パスワードをOktaからActive Directoryに同期する

パスワードの同期を有効にすると、ユーザーパスワードがOktaからActive Directory(AD)に同期され、さらにプロビジョニング対応アプリケーションに同期されます。

OktaからADへの同期では、OktaパスワードがADにプッシュされます。これは、Oktaを最終的な認証リソースにし、Oktaに接続できないレガシーリソースへのアクセスを認証するためにADインスタンスを使用する必要がある場合に便利です。OktaをADと同期できるようにするには、ADドメインの代理認証設定をオフにする必要があります。Okta Active Directory(AD)Agentには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワード変更はすべてOktaで開始してADに反映する必要があります。また、ユーザーがADで直接パスワードを変更することを禁止する必要があります。

次のイベントにより、OktaからADへの同期がアクティブ化されます。

  • ユーザーがOktaパスワードを更新する
  • ユーザーがOktaパスワードを復元する
  • 管理者がOktaパスワードのリセットを開始する

OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは[User must change password at next logon(ユーザーは次回ログオン時にパスワード変更が必要)]という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにログオンする必要があります。

開始する前に

パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリケーションに同期するには:

  • Oktaと統合されたADインスタンスを使用する
  • ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとする
  • Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制する
  • 代理認証を無効にし、Okta ADパスワード同期エージェントはインストールしない

OktaパスワードをActive Directoryに同期する

Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[Active Directory]>[Provisioning(プロビジョニング)]の順に進みます。
  2. [Settings(設定)]リストで、[Integration(統合)]をクリックします。
  3. 下にスクロールして、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
  4. [Save(保存)]をクリックします。
  5. [Create Okta password (recommended)(Oktaパスワードを作成(推奨))]を選択します。

    注意:この操作により既存のパスワードがリセットされ、新しいパスワードを作成するためのメールがADに割り当てられているすべてのユーザーに自動送信されます。

  6. [Disable AD Authentication(AD認証を無効化)]をクリックします。
  7. [Settings(設定)]リストで[To App(アプリへ)]をクリックし、[Edit(編集)]をクリックし、[Sync Password(パスワードを同期)]セクションまでスクロールし、[Enable(有効化)]を選択します。
  8. [Save(保存)]をクリックします。