AD LDS LDAP統合リファレンス

このトピックでは、Active Directory Lightweight Directory Services(AD LDS)のLightweight Directory Access Protocol(LDAP)統合に固有のリファレンス情報を提供します。Okta LDAP Agentをインストールする際に、AD LDSディレクトリをOktaと統合するためにこの情報が必要になります。「をインストールして構成するOkta LDAP Agent 」を参照してください。

推奨バージョン

Windows Server 2016

既知の問題

  • 一時パスワードを要求しているユーザーのステータスが、アクティブからパスワードの有効期限切れに変わらない。
  • プロビジョニング設定が何もしない(Do nothing)である場合は、ユーザーが非アクティブ化されても、Oktaではアクティブなままになります。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから接続解除され、Oktaがユーザープロファイル属性のソースになります。

統合の構成

をインストールして構成する Okta LDAP Agent 」に記載されているエージェントの初期インストールおよび構成時の、AD LDS統合の属性は次のとおりです。

  • 一意の識別子属性:distinguishedname
  • DN属性:distinguishedname
  • ユーザーオブジェクトクラス:identityperson
  • ユーザーオブジェクトフィルター:(objectclass=identityperson)
  • *アカウントで無効になっている属性:msds-useraccountdisabled
  • *アカウントで無効になっている値:TRUE
  • *アカウントで有効になっている値:FALSE
  • パスワード属性:unicodepwd
  • グループオブジェクトクラス:group
  • グループオブジェクトフィルター: (objectclass=group)
  • メンバー属性:member

スキーマの参照

AUXクラスの属性を追加するには、補助クラスを補助オブジェクトクラスとしてディレクトリのプロビジョニング構成に追加します。

パスワードの変更

ユーザーはOktaEnd-User Dashboardで設定(Settings)を選択してパスワードを変更できます。

ユーザーがパスワードの変更またはリセットを行えるようにするには、セキュリティ(Security) > 委任認証(Delegated Authentication)をクリックし、LDAPタブを選択してから、OktaユーザーはLDAPパスワードを変更できます(Users can change their LDAP passwords) を選択します。

AD LDSエラーメッセージの値が、Oktaに表示されるエラーメッセージを決めます。たとえば、AD LDSエラー値2245は、Oktaの次のエラーメッセージに対応します。

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

パスワードリセット

管理者またはユーザーがパスワードを忘れた場合のフローが、パスワードリセットをトリガーします。

新しいパスワードがパスワードポリシーの基準を満たさない場合は、パスワードのリセットが失敗する可能性があります。

パスワードの検証

AD LDSは、パスワードの検証にローカルシステムのパスワードポリシーまたはドメインのパスワードポリシーを使用します。

インポート

ユーザープロファイルを作成するには、userinetOrgPersonpersonOrganizationalPersonなどのオブジェクトクラスを使用します。カスタマイズされたプロファイルを使用するには、identitypersonのオプションを更新してください。

JITプロビジョニング

AD LDSのジャストインタイム(JIT)プロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインフローのトリガーに外部IDプロバイダー(IdP)を使用しないでください。

JITプロビジョニングを正常に完了するには、次の条件が満たされている必要があります。

  • 構成された命名属性(UIDなど)の値がOktaに存在しないこと。
  • 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリで一意であること。
  • 必須属性が提示されていること。OktaのデフォルトはemailgivenNamesnuidです。
  • パスワードが正しいこと。
  • アカウントで無効になっている属性がLDAPサーバーでfalseに設定されていること。

JITプロビジョニングが正常に完了すると、[LDAP settings(LDAP設定)]ページとプロファイルエディターで指定されたすべてのユーザー属性がインポートされます。その他の必須属性を選択するには、プロファイルエディターを使用します。

メンバーシップのインポート

インポート時にデフォルトのAD LDS設定を使用すると、objectClassグループのユーザーグループがインポートされ、member group属性で指定されたユーザーに追加されます。

