Active DirectoryからOktaへのパスワードの同期

Okta ADパスワード同期エージェントは、パスワード同期により、Active Directory(AD)からOktaに、および統合済みアプリケーションにパスワードを同期する場合に使用します。

ADへの委任認証が有効な場合、認証は委任認証で行われ、Oktaパスワードが存在しないため、ディレクトリー・パスワードはOktaに同期されません。委任認証の場合、ユーザーは自分のディレクトリー・パスワードを使用してOktaにサイン・オンします。

場合によっては、ディレクトリーからOktaを経由してアプリケーションまで、ディレクトリー・パスワードを同期する必要があります。この同期を行う場合、ユーザーは自分のディレクトリー・パスワードを使用してOktaにサインオンします。このパスワードがOktaでチェックされたあと、当該ユーザーがアプリケーションに割り当てられているかどうかが、パスワード同期を使用して判定されます。パスワード同期を使用する割り当てられたアプリケーションがなかった場合、そのパスワードは5日間キャッシュされます。アプリケーションでパスワード同期を使用している場合は、パスワードがアプリケーションに同期され、アプリケーション・パスワードとしてOktaに保存されたあと、ディレクトリー・パスワードが5日間キャッシュされます。

ユーザー名やパスワードではなく、デスクトップ・シングル・サインオン(DSSO)を使用してユーザーがOktaにサイン・インする場合、パスワード同期エージェントがADでのパスワード変更を追跡し、その変更をOktaに同期する必要があります。あるいは、ADパスワードをOktaで変更するか、ADでパスワードを変更したあとにOktaにサイン・インし、アプリケーションにパスワードを同期するようユーザーに要請することもできます。

次の表に、Okta ADパスワード同期エージェントのインストールの必要性を判断する際に役立つシナリオを示します。

シナリオ ユーザー側の手順 結果
OktaはADドメインに接続済み。Okta ADパスワード同期エージェントは未展開。
  • ユーザーはワークステーションのサイン・イン画面からパスワードを変更する。
  • ユーザーはデバイスにサイン・オンする。
  • ユーザーがパスワード同期を使用して別のアプリケーションへのサインインを試みる。
新しいパスワードがアプリケーションに同期されていないため、ユーザーはパスワードエラーメッセージを受け取ります。Okta統合済みアプリケーションに新しいパスワードを同期するには、ユーザーがOktaからサインアウトしてからサインインし直す必要があります。
OktaはADドメインに接続済みで、デスクトップシングルサインオン(DSSO)も実装済み。Okta ADパスワード同期エージェントは未展開。新しいパスワードがアプリケーションに同期されていないため、ユーザーはパスワード・エラー・メッセージを受け取ります。新しいパスワードを同期するには、ユーザーがOktaからサイン・アウトしてからサイン・インし直す必要があります。
OktaはADドメインに接続済みで、DSSOは実装済みまたは未実装。Okta ADパスワード同期エージェントはドメイン内の各ドメイン・コントローラーにインストール済み。ユーザーはアプリケーションに正常にアクセスできます。Okta ADパスワード同期エージェントが間でパスワード変更イベントを受信し、Oktaにプッシュします。

Active Directoryパスワードリセットのワークフロー

ユーザーがOktaでActive Directoryパスワードを変更すると、OktaはActive Directoryエージェントを使用してリクエストをActive Directoryに送信します。Active Directoryパスワードリセットはパスワード同期イベントではありません。

これは通常のパスワードリセットワークフローです。

  • ユーザーがOktaへのサインオン試行に失敗した
  • ユーザーがパスワードリセットをリクエストした
  • ユーザーがパスワードを忘れた場合の質問、または忘れた場合の質問を含むSMS認証に正しく答えた
  • ユーザーはOktaに対して認証されているが、Adに対しては認証されていない。
  • ユーザーが新しいパスワードを入力するように求められた
  • 新しいパスワードがOktaにより一時的に保留にされた
  • OktaがパスワードをADにプッシュした。このリクエストはOkta Active Directory (AD) エージェントサービスアカウントでの許可のエレベーションを必要とします。
  • ADパスワードリセットが、パスワード同期を使用してアプリケーションへのパスワードの同期をアクティベートした
  • Oktaがパスワードを忘れた

