パスワードをActive DirectoryからOktaに同期する

Okta AD Password Sync Agentを使用して、Active Directory(AD)のパスワードをOktaやパスワードの同期で統合されたアプリに同期します。

ADへの委任認証が有効な場合、委任認証での認証にOktaパスワードは使用されないため、ディレクトリのパスワードはOktaに同期されません。委任認証では、ディレクトリパスワードを使用してOktaにサインオンします。

場合によっては、ディレクトリからOktaを介してアプリケーションにディレクトリパスワードを同期する必要があります。ユーザはこの同期を行うために、ディレクトリパスワードを使用してOktaにサインオンします。Oktaはパスワードを確認し、ユーザーがパスワードの同期を使用してアプリケーションに割り当てられているかどうかを判断します。パスワードの同期を使用して割り当てられたアプリケーションがない場合、パスワードは5日間キャッシュされます。アプリケーションでパスワードの同期を使用している場合は、パスワードがアプリケーションと同期され、アプリケーションのパスワードとしてOktaに保存された後、ディレクトリパスワードが5日間キャッシュされます。

ユーザーがユーザー名やパスワードを使用する代わりにデスクトップシングルサインオン(DSSO)を使用してOktaにサインインする場合、Password Sync Agentを使用してADでのパスワードの変更を追跡し、変更内容をOktaに同期する必要があります。または、OktaでADパスワードを変更するようにユーザーに依頼するか、ADでパスワード変更後にOktaにサインインしてパスワードをアプリケーションと同期するように依頼することもできます。

次の表に、Okta AD Password Sync Agentのインストールの必要性を判断する際に役立つシナリオを示します。

シナリオ ユーザーエクスペリエンス 結果
OktaがADドメインに接続されている。Okta AD Password Sync Agentがデプロイされていない。
  • ユーザーがワークステーションのサインインページからパスワードを変更する。
  • ユーザーがデバイスにサインオンする。
  • ユーザーが、パスワード同期を使用する別のアプリケーションへのサインインを試行する。
新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワードエラーメッセージを受信する。新しいパスワードをOkta統合アプリに同期するには、Oktaからサインアウトしてサインインし直す必要があります。
OktaがADドメインに接続され、デスクトップシングルサインオン(DSSO)が実施されている。Okta AD Password Sync Agentがデプロイされていない。
  • ユーザーがワークステーションのサインインページからパスワードを変更する。
  • デバイスにサインオンする。
  • ユーザーが、パスワード同期を使用する別のアプリケーションへのサインインを試行する。
新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワードエラーメッセージを受信する。新しいパスワードを同期するには、Oktaからサインアウトしてサインインし直す必要があります。
OktaがADドメインに接続され、DSSOは実施されている場合とされていない場合がある。Okta AD Password Sync Agentが、ドメイン内のすべてのドメインコントローラーにインストールされている。
  • ユーザーがワークステーションのサインインページからパスワードを変更する。
  • デバイスにサインオンする。
  • ユーザーが、パスワード同期を使用する別のアプリケーションへのサインインを試行する。
ユーザーはアプリケーションに正常にアクセスできる。Okta AD Password Sync Agentがパスワード変更イベントを傍受してOktaにプッシュしました。

Active Directoryパスワードリセットのワークフロー

ユーザーがOktaでADパスワードを変更すると、OktaはADエージェントを使ってADにリクエストを送信します。ADパスワードリセットは、パスワード同期イベントとは異なります。

次に、一般的なパスワードリセットのワークフローを示します。

  • ユーザーがOktaへのサインオン試行に失敗しました。
  • ユーザーはパスワードリセットをリクエストします。
  • ユーザーは、パスワード忘れの質問またはパスワード忘れの質問が含まれるSMS認証に正しく回答します。
  • ユーザーはOktaに対しては認証されますが、ADに対しては認証されません。
  • ユーザーは新しいパスワードの入力を求められます。
  • Oktaによって新しいパスワードが一時的に保持されます。
  • OktaがパスワードをADにプッシュします。これには、Okta Active Directory(AD)エージェントサービスアカウントのより高い権限が必要です。
  • ADパスワードリセットで、パスワード同期を使用したアプリケーションへのパスワード同期がアクティブ化されます。
  • Oktaからパスワードを消去します。

