パスワードの同期のトラブルシューティング
ここに記載されている情報は、パスワードの同期に関する問題を解決するのに役立ちます。
ここでは、パスワードの同期に関する問題を解決するための提案をご紹介します。
- Oktaシステムログを確認して、パスワード同期イベントの結果として、アプリケーションまたはActive Directory(AD)にパスワードをプッシュしようとしたかどうかを判断します。
- パスワード同期のターゲットアプリケーションに手動でサインオンして、どのパスワードが機能しているかを確認してください。
- OktaとADの同期の問題では、Okta ADエージェントのサービスアカウントの権限が正しく、Agent.logファイルにエラーがないことを確認します。
- 同期イベントについてOkta ADエージェントとパスワード同期エージェント(PSA)のログを確認します。
- パスワードの同期に失敗したイベントは、[Tasks (タスク)]ページのタスクリストに表示されます。

組織のOktaのユーザー名形式が、ユーザープリンシパル名(UPN)または sAMAccountNameに設定されていない可能性があります。ADパスワード同期エージェントを機能させるためには、Oktaのユーザー名の形式をユーザー プリンシパル名(UPN)またはsAMAccountNameに設定する必要があります。Oktaのユーザー名形式設定を確認するには、次のようにします。
- 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]に進みます。
- [Active Directory]をクリックしてから、[Provisioning(プロビジョニング)]タブをクリックします。
- [Settings(設定)]リストで[To Okta(Oktaへ)]をクリックします。
- [General (一般)]エリアで、Oktaのユーザー名形式にユーザー プリンシパル名(UPN)またはsAMAccountNameが選択されていることを確認します。

ADパスワード同期エージェントを起動した時に、エージェントが有効になっていないというメッセージが表示された場合は、OktaのURL(例えば https://mycompany.okta.comなど)を入力して、[Verify URL (URLの検証)]をクリックする必要があります。エントリには https://のプレフィックスを使用してください。

ADパスワード同期エージェントを起動した時に「基になる接続が閉じられました。SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした」というメッセージが表示された場合、ADパスワード同期エージェントのバージョン1.3.0以降をインストールしており、エージェントがサポートするSSL証明書のピン留めによってOktaサーバーとの通信ができない環境であることを示しています。このエラーは通常、SSLプロキシに依存する環境で発生します。この場合、インストールが完了するようにするには、ドメイン「okta.com」を許可リストに追加してSSLプロキシの処理をバイパスすることをお勧めします。
また、以下のようにSSL証明書のピン留めを無効にすることもできますが、この場合、エージェントが提供するセキュリティ機能が無効になりますのでご注意ください。
SSLピン留めのサポートを無効にするには、Windowsのレジストリを以下のように編集します。
- [Search (検索)]をクリックし、検索ボックスに「regedit」と入力してEnterキーを押します。
- 「Do you want to allow this app to make changes your device? (このアプリがデバイスに変更を加えることを許可しますか?)]というメッセージが表示されたら、[Yes(はい)]をクリックします。
- レジストリエディターで、HKEY_LOCAL_MACHINE > SOFTWARE > Okta > AD Password Syncに移動します。
- [Enable certificate pinning (証明書のピン留めを有効にする)]の設定をダブルクリックし、値を0に変更します。
- [OK]をクリックして変更を保存します。
SSL証明書のピン留めの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」を参照してください。