Références sur l'intégration LDAP Oracle Directory Server Enterprise Edition
Cette section fournit des informations de référence spécifiques aux intégrations LDAP Oracle Directory Server Enterprise Edition (ODSEE). Lorsque vous installez l'agent LDAP d'Okta, vous avez besoin de ces informations afin d'intégrer votre répertoire ODSEE dans Okta. Consultez Installer l'agent LDAP Okta.
Version recommandée
ODSEE 11.1.1.7.0
Problèmes connus
- Les utilisateurs doivent fournir leur nouveau mot de passe deux fois pour accéder à Okta Admin Console après avoir demandé une réinitialisation de mot de passe en libre-service ou après qu'un administrateur a réinitialisé son mot de passe.
- Les utilisateurs utilisant un mot de passe temporaire ne sont pas invités à en créer un et peuvent continuer à utiliser leur mot de passe temporaire pour s'authentifier.
- Un compte utilisateur verrouillé sur le serveur LDAP ne peut pas être déverrouillé.
- Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs sur Okta. Lorsqu'une seule source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.
Configuration de l'intégration
Durant l'installation et la configuration initiales de l'agent décrites dans la section Installer l'agent LDAP Okta, les attributs pour ODSEE sont les suivants :
- Version LDAP : ODSEE. Si vous sélectionnez Sun DSEE ou toute autre option, le contrôle de demande de vue en liste virtuelle ne sera pas actif. Une importation LDAP peut échouer lorsque l'ensemble de données est trop volumineux. L'option ODSEE n'est pas disponible à moins qu'elle ne soit activée par l'assistance Okta.
- Attribut d'identificateur unique : nsuniqueid
- Attribut DN : entrydn
- Classe d'objets utilisateur : inetorgperson
- Filtre d'objets utilisateur : (objectclass=inetorgperson)
- * Attribut de compte désactivé : nsaccountlock
- * Valeur du compte désactivé : True
- * Valeur du compte activé : False
- Attribut du mot de passe : userpassword
- Classe d'objets de groupe : groupofuniquenames
- Filtre d'objets de groupe : (objectclass=groupofnames)
- Attribut de membre : uniquemember
Lecture de schéma
Il n'existe pas de spécificité particulière pour les intégrations LDAP ODSEE.
Pour ajouter des attributs des classes AUX, ajoutez la classe auxiliaire comme classe d'objets auxiliaires à la configuration d'approvisionnement de répertoire. Par exemple, l'attribut dc est ajouté aux attributs de schéma Okta lorsque la classe d'objets auxiliaires est dcObject.
Modification de mot de passe
Les utilisateurs peuvent modifier leur mot de passe en sélectionnant Paramètres dans Okta End-User Dashboard.
Les opérations de mise à jour de mots de passe qui échouent sont analysées par Okta et le message d'erreur apparaît sur la page Authentification déléguée. Par exemple, lorsqu'un nouveau mot de passe existe déjà, le message d'erreur suivant apparaît : Échec de la modification de mot de passe pour le motif suivant : mot de passe existant dans l'historique.
Réinitialisation de mot de passe
La réinitialisation de mot de passe est déclenchée par un administrateur ou le flux utilisateur Mot de passe oublié.
La réinitialisation de mot de passe peut échouer si le nouveau mot de passe ne répond pas aux critères de la politique de mots de passe.
Les utilisateurs ne peuvent pas mettre à jour les mots de passe expirés. Les administrateurs doivent réinitialiser les mots de passe expirés.
Validation de mot de passe
Utilisez la classe d'objets pwdPolicy pour mettre en œuvre des politiques ODSEE spécifiques en matière de mots de passe.
Vous pouvez configurer des paramètres tels que la longueur du mot de passe et la date de son expiration sur votre instance LDAP.
Si un utilisateur saisit un mot de passe Okta erroné quatre fois de suite ou un mot de passe LDAP erroné cinq fois de suite, le statut de son compte utilisateur LDAP est Verrouillé. Cependant, le statut du compte utilisateur s'affiche comme suit : Actif dans Okta Admin Console. Lorsqu'un compte est dans cet état, un administrateur devra alors intervenir pour déverrouiller le compte utilisateur. Voir la section Déverrouiller le compte d'un seul utilisateur.
Importation
Les intégrations LDAP ODSEE prennent en charge le contrôle de la vue en liste virtuelle (VLV) pour LDAP. Par défaut, la clé de tri pour les groupes est cn, et celle pour les utilisateurs est uid. Une méthode similaire de contrôle de la pagination simple sur serveur est utilisée pour les importations. Lorsque VLV est activé, le journal de l'agent affiche le message suivant : VLVContext pour lecture sur LDAP avec la clé de tri = cn.
Si vous utilisez le contrôle VLV LDAP, vous devrez créer des indices VLV correspondant aux noms uniques (DN) de la base utilisateur et de groupes. Par exemple, si vous créez un index VLV pour le nom unique de la base utilisateur ou=people,dc=example,dc=com, vous utiliserez ces valeurs par défaut :
dn: cn=people_browsing_index, cn=database-name, cn=ldbm database,cn=plugins,cn=config objectClass: top objectClass: vlvSearch cn: Browsing ou=People vlvBase: ou=People,dc=example,dc=com vlvScope: 2 vlvFilter: (objectclass=inetOrgPerson) dn: cn=Sort rev uid, cn=people_browsing_index, cn=database-name,cn=ldbm database,cn=plugins,cn=config objectClass: top objectClass: vlvIndex cn: Sort rev uid vlvSort: uidUne fois que vous avez créé vos indices VLV, vous pourriez avoir besoin de réindexer le serveur LDAP pour mettre en œuvre les nouveaux paramètres.
