Active Directory統合の既知の問題
Active Directory(AD)統合に関する既知の問題は次のとおりです。
-
カスタムURLを使用している場合:
- [Agents(エージェント)]:カスタム・ドメイン(example.customname.com)ではなく、実際のドメイン(example.okta.com)を使用します。
- [IWA SSO]:web.configファイルを変更してカスタムURLを含めます。
<oktaSSOConfigGroup>
<oktaSSOConfig orgOktaAuthenticationURL="https://example.customname.com/login/sso_iwa_auth"
orgBackupOktaAuthenticationURL="https://example.customname.com/login/default"
oktaSSOWebAppVersion="1.11.5.0">
- [Agentless DSSO(エージェントレスDSSO)]:すべてのサインインフローおよびブラウザーのブックマークで正しいURLが使用されていることを確認します。
- ADドメインに新しい属性を追加するときは、ドメインに接続されているすべてのOkta AD Agentを再起動します。Okta AD Agentが再起動されない場合は、Active Directoryの制限により、AD Agentは新しい属性の値をbase-64でエンコードします。
- ADドメインの名前を変更する場合は、名前変更プロセスを開始する前に、Okta AD Agentをアンインストールします。名前変更プロセスが完了したら、新しいドメイン名でOkta AD Agentを再インストールします。名前が変更されたドメインが新しいADアプリインスタンスとしてOktaに表示されます。
- ジャストインタイム(JIT)プロビジョニング中にOktaにインポートされたADソースのユーザーのグループメンバーシップ情報が、フルインポートまたは増分インポートで削除されない場合があります。グループメンバーシップ情報を更新するには、その後のJITまたはプロファイルの更新が必要です。
- プロビジョニング設定で[Do nothing(何もしない)]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。
-
JIT対応ディレクトリ統合が大量にある場合は、JITのパフォーマンスが下がり、すべてのディレクトリでユーザーを検索している間にタイムアウトでJITリクエストが失敗する場合があります。
オンプレミスエージェントやオンプレミスディレクトリサーバー、Oktaサービスのパフォーマンスなど、JITのパフォーマンス低下につながる要因は複数あります。問題が解決されない場合は「サポートを受ける」を参照してください。