Dépanner la synchronisation des mots de passe

Les informations suivantes vous aideront à résoudre les problèmes les plus courants liés à la synchronisation de mot de passe.

Voici quelques suggestions pour le dépannage de problèmes liés à la synchronisation de mot de passe :

  • Consultez le Okta System Log afin de déterminer si l'événement de synchronisation de mot de passe a fait suite à une tentative d'envoi du mot de passe vers les applications ou vers Active Directory (AD).
  • Connectez-vous manuellement à l'application cible de synchronisation de mot de passe afin de déterminer quel mot de passe fonctionne.
  • En cas de problèmes de synchronisation Okta vers AD, vérifiez que les permissions du compte de service de l'agent AD d'Okta sont correctement définies et qu'il n'existe pas d'erreur dans le fichier Agent.log.
  • Consultez les journaux de l'agent AD d'Okta et de l'agent de synchronisation de mot de passe Okta AD (PSA) pour trouver des informations sur les événements de synchronisation.
  • Les événements de synchronisation de mot de passe qui ont échoué apparaissent dans la liste sur la page Tâches.

L'agent de synchronisation de mot de passe AD d'Okta est installé sur l'ensemble des contrôleurs de domaine, le mot de passe AD de l'utilisateur a changé, mais l'utilisateur n'est pas en mesure de se connecter aux applications avec la SSO de bureau.

Le problème peut provenir du format de nom d'utilisateur Okta pour votre org, qui ne serait pas défini sur Nom principal de l'utilisateur (UPN) ni sAMAccountName. Pour vérifier les paramètres du format de nom d'utilisateur Okta, procédez comme suit :

  1. Dans Admin Console, accédez à RépertoireIntégrations de répertoires.
  2. Cliquez sur Active Directory, puis sur l'onglet Approvisionnement.
  3. Dans la liste des Paramètres, cliquez sur Dans Okta.
  4. Dans la zone Général, assurez-vous de sélectionner Nom principal de l'utilisateur (UPN) ou sAMAccountName pour le format de nom d'utilisateur Okta.

Le filtre a été chargé, mais n'est pas activé.

Si vous lancez l'agent de synchronisation de mot de passe Okta et qu'un message indiquant que l'agent n'est pas activé s'affiche, vous devez alors saisir votre URL Okta . Par exemple :

https://mycompany.okta.com (Assurez-vous d'utiliser https.)

Cliquez ensuite sur Vérifier l'URL.

L'agent de synchronisation de mot de passe Okta n'a pas pu établir une relation de confiance.

Si vous lancez l'Active Directory et que vous voyez un message indiquant que la « connexion sous-jacente a été fermée », vous avez installé l'agent de synchronisation de mot de passe 1.3.0 ou ultérieure et votre environnement ne prend pas en charge l'épinglage de certificats SSL pour la communication avec le serveur Okta . Cela a le plus de chances de se produire dans des environnements utilisant des proxies SSL. Pour autoriser l'installation à réussir dans ce cas, Okta vous recommande d'ignorer le traitement des proxies SSL en ajoutant le domaine okta.com dans une liste d'autorisation.

Sinon, vous pouvez décider de désactiver l'épinglage de certificat SSL, comme décrit dans les étapes suivantes, mais cela désactiverait une amélioration de sécurité fournie par l'agent.

Pour désactiver la prise en charge de l'épinglage SSL, modifiez le registre Windows comme suit :

  1. Cliquez sur Rechercher, saisissez regedit dans la zone de recherche, puis appuyez sur Entrée.
  2. Si le message Voulez-vous autoriser cette application à apporter des modifications à votre appareil ? apparaît, cliquez sur Oui.
  3. Dans l'Éditeur de registre, accédez à HKEY_LOCAL_MACHINESOFTWAREOktaAD Password Sync.
  4. Double-cliquez sur le paramètre Activer l'épinglage de certificats et modifiez la valeur en tapant 0.
  5. Cliquez sur OK pour enregistrer vos modifications.

Pour en savoir plus sur l'épinglage de certificats SSL, consultez la section Projet sur la sécurité des applications Web ouvertes.