パスワード同期のトラブルシューティング
ここに記載されている情報を使用して、パスワードの同期の問題を解決してください。
パスワードの同期の問題を解決するための提案を次に示します。
- Okta System Logを確認して、パスワード同期イベントがパスワードをアプリケーションまたはActive Directory(AD)にプッシュする試みから生じたかどうかを確認します。
- パスワード同期の対象アプリケーションに手動でサインオンして、どのパスワードが機能しているか判別します。
- OktaからADへの同期で問題がある場合、Okta AD Agentのサービスアカウントの権限が正しいこと、およびAgent.logファイルにエラーがないことを確認します。
- Okta AD AgentとOkta AD Password Sync Agent(PSA)のログで同期イベントを確認します。
- 失敗したパスワード同期イベントは、[Tasks(タスク)]ページのリストに表示されます。
PSAがすべてのドメインコントローラーにインストールされていて、ユーザーのADパスワードが変更されたが、ユーザーがデスクトップSSOを使用してアプリにサインインできない。
この問題の原因として考えられるのは、orgの[Okta username format(Oktaユーザー名の形式)]が[User Principal Name(ユーザープリンシパル名)(UPN)]または[sAMAccountName]に設定されていないことです。[Okta username format(Oktaユーザー名のフォーマット)]の設定を確認するには:
- Admin Consoleで、の順に進みます。
- [Active Directory]をクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
- [Settings(設定)]リストで、[To Okta(Oktaへ)]をクリックします。
- [General(一般)]領域で、[Okta username format(Oktaユーザー名の形式)]に対して[User Principal Name (UPN)(ユーザープリンシパル名(UPN))]または[sAMAccountName]が選択されていることを確認します。
フィルターは正常に読み込まれるが、有効にならない。
PSAを起動して、エージェントが有効になっていないことを示すメッセージが表示される場合は、Okta URLを入力する必要があります。例:
https://mycompany.okta.com(必ずhttpsを使用してください)
次に、[Verify URL(URLの確認)]をクリックします。
PSAが信頼関係を確立できない。
PsAを起動して、「基になる接続が閉じられました」というメッセージが表示される場合は、PSAバージョン1.3.0以降がインストールされており、お使いの環境でOktaサーバーと通信するためのSSL証明書ピンニングがサポートされていません。これは、多くの場合、SSLプロキシに依存する環境で発生します。この場合にインストールを成功させるには、ドメイン「okta.com」を許可リストに追加してSSLプロキシの処理をバイパスすることをお勧めします。
また、以下の手順の説明に従ってSSL証明書ピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティ強化も無効になるため注意が必要です。
SSLピンニングのサポートを無効にするには、Windowsレジストリを次のように編集します。
- [Search(検索)]をクリックし、検索ボックスにregeditと入力し、[Enter]を押します。
- 「Do you want to allow this app to make changes your device?(このアプリがデバイスに変更を加えるのを許可しますか?)」というメッセージが表示されたら、[Yes(はい)]をクリックします。
- [Registry Editor(レジストリエディター)]で、に移動します。
- [Enable certificate pinnin(証明書ピンニングの有効化)]設定をダブルクリックし、値を[0]に変更します。
- [OK]をクリックして変更内容を保存します。
SSL証明書ピンニングの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」を参照してください。