Activer l'authentification déléguée sur LDAP
L'authentification déléguée permet aux utilisateurs de se connecter à Okta en saisissant les identifiants du magasin d'utilisateurs LDAP (Light Active Directory Protocol) de leur organisation. L'authentification déléguée permet aux utilisateurs de se connecter à Okta en saisissant les identifiants de l''Active Directory (AD) de leur organisation ou l'authentification unique (SSO) de réseau Windows. Voir Activer l'authentification déléguée pour Active Directory
Activer l'authentification déléguée LDAP
Activez l'authentification déléguée si vous souhaitez que LDAP authentifie vos utilisateurs lorsqu'ils se connectent à Okta.
Prérequis : installez et configurez l'agent Okta LDAP. Voir Gérer votre intégration LDAP.
Par défaut, l'authentification déléguée est activée lorsque vous ajoutez une intégration LDAP à une org.
- Dans l'Admin Console, accédez à .
- Cliquez sur l'onglet LDAP.
- Dans Authentification déléguée, cliquez sur Modifier.
- Sélectionnez Activer l'authentification déléguée sur LDAP.
- Facultatif. Testez les paramètres de l'authentification déléguée :
- Cliquez sur Tester l'authentification déléguée.
- Saisissez un nom d'utilisateur et un mot de passe LDAP, puis cliquez sur S'authentifier.
- Cliquez sur Fermer une fois l'authentification terminée.
- Cliquez sur Enregistrer.
Autoriser les utilisateurs finaux à modifier ou réinitialiser leurs mots de passe LDAP
Vous pouvez autoriser vos utilisateurs finaux à modifier leur mot de passe LDAP dans Okta. Lorsque le mot de passe d'un utilisateur expire, ce dernier sera invité à le modifier lors de sa prochaine tentative de connexion à Okta.
Les utilisateurs finaux peuvent modifier leur mot de passe depuis le Dashboard Okta. Dans le menu déroulant, il leur suffit de cliquer sur leur nom, puis sur .
Cette fonctionnalité requiert la version 5.3.0 ou version ultérieure de l'agent Okta LDAP. Elle est compatible avec n'importe quelle distribution LDAP qui définit correctement l'attribut pwdReset sur TRUE lorsqu'un mot de passe n'est plus valide (par exemple, OpenLDAP et IBM). Assurez-vous de désinstaller toute version préalable à la version 5.3.0 de l'agent avant d'installer la version 5.3.0 ou version ultérieure. Pour obtenir des instructions d'installation de l'agent, voir Gérer votre Intégration LDAP.
- Dans l'Admin Console, accédez à .
- Cliquez sur l'onglet LDAP.
- Dans Authentification déléguée, cliquez sur Modifier.
- Sélectionnez Activer l'authentification déléguée sur LDAP.
- Dans Politique de mots de passe LDAP, sélectionnez Les utilisateurs peuvent modifier leurs mots de passe LDAP dans Okta.
- Dans le champ Message sur les règles relatives aux mots de passe, décrivez les règles de politique de mots de passe que vos utilisateurs finaux doivent suivre lors de la modification de leur mot de passe.
- Sélectionnez Les utilisateurs peuvent réinitialiser les mots de passe LDAP oubliés dans Okta.
- Cliquez sur Enregistrer.
Lorsque vous créez ou importez et activez de nouveaux utilisateurs, ces derniers sont invités à renseigner une adresse e-mail secondaire sur leur page d'Bienvenue. Une fois que les utilisateurs finaux ont renseigné une adresse, ils reçoivent un e-mail de confirmation leur demandant de vérifier la modification.
Si les utilisateurs finaux oublient leur mot de passe, ou que leur compte LDAP est verrouillé en raison d'un trop grand nombre d'échecs de tentatives de connexion, ils peuvent cliquer sur le lien sur le Okta Sign-in Widget pour réinitialiser leur mot de passe par e-mail ou SMS.
- Réinitialiser par E-mail : les utilisateurs finaux renseignent leur nom d'utilisateur ou leur adresse e-mail, puis cliquent sur le bouton Envoyer un e-mail. Les utilisateurs reçoivent alors un e-mail pour réinitialiser le mot de passe de leur compte. Cet e-mail n'est valide que 24 heures. Cette opération réinitialise les mots de passe Okta et LDAP de l'utilisateur. Pour les utilisateurs qui ont cliqué sur le lien Mot de passe oublié ? en raison du verrouillage de leur compte, cette opération modifie leur mot de passe LDAP et déverrouille leur compte.
- Réinitialiser via SMS : les utilisateurs finaux renseignent leur nom d'utilisateur ou leur adresse e-mail, puis cliquent sur le bouton Envoyer un message texte. Un message SMS contenant un code pour réinitialiser le mot de passe est alors envoyé. Lorsqu'ils reçoivent le SMS, les utilisateurs saisissent le code reçu sur leur téléphone et suivent les indications pour réinitialiser leurs mots de passe.
Voir les informations Del Auth du Journal système
Pour identifier les goulots d'étranglement, le Journal système inclut des informations sur la durée de chaque requête d'authentification déléguée (Del Auth). Le Journal système inclut la durée en millisecondes pour les propriétés d'authentification déléguée suivantes :
- delAuthTimeTotal : durée totale consacrée à l'authentification déléguée dans Okta. Cette durée comprend le temps consacré total par l'agent pour traiter la requête et le temps d'attente dans Okta avant qu'un agent ne commence à traiter la requête. Les temps d'attente peuvent être longs s'il n'y a pas suffisamment d'agents pour répondre aux requêtes.
- delAuthTimeSpentAtAgent : temps total consacré par l'agent au traitement de la requête. Cela inclut le temps passé au niveau du contrôleur de domaine.
- delAuthTimeSpentAtDomainController : temps passé au niveau du contrôleur de domaine.
- Dans Okta Admin Console, cliquez sur .
- Sélectionnez une instance de LDAP.
- Cliquez sur Voir les journaux en haut de la page.
Approvisionnement juste à temps (JIT)
Lorsque l'approvisionnement JIT est activé pour votre org et que l'authentification déléguée est sélectionnée pour votre intégration LDAP, l'approvisionnement JIT est utilisé pour créer des profils utilisateur et importer des données utilisateur.