Active Directoryの代理認証を有効にする

委任認証により、ユーザーは組織のActive Directory(AD)またはWindowsネットワークシングルサインオン(SSO)の資格情報を入力することでOktaにサインインできます。また、LDAP(Lightweight Directory Access Protocol)を使用するユーザーストアの資格情報を使ってOktaにサインインすることもできます。「LDAPの委任認証」を参照してください。

開始する前に

ADインスタンスとOktaを統合します。Active Directory統合を管理するを参照してください。

AD委任認証を有効にする

  1. Admin Consoleディレクトリ(Directory) > ディレクトリ統合(Directory Integrations)の順に進みます。
  2. ADインスタンスを選択します。
  3. プロビジョニング(Provisioning)タブをクリックして設定(Settings)(Integration)リストから統合(Integration)(Settings)を選択します。
  4. 委任認証(Delegated Authentication)までスクロールし、Active Directoryへの委任認証を有効にする(Enable delegated authentication to Active Directory)を選択します。
  5. 任意。委任認証の設定をテストします。
    1. 委任認証をテスト(Test Delegated Authentication)をクリックします。
    2. ADのユーザー名とパスワードを入力し、認証する(Authenticate)をクリックします。
    3. 認証が完了したら、閉じる(Close)をクリックします。
    4. 保存(Save)をクリックします。

デスクトップシングルサインオンを有効にする

デスクトップシングルサインオン(SSO)を使用する場合、ユーザーがWindowsネットワークにサインインする際は常にOktaおよびOktaを介してアクセスするアプリによって自動的に認証できます。OktaのIWA Webアプリは、MicrosoftのIWAとASP.NETを使用して、指定されたゲートウェイIPからユーザーを認証します。「デスクトップSSO用のOkta IWA Webエージェントをインストールして構成する」を参照してください。

委任認証のシステムログ情報を表示する

ボトルネックを容易に特定できるように、システムログには各委任認証(Del Auth)リクエストの所要時間に関する情報が記録されます。システムログには、次の委任認証プロパティの時間がミリ秒単位で記録されます。

  • delAuthTimeSpentAtAgent:エージェントがリクエストの処理に要した合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
  • delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。
  1. OktaAdmin Consoleでディレクトリ(Directory) > ディレクトリ統合(Directory Integrations)をクリックします。
  2. ADインスタンスを選択します。
  3. ページの上部にあるログを表示(View Logs)をクリックします。

ジャストインタイムプロビジョニング

Active Directoryでのジャストインタイム(JIT)プロビジョニングの使用に関する詳細については、Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新するを参照してください。デスクトップSSOでのJITプロビジョニングについては、一般的なカスタマイズ設定を構成するを参照してください。

orgでJITが有効化され、AD統合で委任認証が選択されている場合、ユーザープロファイルの作成とユーザーデータのインポートにはJITが使用されます。

関連項目

パスワードポリシーについて

セルフサービスによるパスワードリセットを管理する

多要素認証(MFA)