Active Directory統合の既知の問題
Active Directory(AD)統合に関する既知の問題は次のとおりです。
-
カスタムURLを使用している場合:
- [Agents(エージェント)]:カスタムドメイン(example.customname.com)ではなく、実際のドメイン(example.okta.com)を使用します。
- IWA SSO: web.configファイルを、次のカスタムURLを含むよう修正します:
<oktaSSOConfigGroup>
<oktaSSOConfig orgOktaAuthenticationURL="https://example.customname.com/login/sso_iwa_auth"
orgBackupOktaAuthenticationURL="https://example.customname.com/login/default"
oktaSSOWebAppVersion="1.11.5.0"> - [Agentless DSSO(エージェントレスDSSO)]:すべてのサインインフローおよびブラウザーのブックマークで正しいURLが使用されていることを確認します。
- ADドメインに新しい属性を追加するときは、ドメインに接続されているすべてのOkta ADエージェントを再起動します。Okta ADエージェントが再起動されない場合は、Active Directoryの制限により、ADエージェントは新しい属性の値をbase-64でエンコードします。
- ADドメインの名前を変更する場合は、名前変更プロセスを開始する前に、Okta ADエージェントをアンインストールします。名前変更プロセスが完了したら、新しいドメイン名でOkta ADエージェントを再インストールします。名前が変更されたドメインが新しいADアプリインスタンスとしてOktaに表示されます。
- ジャストインタイム(JIT)プロビジョニング中にOktaにインポートされたADソースのユーザーのグループメンバーシップ情報が、フルインポートまたは増分インポートで削除されない場合があります。グループメンバーシップ情報を更新するには、その後のJITまたはプロファイルの更新が必要です。
- プロビジョニング設定で[Do nothing(何もしない)]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。
-
JIT対応ディレクトリ統合が大量にある場合は、JITのパフォーマンスが下がり、すべてのディレクトリでユーザーを検索している間にタイムアウトでJITリクエストが失敗する場合があります。
オンプレミスエージェントやオンプレミスディレクトリサーバー、Oktaサービスのパフォーマンスなど、JITのパフォーマンス低下につながる要因は複数あります。問題を解決できないときは、Oktaヘルプセンターにアクセスしてください。
- [Provisioning(プロビジョニング)]タブの[Deactivate Users(ユーザーの非アクティブ化)]が無効の場合、ADから非アクティブ化され、JITプロビジョニングを通じてOktaで再アクティブ化されたユーザーには配布グループが割り当てられません。これを解決するには、ユーザーをADから非アクティブ化した上でフルインポートを実行します。