Active Directoryでの委任認証について
OktaがActive Directory(AD)インスタンスと統合されている場合、委任認証はデフォルトで有効になっています。委任認証では、ユーザーがOktaにサインインするとき、次のようになります。
- ユーザーは、Oktaサインインページにユーザー名とパスワードを入力します。
- ユーザーは、初回のサインイン時にセカンダリメールアドレスを入力するように求められます。
セカンダリメールアドレスは、特にOktaパスワードとプライマリメールアドレスのパスワードが同じ場合(ADユーザーでは一般的)、パスワードの復旧に重要です。
- 多要素認証(追加のセキュリティ質問またはスマートフォンのソフトトークン)も有効になっている場合があります。
- ユーザー名とパスワードは、セットアップ中に実装されたSSL接続を介して、ファイアウォールの内側で実行されているOkta Active Directory(AD)Agentに送信されます。
- Okta AD Agentは、認証のためにユーザー認証情報をADドメインコントローラーに渡します。
- ADドメインコントローラーは、ユーザー名とパスワードを検証し、Okta AD Agentを使用してYesまたはNoの応答をOktaに返します。
- Yesの応答でユーザーのIDが確認され、ユーザーが認証されてOktaホームページに送信されます。
委任認証は、ディレクトリ認証済み(DelAuth)セッションの永続化を維持し、ADは、認証情報検証の即時かつ最終的なソースとして維持されます。ADはユーザーの認証を担うため、ユーザーのステータスの変更(パスワードの変更や非アクティブ化など)はすぐにOktaにプッシュされます。
委任認証機能を維持するには、Okta Active Directory(AD)AgentがインストールされているADサーバーのドメインユーザーに[Access this computer from the network(ネットワーク経由でコンピューターへアクセス)]セキュリティポリシー設定を割り当てる必要があります。