パスワードをActive DirectoryからOktaに同期する

Okta AD Password Sync Agentを使用して、Active Directory(AD)のパスワードをOktaやパスワードの同期で統合されたアプリに同期します。

ADへの代理認証が有効になっている場合、代理認証での認証にOktaパスワードは使用しないため、ディレクトリのパスワードはOktaに同期されません。代理認証では、ディレクトリパスワードを使用してOktaにサインオンします。

場合によっては、ディレクトリからOktaを介してアプリケーションにディレクトリパスワードを同期する必要があります。ユーザはこの同期を行うために、ディレクトリパスワードを使用してOktaにサインオンします。Oktaはパスワードを確認し、ユーザーがパスワードの同期を使用してアプリケーションに割り当てられているかどうかを判断します。パスワードの同期を使用して割り当てられたアプリケーションがない場合、パスワードは5日間キャッシュされます。アプリケーションでパスワードの同期を使用している場合は、パスワードがアプリケーションと同期され、アプリケーションのパスワードとしてOktaに保存された後、ディレクトリパスワードが5日間キャッシュされます。

ユーザーがユーザー名やパスワードを使用する代わりにデスクトップシングルサインオン(DSSO)を使用してOktaにサインインする場合、Password Sync Agentを使用してADでのパスワードの変更を追跡し、変更内容をOktaに同期する必要があります。または、OktaでADパスワードを変更するようにユーザーに依頼するか、ADでパスワード変更後にOktaにサインインしてパスワードをアプリケーションと同期するように依頼することもできます。

次の表に、Okta AD Password Sync Agentのインストールの必要性を判断する際に役立つシナリオを示します。

シナリオ ユーザーエクスペリエンス 結果
OktaがADドメインに接続されている。Okta AD Password Sync Agentがデプロイされていない。
  • ワークステーションのサインイン画面からパスワードを変更する。
  • デバイスにサインオンする。
  • パスワードの同期によって別のアプリケーションへのサインインを試行する。
新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワードエラーメッセージを受信する。新しいパスワードをOkta統合アプリに同期するには、Oktaからサインアウトしてからサインインし直す必要があります。
OktaがADドメインに接続され、デスクトップシングルサインオン(DSSO)が実施されている。Okta AD Password Sync Agentがデプロイされていない。 新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワードエラーメッセージを受信する。新しいパスワードを同期するには、Oktaからサインアウトしてからサインインし直す必要があります。
OktaがADドメインに接続され、DSSOは実施されている場合とされていない場合がある。Okta AD Password Sync Agentが、ドメイン内のすべてのドメインコントローラーにインストールされている。 ユーザーはアプリケーションに正常にアクセスできる。Okta AD Password Sync Agentがパスワード変更イベントを傍受してOktaにプッシュしました。

Active Directoryパスワードリセットのワークフロー

ユーザーがOktaでADパスワードを変更すると、OktaはAD Agentを使用してリクエストをADに送信します。ADパスワードリセットは、パスワード同期イベントとは異なります。

以下に、一般的なパスワードリセットのワークフローを示します。

  • ユーザーがOktaへのサインオン試行に失敗しました。
  • ユーザーはパスワードリセットをリクエストします。
  • ユーザーは、パスワード忘れの質問またはパスワード忘れの質問を含むSMS認証に正常に回答します。
  • ユーザーはOktaに対しては認証されますが、ADに対しては認証されません。
  • ユーザーが新しいパスワードを入力するよう要求されます。
  • Oktaによって新しいパスワードが一時的に保持されます。
  • OktaがパスワードをADにプッシュします。これには、Okta Active Directory(AD)Agentサービスアカウントのより高い権限が必要です。
  • ADパスワードリセットで、パスワード同期を使用したアプリケーションへのパスワード同期がアクティブ化されます。
  • Oktaからパスワードを消去します。

開始する前に

  • Oktaと統合されたADドメインを用意します。
  • Okta Active Directory(AD)Agentをインストールし、フォレスト内の各統合ドメインに設定します。
  • Okta AD Password Sync Agentをインストールし、フォレスト内の各統合ドメインのすべてのドメインコントローラーに設定します。
  • 代理認証を有効にします。代理認証の詳細については、「認証」を参照してください。
  • Oktaユーザー名の形式はUPNまたはSAMアカウント名にする必要があります。他のユーザー名形式を使用してActive DirectoryをOktaにマッピングした場合、Okta AD Password Sync Agentは失敗します。
  • 統合のセキュリティを向上させるために、TLS1.2セキュリティプロトコルのみを使用して通信するようになりました。Windows 2008 R2ではTLS 1.2がデフォルトで無効になっているため、レジストリを使用して有効にする必要があります。Windows 2008 R2を使用している場合は、次のregkeyが正しく設定されていることを確認してください。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