はじめに

  • Oktaと統合されたADドメインを用意します。
  • Okta Active Directory(AD)エージェントをインストールし、フォレスト内の各統合ドメインに設定します。
  • Okta AD Password Sync Agentをインストールし、フォレスト内の各統合ドメインのすべてのドメインコントローラーに設定します。
  • 委任認証を有効にします。委任認証の詳細については、「認証」を参照してください。
  • Oktaユーザー名の形式は[UPN]または[SAM Account Name(SAMアカウント名)]にする必要があります。別のユーザー名形式を使ってActive DirectoryをOktaにマッピングした場合、Okta AD Password Sync Agentは失敗します。
  • 統合のセキュリティを向上させるため、TLS 1.2セキュリティプロトコルが使用されます。Windows 2008 R2ではTLS 1.2はデフォルトで無効化されるため、レジストリを使ってmust(必ず)有効にします。Windows 2008 R2を使用しているときは、次のregkeyが正しく設定されていることを確認します:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

Okta AD Password Sync Agentのインストール

Okta Active Directory Password Sync Agentバージョン1.4.0以降をインストールする場合、Visual Studio 2019用のMicrosoft Visual C ++再頒布可能パッケージが以前にインストールされていなければインストールされます。

  1. ドメインコントローラーでOkta Admin Consoleに移動し、[Security(セキュリティ)][Delegated Authentication(委任認証)]をクリックします。次に、右ペインで下にスクロールし、[Download Okta AD Password Sync(Okta AD Password Syncをダウンロード)]をクリックします。
  2. インストーラーファイルをダブルクリックし、プロンプトに従います。
  3. プロンプトが表示されたら、OktaのURLを入力します(例:https://mycompany.okta.com)。入力時はhttps://プロトコルを使用する必要があります。
  4. プロンプトが表示されたら、Okta AD Password Sync Agentをインストールする場所を選択し、[Install(インストール)]をクリックします。
  5. [Finish(終了)]をクリックします。
  6. サーバーを再起動します。
  7. 任意。Oktaと統合するフォレスト内のすべてのドメインコントローラーに対して、手順1から6を繰り返します。

無人インストール

スクリプトまたはコマンドを使用して、Okta AD Password Sync Agentの無人インストールを実行できます。無人モードでは、インストール完了後のシステムの再起動は行われません。システムを手動で再起動するか、shutdown /rコマンドを使用します。

無人インストールの構文は次のとおりです:msiexec /i OktaPasswordSyncSetup-<version>.msi /quiet EXEOPTIONS="/q2 OktaURL=https://mycompany.okta.com"

複数のサーバーにインストールする場合は、レジストリーファイルを作成してOkta AD Password Sync Agentで使用されるOktaユーザー名の形式を設定しておくことをお勧めします。Okta Username Format(ユーザー名の形式)]というDWORD値を作成すると、SAMアカウント名(値=1)またはUPN(値=0)のいずれかを選択できます。

たとえば、[Username(ユーザー名)]の形式をSAMアカウント名に設定するには、次を使用して.regファイルを作成します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Okta\AD Password Sync]
"Okta username format"=dword:00000001

Okta AD Password Sync AgentをWindows Server Coreリリース2にインストールする

Active Directory(AD)Password SyncエージェントをWindows Server Coreにインストールする前に、次の手順を実行する必要があります。

  1. Microsoftからのホットフィックスをインストールします

  2. 以前のバージョンのエージェントにダウングレードするときは、以前のバージョンのTarmaインストーラーを手動でアンインストールします。アンインストーラーは次の場所にあります。

    %ProgramData%\InstallMate\{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe

    無人アンインストールを実行する場合:%ProgramData%\InstallMate{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe /remove /q2

  3. Okta AD Password Sync Agentは管理者コンソールをサポートしないため、regeditを使って設定を無効にする必要があります。次の場所に格納されるOkta AD Password Sync Agentログを監視できます:%ProgramData%\Okta\AD Password Sync\logs

  4. Okta AD Password Sync Agentをインストールします。「Okta Password Syncエージェントのインストール」を参照してください。

Okta AD Password Sync Agentの構成

  1. [Start(スタート)][All Programs(すべてのプログラム)][Okta][Okta AD Password Sync][Okta AD Password Synchronization Agent Management Console(Okta AD Password Syncエージェント管理者コンソール)]をクリックします。
  2. [Verify URL(URLの確認)]をクリックして、OktaのURLが正しいこと、およびターゲットサーバーがアクセス可能であることを確認します。URLが有効な場合は、Okta URLフィールドの下に成功メッセージが表示されます。

注:error message(エラーメッセージ)が表示された場合は、「パスワード同期のトラブルシューティング」を参照してください。

必要に応じて[Log severity level(ログ重大度)]の設定を変更できます。次のいずれかのオプションを選択して、レポートに記録する情報を制御できます。

  • [None(なし)]:何もログに記録しません。
  • [Debug(デバッグ)]:デバッグ、情報、およびエラーイベントをログに記録します。
  • [Info(情報)]:情報とエラーイベントをログに記録します。これはデフォルトのログレベルです。
  • [Error(エラー)]:エラーイベントのみをログに記録します。