OpenLDAP統合リファレンス

このトピックでは、OpenLDAP Lightweight Directory Access Protocol(LDAP)統合に固有のリファレンス情報を提供します。Okta LDAP Agentをインストールする際に、OpenLDAPディレクトリをOktaと統合するためにこの情報が必要になります。「Okta LDAP Agentをインストールする」を参照してください。

推奨バージョン

OpenLDAP 2.4.44-22.amzn2

既知の問題

  • 一時パスワードがあるユーザーは、別のパスワードの作成を求められない。
  • 有効期限が切れたパスワードでOkta End-User Dashboardへのサインインを試みると、パスワードの有効期限が切れています(Password expired)(Unable to sign in)ではなくサインインできません(Unable to sign in)(Password expired)というエラーメッセージが表示される。

  • ユーザーのパスワードがリセットされ、orgがそのパスワードの変更を求めた場合、ユーザーはOkta End-User Dashboardにアクセスする前に新しいパスワードを入力して確認する必要があります。

  • プロビジョニング設定が何もしない(Do nothing)である場合は、ユーザーが非アクティブ化されても、Oktaではアクティブなままになります。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。

統合の構成

をインストールするOkta LDAP Agent 」に記載されているエージェントの初期インストールおよび構成時の、OpenLDAP統合の属性は次のとおりです。

  • 一意の識別子属性:entryuuid
  • DN属性:entrydn
  • ユーザーオブジェクトクラス:inetorgperson
  • ユーザーオブジェクトフィルター:(objectclass=inetorgperson)
  • *アカウントで無効になっている属性:pwdlockout
  • *アカウントで無効になっている値:TRUE
  • *アカウントで有効になっている値:FALSE
  • パスワード属性:userpassword
  • グループオブジェクトクラス:groupofuniquenames
  • グループオブジェクトフィルター: (objectclass=groupofuniquenames)
  • メンバー属性:uniquemember

スキーマの参照

OpenLDAPの統合に関する、特別な考慮事項はありません。

AUXクラスの属性を追加するには、補助クラスを補助オブジェクトクラスとしてディレクトリのプロビジョニング構成に追加します。

パスワード変更

ユーザーは、Okta End-User Dashboardで設定(Settings)を選択してパスワードの変更をトリガーできます。

ユーザーがパスワードの変更またはリセットを行えるようにするには、セキュリティ(Security) > 委任認証(Delegated Authentication)をクリックし、LDAPタブを選択してから、ユーザーはLDAPパスワードを変更できます(Users can change their LDAP passwords) > > Okta を選択します。

パスワードリセット

管理者はパスワードのリセットをトリガーできます。ユーザーはパスワードを忘れた場合(Forgot password)のリンクをクリックして、パスワードのリセットをトリガーできます。

新しいパスワードがパスワードポリシーの基準を満たさない場合は、パスワードのリセットが失敗する可能性があります。

ユーザーは、期限切れのパスワードを更新できません。管理者によるリセットが必要です。

パスワードの検証

pwdPolicyオブジェクトクラスおよびpwdPolicySubentry属性を使用して、OpenLDAP固有のパスワードポリシーを実装します。

インポート

OpenLDAPの統合に関する特別な考慮事項はありません。

JITプロビジョニング

OpenLDAPジャストインタイム(JIT)プロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IdP)を使用しないでください。

JITプロビジョニングを正常に完了するには、次の条件が満たされている必要があります。

  • 構成された命名属性(UIDなど)の値がOktaに存在しないこと。
  • 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリで一意であること。
  • 必須属性が提示されていること。Oktaのデフォルトはemail、givenName、sn、uidです。
  • パスワードが正しいこと。
  • アカウントで無効になっている属性(Account Disabled Attribute)がLDAPサーバーでfalseに設定されていること。

JITプロビジョニングが正常に完了すると、[LDAP settings(LDAP設定)]ページとプロファイルエディターで指定されたすべてのユーザー属性がインポートされます。追加の必須属性を選択するには、プロファイルエディターを使用します。

メンバーシップのインポート

OpenLDAP設定のユーザープロファイルがオブジェクトクラスgroupofuniquenamesを使用してグループに追加され、uniquememberグループ属性が割り当てられます。

インポート時にmembership属性がseeAlsoに設定されている場合、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。

