LDAP統合のトラブルシューティング

LDAPに関する問題を解決するには、Apache Directory StudioなどのLDAPブラウザを入手してください。

スキーマテンプレートは、共通の値に基づいた提案です。 LDAP環境はそれぞれ異なるため、環境に応じた設定でデフォルト値をオーバーライドする必要がある場合があります。 Apache Directory Studioを使って既存のユーザーやグループの属性を調べてテンプレートの値を確認したり、適切な設定を選択することができます。

テンプレートを変更すると、すべてのテンプレートのデフォルト値が変更されます。 オーバーライドした設定は変更されません。


エージェントのインストール時に [Allow Access (アクセスを許可)]をクリックすると、次のエラーメッセージ が表示されます。

Failed to parse response from Okta and Unable to register the agent. Error code 12. (Oktaからの応答の解析に失敗し、エージェントの登録ができませんでした。エラーコード12)

ログを確認し、エントリを探します。

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No valid public key found in certificate chain.

ログに上記のエントリが含まれている場合、 Java LDAP エージェント バージョン5.3.1 以降をインストールしようとしており、エージェントがSSL証明書のピン留めをサポートしているためにOktaサーバーとの 通信ができない環境であることが考えられます。このエラーは通常、SSLプロキシに依存する環境で発生します。この場合、インストールが完了するようにするには、ドメインokta.comを許可リストに追加してSSLプロキシの処理をバイパスすることをお勧めします。

また、以下のようにSSLピン留めを無効にすることもできますが、この場合、エージェントが提供するセキュリティ機能が無効になりますのでご注意ください。

SSL証明書のピン留め機能を無効にするには、ご使用のオペレーティングシステムに合わせて以下の手順を行ってください。

Windows

コマンドラインからOkta LDAP エージェントをインストールします。

  1. ホストサーバーで、スーパー管理者の権限でOktaにサインインして、管理コンソールにアクセスします。
  2. Okta LDAP エージェントをダウンロードします。
    1. 管理コンソールで、[ディレクトリー] > に移動します[Directory Integrations(ディレクトリ統合)]に移動します。
    2. [Add Directory(ディレクトリを追加)]>[Add LDAP Directory(LDAPディレクトリを追加)]をクリックします。
    3. インストール要件を確認して、 [Set Up LDAP(LDAPを設定)]をクリックします。
    4. [Download Agent (エージェントのダウンロード)]をクリックし、[Download EXE Installer (EXEインストーラーのダウンロード)]を選択して、Windowsサーバーにダウンロードします。
  3. コマンドラインを開き、次のコマンドを実行します。

OktaADAgentSetup.exe OktaDisableSslPinning=1

  1. インストールを完了します。
    1. [Do you want to allow the following program to make changes to this computer? (次のプログラムにこのコンピューターへの変更を許可しますか?)]というメッセージが表示されたら、 [Yes (はい)]をクリックします。
    2. [Next(次へ)]をクリックします。
    3. ライセンス契約に同意し、[Next(次へ)]をクリックします。
    4. デフォルトのインストールフォルダの場所を受け入れるか、[Browse (参照)]をクリックして別の場所を選択し、[Install (インストール)]をクリックします。
    5. 任意。LDAP over SSL(LDAPS)を有効にする場合は、 LDAP over SSLを有効にするを完了してから、この手順を進めてください。
    6. LDAP構成画面で、以下の情報を入力します。
      • LDAP Server (LDAPサーバー) - LDAPのホストとポートをhost:portの形式で入力します。例:ldap.mycompany.com:389
      • Root DN (ルートDN) — ユーザーやグループを検索する際のDITのルート識別名。
      • Bind DN (バインドDN)— エージェントがLDAPディレクトリに接続する際に使用されるバインドLDAPユーザーの識別名。
      • Bind Password (バインドパスワード) — エージェントがLDAPディレクトリに接続する際に使用されるバインド識別名のパスワード。
      • 任意。 Use SSL connection (SSL接続を使用) — LDAP over SSL (LDAPS)を有効にしているかどうかを選択します。(注:LDAP over SSLを有効にするの手順を 実行せずにこれを選択すると、[Failed to connect to the specified LDAP server (指定のLDAPサーバーに接続できませんでした)]というエラーが表示されます。)
  1. [Next(次へ)]をクリックします。
  2. 任意。[Okta LDAP Agent Proxy Configuration (Okta LDAPエージェントのプロキシ構成)]ページで、Okta LDAPエージェントのプロキシサーバーを入力し、[Next (次へ)]をクリックします。

LDAPプロキシサーバーが独自のスキーマを返す場合、プロキシサーバーのスキーマとLDAPサーバーのスキーマが異なると、ユーザーデータのインポートに問題が生じることがあります。データインポートの問題を避けるため、LDAPプロキシサーバーとLDAPサーバーのスキーマが同一であることを確認してください。

