Oracle Internet Directory LDAP統合リファレンス

このトピックでは、Oracle Internet Directory(OID)Lightweight Directory Access Protocol(LDAP)統合に固有の参考情報を提供します。Okta LDAP Agentをインストールする際、OIDディレクトリーをOktaと統合するためにこの情報が必要になります。 Okta LDAP Agentのインストールを参照してください。

既知の問題

  • 自分のパスワードのリセットを要求し、管理者がパスワードをリセットした後、そのパスワードを変更する必要があるユーザーは、Okta End-User Dashboardにアクセスするために新しいパスワードを2回指定する必要がある。
  • パスワードの有効期限が切れたユーザーはパスワードを更新できない。管理者がパスワードをリセットする必要があります。
  • プロビジョニング設定で[何もしない]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザー・プロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザー・プロファイル属性のソースになります。
  • LDAPサーバーでは、ユーザーが期限切れのパスワードを更新することはできません。更新は管理者が完了する必要があります。

統合の構成

Okta LDAP Agentのインストールに記載されているエージェントの初期インストールおよび構成時の、OID統合の属性は次のとおりです。

  • 一意の識別子属性:entryuuid
  • DN属性:entrydn
  • ユーザー・オブジェクト・クラス:inetorgperson
  • ユーザー・オブジェクト・フィルター:(objectclass=inetorgperson)
  • *アカウントで無効になっている属性:pwdlockout
  • *アカウントで無効になっている値:TRUE
  • *アカウントで有効になっている値:FALSE
  • パスワード属性:userpassword
  • グループ・オブジェクト・クラス:groupofuniquenames
  • グループ・オブジェクト・フィルター:(objectclass=groupofuniquenames)
  • メンバー属性:uniquemember

スキーマの読み取り

OID の統合に関する、特別な考慮事項はありません。

AUXクラスの属性を追加するには、補助クラスを補助オブジェクト・クラスとしてディレクトリーのプロビジョニング構成に追加します。

パスワード変更

ユーザーはOkta End-User Dashboardで[設定]を選択してパスワードを変更できます。

ユーザーがパスワードの変更またはリセットを行えるようにするには、[セキュリティー] > [委任認証]をクリックし、[LDAP]タブを選択してから、[ユーザーはOktaでのLDAPパスワードを変更できます] を選択します。

失敗したパスワード更新操作はOktaによって解析され、[委任認証]ページにエラー・メッセージが表示されます。

パスワード・リセット

パスワード・リセットは、管理者またはユーザーがパスワードを忘れた場合のフローによってトリガーされます。

ユーザーは、期限切れのパスワードを更新できません。期限切れのパスワードは、管理者がリセットする必要があります。

パスワードの検証

pwdPolicyオブジェクト・クラスを使用して、OID固有のパスワード・ポリシーを実装します。

LDAPインスタンスでパスワードの長さや有効期限などの設定を構成できます。

新しいパスワードがパスワード・ポリシーの基準を満たさない場合、パスワード・リセットが失敗する可能性があります。

インポート

OID の統合に関する、特別な考慮事項はありません。

JITプロビジョニング

OIDジャスト・イン・タイム(JIT)のプロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IDP)を使用しないでください。

JITプロビジョニングを正常に完了するには、以下が必要です。

  • 構成された命名属性(UIDなど)の値がOktaに存在していないこと。
  • 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリーで一意であること。
  • 必須属性が提示されていること。Oktaのデフォルトはemail、givenName、sn、uidです。
  • パスワードが正しいこと。
  • [アカウントで無効になっている属性]が、LDAPサーバーでfalseに設定されていること。

JITプロビジョニングが正常に完了すると、[LDAP設定]ページとプロファイル・エディターで指定されたすべてのユーザー属性がインポートされます。追加の必須属性を選択するには、プロファイル・エディターを使用します。

メンバーシップのインポート

デフォルト設定のユーザー・プロファイルがオブジェクト・クラスgroupを使用してグループに追加され、member group属性が割り当てられます。

インポート時にmembership属性がseeAlsoに設定されている場合、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。

プロビジョニング

ユーザーの作成機能はOIDサーバーでは使用できません。

ユーザーの作成時または割り当て時にパスワードを設定できるようにするには、LDAPインスタンスでDelAuthを無効にし、LDAP_PUSH_PASSWORD_UPDATESを有効にし、パスワード同期を有効にします。これらの設定により、LDAPエージェントは、ユーザーが初めてログインすると、または割り当てられると、PASSWORD_UPDATEアクションを送信します。これらの設定を行わない場合、パスワードはLDAPインスタンスに転送されません。

ユーザー・プロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。

  1. LDAPプッシュ・パスワードの更新を有効にするには、Oktaカスタマー・サポートに連絡してください。
  2. 次の手順を実行して、委任認証を無効にします。
    1. 管理コンソールで、[セキュリティー] > に移動します [委任認証] > [LDAP]をクリックします。
    2. [委任認証]ペインで[編集]をクリックします。
    3. [LDAPへの委任認証を有効にする] チェック・ボックスをオフにします。
    4. [保存]をクリックします。
    5. デフォルト設定を受け入れてすべてのLDAPユーザー・パスワードをリセットし、[LDAP 認証を無効にする]をクリックします。
  3. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合] > [LDAP] > [プロビジョニング] > [アプリへ]の順にクリックします。
  4. [編集]をクリックし、[パスワードを同期]の横にある[有効]を選択して、[保存]をクリックします。
  5. [パスワードを同期]が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。

既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合] > [LDAP] > [プロビジョニング] > [アプリへ]の順にクリックします。
  2. [編集]をクリックし、[ユーザーを作成]の横にある[有効]を選択して、[保存]をクリックします。
  3. [ディレクトリー] > [グループ]をクリックします。
  4. ユーザーを割り当てるOktaグループを選択します。
  5. [ディレクトリーを管理]をクリックします。
  6. 左側のペインでLDAPインスタンスを選択し、[次へ]をクリックします。
  7. [プロビジョニング宛先DN]フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
  8. [変更を確認]をクリックします。

トラブルシューティング

LDAP ディレクトリー認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェント・ログに表示されます。

エージェント:成功

searchResultsがユーザーとグループの情報とともに送信されます

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwb4cGS4hdSWYnX0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=OID

エージェント:委任認証の失敗

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwa0ihYKyosvlFe0g3, diagnostic message=, error code=49, matched dn=cn=LynxyOIDExpiredPassword,cn=ExpiredPasswordOID,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OID

エージェント:ユーザーなし

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwayJJ1gms5xUTg0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=test@test.com)), result code=, vendor=OID

エージェント:パスワードの有効期限切れ

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwa29fIw60TAKOG0g3, diagnostic message=Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password., error code=49, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password.', diagnosticMessage='Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password.'), result code=invalid credentials, vendor=OID

エージェント:ロックアウト

pwdLockoutがユーザーpwdPolicyに対して1に設定されます

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwc0y9kr6t2OMJy0g3, diagnostic message=Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator., error code=53, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator.', diagnosticMessage='Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator.'), result code=unwilling to perform, vendor=OID

エージェント:無効

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwdeqib6oWQozgT0g3, diagnostic message=Account Policy Error :9050: GSL_ACCTDISABLED_EXCP :Your Account has been disabled. Please contact the administrator.?, error code=53, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Account Policy Error :9050: GSL_ACCTDISABLED_EXCP :Your Account has been disabled. Please contact the administrator.?', diagnosticMessage='Account Policy Error :9050: GSL_ACCTDISABLED_EXCP :Your Account has been disabled. Please contact the administrator.?'), result code=unwilling to perform, vendor=OID