Synchroniser les mots de passe avec Active Directory à partir d'Okta

Okta vous permet de synchroniser les mots de passe utilisateur avec Active Directory (AD) à partir d'Okta. Activez la fonctionnalité Synchroniser un mot de passe si vous souhaitez qu'Okta devienne la source de référence en matière d'authentifications. Vous pouvez continuer à utiliser votre instance d'AD afin d'authentifier l'accès aux anciennes ressources que vous ne parvenez pas à connecter à Okta.

Pour autoriser Okta à se synchroniser avec AD, le paramètre d'authentification déléguée pour le domaine AD doit être désactivé. L'agent Active Directory (AD) d'Okta nécessite davantage de permissions afin de renvoyer le nouveau mot de passe sur AD. L'ensemble des modifications de mot de passe doit être effectué sur Okta et propagé vers AD. Les utilisateurs ne devraient pas pouvoir modifier leurs mots de passe directement dans AD. Le mot de passe Okta actuel de l'utilisateur sera envoyé vers AD la prochaine fois que l'utilisateur se connectera à Okta.

Les événements suivants activent la synchronisation de mots de passe Okta sur AD :

  • Un utilisateur met à jour son mot de passe Okta.
  • Un utilisateur récupère son mot de passe Okta.
  • Un administrateur lance une réinitialisation de mot de passe Okta.

Si un utilisateur Okta est renvoyé sur AD une fois qu'il a activé son compte Okta, l'objet utilisateur AD prend l'état « L'utilisateur doit modifier son mot de passe lors de sa prochaine connexion ». Dans ce cas, l'utilisateur devra d'abord se connecter sur Okta pour que le mot de passe soit renvoyé d'Okta vers AD.

Avant de commencer

Pour synchroniser les mots de passe Okta sur AD et sur les applications prenant en charge l'approvisionnement :

  • Vous disposez d'une instance d'AD intégrée à Okta.
  • Les utilisateurs importés ou affectés à l'instance d'AD sont issus d'Okta.
  • Le compte de service de l'agent AD d'Okta permet aux utilisateurs de réinitialiser les mots de passe et de forcer les permissions de modification des mots de passe.
  • L'authentification déléguée est désactivée et l'AD Password Sync Agent d'Okta n'est pas installé.

Synchroniser les mots de passe Okta avec Active Directory

Renvoyez un mot de passe Okta sur AD lors de la configuration initiale d'Okta ou lorsque le mot de passe Okta de l'utilisateur change.

  1. Dans Admin Console, accédez à RépertoireIntégrations de répertoiresActive DirectoryApprovisionnement.
  2. Dans la liste des Paramètres, cliquez sur Intégration.
  3. Faites défiler vers le bas et décochez la case Activer l'authentification déléguée à Active Directory. Le sourcing de mot de passe est alors transféré vers Okta à partir d'AD.
  4. Cliquez sur Enregistrer.

  5. Sélectionnez Créer un mot de passe Okta (recommandé).

    Cette opération réinitialise les mots de passe existants. Tous les utilisateurs affectés à AD reçoivent un e-mail automatique les invitant à définir un nouveau mot de passe.

  6. Cliquez sur Désactiver l'Authentification AD.
  7. Dans la liste des Paramètres, cliquez sur Dans l'application, puis cliquez sur Modifier.
  8. Faites défiler jusqu'à la section Synchroniser un mot de passe et cliquez sur Activer.
  9. Cliquez sur Enregistrer.