Active Directoryの委任認証を有効にする

委任認証により、ユーザーは組織のActive Directory(AD)またはWindowsネットワークシングルサインオン(SSO)の資格情報を入力することでOktaにサインインできます。また、LDAP(Lightweight Directory Access Protocol)を使用するユーザーストアの資格情報を使ってOktaにサインインすることもできます。「LDAPの委任認証を有効にする」を参照してください。

開始する前に

ADインスタンスとOktaを統合します。「Active Directory統合を管理する」を参照してください。

AD委任認証を有効にする

  1. Admin Console[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]に移動します。
  2. ADインスタンスを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[Integration(統合)]を選択します。
  4. [Delegated Authentication(委任認証)]までスクロールし、[Enable delegated authentication to Active Directory(Active Directoryへの委任認証を有効にする)]を選択します。
  5. 任意。委任認証の設定をテストします。
  1. [Test Delegated Authentication(委任認証をテスト)]をクリックします。
  2. ADのユーザー名とパスワードを入力し、[Authenticate(認証する)]をクリックします。
  3. 認証が完了したら、[Close(閉じる)]をクリックします。
  1. [Save(保存)]をクリックします。

デスクトップシングルサインオンを有効にする

デスクトップシングルサインオン(SSO)を使用する場合、ユーザーがWindowsネットワークにサインインする際は常にOktaおよびOktaを介してアクセスするアプリによって自動的に認証できます。OktaのIWA Webアプリは、MicrosoftのIWAとASP.NETを使用して、指定されたゲートウェイIPからユーザーを認証します。「デスクトップシングルサインオン用のOkta IWA Webエージェントをインストールおよび構成する」を参照してください。

委任認証のSystem Log情報を表示する

ボトルネックを容易に特定できるように、System Logには各委任認証(Del Auth)リクエストの所要時間に関する情報が記録されます。System Logには、次の委任認証プロパティの時間がミリ秒単位で記録されます。

  • delAuthTimeSpentAtAgent:エージェントがリクエストの処理に要した合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
  • delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。

この機能を使用するには、3.1.0以降のバージョンのAD Agentが必要です。

  1. Okta Admin Consoleで[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]をクリックします。
  2. ADインスタンスを選択します。
  3. ページの上部にある[View Logs(ログを表示)]をクリックします。

ジャストインタイムプロビジョニング

Active Directoryでのジャストインタイム(JIT)プロビジョニングの使用に関する詳細については、「Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新する」を参照してください。デスクトップSSOでのJITプロビジョニングについては、「一般的なカスタマイズ設定を構成する」を参照してください。

orgでJITが有効化され、AD統合で委任認証が選択されている場合、ユーザープロファイルの作成とユーザーデータのインポートにはJITが使用されます。

関連項目

パスワードポリシー

セルフサービスによるパスワードリセットを管理する

多要素認証