LDAP統合のトラブルシューティング

LDAPの問題をトラブルシューティングするには、Apache Directory StudioなどのLDAPブラウザーを入手してください。

スキーマテンプレートは一般的な値に基づく提案であることに注意してください。LDAP環境はそれぞれ固有であり、デフォルト値を環境固有の設定で上書きする必要がある場合があります。Apache Directory Studioを使用して既存のユーザーやグループの属性を調べてテンプレートの値を確認することや、適切な設定を選択することができます。

テンプレートを変更すると、テンプレートのすべてのデフォルト値が変更されます。上書きした設定は変更されません。


エージェントのインストール中、[Allow Access(アクセスを許可)]をクリックした後に、次のエラーメッセージが表示される:

「Oktaからの応答の解析に失敗し、エージェントを登録できません。エラーコード12。」

ログを確認し、次のエントリーを探します:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No valid public key found in certificate chain.

ログに上記のエントリーが含まれる場合、Java LDAPエージェントバージョン5.3.1以降のインストールを試みている可能性があり、エージェントによるSSL証明書ピン留めのサポートによってOktaサーバーと通信できない環境となっています。これは、多くの場合、SSLプロキシーに依存する環境で発生します。この場合にインストールを完了できるようにするために、Oktaでは、ドメインokta.comを許可リストに追加して、SSLプロキシー処理をバイパスすることを推奨しています。

また、以下の説明に従ってSSLピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティ強化も無効になるため注意が必要です。

SSL証明書ピンニングのサポートを無効にするには、ご使用のオペレーティングシステムに応じて以下の手順を実行します。

Windows

コマンドラインからOkta LDAP Agentをインストールします。

  1. ホストサーバーで、スーパー管理者権限を持つOkta管理者アカウントを使用してOktaにサインインし、Okta Admin Consoleにアクセスします。
  2. 次の手順を実行して、Okta LDAP Agentをダウンロードします。
    1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
    2. [Add Directory(ディレクトリを追加)]>[Add LDAP Directory(LDAPディレクトリを追加)]をクリックします。
    3. インストール要件を確認し、[Set Up LDAP(LDAPのセットアップ)]をクリックします。
    4. [Download Agent(エージェントをダウンロード)]をクリックし、[Download EXE Installer(EXEインストーラーをダウンロード)]を選択して、Windowsサーバーにこれをダウンロードします。
  3. コマンドラインを開き、次のコマンドを実行します。

OktaADAgentSetup.exe OktaDisableSslPinning=1

  1. インストールを完了します。
    1. [Do you want to allow the following program to make changes to this computer?(このアプリがこのコンピューターに変更を加えることを許可しますか?)]というメッセージが表示されたら、[Yes(はい)]をクリックします。
    2. [Next(次へ)]をクリックします。
    3. ライセンス契約に同意して、[Next(次へ)]をクリックします。
    4. デフォルトのインストールフォルダーの場所をそのまま使用するか、[Browse(参照)]をクリックして別の場所を選択し、[Install(インストール)]をクリックします。 
    5. 任意。LDAP over SSL(LDAPS)を有効にする場合は、[Enable LDAP over SSL(LDAP over SSLを有効にする)]を選択して、この手順を続行します。
    6. LDAP構成画面で、次の情報を入力します。
      • [LDAP Server(LDAPサーバー)]:LDAPホストとポートをhost:portの形式で入力します。例:ldap.mycompany.com:389
      • [Root DN(ルートDN)]:ユーザーおよびグループの検索元となるDITのルート識別名。
      • [Bind DN(バインドDN)]:エージェントがLDAPディレクトリに接続するために使用するバインドLDAPユーザーの識別名。
      • [Bind Password(バインドパスワード)]:エージェントがLDAPディレクトリに接続するために使用するバインド識別名のパスワード。
      • 任意。[Use SSL connection(SSL接続を使用する)]:LDAP over SSL(LDAPS)を有効にする場合に選択します。(注:[Enable LDAP over SSL(LDAP over SSLを有効にする)]の手順を実行せずにこのオプションを選択すると、エラー[Failed to connect to the specified LDAP server(指定したLDAPサーバーに接続できませんでした)]が表示されます。)
  1. [Next(次へ)]をクリックします。
  2. 任意。[Okta LDAP Agent Proxy Configuration(Okta LDAP Agentプロキシー構成)]ページでOkta LDAP Agentのプロキシーサーバーを入力し、[Next(次へ)]をクリックします。

LDAPプロキシーサーバーが独自のスキーマを返す場合は、プロキシーサーバーのスキーマとLDAPサーバーのスキーマが異なると、ユーザーデータのインポート時に問題が発生する可能性があります。データのインポートの問題を回避するには、LDAPプロキシーサーバーとLDAPサーバーのスキーマが同一であることを確認してください。

