パスワードをOktaからActive Directoryに同期する

Oktaでは、OktaからActive Directory（AD）にユーザーパスワードを同期することができます。Oktaを認証の信頼できる情報源にする場合は、パスワードの同期機能を有効にしてください。引き続きADインスタンスを使用して、Oktaに接続できないレガシーリソースへのアクセスを認証できます。

OktaをADと同期できるようにするには、ADドメインの委任認証設定をオフにする必要があります。Okta Active Directory（AD）Agentには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワードの変更はすべてOktaで開始され、ADに伝播されます。ユーザーがADで直接パスワードを変更することは禁止する必要があります。ユーザーの現在のOktaパスワードは、ユーザーが次回Oktaに正常にサインインしたときにADにプッシュされます。

次のイベントにより、OktaからADへの同期がアクティブ化されます。

• ユーザーがOktaパスワードを更新する。
• ユーザーがOktaパスワードを復元する。
• 管理者がOktaパスワードのリセットを開始する。

OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは［User must change password at next logon（ユーザーは次回ログオン時にパスワード変更が必要）］という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにサインインする必要があります。

開始する前に

パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリに同期するには：

• Oktaと統合されたADインスタンスを使用します。
• ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとします。
• Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制します。
• 委任認証を無効にし、Okta AD Password Sync Agentはインストールしません。

OktaパスワードをActive Directoryに同期する

Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。

1. Admin Consoleで、ディレクトリ（Directory） > ディレクトリ統合（Directory Integrations） > Active Directory > プロビジョニング（Provisioning）の順に進みます。
2. 設定（Settings）リストで、統合（Integration）をクリックします。
3. 下にスクロールして、Active Directoryへの委任認証を有効にする（Enable delegated authentication to Active Directory）チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
4. 保存（Save）をクリックします。
5. Oktaパスワードを作成（推奨）（Create Okta password (recommended)）を選択します。
   注:

   これにより、既存のパスワードがリセットされます。ADに割り当てられているユーザー全員に、新しいパスワードを設定するよう指示する自動メールが届きます。

6. AD認証を無効化（Disable AD Authentication）をクリックします。
7. 設定（Settings）リストで、アプリへ（To App）をクリックしてから編集（Edit）をクリックします。
8. スクロールしてパスワードを同期（Sync Password）セクションに移動し、有効化（Enable）をクリックします。
9. 保存（Save）をクリックします。