パスワードをActive DirectoryからOktaに同期する
Okta AD Password Sync Agentを使用して、Active Directory(AD)のパスワードをOktaやパスワードの同期で統合されたアプリに同期します。
ADへの委任認証が有効な場合、委任認証での認証にOktaパスワードは使用されないため、ディレクトリのパスワードはOktaに同期されません。委任認証では、ディレクトリパスワードを使用してOktaにサインオンします。
場合によっては、ディレクトリからOktaを介してアプリケーションにディレクトリパスワードを同期する必要があります。ユーザはこの同期を行うために、ディレクトリパスワードを使用してOktaにサインオンします。Oktaはパスワードを確認し、ユーザーがパスワードの同期を使用してアプリケーションに割り当てられているかどうかを判断します。パスワードの同期を使用して割り当てられたアプリケーションがない場合、パスワードは5日間キャッシュされます。アプリケーションでパスワードの同期を使用している場合は、パスワードがアプリケーションと同期され、アプリケーションのパスワードとしてOktaに保存された後、ディレクトリパスワードが5日間キャッシュされます。
ユーザーがユーザー名やパスワードを使用する代わりにデスクトップシングルサインオン(DSSO)を使用してOktaにサインインする場合、Password Sync Agentを使用してADでのパスワードの変更を追跡し、変更内容をOktaに同期する必要があります。または、OktaでADパスワードを変更するようにユーザーに依頼するか、ADでパスワード変更後にOktaにサインインしてパスワードをアプリケーションと同期するように依頼することもできます。
次の表に、Okta AD Password Sync Agentのインストールの必要性を判断する際に役立つシナリオを示します。
シナリオ | ユーザーエクスペリエンス | 結果 |
---|---|---|
OktaがADドメインに接続されている。Okta AD Password Sync Agentがデプロイされていない。 |
|
新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワードエラーメッセージを受信する。新しいパスワードをOkta統合アプリに同期するには、Oktaからサインアウトしてサインインし直す必要があります。 |
OktaがADドメインに接続され、デスクトップシングルサインオン(DSSO)が実施されている。Okta AD Password Sync Agentがデプロイされていない。 |
|
新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワードエラーメッセージを受信する。新しいパスワードを同期するには、Oktaからサインアウトしてサインインし直す必要があります。 |
OktaがADドメインに接続され、DSSOは実施されている場合とされていない場合がある。Okta AD Password Sync Agentが、ドメイン内のすべてのドメインコントローラーにインストールされている。 |
|
ユーザーはアプリケーションに正常にアクセスできる。Okta AD Password Sync Agentがパスワード変更イベントを傍受してOktaにプッシュしました。 |
Active Directoryパスワードリセットのワークフロー
ユーザーがOktaでADパスワードを変更すると、OktaはADエージェントを使ってADにリクエストを送信します。ADパスワードリセットは、パスワード同期イベントとは異なります。
次に、一般的なパスワードリセットのワークフローを示します。
- ユーザーがOktaへのサインオン試行に失敗しました。
- ユーザーはパスワードリセットをリクエストします。
- ユーザーは、パスワード忘れの質問またはパスワード忘れの質問が含まれるSMS認証に正しく回答します。
- ユーザーはOktaに対しては認証されますが、ADに対しては認証されません。
- ユーザーは新しいパスワードの入力を求められます。
- Oktaによって新しいパスワードが一時的に保持されます。
- OktaがパスワードをADにプッシュします。これには、Okta Active Directory(AD)エージェントサービスアカウントのより高い権限が必要です。
- ADパスワードリセットで、パスワード同期を使用したアプリケーションへのパスワード同期がアクティブ化されます。
- Oktaからパスワードを消去します。
はじめに
- Oktaと統合されたADドメインを用意します。
- Okta Active Directory(AD)エージェントをインストールし、フォレスト内の各統合ドメインに設定します。
- Okta AD Password Sync Agentをインストールし、フォレスト内の各統合ドメインのすべてのドメインコントローラーに設定します。
- 委任認証を有効にします。委任認証の詳細については、「認証」を参照してください。
- Oktaユーザー名の形式は[UPN]または[SAM Account Name(SAMアカウント名)]にする必要があります。別のユーザー名形式を使ってActive DirectoryをOktaにマッピングした場合、Okta AD Password Sync Agentは失敗します。
- 統合のセキュリティを向上させるため、TLS 1.2セキュリティプロトコルが使用されます。Windows 2008 R2ではTLS 1.2はデフォルトで無効化されるため、レジストリを使ってmust(必ず)有効にします。Windows 2008 R2を使用しているときは、次のregkeyが正しく設定されていることを確認します:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000