  1. Okta LDAP AgentOktaサービスに登録するには、Oktaサブドメイン名を入力し、[Next(次へ)]をクリックします。
  2. [Okta Sign In(Oktaサインイン)]ページで、Okta管理者アカウントのユーザー名とパスワードを入力し、[Sign In(サインイン)]をクリックします。
  3. [Allow Access(アクセスを許可)]をクリックしてOkta APIにアクセスします。:エラーメッセージが表示される場合は、「Okta LDAPエージェントログの特定」を参照してください。
  4. [Finish(終了)]をクリックします。
  5. LDAP統合設定を構成します。

SSL証明書ピンニングのサポートが無効になっていて再度有効にする場合:

  1. ADエージェント構成ファイルを見つけて開きます。

    C:\Program Files (x86)\Okta\Okta AD Agent\OktaAgentSetup.exe.config

  1. SSLピンニングの有効化設定をTrueに変更します。

    "SslPinningEnabled" value="True"

  1. 構成ファイルを保存して、エージェントを再起動します。

Linux

  1. コマンドラインで、SSLピン留め有効化設定をfalseに変更します。

    $ sudo /opt/Okta/OktaLDAPAgent/scripts/configure_agent.sh -sslPinningEnabled false

  1. 構成ファイルを保存して、エージェントを再起動します。

インストールの完了後にSSL証明書ピン留めのサポートを再度有効にするには、OktaLDAPAgent.confを開き、SSLピン留め有効化設定をtrueに変更します。

SSL証明書ピンニングの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」の記事を参照してください。


ユースケース

LDAPディレクトリに新しいロールを作成したが、JITが有効になっていても、ロールに割り当てられたユーザーがOktaにサインインしたときに、そのロールがOktaにインポートされない。

LDAPロールがOktaに取り込まれるタイミング

LDAPロールは、JIT中ではなく、インポート中にのみOktaに取り込まれます。LDAPロールは、Oktaに取り込まれた後、グループとして表されます。

LDAPグループがOktaに取り込まれるタイミング

LDAPグループは、インポート中およびJIT中にOktaに取り込まれます。

回避策

すべてのユーザーアカウントをOktaにインポートしたくない場合は、Preview orgに次の回避策のいずれかを実装することを検討してください。期待した結果が得られた場合は、Production orgに回避策を実装できます。

特定のLDAPロールと同じメンバーシップを持つグループをOktaにインポートする

  1. インポートするLDAPのロールと同じメンバーシップを持つグループをLDAPに作成します。

  2. JITプロビジョニングまたはLDAPインポートのいずれかを使用して、そのグループとそのメンバーシップをOktaに取り込み、目的のアプリケーションまたは統合に割り当てます。

不要なオブジェクトを確認せずにOktaへのLDAPインポートを実行する

  1. Oktaで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[LDAP]>[Settings(設定)]>[Import Settings(インポート設定)]に移動します。

  2. [Import Matching Rules(一致ルールをインポート)]セクションで、[When no match found(一致が見つからない場合)]まで下にスクロールし、[Manually confirm new user(新しいユーザーを手動で確認する)]を選択します。これにより、インポートの実行時に新しいユーザーアカウントがOktaに自動的に作成されることがなくなります。

  3. LDAPディレクトリに対してインポートを実行して、ステップ1で作成したグループをインポートします。グループメンバーは、後ほどOktaへのJIT時にグループに追加されます。

非アクティブなLDAPアカウントを一時的に分離する

LDAPディレクトリに非アクティブなユーザーアカウントが多数含まれているためにインポートを実行したくない場合、インポート前に次の回避策を実行して、非アクティブである可能性のあるアカウントを特定し、それらを分離できます。

  1. LDAPディレクトリに対して属性lastlogon(または非アクティブなアカウントをフィルタリングする別の属性)のクエリを実行します。

  2. 非アクティブなユーザーオブジェクトを同期コンテナーの外部に移動して、インポート中にOktaに導入されないようにします。インポートの終了後にこれらのオブジェクトを元の場所に移動できます。


ユーザー名を確認するときに、次のエラーが表示される:

「ユーザー名:必要なパターンと一致しません」

ユーザー名はメール形式にする必要があります。インポート設定が正しく設定されていることを確認します。「Okta LDAPエージェントをインストールして構成する」を参照してください。


[Use SSL connection(SSL接続を使用する)]チェックボックスをオンにすると、次のエラーが発生する:

「指定したLDAPサーバーに接続できませんでした」というメッセージが表示される。

LDAP over SSL(LDAPS)が有効になっていることを確認してください。「LDAP over SSLを有効にする」を参照してください。