AD LDS LDAP統合リファレンス

この項目は、Active Directory Lightweight Directory Services (AD LDS) Lightweight Directory Access Protocol (LDAP) 統合に固有のリファレンス情報を提供します。Okta LDAP エージェントをインストールする際に、この情報を使用してAD LDSディレクトリとOktaを統合する必要があります。Okta LDAP エージェントのインストールを参照してください。

推奨されるバージョン

Windows Server 2016

既知の問題

  • 一時パスワードをリクエストしているユーザーのステータスは、active(アクティブ)からpassword expired(パスワード期限切れ)には変わりません。
  • ユーザーが非アクティブ化され、プロビジョニング設定がDo nothing(何もしない)と示されている時に、ユーザーがOktaでアクティブ状態のまま残ります。単一ソースがユーザー プロファイル属性を提供している場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザー プロファイル属性のソースとなります。

統合構成

「Okta LDAPエージェントのインストールおよび設定」に記載されているエージェントの初回インストールと構成の際に、これらはAD LDS統合時の属性となります。

  • Unique Identifier Attribute (一意の識別子の属性)— distinguishedname
  • DN Attribute(DN属性) — distinguishedname
  • User Object Class(ユーザーオブジェクトクラス) — identityperson
  • User Object Filter(ユーザーオブジェクトフィルター) — (objectclass=identityperson)
  • *Account Disabled Attribute(アカウント無効化属性) — msds-useraccountdisabled
  • *Account Disabled Value (アカウント無効化の値) — TRUE
  • *Account Enabled Value(アカウント有効化の値 )— FALSE
  • Password Attribute(パスワード属性) — unicodepwd
  • Group Object Class(グローバルオブジェクトクラス) — group
  • Group Object Filter(グループオブジェクトフィルター) — (objectclass=group)
  • Member Attribute(メンバー属性) — member

スキーマ読み出し

AUXクラスから属性を追加するには、AUXILIARYクラスをAUXILIARYオブジェクト クラスとしてディレクトリ プロビジョニング 構成に追加します。

パスワード変更

ユーザーはOktaエンドユーザー ダッシュボードで[Settings(設定)]を選択することでパスワードを変更できます。

ユーザーがパスワードを変更またはリセットできるようにするには、[Security > Delegated Authentication(セキュリティ委任認証)]をクリックし、 [LDAP]タブを選択し、[Users can change their LDAP passwords in Okta(ユーザーはOktaでLDAPパスワードを変更できる)]を選択します。

Oktaに表示されるエラーメッセージは、AD LDSのエラーメッセージの値によって決まります。たとえば、AD LDSの値2245は、ユーザーがパスワードポリシー基準を満たさないパスワードを入力したときに次に示すメッセージを生成します。

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.(パスワードを更新できません。新しいパスワードに入力した値が、ドメインの要件(長さ、複雑度、履歴)を満たしていません。)

パスワードリセット

パスワード リセットは管理者またはユーザーがパスワードを忘れた場合のフローでトリガされます。

新規パスワードがパスワード ポリシーの条件を満たさない場合、パスワード リセットは失敗します。

パスワード検証

AD LDSは、パスワード検証にローカルシステムのパスワードポリシーまたはドメインパスワードポリシーを使用します。

インポート

ユーザー プロファイルを作成するには、userinetOrgPersonpersonOrganizationalPersonなどのオブジェクトクラスを使用します。カスタマイズされたプロファイルを使用するには、identitypersonオプションを更新します。

JITプロビジョニング

AD LDSのジャストインタイム(JIT)プロビジョニングについては、特別な考慮事項はありません。ユーザー識別(UID)に対しては、Oktaユーザー名のデフォルト設定と一致するようメールアドレスの形式を使用します。外部IDプロバイダー(IDP)を使用してサインインをトリガしないでください。

はじめにJITプロビジョニングが成功したことを確認するには

  • 設定された名付け属性(UIDなど)の値がOktaに存在してはなりません。
  • 設定された名付け属性(UIDなど) の値がJIT対応のディレクトリで一意でなければなりません。
  • 必要な属性が存在していなければなりません。Oktaデフォルト値はメール、givenName、sn、およびuidです。
  • パスワードが正しい値でなければなりません。
  • アカウント無効化属性がLDAPサーバーでfalseに設定されている必要があります。