開始する前に

  • ADドメインがOktaと統合されている
  • フォレスト内の統合された各ドメインにOkta Active Directory(AD)エージェントがインストールされて設定された。
  • フォレスト内の統合された各ドメイン内のすべてのドメインコントローラーにOkta ADパスワード同期エージェントがインストールされて設定された。
  • 代理認証が有効にされた。代理認証の詳細は、「認証」を参照してください。
  • Oktaユーザー名の形式はUPN またはSAM アカウント名。これとは異なるユーザー名形式でActive DirectoryをOktaにマップすると、Okta ADパスワード同期エージェントは失敗します。
  • 統合のセキュリティを改善するために、通信にはTLS 1.2セキュリティプロトコルのみを使用します。Windows 2008 R2ではTLS 1.2はデフォルトでむこうになっているため、レジストリから有効にする必要があります。 Windows 2008 R2をお持ちの場合は、次のregkeyが正しく設定されていることを確認してください。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

Okta ADパスワード同期エージェントのインストール

  1. ドメインコントローラー上でOkta管理者コンソールに移動し、[Security(セキュリティ)] > [Delegated Authentication(代理認証)] をクリックして、右ペインをスクロールダウンし、[Download Okta AD Password Sync(Okta ADパスワード同期をダウンロード)]をクリックします。
  2. インストーラーファイルをダブルクリックしてプロンプトに従います。
  3. プロンプトされたら、OktaのURLを入力します。例: https://mycompany.okta.com エントリにhttps://プロトコルを使用する必要があります。
  4. プロンプトされたら、Okta ADパスワード同期エージェントをどこにインストールするかを選択して、[Install(インストール)]をクリックします。
  5. [Finish(終了)]をクリックします。
  6. サーバーを再起動します。
  7. オプションです。Oktaと統合したいフォレスト内の各ドメインコントローラー上でステップ1~6を繰り返します。

無人インストール

スクリプトまたはコマンドを用いて、Okta ADパスワード同期エージェントの無人インストールを行うことができます。無人モードでは、インストール完了後にシステムを再起動しません。手動でシステムを再起動するか、 shutdown /r コマンドを使用します。

無人インストールの構文は以下の通りです。

  • OktaPasswordSyncSetup.exe /install /q2 OktaURL=https://mycompany.okta.com

    または

  • msiexec /i OktaPasswordSyncSetup.msi /quiet EXEOPTIONS="/q2 OktaURL=https://mycompany.okta.com"

複数サーバーにインストールする場合は、Okta ADパスワード同期エージェントで使用するOktaユーザー名形式を設定するレジストリファイルを作成することを推奨します。Okta Username Format(Oktaユーザー名形式) というDWORD値を作成すると、SAMアカウント名(値 = 1)と UPN (値 = 0)の間で選択できます。

たとえば、 Username(ユーザー名) 形式をSAMアカウント名に設定するには、以下を入力して.regファイルを作成できいます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Okta\AD Password Sync]

"Okta username format"=dword:00000001

Windows Server Coreリリース 2にOkta ADパスワード同期エージェントをインストールする

Windows Server CoreにActive Directory (AD) パスワード同期エージェントをインストールする前に以下を行う必要があります。

  1. http://support.microsoft.com/kb/2624641からhotfixをインストールする

  2. 早期バージョンのエージェントにダウングレードする場合は、古いバージョンのtarmaインストーラーを手動でアンインストールします。アンインストーラーは次の場所にあります。

    %ProgramData%\InstallMate\{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe

    無人アンインストールは次の場所から行ないます: %ProgramData%\InstallMate{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe /remove /q2

  3. Okta ADパスワード同期エージェントは管理コンソールをサポートしていないため、regedit を使用して設定を無効にする必要があります。次の場所にあるOkta ADパスワード同期エージェントログをモニターできます: %ProgramData%\Okta\AD Password Sync\logs.

  4. Okta ADパスワード同期エージェントのインストール。「Install the Oktaパスワード同期エージェントのインストール」を参照してください。

Okta ADパスワード同期エージェントの構成

  1. [スタート] > [すべてのプログラム] > [Okta] > ][Okta AD Password Sync(Okta ADパスワード同期)] > [Okta AD Password Synchronization Agent Management Console(パスワード同期エージェント管理コンソール].をクリックします
  2. [Verify URL(URLの確認]をクリックして、Okta URL が正しく、ターゲットサーバーにアクセスできることをチェックします。URLが有効なら、Okta URLフィールドの下に成功メッセージが表示されます。

注: エラーメッセージが表示されたら、「パスワード同期のトラブルシューティング」を参照してください。

[Log severity level(ログ重大度レベル)]設定を変更できます(任意選択)。ログレポートに含む情報は、以下のいずれかのオプションを選択して、制御できる。

  • None(なし) – 何もログしない。
  • Debug(デバグ) – デバグ、情報、エラーイベントをログする。
  • Info(情報) – これはデフォルトログレベルで、情報およびエラーイベントをログする。
  • Error(エラー) – エラーイベントのみログする。