Références sur l'intégration LDAP OpenDJ

Cette section fournit des informations de référence spécifiques aux intégrations LDAP (Lightweight Directory Access Protocol) OpenDJ. Lorsque vous installerez l' Agent LDAP Okta, vous aurez besoin de ces informations pour intégrer votre répertoire OpenDJ avec Okta. Consultez Installer l'agent LDAP Okta.

Version recommandée

OpenDJ Community Edition 2.6.4

Problèmes connus

  • Les utilisateurs qui doivent réinitialiser leur mot de passe une fois la réinitialisation effectuée par un administrateur devront indiquer deux fois leur nouveau mot de passe afin d'accéder au Okta End-User Dashboard.

  • Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs dans Okta. Lorsqu'une seule source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.

Configuration de l'intégration

Durant l'installation et la configuration initiales de l'agent détaillées dans la section Installer l'agent LDAP Okta, voici les attributs utilisés pour les intégrations OpenDJ :

  • Attribut d'identificateur unique : entryuuid
  • Attribut DN : entrydn
  • Classe d'objets utilisateur : inetorgperson
  • Filtre d'objets utilisateur : (objectclass=inetorgperson)
  • * Attribut de compte désactivé — ds-pwp-account-disabled
  • *Valeur du compte désactivé : True
  • *Valeur du compte activé : False
  • Attribut du mot de passe : userpassword
  • Classe d'objets de groupe : groupofuniquenames
  • Filtre d'objets de groupe : (objectclass=groupofuniquenames)
  • Attribut de membre : uniquemember
  • Attribut d'expiration du mot de passe : ds-pwp-password-expiration-time

Lecture de schéma

Il n'existe pas de spécificité particulière pour les intégrations OpenDJ.

Pour ajouter des attributs des classes AUX, ajoutez la classe auxiliaire comme classe d'objets auxiliaires à la configuration d'approvisionnement de répertoire.

Modification de mot de passe

  • Les utilisateurs peuvent déclencher une modification de mot de passe en sélectionnant Paramètres dans Okta End-User Dashboard.

  • Pour autoriser les utilisateurs de modifier ou de réinitialiser leur mot de passe, cliquez sur SécuritéAuthentification déléguée, sélectionnez l'onglet LDAP, puis sélectionnez Les utilisateurs peuvent modifier leurs mots de passe LDAP dans Okta.

  • Vous pouvez configurer des paramètres tels que la longueur du mot de passe et la date de son expiration sur votre instance LDAP.

  • Les opérations de mise à jour de mots de passe qui échouent sont analysées par Okta et le message d'erreur apparaît sur la page Authentification déléguée.

Réinitialisation de mot de passe

  • La réinitialisation de mot de passe est déclenchée par un administrateur ou le flux utilisateur Mot de passe oublié.

  • La réinitialisation de mot de passe peut échouer si le nouveau mot de passe ne répond pas aux critères de la politique de mots de passe.

  • Les utilisateurs ne peuvent pas mettre à jour les mots de passe expirés. Les administrateurs doivent réinitialiser les mots de passe expirés.

Validation de mot de passe

Utilisez la classe d'objets pwdPolicy pour mettre en œuvre des politiques OpenDJ spécifiques en matière de mots de passe.

Si vous ne spécifiez pas de validateur de mots de passe pour votre politique de mots de passe, il n'y aura pas de restrictions quant à la longueur des mots de passe ou à certains caractères.

Importer

Les utilisateurs ou les groupes créés dans OpenDJ ne seront inclus dans une importation incrémentielle qu'à la suite de la détection d'une première modification de profil utilisateur.

Approvisionnement JIT

Il n'existe pas de spécificité liée à l'Approvisionnement JIT OpenDJ. Pour l'identification de l'utilisateur (UID), utilisez un format d'e-mail correspondant au paramètre par défaut pour un nom d'utilisateur Okta. N'utilisez pas de fournisseur d'identité (IDP) externe pour déclencher la connexion.

Pour vous assurer que l'approvisionnement JIT a bien été effectué dès la première tentative, vérifiez les éléments suivants :

  • La valeur de l'attribut de nom configuré (tel que l'UID) ne doit pas exister dans Okta.
  • La valeur de l'attribut de nom configuré (tel que l'UID) doit être unique dans l'ensemble des répertoires utilisant JIT.
  • Les attributs obligatoires doivent être présents. Dans Okta, les attributs par défaut sont email, givenName, sn et uid.
  • Le mot de passe doit être correct.
  • L'attribut de compte désactivé doit avoir la valeur False sur le serveur LDAP.

