Active Directory統合の既知の問題

Active Directory(AD)統合に関する既知の問題は次のとおりです。

  • カスタムURLを使用している場合:

    • [Agents(エージェント)]:カスタム・ドメイン(example.customname.com)ではなく、実際のドメイン(example.okta.com)を使用します。
    • [IWA SSO]web.configファイルを変更してカスタムURLを含めます。

      <oktaSSOConfigGroup>

      <oktaSSOConfig orgOktaAuthenticationURL="https://example.customname.com/login/sso_iwa_auth"

      orgBackupOktaAuthenticationURL="https://example.customname.com/login/default"

      oktaSSOWebAppVersion="1.11.5.0">

    • [Agentless DSSO(エージェントレスDSSO)]:すべてのサインインフローおよびブラウザーのブックマークで正しいURLが使用されていることを確認します。
  • ADドメインに新しい属性を追加するときは、ドメインに接続されているすべてのOkta AD Agentを再起動します。Okta AD Agentが再起動されない場合は、Active Directoryの制限により、AD Agentは新しい属性の値をbase-64でエンコードします。
  • ADドメインの名前を変更する場合は、名前変更プロセスを開始する前に、Okta AD Agentをアンインストールします。名前変更プロセスが完了したら、新しいドメイン名でOkta AD Agentを再インストールします。名前が変更されたドメインが新しいADアプリインスタンスとしてOktaに表示されます。
  • ジャストインタイム(JIT)プロビジョニング中にOktaにインポートされたADソースのユーザーのグループメンバーシップ情報が、フルインポートまたは増分インポートで削除されない場合があります。グループメンバーシップ情報を更新するには、その後のJITまたはプロファイルの更新が必要です。
  • プロビジョニング設定で[Do nothing(何もしない)]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。
  • JIT対応ディレクトリ統合が大量にある場合は、JITのパフォーマンスが下がり、すべてのディレクトリでユーザーを検索している間にタイムアウトでJITリクエストが失敗する場合があります。

    オンプレミスエージェントやオンプレミスディレクトリサーバー、Oktaサービスのパフォーマンスなど、JITのパフォーマンス低下につながる要因は複数あります。問題が解決されない場合は「サポートを受ける」を参照してください。

関連項目

カスタムURLドメインを構成する