Activer l'authentification déléguée pour Active Directory

L'authentification déléguée permet aux utilisateurs de se connecter à Okta en saisissant les informations d'identification Active Directory (AD) de leur organisation ou via l'authentification unique (SSO) en réseau de Windows. Elle permet également aux utilisateurs de se connecter à Okta en utilisant des informations d'identification provenant de magasins d'utilisateurs qui utilisent le protocole LDAP (Lightweight Directory Access Protocol). Sélectionnez Activer l'authentification déléguée pour LDAP.

Avant de commencer

Intégrez votre instance AD à Okta. Consultez la section Gérer votre intégration Active Directory.

Activer l'authentification déléguée AD

  1. Dans Admin Console, accédez à DirectoryIntégrations de répertoires.
  2. Sélectionnez une instance AD.
  3. Cliquez sur l'onglet Approvisionnement, puis sur Intégration dans la liste Paramètres.
  4. Faites défiler jusqu'à Authentification déléguée et sélectionnez Activer l'authentification déléguée à Active Directory.
  5. Facultatif. Testez les paramètres de l'authentification déléguée :
    1. Cliquez sur Tester l'authentification déléguée.
    2. Saisissez un nom d'utilisateur et un mot de passe AD, puis cliquez sur S'authentifier.
    3. Cliquez sur Fermer une fois l'authentification terminée.
    4. Cliquez sur Enregistrer.

Activer l'authentification unique de bureau

La Desktop SSO permet aux utilisateurs d'être automatiquement authentifiés par Okta et toutes les applications auxquelles ils accèdent via Okta dès qu'ils se connectent à un réseau Windows. L'application IWA Web Okta utilise IWA de Microsoft et ASP.NET pour authentifier les utilisateurs à partir d'IP de passerelle spécifiées. Consultez Installer et configurer l'agent IWA Web Okta pour l'authentification unique de bureau sans agent.

Voir les informations Del Auth du Journal système

Pour identifier les goulots d'étranglement, le Journal système inclut des informations sur la durée de chaque requête d'authentification déléguée (Del Auth). Le Journal système inclut la durée en millisecondes pour les propriétés d'authentification déléguée suivantes :

  • delAuthTimeSpentAtAgent : le temps total consacré par l'agent au traitement de la requête. Cela inclut le temps passé au niveau du contrôleur de domaine.
  • delAuthTimeSpentAtDomainController : le temps passé au niveau du contrôleur de domaine.

Cette fonctionnalité requiert la version 3.1.0 ou une version ultérieure de l'agent AD.

  1. Dans Okta Admin Console, cliquez sur RépertoireIntégrations de répertoires.
  2. Sélectionnez une instance AD.
  3. Cliquez sur Voir les journaux en haut de la page.

Approvisionnement juste-à-temps

Pour plus de détails sur l'utilisation de l'approvisionnement juste-à-temps (JIT) avec Active Directory, consultez la section Ajouter et mettre à jour des utilisateurs avec l'approvisionnement juste-à-temps Active Directory. Pour l'approvisionnement JIT avec SSO de bureau, consultez la section Configurer les paramètres généraux de personnalisation.

Lorsque l'approvisionnement JIT est activé pour votre org et que l'authentification déléguée est sélectionnée pour votre intégration AD, l'approvisionnement JIT est utilisé pour créer des profils utilisateur et importer des données utilisateur.

Rubriques liées

Politiques de mot de passe

Gérer la réinitialisation du mot de passe en libre-service

Authentification multifacteur