パスワードをOktaからActive Directoryに同期する

Oktaでは、OktaからActive Directory(AD)にユーザーパスワードを同期することができます。Oktaを認証の信頼できる情報源にする場合は、パスワードの同期機能を有効にしてください。引き続きADインスタンスを使用して、Oktaに接続できないレガシーリソースへのアクセスを認証できます。

OktaをADと同期できるようにするには、ADドメインの委任認証設定をオフにする必要があります。Okta Active Directory(AD)Agentには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワードの変更はすべてOktaで開始され、ADに伝播されます。ユーザーがADで直接パスワードを変更することは禁止する必要があります。ユーザーの現在のOktaパスワードは、ユーザーが次回Oktaに正常にサインインしたときにADにプッシュされます。

次のイベントにより、OktaからADへの同期がアクティブ化されます。

  • ユーザーがOktaパスワードを更新する。
  • ユーザーがOktaパスワードを復元する。
  • 管理者がOktaパスワードのリセットを開始する。

OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは[User must change password at next logon(ユーザーは次回ログオン時にパスワード変更が必要)]という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにサインインする必要があります。

はじめに

パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリに同期するには:

  • Oktaと統合されたADインスタンスを使用します。
  • ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとします。
  • Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制します。
  • 委任認証を無効にし、Okta ADパスワード同期エージェントはインストールしません。

OktaパスワードをActive Directoryに同期する

Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)][Active Directory][Provisioning(プロビジョニング)]の順に進みます。
  2. [Settings(設定)]リストで、[Integration(統合)]をクリックします。
  3. 下にスクロールして、[Enable delegated authentication to Active Directory(Active Directoryへの委任認証を有効にする)]チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
  4. [Save(保存)]をクリックします。
  5. [Create Okta password (recommended)(Oktaパスワードを作成(推奨))]を選択します。

    これにより、既存のパスワードがリセットされます。ADに割り当てられているユーザー全員に、新しいパスワードを設定するよう指示する自動メールが届きます。

  6. [Disable AD Authentication(AD認証を無効化)]をクリックします。
  7. [Settings(設定)]リストで、[To App(アプリへ)]をクリックしてから[Edit(編集)]をクリックします。
  8. スクロールして[Sync Password(パスワードを同期)]セクションに移動し、[Enable(有効化)]をクリックします。
  9. [Save(保存)]をクリックします。