OktaからActive Directoryへのパスワードの同期

OktaからActive Directory(AD)およびプロビジョニング対応アプリケーションにユーザー・パスワードを同期するには、[パスワードの同期]を有効にします。

OktaからADへの同期を行うと、OktaパスワードがADにプッシュされます。これは、Oktaを最終的な認証リソースとし、Oktaに接続できないレガシー・リソースへのアクセスをADインスタンスで認証する必要がある場合に有効です。OktaがADと同期できるようにするには、ADドメインの代理認証設定をオフにする必要があります。Okta Active Directory(AD)エージェントは、新しいパスワードをADに書き込むための追加権限が必要です。パスワードはすべて最初にOktaで変更してからADに反映する必要があり、ADでユーザーがパスワードを直接変更できないようにしておく必要があります。

OktaからADへの同期は、次のイベントによって開始されます。

  • ユーザーが自分のOktaパスワードを更新する
  • ユーザーが自分のOktaパスワードを回復する
  • 管理者がOktaパスワードのリセットを開始する

Oktaアカウントが有効化されてOktaユーザーがADにプッシュされると、ADのユーザー・オブジェクトは「ユーザーは次回ログオン時にパスワード変更が必要」な状態になります。このようなシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーはまずOktaにログオンする必要があります。

開始する前に

OktaからADおよびプロビジョニング対応アプリケーションにパスワードを同期するには、次の条件を満たしている必要があります。

  • ADインスタンスがOktaと統合されている
  • ADインスタンスにインポートまたは割り当てられたユーザーはOktaがソースとなっている
  • Okta ADエージェント・サービス・アカウントにより、ユーザーがパスワードをリセットでき、パスワード変更権限が強制付与されている
  • 代理認証が無効であり、Okta ADパスワード同期エージェントがインストールされていない

Active DirectoryへのOktaパスワードの同期

Oktaの初期設定時、またはユーザーがOktaパスワードを変更するたびに、ユーザーのOktaパスワードをADにプッシュします。

  1. 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]>[Active Directory]>[Provisioning(プロビジョニング)]の順に移動します。
  2. [Settings(設定)]リストで[Integration(統合)]をクリックします。
  3. 下にスクロールして、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]チェック ボックスをオフにします。これにより、パスワードのソーシングがADからOktaに移行します。
  4. [Save(保存)]をクリックします。
  5. [Create Okta password (recommended) (Oktaパスワードを作成)(推奨)]を選択します。
  6. [Disable AD Authentication (AD認証を無効にする)]をクリックします。
  7. [Settings (設定)]リストで、[To App (送信先アプリケーション)][Edit (編集)]とクリックし、[Sync Password (パスワードの同期)]セクションまでスクロールして[Enable (有効にする)]を選択します。
  8. [保存]をクリックします。