de compte désactivé doit avoir la valeur "false" (faux) sur le serveur LDAP.

Lorsque l'approvisionnement JIT est effectué, l'ensemble des attributs utilisateur spécifiés sur la page des paramètres LDAP et dans Profile Editor est importé. Pour sélectionner d'autres attributs obligatoires, utilisez Profile Editor.

Importation d'appartenances

Durant l'importation, si les paramètres eDirectory par défaut sont utilisés, les groupes utilisateur dans le groupe de classes d'objets objectClass groupofnames sont importés et ajoutés à l'utilisateur spécifié dans l'attribut member de groupe du membre.

Lors de l'importation, si l'attribut d'appartenance est défini sur seeAlso, les utilisateurs seront affecté aux groupes ajoutés à l'attribut utilisateur seeAlso.

Approvisionnement

Pour créer et affecter des mots de passe lors de la création de profils utilisateur :

  1. Contactez l'assistance client d'Okta afin d'activer les mises à jour push de mots de passe LDAP.
  2. Désactivez l'authentification déléguée :
    1. Dans Admin Console, accédez à SécuritéAuthentification déléguéeLDAP.
    2. Cliquez sur Modifier dans le volet Authentification déléguée.
    3. Décochez la case à cocher Activer l'authentification déléguée sur LDAP
    4. Cliquez sur Enregistrer.
    5. Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Désactiver l'Authentification LDAP.
  3. Dans votre Admin Console, accédez à RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  4. Cliquez sur Modifier, sélectionnez Activer en regard de Synchroniser un mot de passe, puis sur Enregistrer.

    Lorsque l'option Synchroniser un mot de passe est activée, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion de l'utilisateur.

Pour affecter à LDAP des utilisateurs Okta existants, suivez les étapes ci-après :

  1. Dans votre Admin Console, accédez à RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  2. Cliquez sur Modifier, sélectionnez Activer en regard de Créer des utilisateurs, puis sur Enregistrer.
  3. Cliquez sur RépertoireGroupes.
  4. Sélectionnez le groupe Okta auquel vous souhaitez affecter des utilisateurs.
  5. Cliquez sur Gérer les répertoires.
  6. Sélectionnez une instance LDAP dans le volet gauche, puis cliquez sur Suivant.
  7. Saisissez le nom unique entier (DN) pour le conteneur LDAP du nouvel utilisateur dans le champ Nom unique de destination pour l'approvisionnement.
  8. Cliquez sur Confirmer les modifications.

Okta prend en charge l'écriture des attributs date et heure dans le format ISO 8601 AAAA-MM-JJTHH:mm:ss.SSSZ. L'attribut loginExpirationTime dans le profil Okta AppUser est stocké sous datetime. Toute tentative de push de cet attribut depuis Okta vers eDirectory LDAP échouera.

Dépannage

Si l'authentification de répertoire LDAP échoue, les journaux de l'agent affichent des messages similaires à celui présenté ci-après afin de fournir une assistance au diagnostic et à la résolution :

Agent:Success

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSuirvHXkjvU4It20g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=UNDEFINED

Agent: Delauth failure

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSzbsNoy4eNjPI090g3, diagnostic message=NDS error: failed authentication (-669), error code=49, matched dn=cn=UserEdirectoryNewOne@edir.com,o=QAUsers,dc=Okta,dc=Com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='NDS error: failed authentication (-669)', diagnosticMessage='NDS error: failed authentication (-669)'), result code=invalid credentials, vendor=UNDEFINED

Agent: Aucun utilisateur

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSzbmckuuz7LniPk0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=UserEdirectoryNewOne@edir.com333)), result code=, vendor=UNDEFINED

Agent: Mot de passe expiré

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSu99dXaoVG7gFjG0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?, error code=49, matched dn=CN=delauth2,CN=\#Users,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: User deactivated (loginDisabled = TRUE)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSzbyLP2YaxpJyKI0g3, diagnostic message=NDS error: log account expired (-220), error code=53, matched dn=cn=UserEdirectoryNewOne@edir.com,o=QAUsers,dc=Okta,dc=Com, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='NDS error: log account expired (-220)', diagnosticMessage='NDS error: log account expired (-220)'), result code=unwilling to perform, vendor=UNDEFINED