Okta AD Password Sync Agentのインストール
Okta Active Directory Password Sync Agentバージョン1.4.0以降をインストールする場合、Visual Studio 2019用のMicrosoft Visual C ++再頒布可能パッケージが以前にインストールされていなければインストールされます。
- ドメインコントローラーでOkta Admin Consoleに移動し、 をクリックします。次に、右ペインで下にスクロールし、[Download Okta AD Password Sync(Okta AD Password Syncをダウンロード)]をクリックします。
- インストーラーファイルをダブルクリックし、プロンプトに従います。
- プロンプトが表示されたら、OktaのURLを入力します(例:https://mycompany.okta.com)。入力時はhttps://プロトコルを使用する必要があります。
- プロンプトが表示されたら、Okta AD Password Sync Agentをインストールする場所を選択し、[Install(インストール)]をクリックします。
- [Finish(終了)]をクリックします。
- サーバーを再起動します。
- 任意。Oktaと統合するフォレスト内のすべてのドメインコントローラーに対して、手順1から6を繰り返します。
無人インストール
スクリプトまたはコマンドを使用して、Okta AD Password Sync Agentの無人インストールを実行できます。無人モードでは、インストール完了後のシステムの再起動は行われません。システムを手動で再起動するか、shutdown /rコマンドを使用します。
無人インストールの構文は次のとおりです:msiexec /i OktaPasswordSyncSetup-<version>.msi /quiet EXEOPTIONS="/q2 OktaURL=https://mycompany.okta.com"
複数のサーバーにインストールする場合は、レジストリーファイルを作成してOkta AD Password Sync Agentで使用されるOktaユーザー名の形式を設定しておくことをお勧めします。[Okta Username Format(ユーザー名の形式)]というDWORD値を作成すると、SAMアカウント名(値=1)またはUPN(値=0)のいずれかを選択できます。
たとえば、[Username(ユーザー名)]の形式をSAMアカウント名に設定するには、次を使用して.regファイルを作成します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Okta\AD Password Sync]"Okta username format"=dword:00000001
Okta AD Password Sync AgentをWindows Server Coreリリース2にインストールする
Active Directory(AD)Password SyncエージェントをWindows Server Coreにインストールする前に、次の手順を実行する必要があります。
-
以前のバージョンのエージェントにダウングレードするときは、以前のバージョンのTarmaインストーラーを手動でアンインストールします。アンインストーラーは次の場所にあります。
%ProgramData%\InstallMate\{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe
無人アンインストールを実行する場合:%ProgramData%\InstallMate{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe /remove /q2
-
Okta AD Password Sync Agentは管理者コンソールをサポートしないため、regeditを使って設定を無効にする必要があります。次の場所に格納されるOkta AD Password Sync Agentログを監視できます:%ProgramData%\Okta\AD Password Sync\logs。
- Okta AD Password Sync Agentをインストールします。「Okta Password Syncエージェントのインストール」を参照してください。
Okta AD Password Sync Agentの構成
- をクリックします。
- [Verify URL(URLの確認)]をクリックして、OktaのURLが正しいこと、およびターゲットサーバーがアクセス可能であることを確認します。URLが有効な場合は、Okta URLフィールドの下に成功メッセージが表示されます。
注:error message(エラーメッセージ)が表示された場合は、「パスワード同期のトラブルシューティング」を参照してください。
必要に応じて[Log severity level(ログ重大度)]の設定を変更できます。次のいずれかのオプションを選択して、レポートに記録する情報を制御できます。
- [None(なし)]:何もログに記録しません。
- [Debug(デバッグ)]:デバッグ、情報、およびエラーイベントをログに記録します。
- [Info(情報)]:情報とエラーイベントをログに記録します。これはデフォルトのログレベルです。
- [Error(エラー)]:エラーイベントのみをログに記録します。