パスワード同期のトラブルシューティング

ここに記載されている情報を使用して、パスワードの同期の問題を解決してください。

パスワードの同期の問題を解決するための提案を次に示します。

  • Okta System Logを確認して、パスワード同期イベントがパスワードをアプリまたはActive Directory(AD)にプッシュする試みから生じたかどうかを確認します。
  • パスワード同期の対象アプリに手動でサインインして、どのパスワードが機能しているか判別します。
  • OktaからADへの同期で問題がある場合、Okta AD Agentのサービスアカウントの権限が正しいこと、およびAgent.logファイルにエラーがないことを確認します。
  • Okta AD AgentOkta AD Password Sync Agent(PSA)のログで同期イベントを確認します。
  • 失敗したパスワード同期イベントは、タスク(Tasks)ページのリストに表示されます。

PSAがすべてのドメインコントローラーにインストールされていて、ユーザーのADパスワードが変更されたが、ユーザーがデスクトップSSOを使用してアプリにサインインできない。

この問題の原因として考えられるのは、orgの Oktaユーザー名の形式(username format)ユーザープリンシパル名(User Principal Name)(UPN)またはsAMAccountNameに設定されていないことです。 Oktaユーザー名のフォーマット( username format)の設定を確認するには:

  1. Admin Consoleディレクトリ(Directory) > ディレクトリ統合(Directory Integrations)の順に進みます。
  2. Active Directory をクリックし、プロビジョニング(Provisioning)タブをクリックします。
  3. 設定(Settings)リストで、へ(To) Okta をクリックします。
  4. 一般(General)領域で、 Oktaユーザー名の形式(username format)に対して[ユーザープリンシパル名(User Principal Name)(UPN)またはsAMAccountNameが選択されていることを確認します。

フィルターは正常に読み込まれるが、有効にならない。

PSAを起動して、エージェントが有効になっていないことを示すメッセージが表示される場合は、Okta URLを入力する必要があります。例:

https://mycompany.okta.com(必ずhttpsを使用してください)

次に、URLの確認(Verify URL)をクリックします。

PSAが信頼関係を確立できない。

PsAを起動して、「基になる接続が閉じられました」というメッセージが表示される場合は、PSAバージョン1.3.0以降がインストールされており、お使いの環境でOktaサーバーと通信するためのSSL証明書ピンニングがサポートされていません。これは、多くの場合、SSLプロキシに依存する環境で発生します。この場合にインストールを成功させるために、Oktaは、ドメインokta.comを許可リストに追加してSSLプロキシの処理をバイパスすることをお勧めします。

また、以下の手順に従ってSSL証明書ピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティ強化も無効になるため注意が必要です。

SSLピンニングのサポートを無効にするには、Windowsレジストリを次のように編集します。

  1. 検索(Search)をクリックし、検索ボックスにregeditと入力し、Enterを押します。
  2. このアプリがデバイスに変更を加えるのを許可しますか?(「Do you want to allow this app to make changes your device?)」というメッセージが表示されたら、はい(Yes)をクリックします。
  3. レジストリエディター(Registry Editor)で、HKローカルマシン(HKEY_LOCAL_MACHINE) > ソフトウェア(SOFTWARE) > Okta > ADパスワード同期(AD Password Sync)に移動します。
  4. 証明書ピンニングの有効化(Enable certificate pinnin)設定をダブルクリックし、値を0に変更します。
  5. OKをクリックして変更内容を保存します。

SSL証明書ピンニングの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」を参照してください。