Active Directoryでの委任認証について

OktaがActive Directory(AD)インスタンスと統合されている場合、委任認証はデフォルトで有効になっています。委任認証では、ユーザーがOktaにサインインするとき、次のようになります。

  • ユーザーは、Oktaエンド・ユーザーのホームページにユーザー名とパスワードを入力します。このサインイン・ページは、フィッシングを防ぐためにSSLとセキュリティー・イメージで保護されています。多要素認証(追加のセキュリティー上の質問またはスマートフォンのソフト・トークン)も有効にできます。
  • ユーザー名とパスワードは、セットアップ中に実装されたSSL接続を介して、ファイアーウォールの内側で実行されているOkta Active Directory(AD)エージェントに送信されます。
  • Okta AD Agentは、認証のためにユーザー認証情報をADドメイン・コントローラーに渡します。
  • ADドメイン・コントローラーは、ユーザー名とパスワードを検証し、Okta AD Agentを使用してYesまたはNoの応答をOktaに返します。
  • Yesの応答でユーザーのIDが確認され、ユーザーが認証されてOktaホームページに送信されます。

委任認証は、ディレクトリー認証済み(DelAuth)セッションの永続化を維持し、ADは、認証情報検証の即時かつ最終的なソースとして維持されます。ADはユーザーの認証を担うため、ユーザーのステータスの変更(パスワードの変更や非アクティブ化など)はすぐにOktaにプッシュされます。

委任認証機能を維持するには、Okta Active Directory(AD)エージェントがインストールされているADサーバーのドメイン・ユーザーに[ネットワーク経由でコンピュータへアクセス]セキュリティー・ポリシー設定を割り当てる必要があります。