アプリケーション・パスワードの同期

Oktaは、クラウドおよびオンプレミスのアプリケーションが利用可能な場合、標準APIを使用して、それらのアプリケーションとパスワードを同期します。パスワードの同期にAPIを使用する場合、Okta Active Directory Password Syncエージェントは必要ありません。

Oktaの事前構築された統合により、カスタム・スクリプトを作成しなくてもパスワード同期API機能を利用できます。カスタム統合がある場合、またはオンプレミス・エージェントを使用している場合、パスワード同期を実装するためにOktaプロフェッショナル・サービスの支援が必要になる場合があります。

[OktaからアプリケーションへーOktaパスワードを同期]が有効な場合、デフォルトの動作では既存のパスワードが同期されます。Oktaパスワードは、Oktaへのサインオンに使用するパスワードです。

Active DirectoryまたはLDAPで委任認証を使用するようにOktaを構成している場合、Oktaへのサインインに使用されるパスワードはActive Directory(AD)またはLDAPのパスワードです。OktaはアプリケーションAPIを使用して、Active DirectoryまたはLDAPのパスワードをアプリケーションに同期します。パスワードはアプリケーションのパスワードとして保存されます。

委任認証を使用していない場合、Oktaへのアクセスに使用されるパスワードはOktaで保存および管理されます。OktaはアプリケーションAPIを使用して、パスワードをアプリケーションに同期します。

次のイベントによってパスワードの同期がアクティブになります。

  • Oktaから提供されたパスワードをリセットする
  • Oktaにサインインする
  • Oktaに委任認証でサインインする

ランダムな新しいパスワードの同期

Google Suite、Salesforce、Atlassian JIRAなどの一部のアプリケーションでは、Oktaを使用して、ユーザーが最初にアプリケーションにアクセスするときにパスワードを作成して割り当てることができます。この機能には、Password Sync Agentは必要ありません。

次のイベントにより、ランダムな新しいパスワードの同期がアクティブ化されます。

  • トリガーされた、またはグループベースのアプリケーション割り当てをインポートする
  • アプリケーションへのユーザーの手動割り当て

Oktaで生成されるパスワードは16文字で、大文字と小文字、数字がランダムに適用されます。Oktaとアプリの同期を成功させるには、Oktaでランダムに生成されるパスワードが、アプリのパスワードの複雑さに関する最小要件に準拠している必要があります。Oktaでランダムに生成されるパスワードがアプリの最小ポリシーに準拠していない場合、Oktaの[タスク]ページ([ダッシュボード] > [タスク])にエラーが表示されます。このような場合、Oktaは要求に応じて、アプリごとにパスワード・ポリシーを変更して、そのアプリの最小ポリシーに適合できます。

パスワードの周期の同期

このオプションを使用すると、ユーザーがOktaパスワードを変更するたびに新しいランダム・パスワードが作成されます。同期されるパスワードは、Oktaパスワードやディレクトリー・パスワードではありません。これは、Oktaパスワードのリセットによってアクティブ化される、新しいランダムなパスワードです。パスワードが生成されてOktaに保存され、アプリケーションAPIを使用してアプリケーションにプッシュされます。この機能には、Password Sync Agentは必要ありません。

次のイベントにより、パスワードの周期がアクティブ化されます。

  • トリガーされた、またはグループベースのアプリケーション割り当てをインポートする
  • 管理者が開始したパスワードの変更(Oktaまたは委任認証)
  • ユーザーが開始したパスワードの変更または復元(Oktaまたは委任認証)

モバイル・パスワードの同期

Oktaからモバイルへの同期では、パスワードがモバイル・デバイスのアプリケーション・クライアントに同期されます。この機能は、Okta Mobility Management(OMM)で構成されたiOSおよびAndroidのネイティブ・メール・クライアントでのみ使用できます。この機能には、Password Sync Agentは必要ありません。

次のイベントにより、Oktaからモバイルへの同期がアクティブ化されます。

  • ユーザーが開始したパスワードの変更または復元(Oktaまたは委任認証)
  • 管理者が開始したパスワードの変更(Oktaまたは委任認証)
  • トリガーされた、またはグループ・ベースのアプリ割り当てをインポートする

モバイル・ワークフローでは、Active Directory Password SyncエージェントからADパスワードをリセットする場合、パスワードの同期を有効にする必要はありません。パスワードのリセット通知により、更新されたExchange ActiveSync(EAS)メール構成が、Okta Mobility Management(OMM)に登録されている対応デバイスに配布されます。どのアプリケーションでもパスワードの同期が有効になっていない場合、暗号化されたADパスワードがデバイスにプッシュされた後、そのパスワードがOktaから削除されます。Okta Mobility Management(OMM)に登録されているデバイスの場合、パスワードの同期を有効にする必要はありません。

Oktaパスワードまたはランダム・パスワードをプロビジョニング対応アプリケーションに同期する

Oktaの初期セットアップ時、またはユーザーのOktaパスワードが変更されたときに、ユーザーのOktaパスワードまたはランダム・パスワードをプロビジョニング対応アプリにプッシュします。

  1. 管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]
  2. アプリケーションをクリックし、[プロビジョニング]タブをクリックします。
  3. [設定]リストで、[アプリへ]をクリックします。
  4. [編集]をクリックします。
  5. [パスワードを同期]セクションまで下にスクロールし、[有効化]をクリックします。
  6. 次の設定を構成します。
  • [ランダムに生成したパスワードを同期]:このオプションを選択すると、ランダムに生成された一意のパスワードが各アプリ・ユーザーにセットアップ時にプッシュされます。この目的は、単一のOktaパスワードの盗難によって組織全体が危険にさらされるのを防ぐことです。ユーザーは、ランダムなパスワードが生成されたという通知をホーム・ページで受け取ります。

注: このオプションを選択する場合は、[パスワード表示]機能を有効にして、エンド・ユーザーがパスワードを表示できるようにする必要があります([アプリケーション] > [アプリケーション] > [サインオン] > [設定] > [資格情報の詳細])。

  • [Oktaパスワードを同期]:このオプションにより、初期セットアップ時にユーザーのOktaパスワードがすべてのアプリ・ユーザーにプッシュされます。
  • [パスワードの周期] :このオプションを選択すると、ユーザーのOktaパスワードが変更されるたびに新しいランダム・パスワードが生成され、アプリに同期されます。

注:ユーザーは、このアプリをインストールしたすべてのデバイスでパスワードを更新する必要がある場合があります。

  • [すべての<アプリ>パスワードをリセット]:すべてのアプリ・ユーザーのパスワードをリセットするには、このオプションを選択します。
  1. [保存]をクリックします。