Okta AD Password Sync Agentのインストール

Okta Active Directory Password Sync Agentバージョン1.4.0以降をインストールする場合、Visual Studio 2019用のMicrosoft Visual C ++再頒布可能パッケージが以前にインストールされていなければインストールされます。

  1. ドメインコントローラーでOkta Admin Consoleに移動し、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]をクリックします。次に、右ペインで下にスクロールし、[Download Okta AD Password Sync(Okta AD Password Syncをダウンロード)]をクリックします。
  2. インストーラーファイルをダブルクリックし、プロンプトに従います。
  3. プロンプトが表示されたら、OktaのURLを入力します(例:https://mycompany.okta.com)。入力時はhttps://プロトコルを使用する必要があります。
  4. プロンプトが表示されたら、Okta AD Password Sync Agentをインストールする場所を選択し、[Install(インストール)]をクリックします。
  5. [Finish(終了)]をクリックします。
  6. サーバーを再起動します。
  7. 任意。Oktaと統合するフォレスト内のすべてのドメインコントローラーに対して、手順1から6を繰り返します。

無人インストール

スクリプトまたはコマンドを使用して、Okta AD Password Sync Agentの無人インストールを実行できます。無人モードでは、インストール完了後のシステムの再起動は行いません。システムを手動で再起動するか、shutdown /rコマンドを使用する必要があります。

無人インストールの構文は次のとおりです:OktaPasswordSyncSetup.exe /install /q2 OktaURL=https://mycompany.okta.comまたはmsiexec /i OktaPasswordSyncSetup.msi /quiet EXEOPTIONS="/q2 OktaURL=https://mycompany.okta.com"

複数のサーバーにインストールする場合は、レジストリーファイルを作成してOkta AD Password Sync Agentで使用されるOktaユーザー名のフォーマットを設定しておくことをお勧めします。Okta Username FormatというDWORD値を作成すると、SAMアカウント名(値=1)またはUPN(値=0)のいずれかを選択できます。

たとえば、ユーザー名のフォーマットをSAMアカウント名に設定するには、以下を使用して.regファイルを作成します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Okta\AD Password Sync]
"Okta username format"=dword:00000001

Okta AD Password Sync AgentをWindows Server Coreリリース2にインストールする

Active Directory(AD)Password SyncエージェントをWindows Server Coreにインストールする前に、次の手順を実行する必要があります。

  1. http://support.microsoft.com/kb/2624641でホットフィックスをインストールします。

  2. 以前のバージョンのエージェントにダウングレードする場合は、以前のバージョンのTarmaインストーラーを手動でアンインストールしてください。アンインストーラーは次の場所にあります。

    %ProgramData%\InstallMate\{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe

    無人アンインストールを実行する場合:
    %ProgramData%\InstallMate{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe /remove /q2

  3. Okta AD Password Sync Agentは管理コンソールをサポートしていないため、regeditを使用して設定を無効にする必要があります。次の場所にある Okta AD Password Sync Agentログをモニターできます: %ProgramData%\Okta\AD Password Sync\logs

  4. Okta AD Password Sync Agentをインストールします。「Okta Password Syncエージェントのインストール」を参照してください。

Okta AD Password Sync Agentの構成

  1. [Start(スタート)]>[All Programs(すべてのプログラム)]>[Okta]>[Okta AD Password Sync]>[Okta AD Password Synchronization Agent Management Console(Okta AD Password Syncエージェント管理コンソール)]をクリックします。
  2. [Verify URL(URLの確認)]をクリックして、OktaのURLが正しいこと、およびターゲットサーバーがアクセス可能であることを確認します。URLが有効な場合は、Okta URLフィールドの下に成功メッセージが表示されます。

注:エラーメッセージが表示された場合は、「パスワード同期のトラブルシューティング」を参照してください。

必要に応じて[Log severity level(ログ重大度)]の設定を変更できます。次のいずれかのオプションを選択して、レポートに記録する情報を制御できます。

  • [None(なし)]:何もログ記録しません。
  • [Debug(デバッグ)]:デバッグ、情報、およびエラーイベントをログ記録します。
  • [Info(情報)]:情報とエラーイベントをログ記録します。これはデフォルトのログレベルです。
  • [Error(エラー)]:エラーイベントのみをログ記録します。