Pour créer un index VLV, consultez la section Ajouter ou modifier des entrées d'index de navigation dans le Guide d'administration d'Oracle Directory Server Enterprise Edition.
Approvisionnement JIT
Il n'existe pas de spécificité liée à l'approvisionnement JIT ODSEE. Pour l'identification de l'utilisateur (UID), utilisez un format d'e-mail correspondant au paramètre par défaut pour un nom d'utilisateur Okta. N'utilisez pas de fournisseur d'identité (IDP) externe pour déclencher la connexion.
Pour vous assurer que l'approvisionnement JIT a bien été effectué dès la première tentative, vérifiez les éléments suivants :
- La valeur de l'attribut de nom configuré (tel que l'UID) ne doit pas exister dans Okta.
- La valeur de l'attribut de nom configuré (tel que l'UID) doit être unique dans l'ensemble des répertoires utilisant JIT.
- Les attributs obligatoires doivent être présents. Dans Okta, les attributs par défaut sont email, givenName, sn et uid.
- Le mot de passe doit être correct.
- L'attribut de compte désactivé doit avoir la valeur False sur le serveur LDAP.
Lorsque l'approvisionnement JIT est effectué, l'ensemble des attributs utilisateur spécifiés sur la page des paramètres LDAP et dans Profile Editor est importé. Pour sélectionner d'autres attributs obligatoires, utilisez Profile Editor.
Importation d'appartenances
Durant l'importation, si les paramètres ODSEE par défaut sont utilisés, les groupes d'utilisateurs dans le groupe de classes d'objets sont importés et ajoutés à l'utilisateur spécifié dans l'attribut de groupe du membre.
Lors de l'importation, si l'attribut d'appartenance est défini sur seeAlso, les utilisateurs seront affectés aux groupes ajoutés à l'attribut utilisateur seeAlso.
Approvisionnement
Pour autoriser la configuration de mots de passe lors de la création ou l'affectation d'utilisateurs, désactivez DelAuth, activez LDAP_PUSH_PASSWORD_UPDATES, puis activez la synchronisation de mots de passe sur votre instance LDAP. Avec cette configuration, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion ou affectation de l'utilisateur. Sans cette configuration, le mot de passe ne sera pas transféré vers votre instance LDAP.
Pour créer et affecter des mots de passe lors de la création de profils utilisateur :
- Contactez l'assistance client d'Okta afin d'activer les mises à jour push de mots de passe LDAP.
- Désactivez l'authentification déléguée :
- Dans Admin Console, accédez à .
- Cliquez sur Modifier dans le volet Authentification déléguée.
- Décochez la case à cocher Activer l'authentification déléguée sur LDAP
- Cliquez sur Enregistrer.
- Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Désactiver l'Authentification LDAP.
- Dans votre Admin Console, accédez à .
- Cliquez sur Modifier, sélectionnez Activer en regard de Synchroniser un mot de passe, puis sur Enregistrer.
Lorsque l'option Synchroniser un mot de passe est activée, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion de l'utilisateur.
Pour affecter à LDAP des utilisateurs Okta existants, suivez les étapes ci-après :
- Dans votre Admin Console, accédez à .
- Cliquez sur Modifier, sélectionnez Activer en regard de Créer des utilisateurs, puis sur Enregistrer.
- Cliquez sur .
- Sélectionnez le groupe Okta auquel vous souhaitez affecter des utilisateurs.
- Cliquez sur Gérer les répertoires.
- Sélectionnez une instance LDAP dans le volet gauche, puis cliquez sur Suivant.
- Saisissez le nom unique entier (DN) pour le conteneur LDAP du nouvel utilisateur dans le champ Nom unique de destination pour l'approvisionnement.
- Cliquez sur Confirmer les modifications.
Dépannage
Si l'authentification de répertoire LDAP échoue, les journaux de l'agent affichent des messages similaires à ceux présentés ci-après afin de fournir une assistance au diagnostic et à la résolution :
Agent: Réussite
POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADStwgvcY62FO3G5j0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=OID
Agent: Delauth failure
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADStwmk6wiL2JhaEq0g3, diagnostic message=, error code=49, matched dn=cn=MultyGroupsODSEE MultyGroupsODSEE,ou=QA users,dc=okta,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OID
Agent : Aucun utilisateur
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADStwotN9I9aWlO0w0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=ODSEE@odsee.com)), result code=, vendor=OID
Agent: Mot de passe expiré
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSu1co2UeSUZXlxd0g3, diagnostic message=password expired!, error code=49, matched dn=cn=MultyGroupsODSEE MultyGroupsODSEE,ou=QA users,dc=okta,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='password expired!', diagnosticMessage='password expired!', responseControls={PasswordExpiredControl(isCritical=false)}), result code=PASSWORD_EXPIRED, vendor=OID
Agent: User deactivated (nsAccountLock = True)
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSu1eOJMNAcTT3hQ0g3, diagnostic message=Account inactivated. Contact system administrator., error code=53, matched dn=cn=MultyGroupsODSEE MultyGroupsODSEE,ou=QA users,dc=okta,dc=com, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Account inactivated. Contact system administrator.', diagnosticMessage='Account inactivated. Contact system administrator.'), result code=unwilling to perform, vendor=OID
Agent: User locked
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADStwqjhzOuGiPm6M0g3, diagnostic message=Exceed password retry limit. Account locked., error code=19, matched dn=cn=MultyGroupsODSEE MultyGroupsODSEE,ou=QA users,dc=okta,dc=com, message=LDAPException(resultCode=19 (constraint violation), errorMessage='Exceed password retry limit. Account locked.', diagnosticMessage='Exceed password retry limit. Account locked.'), result code=constraint violation, vendor=OID