JITプロビジョニングが問題なく完了すると、LDAP設定ページとプロファイル エディターで指定されたすべてのユーザー属性がインポートされます。追加の必須属性を選択するには、プロファイル エディターを使用します。

メンバーシップのインポート

インポート中、デフォルトのAD LDS設定が使用されると、objectClassグループを持つユーザーグループがインポートされメンバーグループ属性で指定されたユーザーに追加されます。

インポート中、メンバーシップ属性がseeAlsoに設定されると、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。

プロビジョニング

AD LDS LDAP 統合のための特別な考慮事項はありません。

ユーザー プロファイルを作成する際にパスワードを作成して割り当てるには

  1. Oktaカスタマーサポートに連絡してLDAPプッシュ パスワードのアップデートを有効化します。
  2. 代理認証を無効化します。
    1. 管理コンソールで、[セキュリティー] > に移動します[Delegated Authentication(代理認証)]>[LDAP]
    2. [Delegated Authentication(代理認証)]ペインで[Edit(編集)]をクリックします。
    3. [Enable delegated authentication to LDAP(LDAPの代理認証を有効化)] チェックボックスをオフにします。
    4. [Save(保存)]をクリックします。
    5. デフォルト設定を受け入れ、すべてのLDAP ユーザーパスワードをリセットし、[Disable LDAP Authentication(LDAP認証を無効化)]をクリックします。
  3. Okta管理コンソールで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[LDAP]>[Provisioning(プロビジョニング)]>[To App(アプリへ)]の順に進みます。
  4. [Edit(編集)]をクリックして[Sync Password(パスワードを同期化)]の隣の[Enable(有効化)]をクリックし、[Save(保存)]をクリックします。
  5. [Sync Password(パスワードを同期化)]を有効にすると、ユーザーが初めてサインインしたときにLDAPエージェントはアクションPASSWORD_UPDATEを送信します。

既存のOktaユーザーをLDAPに割り当てるには

  1. 管理コンソールで、[ディレクトリー] > に移動します[Directory Integrations(ディレクトリ統合)]>[LDAP]>[Provisioning(プロビジョニング)]>[To App(アプリへ)]
  2. [Edit(編集)]をクリックし、[Create Users(ユーザーの作成)]の隣にある[Enable(有効化)]を選択して[Save(保存)]をクリックします。
  3. [Directory(ディレクトリ)]>[Groups(グループ)]をクリックします。
  4. ユーザーの割り当て先となるOktaグループを選択します。
  5. [Manage Directories(ディレクトリを管理)]をクリックします。
  6. 左ペインでLDAPインスタンスを選択し、[Next(次へ)]をクリックします。
  7. [Provisioning Destination DN(プロビジョニング先のDN)]フィールドに新規ユーザーLDAPコンテナの完全識別名を入力します。
  8. [Confirm Changes(変更を確定)]をクリックします。

トラブルシューティング

LDAP ディレクトリ認証が失敗した場合、エージェントは診断と解決に役立てるために以下のような画面メッセージを記録します。

Agent: Success(成功)

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttbJoCgX6d8bVs0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=AD_LDS

Agent:Delauth failure(代理認証が失敗)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttkKzNHPmn4Cky0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?, error code=49, matched dn=CN=LynxyADLVSWih2Group,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: No user(ユーザーなし)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttml2duHannKQp0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=identityperson)(uid=LynxyADLDSWith2Group22s@lynxy.com)), result code=, vendor=AD_LDS

Agent: User deactivated(ユーザーのディアクティベート(msDS-UserAccountDisabled = TRUE)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttoAFlo2ktz8nu0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?, error code=49, matched dn=CN=LynxyADLVSWih2Group,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Account expired(アカウント期限切れ)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADStxkjhWLW7DX9qN0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?, error code=49, matched dn=CN=LynxyADLVSUserForChange2,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Password expired(パスワード期限切れ)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSu99dXaoVG7gFjG0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?, error code=49, matched dn=CN=delauth2,CN=\#Users,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?'), result code=invalid credentials, vendor=AD_LDS

Agent: Account locked(アカウントロック)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv4gTD5ihbuqeep0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?, error code=49, matched dn=CN=test1706 test1706,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?'), result code=invalid credentials, vendor=AD_LDS