Active Directoryを使った委任認証

OktaがActive Directory（AD）インスタンスと統合される場合、委任認証はデフォルトで有効です。委任認証では、ユーザーのOktaへのサインインは次のようになります。

• ユーザーは、Oktaサインインページにユーザー名とパスワードを入力します。
• サインインページは、フィッシングを防ぐためにセキュリティ画像で保護されます。
• 多要素認証（追加の秘密の質問またはスマートフォンのソフトトークン）も有効になっている場合があります。
• ユーザー名とパスワードは、セットアップ中に実装されたSSL接続を介して、ファイアウォールの内側で実行されているOkta Active Directory（AD）Agentに送信されます。
• Okta AD Agentは、認証のためにユーザーの資格情報をADドメインコントローラーに渡します。
• ADドメインコントローラーは、ユーザー名とパスワードを検証し、Okta AD Agentを使ってOktaに応答を返します。
• Yesの応答は、ユーザーのIDを確認します。ユーザーは認証され、自分のOktaホームページに送られます。

委任認証は、ディレクトリ認証済み（DelAuth）セッションの永続化を維持し、ADは、認証情報検証の即時かつ最終的なソースとして維持されます。ADはユーザーの認証を担うため、ユーザーのステータスの変更（パスワードの変更や非アクティブ化など）は直ちにOktaにプッシュされます。

委任認証機能は、Okta Active Directory（AD）AgentがインストールされているADサーバーのドメインユーザーに［Access this computer from the network（ネットワークからこのコンピューターにアクセスする）］というセキュリティポリシー設定を割り当てることで維持できます。