アプリケーションパスワードの同期
Oktaは、クラウドおよびオンプレミスのアプリケーションが利用可能な場合、標準APIを使用して、それらのアプリケーションとパスワードを同期します。パスワードの同期にAPIを使用する場合、Okta Active Directory Password Syncエージェントは必要ありません。
Oktaの事前構築された統合により、カスタムスクリプトを作成しなくてもパスワード同期API機能を利用できます。カスタム統合がある場合、またはオンプレミスエージェントを使用している場合、パスワード同期を実装するためにOktaプロフェッショナルサービスの支援が必要になる場合があります。
[Okta to Application - Sync Okta Password(OktaからアプリケーションへーOktaパスワードを同期)]が有効な場合、デフォルトの動作では既存のパスワードが同期されます。Oktaパスワードは、Oktaへのサインオンに使用するパスワードです。
Active DirectoryまたはLDAPで委任認証を使用するようにOktaを構成している場合、Oktaへのサインインに使用されるパスワードはActive Directory(AD)またはLDAPのパスワードです。OktaはアプリケーションAPIを使用して、Active DirectoryまたはLDAPのパスワードをアプリケーションに同期します。パスワードはアプリケーションのパスワードとして保存されます。
委任認証を使用していない場合、Oktaへのアクセスに使用されるパスワードはOktaで保存および管理されます。OktaはアプリケーションAPIを使用して、パスワードをアプリケーションに同期します。
次のイベントによってパスワードの同期がアクティブになります。
- Oktaソースのパスワードをリセットする
- Oktaにサインインする
- Oktaに委任認証でサインインする
ランダムな新しいパスワードの同期
Google Suite、Salesforce、Atlassian JIRAなどの一部のアプリケーションでは、Oktaを使用して、ユーザーが最初にアプリケーションにアクセスするときにパスワードを作成して割り当てることができます。この機能には、Password Sync Agentは必要ありません。
次のイベントにより、ランダムな新しいパスワードの同期がアクティブ化されます。
- トリガーされた、またはグループベースのアプリケーション割り当てをインポートする
- アプリケーションへのユーザーの手動割り当て
Oktaで生成されるパスワードは16文字で、大文字と小文字、数値がランダムに適用されます。Oktaとアプリの同期を成功させるには、Oktaでランダムに生成されるパスワードが、アプリのパスワードの複雑さに関する最小要件に準拠している必要があります。Oktaでランダムに生成されるパスワードがアプリの最小ポリシーに準拠していない場合、Oktaの[Task(タスク)]ページ( )にエラーが表示されます。このような場合、Oktaはリクエストに応じて、アプリごとにパスワードポリシーを変更して、そのアプリの最小ポリシーに適合できます。
パスワードの周期の同期
このオプションを使用すると、ユーザーがOktaパスワードを変更するたびに新しいランダムパスワードが作成されます。同期されるパスワードは、Oktaパスワードやディレクトリパスワードではありません。これは、Oktaパスワードのリセットによってアクティブ化される、新しいランダムなパスワードです。パスワードが生成されてOktaに保存され、アプリケーションAPIを使用してアプリケーションにプッシュされます。この機能には、Password Sync Agentは必要ありません。
次のイベントにより、パスワードの周期がアクティブ化されます。
- トリガーされた、またはグループベースのアプリケーション割り当てをインポートする
- 管理者起点のパスワードの変更(Oktaまたは委任認証)
- ユーザー起点のパスワードの変更または復元(Oktaまたは委任認証)
モバイルパスワードの同期
Oktaからモバイルへの同期では、パスワードがモバイルデバイスのアプリケーションクライアントに同期されます。この機能は、Okta Mobility Management(OMM)で構成されたiOSおよびAndroidのネイティブメールクライアントでのみ使用できます。この機能には、Password Sync Agentは必要ありません。
次のイベントにより、Oktaからモバイルへの同期がアクティブ化されます。
- ユーザー起点のパスワードの変更または復元(Oktaまたは委任認証)
- 管理者起点のパスワードの変更(Oktaまたは委任認証)
- トリガーされた、またはグループベースのアプリ割り当てをインポートする
モバイルWorkflowsでは、Active Directory Password SyncエージェントからADパスワードをリセットする場合、パスワードの同期を有効にする必要はありません。パスワードのリセット通知により、更新されたExchange ActiveSync(EAS)メール構成が、Okta Mobility Management(OMM)に登録されている対応デバイスに配布されます。どのアプリケーションでもパスワードの同期が有効になっていない場合、暗号化されたADパスワードがデバイスにプッシュされた後、そのパスワードがOktaから削除されます。Okta Mobility Management(OMM)に登録されているデバイスの場合、パスワードの同期を有効にする必要はありません。
Oktaパスワードまたはランダムパスワードをプロビジョニング対応アプリケーションに同期する
Oktaの初期セットアップ時、またはユーザーのOktaパスワードが変更されたときに、ユーザーのOktaパスワードまたはランダムパスワードをプロビジョニング対応アプリにプッシュします。
フェデレーテッドユーザーには適用されません(ソースorgで外部IdPによって認証されたユーザー、JITでプロビジョニングされたユーザーなど)。
- Admin Consoleで、 に移動します。
- アプリケーションをクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
- [Settings(設定)]リストで、[To App(アプリへ)]をクリックします。
- [Edit(編集)]をクリックします。
- 下にスクロールして[Sync Password(パスワードを同期)]セクションに移動し、[Enable(有効化)]をクリックします。
- 次の設定を構成します。
- [Sync a randomly generated password(ランダムに生成したパスワードを同期)]:このオプションを選択すると、ランダムに生成された一意のパスワードが各アプリユーザーにセットアップ時にプッシュされます。この目的は、単一のOktaパスワードの盗難によってorganization全体が危険にさらされるのを防ぐことです。ユーザーは、ランダムなパスワードが生成されたという通知をホームページで受け取ります。
Note(注): このオプションを選択する場合は、[Reveal Password(パスワード表示)]機能を有効にして、エンドユーザーがパスワードを表示できるようにする必要があります( )。
- [Sync Okta Password(Oktaパスワードを同期)]:このオプションにより、初期セットアップ時にユーザーのOktaパスワードがすべてのアプリユーザーにプッシュされます。
- [Password cycle(パスワードの周期)]:このオプションを選択すると、ユーザーのOktaパスワードが変更されるたびに新しいランダムパスワードが生成され、アプリに同期されます。
Note(注):ユーザーは、このアプリをインストールしたすべてのデバイスでパスワードを更新する必要がある場合があります。
- [Reset All App Passwords(すべてのアプリパスワードをリセット)]:すべてのアプリユーザーのパスワードをリセットするには、このオプションを選択します。
- [Save(保存)]をクリックします。