  1. Okta LDAP エージェントをOktaサービスに登録するために、Oktaサブドメインの名前を入力して[Next (次へ)]をクリックします。
  2. [Okta Sign In(Oktaサインイン)」ページで、Okta管理者アカウントのユーザー名とパスワードを入力し、[Sign in(サインイン)]をクリックします。
  3. [Allow Access (アクセスを許可)] をクリックして Okta APIにアクセスします。:エラーメッセージが表示された場合は、Okta LDAPエージェントログを見つけるを参照してください。
  4. [Finish(完了)]をクリックします。
  5. LDAP統合設定の構成

SSL証明書のピン留めのサポートが無効になっていた場合に、再度有効にするには、以下のようにします。

  1. ADエージェント構成ファイルを見つけて開きます。

    C:\Program Files (x86)\Okta\Okta AD Agent\OktaAgentSetup.exe.config

  1. SSLピン留め有効設定を「True」に変更します。

    "SslPinningEnabled" value="True"

  1. 構成ファイルを保存し、エージェントを再起動します。

Linux

  1. コマンドラインから、「SSL ピン留め有効 」の設定を「false」に変更します。

    $ sudo /opt/Okta/OktaLDAPAgent/scripts/configure_agent.sh -sslPinningEnabled false

  1. 構成ファイルを保存し、エージェントを再起動します。

インストール完了後にSSL証明書のピン留めのサポートを再度有効にする場合は、 OktaLDAPAgent.confを開き、SSL ピン留め有効 を「true」に変更します。

SSL証明書のピン留めの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」の記事を参照してください。


ユースケース

LDAPディレクトリに新しいロールを作成しましたが、そのロールに割り当てられたユーザーがOktaにサインインしても、JITが有効になっているにも関わらず、そのロールがOktaにインポートされません。

OktaがLDAPロールをOktaに取り込むのはいつですか?

Oktaはインポート時にのみLDAPロールをOktaに取り込み、JIT時には取り込みません。Oktaに取り込まれたLDAPロールは、グループとなります。

OktaがLDAPグループをOktaに取り込むのはいつですか?

OktaはインポートやJITの際にLDAPグループをOktaに取り込みます。

回避策

すべてのユーザーアカウントをOktaにインポートしたくない場合は、以下のいずれかの回避策をプレビュー組織に導入することを検討してください。期待通りの結果が得られれば、その回避策を本番環境の組織に導入することができます。

特定のLDAPロールと同じメンバーシップを持つグループをOktaにインポートする

  1. インポートしたいLDAPのロールと同じメンバーシップを持つグループをLDAPに作成します。

  2. JITプロビジョニングまたはLDAPインポートのいずれかを使用して、そのグループとそのメンバーシップをOktaに取り込み、目的のアプリケーションまたは統合に割り当てます

望ましくないオブジェクトを確認せずに、OktaへのLDAPインポートを実行する

  1. Oktaで、[Directory (ディレクトリ)]>[Directory Integrations (ディレクトリ統合)]>[LDAP]> [Settings (設定)]>[Import Settings (インポート設定)]にアクセスします。

  2. [Import Matching Rules (インポートの一致ルール)]セクションで、[When no match found (一致が見つからない場合)]までスクロールダウンし、[Manually confirm new user (新しいユーザーを手動確認)]を選択します。これにより、インポートを実行してもOktaに新しいユーザーアカウントが自動的に作成されることがなくなります。

  3. LDAPディレクトリに対してインポートを実行し、ステップ1で作成したグループをインポートします。グループメンバーは、後でOktaへとJITする際にグループに追加されます。

非アクティブなLDAPアカウントを一時的に分離する

LDAPディレクトリに多数の非アクティブなユーザーアカウントが含まれているためにインポートを実行したくない場合は、以下の回避策を実行して、インポートする前に非アクティブな可能性の高いアカウントを特定し、それらを分離することができます。

  1. LDAPディレクトリに対して、 lastlogon属性(または非アクティブなアカウントをフィルタリングする別の属性)のクエリを実行します。

  2. 非アクティブなユーザーオブジェクトを同期コンテナの外に出し、インポート時にOktaに導入されないようにします。これらのオブジェクトは、インポートが終了した後に元に戻すことができます。


ユーザー名を確認する際に、以下のエラーが発生します。

Username: Does not match required pattern (ユーザー名: 必要なパターンに一致しません)

ユーザー名は、メール形式でなければなりません。インポート設定が正しく設定されていることを確認してください。「Okta LDAPエージェントのインストールおよび設定」を参照してください。


[Use SSL connection (SSL接続を使用)]チェックボックスを選択したところ、エラーが表示されました。

指定されたLDAPサーバーへの接続に失敗したというエラーが表示されます。

LDAP over SSL(LDAPS)が有効になっていることを確認してください。「LDAP over SSLを有効にする」を参照してください。