Références sur l'intégration LDAP Oracle Internet Directory
Cette section fournit des informations de référence spécifiques aux intégrations LDAP (Lightweight Directory Access Protocol) Oracle Internet Directory (OID). Lorsque vous installez l'agent LDAP d'Okta, vous avez besoin de ces informations afin d'intégrer votre répertoire OID dans Okta. Consultez Installer l'agent LDAP Okta.
Version recommandée
Oracle Internet Directory 11.1.1.5.0
Problèmes connus
- Les utilisateurs qui sollicitent une réinitialisation de leur mot de passe et doivent le modifier une fois la réinitialisation effectuée par un administrateur devront indiquer deux fois leur nouveau mot de passe afin d'accéder au Okta End-User Dashboard.
- Les utilisateurs dont les mots de passe ont expiré ne peuvent pas les mettre à jour. Un administrateur doit réinitialiser les mots de passe dans ces cas-là.
- Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs dans Okta. Lorsqu'une seule source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.
- Le serveur LDAP n'autorise pas les utilisateurs à mettre à jour les mots de passe arrivés à expiration. Un administrateur doit effectuer ces mises à jour.
Configuration de l'intégration
Saisissez les attributs suivants pour les intégrations OID lors de l'installation et de la configuration initiales de l'agent :
- Attribut d'identificateur unique : entryuuid
- Attribut DN : entrydn
- Classe d'objets utilisateur : inetorgperson
- Filtre d'objets utilisateur : (objectclass=inetorgperson)
- * Attribut de compte désactivé - pwdlockout
- *Valeur du compte désactivé : TRUE
- *Valeur du compte activé : FALSE
- Attribut du mot de passe : userpassword
- Classe d'objets de groupe : groupofuniquenames
- Filtre d'objets de groupe : (objectclass=groupofuniquenames)
- Attribut de membre : uniquemember
Lecture de schéma
Il n'existe pas de spécificité particulière pour les intégrations OID.
Pour ajouter des attributs des classes AUX, ajoutez la classe auxiliaire comme classe d'objets auxiliaires à la configuration d'approvisionnement de répertoire.
Modification du mot de passe
Les utilisateurs peuvent modifier leur mot de passe en sélectionnant Paramètres dans Okta End-User Dashboard.
Pour autoriser les utilisateurs à modifier ou de réinitialiser leur mot de passe, cliquez sur , sélectionnez l'onglet LDAP, puis sélectionnez Les utilisateurs peuvent modifier leurs mots de passe LDAP dans Okta.
Oktaanalyse les opérations de mise à jour du mot de passe qui ont échoué et les messages d'erreur apparaissent sur la page Authentification déléguée.
Réinitialisation de mot de passe
La réinitialisation de mot de passe est déclenchée par un administrateur ou le flux utilisateur Mot de passe oublié.
Les utilisateurs ne peuvent pas mettre à jour les mots de passe expirés. Les administrateurs peuvent réinitialiser les mots de passe expirés.
Validation de mot de passe
Utilisez la classe d'objets pwdPolicy pour mettre en œuvre des politiques OID spécifiques en matière de mots de passe.
Vous pouvez configurer des paramètres tels que la longueur du mot de passe et la date de son expiration sur votre instance LDAP.
La réinitialisation de mot de passe peut échouer si le nouveau mot de passe ne répond pas aux critères de la politique de mots de passe.
Importer
Il n'existe pas de spécificité particulière pour les intégrations OID.
Approvisionnement JIT
Il n'existe pas de spécificité liée à l'approvisionnement JIT OID. Pour l'identification de l'utilisateur (UID), utilisez un format d'e-mail correspondant au paramètre par défaut pour un nom d'utilisateur Okta. N'utilisez pas de fournisseur d'identité externe (IDP) pour déclencher la connexion.
Pour vous assurer que l'approvisionnement JIT a bien été effectué dès la première tentative, vérifiez les éléments suivants :
- La valeur de l'attribut de nom configuré (tel que l'UID) ne doit pas exister dans Okta.
- La valeur de l'attribut de nom configuré (tel que l'UID) doit être unique dans l'ensemble des répertoires utilisant JIT.
