LDAPの委任認証を有効にする

委任認証により、ユーザーは組織のLDAP(Lightweight Directory Access Protocol)ユーザーストアの資格情報を入力することでOktaにサインインできます。また、組織のActive Directory(AD)またはWindowsネットワークシングルサインオン(SSO)の資格情報を使ってOktaにサインインすることもできます。「Active Directoryの委任認証」を参照してください。

LDAP委任認証を有効にする

ユーザーがOktaにサインインしたときにLDAPで認証するには、委任認証を有効にします。

前提条件:Okta LDAPエージェントをインストールして構成します。LDAP統合を管理するを参照してください。

  1. Admin Consoleで、セキュリティ(Security) > 委任認証(Delegated Authentication)に移動します。
  2. LDAPタブをクリックします。
  3. 委任認証(Delegated Authentication)編集(Edit)をクリックします。
  4. LDAPへの委任認証を有効にする(Enable delegated authentication to LDAP)を選択します。
  5. 任意。委任認証の設定をテストします。
  1. 委任認証をテスト(Test Delegated Authentication)をクリックします。
  2. LDAPユーザー名とパスワードを入力し、認証(Authenticate)をクリックします。
  3. 認証が完了したら、閉じる(Close)をクリックします。
  4. 保存(Save)をクリックします。

エンドユーザーにLDAPパスワードの変更またはリセットを許可する

OktaでエンドユーザーにLDAPパスワードの変更を許可することができます。ユーザーのパスワードが期限切れの場合、Oktaへの次回のサインイン試行時にパスワードの変更が求められます。

エンドユーザーは、自分の名前のドロップダウンメニューをクリックし、 設定(Settings) > アカウント(Account) > パスワード変更(Change Password)を選択することで Oktaダッシュボードからパスワードを変更できます。

この機能を使用するには、バージョン5.3.0以降のOkta LDAP Agentが必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション(OpenLDAPやIBMなど)で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、LDAP統合を管理するを参照してください。

  1. Admin Consoleで、セキュリティ(Security) > 委任認証(Delegated Authentication)に移動します。
  2. LDAPタブをクリックします。
  3. 委任認証(Delegated Authentication)編集(Edit)をクリックします。
  4. LDAPへの委任認証を有効にする(Enable delegated authentication to LDAP)を選択します。
  5. LDAPパスワードポリシー(LDAP Password Policy)でユーザーはでLDAPパスワードを変更できます(Users can change their LDAP passwords inOkta )を選択します。
  6. パスワードルールメッセージ(Password Rules Message)フィールドに、エンドユーザーがパスワードを変更する際に従うべきパスワードポリシールールを記述します。
  7. ユーザーはでLDAPパスワードを忘れた場合にリセットできます(Users can reset forgotten LDAP passwords inOkta )を選択します。
  8. 保存(Save)をクリックします。

新規ユーザーを作成またはインポートしてアクティブ化すると、ようこそ(Welcome)ページでセカンダリメールアドレスの入力を求められます。エンドユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。

エンドユーザーがパスワードを忘れた場合や、サインインに失敗した回数が多すぎてLDAPアカウントがロックされた場合は、サインインにサポートが必要ですか?(Need Help signing in?)をクリックします。Okta Sign-In Widget でパスワードを忘れた場合、またはアカウントロック解除(Forgot password or unlock account)リンクをクリックして、メールまたはSMSでパスワードをリセットします。

  • メールでリセット([Reset via email)]:(Reset via email:) エンドユーザーはユーザー名またはメールアドレスを入力してから、メールを送信(Send Email)ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウントのパスワードリセット用メールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたためにパスワードを忘れた場合(Forgot password?)リンクをクリックしたユーザーは、LDAPパスワードが変更され、アカウントのロックが解除されます。
  • SMSでリセット(Reset via SMS):エンドユーザーはユーザー名またはメールアドレスを入力してから、テキストメッセージを送信(Send Text Message)ボタンをクリックします。これにより、パスワードリセットコードを含むテキストメッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトに従ってパスワードをリセットします。

委任認証のシステムログ情報を表示する

ボトルネックを容易に特定できるように、システムログには各委任認証(Del Auth)リクエストの所要時間に関する情報が記録されます。システムログには、次の委任認証プロパティの時間がミリ秒単位で記録されます。

  • delAuthTimeTotalOktaで委任認証に要した合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
  • delAuthTimeSpentAtAgent:エージェントがリクエストの処理に費やした合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
  • delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。
  1. Okta Admin Consoleでディレクトリ(Directory) > ディレクトリ統合(Directory Integrations)をクリックします。
  2. LDAPインスタンスを選択します。
  3. ページの上部にあるログを表示(View Logs)をクリックします。

ジャストインタイムプロビジョニング

組織でジャストインタイム(JIT)が有効化され、LDAP統合で委任認証が選択されている場合、ユーザープロファイルの作成とユーザーデータのインポートにはJITが使用されます。

関連項目

パスワードポリシーについて

セルフサービスによるパスワードリセットを管理する

多要素認証(MFA)