Références sur l'intégration LDAP IBM

Cette section fournit des informations de référence spécifiques aux intégrations LDAP (Lightweight Directory Access Protocol) IBM. Lorsque vous installerez l'agent LDAP d'Okta, vous aurez besoin de ces informations afin d'intégrer votre répertoire IBM dans Okta. Consultez Installer l'agent LDAP Okta.

Version recommandée

IBM Security Directory Server 6.3.1

Problèmes connus

  • Les utilisateurs ne peuvent mettre à jour les mots de passe expirés. Les administrateurs doivent les réinitialiser.
  • Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs sur Okta. Lorsqu'une seule source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.

Configuration de l'intégration

Durant l'installation et la configuration initiales de l'agent détaillées dans la section Installer l'agent LDAP Okta, voici les attributs utilisés pour les intégrations IBM :

  • Attribut d'identificateur unique - ibm-entryuuid
  • Attribut DN : distinguedName
  • Classe d'objets utilisateur : inetorgperson
  • Filtre d'objets utilisateur : (objectclass=inetorgperson)
  • * Attribut de compte désactivé - ibm-pwdAccountLocked
  • *Valeur du compte désactivé : TRUE
  • *Valeur du compte activé : False
  • Attribut du mot de passe : userpassword
  • Classe d'objets de groupe : groupofuniquenames
  • Filtre d'objets de groupe : (objectclass=groupofuniquenames)
  • Attribut de membre : uniquemember

Pour verrouiller un compte, supprimez le mot de passe utilisateur, ou définissez l'attribut pwdLockout sur TRUE. Pour sélectionner d'autres attributs de profil utilisateur, utilisez Profile Editor.

Lecture de schéma

Il n'existe pas de spécificité particulière pour les intégrations LDAP IBM.

Modification de mot de passe

Les utilisateurs peuvent modifier leur mot de passe en sélectionnant Paramètres sur le Okta End-User Dashboard

Pour autoriser les utilisateurs de modifier ou de réinitialiser leur mot de passe, cliquez sur SécuritéAuthentification déléguée, sélectionnez l'onglet LDAP, puis sélectionnez Les utilisateurs peuvent modifier leurs mots de passe LDAP dansOkta.

Des messages d'erreur liés à la validation s'affichent sur la page dédiée à l'Authentification déléguée sur la page Admin Console.

Les mots de passe sont du texte brut par défaut. Pour chiffrer les mots de passe avant de les enregistrer, consultez la section sur le chiffrement de mots de passe dans la documentation relative à IBM Security Directory Server.

Réinitialisation de mot de passe

La réinitialisation de mot de passe est déclenchée par un administrateur ou le flux utilisateur Mot de passe oublié.

Les politiques d'IBM en matière de mots de passe ne sont pas repliquées sur Okta. Les mots de passe qui ne sont pas conformes aux critères de la politique de mots de passe LDAP peuvent être générés et entraîner un échec d'authentification. Pour prévenir cela, vérifiez vos politiques de mots de passe sur IBM Directory Server afin d'identifier tout conflit et d'y remédier avant d'autoriser les réinitialisations de mots de passe via Okta.

Les utilisateurs ne peuvent mettre à jour les mots de passe expirés. Les administrateurs doivent les réinitialiser.

Les intégrations LDAP IBM ne prennent pas en charge les avertissements d'expiration de mots de passe, et la définition d'une valeur d'Ancienneté du mot de passe dans la Politique de mots de passe de groupes LDAP sera sans effet.

Importer

Il n'existe pas de spécificité particulière pour les intégrations LDAP IBM.

Approvisionnement JIT

Il n'existe pas de spécificité liée à l'approvisionnement JIT IBM. Pour l'identification de l'utilisateur (UID), utilisez un format d'e-mail correspondant au paramètre par défaut pour un nom d'utilisateur Okta. N'utilisez pas de fournisseur d'identité (IDP) externe pour déclencher la connexion.

