Okta APIを使用してユーザーパスワードを期限切れにする
Okta APIを使用して、Oktaをソースとするユーザーのパスワードを失効させ、次回のサインイン時に新しいパスワードを設定するように促します。
- 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]>[Active Directory]>[Provisioning(プロビジョニング)]の順に移動します。
- [Settings(設定)]リストで[Integration(統合)]をクリックします。
- 下にスクロールして、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]チェック ボックスをオフにします。
- [Save(保存)]をクリックします。
- [Create Okta password (recommended) (Oktaパスワードを作成)(推奨)]を選択します。
- [Disable AD Authentication (AD認証を無効にする)]をクリックします。
- [Settings (設定)]リストで、[To App (送信先アプリケーション)]、[Edit (編集)]とクリックし、[Sync Password (パスワードの同期)]セクションまでスクロールして[Enable (有効にする)]を選択します。
- [Save(保存)]をクリックします。
- 任意。特定のユーザーをパスワードの有効期限から除外するには、以下のようにします。
- [Security (セキュリティ)]>[Authentication (認証)]をクリックし、[Active Directory Policy (Active Directoryポリシー)]を選択します。
- 下方にスクロールして、[Add Rule (ルールを追加)]をクリックします。
- 以下のフィールドに入力します。
- Rule Name(ルール名) — ルールの名前を入力します。
- Exclude Users(適用除外するユーザー) — 任意。このルールから除外したいユーザーを特定します。
- IF User's IP is(ユーザーのIPが) —任意。特定のゾーンの内側または外側にあるIP アドレスにルールを適用するかどうかを示します。
- THEN User can (その後ユーザーができること) — [change password (パスワードの変更)]を選択します。
- [Create Rule(ルールを作成)]をクリックします。
- OktaユーザーAPIのexpire_passwordエンドポイントにアクセスし、tempPasswordパラメータ値を「TRUE」に変更します。Okta開発者向けドキュメントの「パスワード有効期限」を参照してください。