Oracle Internet Directory LDAP統合リファレンス

このトピックでは、Oracle Internet Directory(OID)Lightweight Directory Access Protocol(LDAP)統合に固有のリファレンス情報を提供します。Okta LDAP Agentをインストールする際に、OIDディレクトリをOktaと統合するためにこの情報が必要になります。「をインストールするOkta LDAP Agent 」を参照してください。

推奨バージョン

Oracle Internet Directory 11.1.1.5.0

既知の問題

  • セルフサービスによるパスワードリセットを要求し、管理者がリセットした後でパスワードの変更が必要なユーザーは、Okta End-User Dashboardにアクセスするために新しいパスワードを2回入力しなければなりません。
  • パスワードの有効期限が切れたユーザーはパスワードを更新できません。このような場合、管理者はパスワードをリセットする必要があります。
  • プロビジョニング設定が何もしない(Do nothing)である場合は、ユーザーが非アクティブ化されても、Oktaではアクティブなままになります。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから接続解除され、Oktaがユーザープロファイル属性のソースになります。
  • LDAPサーバーでは、ユーザーが期限切れのパスワードを更新することはできません。これらの更新は管理者が行う必要があります。

統合の構成

エージェントの初期インストールおよび構成を実行する際は、OID統合の次の属性を入力します。

  • 一意の識別子属性(Unique Identifier Attribute)entryuuid
  • DN属性(DN Attribute)entrydn
  • ユーザーオブジェクトクラス(User Object Class)inetorgperson
  • ユーザーオブジェクトフィルター(User Object Filter)(objectclass=inetorgperson)
  • *アカウントで無効になっている属性(Account Disabled Attribute)pwdlockout
  • *アカウントで無効になっている値(Account Disabled Value)TRUE
  • *アカウントで有効になっている値(Account Enabled Value)FALSE
  • パスワード属性(Password Attribute)userpassword
  • グループオブジェクトクラス(Group Object Class)groupofuniquenames
  • [Group Object Filter(グループオブジェクトフィルター)](objectclass=groupofuniquenames)
  • メンバー属性(Member Attribute)uniquemember

スキーマの参照

OIDの統合に関する、特別な考慮事項はありません。

AUXクラスの属性を追加するには、補助クラスを補助オブジェクトクラスとしてディレクトリのプロビジョニング構成に追加します。

パスワード変更

ユーザーはOkta End-User Dashboardで設定(Settings)を選択してパスワードを変更できます。

ユーザーがパスワードの変更またはリセットを行えるようにするには、セキュリティ(Security) > 委任認証(Delegated Authentication)をクリックし、LDAPタブを選択してから、 Okta ユーザーはLDAPパスワードを変更できます(Users can change their LDAP passwords)を選択します。

Oktaは、失敗したパスワード更新操作を検証します。エラーメッセージは委任認証(Delegated Authentication)ページに表示されます。

パスワードリセット

管理者はパスワードのリセットをトリガーできます。ユーザーはパスワードを忘れた場合(Forgot password)のリンクをクリックして、パスワードのリセットをトリガーできます。

ユーザーは、期限切れのパスワードを更新できません。期限切れのパスワードをリセットできるのは管理者です。

パスワードの検証

pwdPolicyオブジェクトクラスを使用して、OID固有のパスワードポリシーを実装します。

LDAPインスタンスでパスワードの長さや有効期限などの設定を構成できます。

新しいパスワードがパスワードポリシーの基準を満たさない場合は、パスワードのリセットが失敗する可能性があります。

インポート

OIDの統合に関する、特別な考慮事項はありません。

JITプロビジョニング

OIDジャストインタイム(JIT)のプロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)については、メール形式を使ってOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IdP)を使用してはいけません。

JITプロビジョニングを正常に完了するには、次の条件が満たされている必要があります。

  • 構成された命名属性(UIDなど)の値がOktaに存在しないこと。
  • 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリで一意であること。
  • 必須属性が提示されていること。OktaのデフォルトはemailgivenNamesnuidです。
  • パスワードが正しいこと。
  • アカウントで無効になっている属性(Account Disabled Attribute)をLDAPサーバーでfalseに設定します。

JITプロビジョニングが正常に完了すると、LDAP設定ページとProfile Editorで指定されたユーザー属性がインポートされます。追加の必須属性を選択するには、Profile Editorを使用します。

メンバーシップのインポート

デフォルト設定のユーザープロファイルがオブジェクトクラスgroupを使用してグループに追加され、memberグループ属性が割り当てられます。

インポート時にmembership属性がseeAlsoに設定されている場合、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。