- Les attributs obligatoires doivent être présents. Les attributs par défaut de Okta sont email, givenName, sn, and uid.
- Le mot de passe doit être correct.
- L'attribut de compte désactivé doit avoir la valeur false sur le serveur LDAP.
Lorsque l'approvisionnement JIT est effectué, les attributs utilisateur spécifiés sur la page des paramètres LDAP et dans Profile Editor sont importés. Utilisez Profile Editor pour sélectionner d'autres attributs obligatoires.
Importation d'appartenances
Les profils utilisateur utilisant des paramètres par défaut sont ajoutés aux groupes avec la classe d'objets group et se voient affecter l'attribut de groupe member.
Lors de l'importation, si l'attribut d'appartenance est défini sur seeAlso, les utilisateurs seront affectés aux groupes ajoutés à l'attribut utilisateur seeAlso.
Approvisionnement
La fonctionnalité permettant de créer des utilisateurs n'est pas disponible lors de l'utilisation d'un serveur OID.
Pour autoriser la configuration de mots de passe lors de la création ou l'affectation d'utilisateurs, désactivez DelAuth, activez LDAP_PUSH_PASSWORD_UPDATES, puis activez la synchronisation de mots de passe sur votre instance LDAP. Avec cette configuration, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion ou affectation de l'utilisateur. Si vous n'utilisez pas ces paramètres, le mot de passe ne sera pas transféré vers votre instance LDAP.
Pour créer et affecter des mots de passe lors de la création de profils utilisateur :
- Contactez l'assistance client d'Okta afin d'activer les mises à jour push de mots de passe LDAP.
- Désactivez l'authentification déléguée :
- Dans Admin Console, accédez à .
- Cliquez sur Modifier dans le volet Authentification déléguée.
- Décochez la case à cocher Activer l'authentification déléguée sur LDAP
- Cliquez sur Enregistrer.
- Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Désactiver l'Authentification LDAP.
- Dans votre Admin Console, accédez à .
- Cliquez sur Modifier, sélectionnez Activer en regard de Synchroniser un mot de passe, puis sur Enregistrer.
Lorsque l'option Synchroniser un mot de passe est activée, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion de l'utilisateur.
Pour affecter à LDAP des utilisateurs Okta existants, suivez les étapes ci-après :
- Dans votre Admin Console, accédez à .
- Cliquez sur Modifier, sélectionnez Activer en regard de Créer des utilisateurs, puis sur Enregistrer.
- Cliquez sur .
- Sélectionnez le groupe Okta auquel vous souhaitez affecter des utilisateurs.
- Cliquez sur Gérer les répertoires.
- Sélectionnez une instance LDAP dans le volet gauche, puis cliquez sur Suivant.
- Saisissez le nom unique entier (DN) pour le conteneur LDAP du nouvel utilisateur dans le champ Nom unique de destination pour l'approvisionnement.
- Cliquez sur Confirmer les modifications.
Dépannage
Si l'authentification de répertoire LDAP échoue, les journaux de l'agent affichent des messages similaires à ceux présentés ci-après afin de fournir une assistance au diagnostic et à la résolution :
Agent: Réussite
Les résultats du scan scanResults sont envoyés avec les informations de l'utilisateur et du groupe.
POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwb4cGS4hdSWYnX0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=OIDAgent: Delauth failure
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwa0ihYKyosvlFe0g3, diagnostic message=, error code=49, matched dn=cn=LynxyOIDExpiredPassword,cn=ExpiredPasswordOID,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OIDAgent: Aucun utilisateur
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwayJJ1gms5xUTg0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=test@test.com)), result code=, vendor=OIDAgent: Password Expired
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwa29fIw60TAKOG0g3, diagnostic message=Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password., error code=49, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password.', diagnosticMessage='Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password.'), result code=invalid credentials, vendor=OIDAgent: Verrouillé
pwdLockout set as 1 for user pwdPolicy.
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwc0y9kr6t2OMJy0g3, diagnostic message=Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator., error code=53, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator.', diagnosticMessage='Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator.'), result code=unwilling to perform, vendor=OID