プロビジョニング

ユーザーの作成時または割り当て時にパスワードを設定できるようにするには、LDAPインスタンスでDelAuthを無効にし、LDAP_PUSH_PASSWORD_UPDATESを有効にし、パスワード同期を有効にします。これらの設定により、ユーザーが初めてログインすると、または割り当てられると、LDAPエージェントはPASSWORD_UPDATEアクションを送信します。これらの設定を行わない場合、パスワードはLDAPインスタンスに転送されません。

ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。

  1. 次の手順を実行して、委任認証を無効にします。

    1. Admin Consoleで、セキュリティ(Security) > 委任認証(Delegated Authentication)に移動します。

    2. LDAPタブに移動します。
    3. 委任認証(Delegated Authentication)(Edit)ペインで編集(Edit)(Delegated Authentication)をクリックします。
    4. LDAPへの委任認証を有効にする(Enable delegated authentication to LDAP)チェックボックスをオフにします。
    5. 保存(Save)をクリックします。
    6. デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、LDAP認証を無効にする(Disable LDAP Authentication)をクリックします。
  2. Admin Consoleで、ディレクトリ(Directory) > ディレクトリ統合(Directory Integrations) > LDAP > プロビジョニング(Provisioning) > アプリへ(To App)に移動します。
  3. 編集(Edit)をクリックし、パスワードを同期(Sync Password)(Enable)の横にある有効(Enable)(Sync Password)を選択して、保存(Save)をクリックします。

    パスワードを同期(Sync Password)が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。

既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。

  1. Admin Consoleで、ディレクトリ(Directory) > ディレクトリ統合(Directory Integrations) > LDAP > プロビジョニング(Provisioning) > アプリへ(To App)に移動します。
  2. 編集(Edit)をクリックし、ユーザーを作成(Create Users)(Enable)の横にある有効(Enable)(Create Users)を選択して、保存(Save)をクリックします。
  3. ディレクトリ(Directory) > グループ(Groups)をクリックします。
  4. ユーザーを割り当てるOktaグループを選択します。
  5. ディレクトリを管理(Manage Directories)をクリックします。
  6. 左側のペインでLDAPインスタンスを選択し、次へ(Next)をクリックします。
  7. プロビジョニング宛先DN(Provisioning Destination DN)フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
  8. 変更を確認(Confirm Changes)をクリックします。

トラブルシューティング

LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。

エージェント:成功

scanResultsがユーザーおよびグループ情報とともに送信されます。

開始されたPOST、結果はstatus=SUCCESSactionType=USER_AUTH_AND_UPDATEactionId=ADStflgt5KS4Gy17k0g3diagnostic message=error code=matched dn=message=SUCCESSresult code=vendor=OPEN_LDAP

エージェント:委任認証の失敗

開始されたPOST、結果はstatus=FAILUREactionType=USER_AUTH_AND_UPDATEactionId=ADStftCWoSunnemFU0g3diagnostic message=error code=49matched dn=cn=PasswordPolicyUserou=LynxyUsers,dc=okta-openldapdc=commessage=LDAPException(resultCode=49 (invalid credentials)errorMessage='invalid credentials')result code=invalid credentialsvendor=OPEN_LDAP

エージェント:ユーザーなし

開始されたPOST、結果はstatus=FAILUREactionType=USER_AUTH_AND_UPDATEactionId=ADStfjpuawUSY1Gge0g3diagnostic message=error code=matched dn=message=User not found while executing query: (&(objectclass=inetorgperson)(uid=PasswordPolicyer@openldap.com))result code=, vendor=OPEN_LDAP

エージェント:パスワードの有効期限切れ

開始されたPOST、結果はstatus=FAILUREactionType=USER_AUTH_AND_UPDATEactionId=ADStfhvei0D6IaFJO0g3diagnostic message=error code=49matched dn=cn=PasswordPolicyUserou=LynxyUsers,dc=okta-openldap,dc=commessage=LDAPException(resultCode=49 (invalid credentials)errorMessage='invalid credentials')result code=invalid credentialsvendor=OPEN_LDAP

エージェント:ロックアウトまたは無効

pwdLockoutがユーザーpwdPolicyに対してTRUEに設定されます

開始されたPOST、結果はstatus=FAILUREactionType=USER_AUTH_AND_UPDATEactionId=ADSticrFpY0IyooMU0g3diagnostic message=error code=49matched dn=cn=PasswordPolicyUser,ou=LynxyUsers,dc=okta-openldapdc=commessage=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials')result code=invalid credentials, vendor=OPEN_LDAP