Lorsque l'approvisionnement JIT est effectué, l'ensemble des attributs utilisateur spécifiés sur la page des paramètres LDAP et dans Profile Editor est importé. Pour sélectionner d'autres attributs obligatoires, utilisez Profile Editor.

Importation d'appartenances

Les profils utilisateur utilisant des paramètres OpenDJ sont ajoutés aux groupes avec la classe d'objets groupofuniquenames et se voient affecter l'attribut de groupe uniquemember.

Approvisionnement

Si vous ne spécifiez pas de validateur de mots de passe pour votre politique de mots de passe, il n'y aura pas de restrictions quant à la longueur des mots de passe ou à certains caractères.

Pour créer et affecter des mots de passe lors de la création de profils utilisateur :

  1. Contactez l'assistance client d'Okta afin d'activer les mises à jour push de mots de passe LDAP.
  2. Suivez ces étapes pour désactiver l'authentification déléguée :
    1. Dans Admin Console, accédez à SécuritéAuthentification déléguéeLDAP.
    2. Cliquez sur Modifier dans le volet Authentification déléguée.
    3. Décochez la case à cocher Activer l'authentification déléguée sur LDAP
    4. Cliquez sur Enregistrer.
    5. Acceptez les paramètres par défaut pour réinitialiser l'ensemble des mots de passe utilisateur LDAP, puis cliquez sur Désactiver l'Authentification LDAP.
  3. Dans votre Admin Console, accédez à RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  4. Cliquez sur Modifier, sélectionnez Activer en regard de Synchroniser un mot de passe, puis sur Enregistrer.

    Lorsque l'option Synchroniser un mot de passe est activée, l'agent LDAP envoie l'action PASSWORD_UPDATE lors de la première connexion de l'utilisateur.

Pour affecter à LDAP des utilisateurs Okta existants, suivez les étapes ci-après :

  1. Dans votre Admin Console, accédez à RépertoireIntégrations de répertoiresLDAPApprovisionnementDans l'application.
  2. Cliquez sur Modifier, sélectionnez Activer en regard de Créer des utilisateurs, puis sur Enregistrer.
  3. Cliquez sur RépertoireGroupes.
  4. Sélectionnez le groupe Okta auquel vous souhaitez affecter des utilisateurs.
  5. Cliquez sur Gérer les répertoires.
  6. Sélectionnez une instance LDAP dans le volet gauche, puis cliquez sur Suivant.
  7. Saisissez le nom unique entier (DN) pour le conteneur LDAP du nouvel utilisateur dans le champ Nom unique de destination pour l'approvisionnement.
  8. Cliquez sur Confirmer les modifications.

Dépannage

Si l'authentification de répertoire LDAP échoue, les journaux de l'agent affichent des messages similaires à ceux présentés ci-après afin de fournir une assistance au diagnostic et à la résolution :

Agent: Réussite

scanResults are sent with user+group info POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=OPEN_DJ

Agent: Delauth failure

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv0hR8zflMGGeUY0g3, diagnostic message=, error code=49, matched dn=cn=LynxyForChange,cn=GroupForUser4Level,cn=GroupForUser3Level, cn=GroupForUser2Level,cn=GroupForUser1Level,ou=LynxySpecificUsers,ou=LynxyUsers, dc=example,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OPEN_DJ

Agent: Aucun utilisateur

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv0bQoITDYU63b80g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=test@test.com)), result code=, vendor=OPEN_DJ

Agent: Password Expired

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv091Tx5GPJsUxV0g3, diagnostic message=, error code=49, matched dn=cn=LynxyForChange,cn=GroupForUser4Level,cn=GroupForUser3Level, cn=GroupForUser2Level,cn=GroupForUser1Level,ou=LynxySpecificUsers,ou=LynxyUsers, dc=example,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials', responseControls={PasswordExpiredControl(isCritical=false)}), result code=PASSWORD_EXPIRED, vendor=OPEN_DJ

Agent: Verrouillé ou Désactivé

OpenDJ n'a pas de code d'erreur spécifique pour les comptes verrouillés. Si la valeur de pwdAccountLockedTime est plus élevée que la durée actuelle, le code de réponse sera identique à celui indiqué pour un mot de passe incorrect (49 (invalid credentials)).

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv0pY84CfDLi2Jc0g3, diagnostic message=, error code=49, matched dn=cn=LynxyForChange,cn=GroupForUser4Level,cn=GroupForUser3Level,cn=GroupForUser2Level, cn=GroupForUser1Level,ou=LynxySpecificUsers,ou=LynxyUsers,dc=example,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OPEN_DJ