プロビジョニング

ユーザー作成機能はOIDサーバーを使用している場合は利用できません。

ユーザーの作成時または割り当て時にパスワードを設定できるようにするには、LDAPインスタンスでDelAuthを無効にし、LDAP_PUSH_PASSWORD_UPDATESを有効にし、パスワード同期を有効にします。これらの設定により、ユーザーが初めてログインすると、または割り当てられると、LDAPエージェントはPASSWORD_UPDATEアクションを送信します。これらの設定を使用しない場合、パスワードはLDAPインスタンスに転送されません。

ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。

  1. LDAPプッシュパスワードの更新を有効にするには、Oktaカスタマーサポートに連絡してください。
  2. 次の手順を実行して、委任認証を無効にします。
    1. Admin Consoleで、セキュリティ(Security) > 委任認証(Delegated Authentication) > LDAPに移動します。
    2. 委任認証(Delegated Authentication)(Edit)ペインで編集(Edit)(Delegated Authentication)をクリックします。
    3. LDAPへの委任認証を有効にする(Enable delegated authentication to LDAP)チェックボックスをオフにします。
    4. 保存(Save)をクリックします。
    5. デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、LDAP認証を無効にする(Disable LDAP Authentication)をクリックします。
  3. Admin Consoleで、ディレクトリ(Directory) > ディレクトリ統合(Directory Integrations) > LDAP > プロビジョニング(Provisioning) > アプリへ(To App)に移動します。
  4. 編集(Edit)をクリックし、パスワードを同期(Sync Password)(Enable)の横にある有効(Enable)(Sync Password)を選択して、保存(Save)をクリックします。

    パスワードを同期(Sync Password)が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。

既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。

  1. Admin Consoleで、ディレクトリ(Directory) > ディレクトリ統合(Directory Integrations) > LDAP > プロビジョニング(Provisioning) > アプリへ(To App)に移動します。
  2. 編集(Edit)をクリックし、ユーザーを作成(Create Users)(Enable)の横にある有効(Enable)(Create Users)を選択して、保存(Save)をクリックします。
  3. ディレクトリ(Directory) > グループ(Groups)をクリックします。
  4. ユーザーを割り当てるOktaグループを選択します。
  5. ディレクトリを管理(Manage Directories)をクリックします。
  6. 左側のペインでLDAPインスタンスを選択し、次へ(Next)をクリックします。
  7. プロビジョニング宛先DN(Provisioning Destination DN)フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
  8. 変更を確認(Confirm Changes)をクリックします。

トラブルシューティング

LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。

エージェント:成功

scanResultsがユーザーおよびグループ情報とともに送信されます。

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwb4cGS4hdSWYnX0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=OID

エージェント:委任認証の失敗

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwa0ihYKyosvlFe0g3, diagnostic message=, error code=49, matched dn=cn=LynxyOIDExpiredPassword,cn=ExpiredPasswordOID,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OID

エージェント:ユーザーなし

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwayJJ1gms5xUTg0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=test@test.com)), result code=, vendor=OID

エージェント:パスワードの有効期限切れ

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwa29fIw60TAKOG0g3, diagnostic message=Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password., error code=49, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password.', diagnosticMessage='Password Policy Error :9000: GSL_PWDEXPIRED_EXCP :Your Password has expired. Please contact the Administrator to change your password.'), result code=invalid credentials, vendor=OID

エージェント:ロックアウト(Agent: Locked Out)

pwdLockoutがユーザーpwdPolicyに対して1に設定されます。

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwc0y9kr6t2OMJy0g3, diagnostic message=Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator., error code=53, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator.', diagnosticMessage='Password Policy Error :9001: GSL_ACCOUNTLOCKED_EXCP : Your account is locked. Contact your OID administrator.'), result code=unwilling to perform, vendor=OID

エージェント:無効(Agent: Disabled)

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSwdeqib6oWQozgT0g3, diagnostic message=Account Policy Error :9050: GSL_ACCTDISABLED_EXCP :Your Account has been disabled. Please contact the administrator.?, error code=53, matched dn=cn=LynxyOIDUserForChange222,ou=LynxyUsers,dc=vpc,dc=oktalab,dc=local, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Account Policy Error :9050: GSL_ACCTDISABLED_EXCP :Your Account has been disabled. Please contact the administrator.?', diagnosticMessage='Account Policy Error :9050: GSL_ACCTDISABLED_EXCP :Your Account has been disabled. Please contact the administrator.?'), result code=unwilling to perform, vendor=OID

関連項目

Okta LDAP Agentをインストールする