インポート時にmembership属性がseeAlsoに設定されている場合、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。

プロビジョニング

AD LDSのLDAP統合に関する、特別な考慮事項はありません。

ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。

  1. LDAPプッシュパスワードの更新を有効にするには、Oktaカスタマーサポートに連絡してください。
  2. 次の手順を実行して、委任認証を無効にします。
    1. Admin Consoleで、セキュリティ(Security) > 委任認証(Delegated Authentication) > LDAPに移動します。
    2. 委任認証(Delegated Authentication)(Edit)ペインで編集(Edit)(Delegated Authentication)をクリックします。
    3. LDAPへの委任認証を有効にする(Enable delegated authentication to LDAP)チェックボックスをオフにします。
    4. 保存(Save)をクリックします。
    5. デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、LDAP認証を無効にする(Disable LDAP Authentication)をクリックします。
  3. Okta Admin Consoleを開き、ディレクトリ(Directory) > ディレクトリ統合(Directory Integrations) > LDAP > プロビジョニング(Provisioning) > アプリへ(To App)の順にクリックします。
  4. 編集(Edit)をクリックし、パスワードを同期(Sync Password)(Enable)の横にある有効(Enable)(Sync Password)を選択して、保存(Save)をクリックします。

    パスワードを同期(Sync Password)が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。

既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。

  1. Admin Consoleで、ディレクトリ(Directory) > ディレクトリ統合(Directory Integrations) > LDAP > プロビジョニング(Provisioning) > アプリへ(To App)に移動します。
  2. 編集(Edit)をクリックし、ユーザーを作成(Create Users)(Enable)の横にある有効(Enable)(Create Users)を選択して、保存(Save)をクリックします。
  3. ディレクトリ(Directory) > グループ(Groups)をクリックします。
  4. ユーザーを割り当てるOktaグループを選択します。
  5. ディレクトリを管理(Manage Directories)をクリックします。
  6. 左側のペインでLDAPインスタンスを選択し、次へ(Next)をクリックします。
  7. プロビジョニング宛先DN(Provisioning Destination DN)フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
  8. 変更を確認(Confirm Changes)をクリックします。

トラブルシューティング

LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。

エージェント:成功

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttbJoCgX6d8bVs0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=AD_LDS

エージェント:委任認証の失敗

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttkKzNHPmn4Cky0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?, error code=49, matched dn=CN=LynxyADLVSWih2Group,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839?'), result code=invalid credentials, vendor=AD_LDS

エージェント:ユーザーなし

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttml2duHannKQp0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=identityperson)(uid=LynxyADLDSWith2Group22s@lynxy.com)), result code=, vendor=AD_LDS

エージェント:ユーザーの非アクティブ化(msDS-UserAccountDisabled = TRUE)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSttoAFlo2ktz8nu0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?, error code=49, matched dn=CN=LynxyADLVSWih2Group,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 533, v3839?'), result code=invalid credentials, vendor=AD_LDS

エージェント:アカウントの有効期限切れ

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADStxkjhWLW7DX9qN0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?, error code=49, matched dn=CN=LynxyADLVSUserForChange2,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 701, v3839?'), result code=invalid credentials, vendor=AD_LDS

エージェント:パスワードの有効期限切れ

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSu99dXaoVG7gFjG0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?, error code=49, matched dn=CN=delauth2,CN=\#Users,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 532, v3839?'), result code=invalid credentials, vendor=AD_LDS

エージェント:アカウントロック

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSv4gTD5ihbuqeep0g3, diagnostic message=8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?, error code=49, matched dn=CN=test1706 test1706,CN=UsersGroup,OU=usersLynxy,DC=funnyface,DC=net,DC=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?', diagnosticMessage='8009030C: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 775, v3839?'), result code=invalid credentials, vendor=AD_LDS

関連項目

Okta Active Directory Agentをインストールする