Pour vous assurer que l'approvisionnement JIT a bien été effectué dès la première tentative, vérifiez les éléments suivants :

  • La valeur de l'attribut de nom configuré (tel que l'UID) ne doit pas exister dans Okta.
  • La valeur de l'attribut de nom configuré (tel que l'UID) doit être unique dans l'ensemble des répertoires utilisant JIT.
  • Les attributs requis doivent être présents. Sur Okta, les attributs par défaut sont email, givenName, sn et uid.
  • Le mot de passe doit être correct.
  • L'attribut de compte désactivé doit avoir la valeur "false" (faux) sur le serveur LDAP.

Lorsque l'approvisionnement JIT est effectué, l'ensemble des attributs utilisateur spécifiés sur la page des paramètres LDAP et dans Profile Editor est importé. Pour sélectionner d'autres attributs obligatoires, utilisez Profile Editor.

Approvisionnement

Les politiques d'IBM en matière de mots de passe ne sont pas repliquées sur Okta. Les mots de passe qui ne sont pas conformes aux critères de la politique de mots de passe LDAP peuvent être générés et entraîner un échec d'authentification. Pour prévenir cela, vérifiez vos politiques de mots de passe sur IBM Directory Server afin d'identifier tout conflit et d'y remédier avant d'autoriser les réinitialisations de mots de passe via Okta.

Pour créer et affecter des mots de passe lors de la création de profils utilisateur :

  1. Contactez l'assistance client d'Okta afin d'activer les mises à jour push de mots de passe LDAP.
  2. Désactivez l'authentification déléguée :
    1. Dans Admin Console, accédez à SécuritéAuthentification déléguéeLDAP.
    2. Cliquez sur Modifier dans le volet Authentification déléguée.
    3. Décochez la case à cocher Activer l'authentification déléguée sur LDAP
    4. Cliquez sur Enregistrer.
    5. Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Disable LDAP Authentication (Désactiver l'Authentification LDAP).
  3. Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Désactiver l'Authentification LDAP.
  4. Dans votre Okta Admin Console, cliquez sur RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  5. Cliquez sur Modifier, sélectionnez Activer en regard de Synchroniser un mot de passe, puis Enregistrer.

    Lorsque l'option Synchroniser un mot de passe est activée, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion de l'utilisateur.

Pour affecter à LDAP des utilisateurs Okta existants, suivez les étapes ci-après :

  1. Dans votre Admin Console, accédez à RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  2. Cliquez sur Modifier, sélectionnez Activer en regard de Créer des utilisateurs, puis sur Enregistrer.
  3. Cliquez sur RépertoireGroupes.
  4. Sélectionnez le groupe Okta auquel vous souhaitez affecter des utilisateurs.
  5. Cliquez sur Gérer les répertoires.
  6. Sélectionnez une instance LDAP dans le volet gauche, puis cliquez sur Suivant.
  7. Saisissez le nom unique entier (DN) pour le conteneur LDAP du nouvel utilisateur dans le champ Nom unique de destination pour l'approvisionnement.
  8. Cliquez sur Confirmer les modifications.

Dépannage

Si l'authentification de répertoire LDAP échoue, les journaux de l'agent affichent des messages similaires à ceux présentés ci-après afin de fournir une assistance au diagnostic et à la résolution :

Agent: Réussite

Les résultats du balayage scanResults sont envoyés avec les informations de l'utilisateur et du groupe.

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSx27FqYtCqky2Wv0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=IBM

Agent: Delauth failure

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSx1f9Wa5VsAmx8g0g3, diagnostic message=, error code=49, matched dn=cn=DelAuth,ou=Automation,O=FOX, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=IBM

Agent: Aucun utilisateur

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSx1zLU1yUw7hcKM0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=asdfasdf)), result code=, vendor=IBM

Agent: Password Expired

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSydvdqGivWZ2eBN0g3, diagnostic message=, error code=508, matched dn=cn=PasswordExpired,ou=Automation,o=FOX, message=LDAPException(resultCode=508, errorMessage='508'), result code=508, vendor=IBM

Agent: Verrouillé

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSyhmxo2EEQAPJTu0g3, diagnostic message=Error, Account is locked, error code=53, matched dn=cn=smith117 newman,ou=automation,o=fox, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Error, Account is locked', diagnosticMessage='Error, Account is locked'), result code=unwilling to perform, vendor=IBM