Active Directoryでの代理認証について

OktaがActive Directory（AD）インスタンスと統合されている場合、代理認証はデフォルトで有効になっています。代理認証では、ユーザーがOktaにサインインするとき、次のようになります。

• ユーザーは、Oktaサインインページにユーザー名とパスワードを入力します。
• サインイン・ページは、フィッシングを防ぐためにセキュリティ・イメージで保護されています。
• 多要素認証（追加のセキュリティ質問またはスマートフォンのソフトトークン）も有効になっている場合があります。
• ユーザー名とパスワードは、セットアップ中に実装されたSSL接続を介して、ファイアウォールの内側で実行されているOkta Active Directory（AD）Agentに送信されます。
• Okta AD Agentは、認証のためにユーザー認証情報をADドメインコントローラーに渡します。
• ADドメインコントローラーは、ユーザー名とパスワードを検証し、Okta AD Agentを使用してYesまたはNoの応答をOktaに返します。
• Yesの応答でユーザーのIDが確認され、ユーザーが認証されてOktaホームページに送信されます。

代理認証は、ディレクトリ認証済み（DelAuth）セッションの永続化を維持し、ADは、認証情報検証の即時かつ最終的なソースとして維持されます。ADはユーザーの認証を担うため、ユーザーのステータスの変更（パスワードの変更や非アクティブ化など）はすぐにOktaにプッシュされます。

代理認証機能を維持するには、Okta Active Directory（AD） AgentがインストールされているADサーバーのドメインユーザーに［Access this computer from the network（ネットワーク経由でコンピューターへアクセス）］セキュリティポリシー設定を割り当てる必要があります。