パスワードをActive DirectoryからOktaに同期する

Okta AD Password Sync Agentを使用して、Active Directory(AD)のパスワードをOktaやパスワードの同期で統合されたアプリに同期します。

ADへの委任認証が有効になっている場合、委任認証での認証にOktaパスワードは使用しないため、ディレクトリーのパスワードはOktaに同期されません。委任認証では、ディレクトリー・パスワードを使用してOktaにサインオンします。

場合によっては、Oktaを経由するディレクトリーからアプリケーションにディレクトリーのパスワードを同期する必要があります。この同期を実現するには、ユーザーがディレクトリー・パスワードを使用してOktaにサインオンします。Oktaでパスワードを確認し、ユーザーがパスワードの同期を使用してアプリケーションに割り当てられているかどうかを判断します。パスワードの同期を使用して割り当てられたアプリケーションがない場合、パスワードは5日間キャッシュされます。アプリケーションでパスワードの同期を使用している場合は、パスワードがアプリケーションと同期され、アプリケーションのパスワードとしてOktaに保存された後、ディレクトリー・パスワードが5日間キャッシュされます。

ユーザーがユーザー名やパスワードを使用する代わりにデスクトップ・シングル・サインオン(DSSO)を使用してOktaにサインインする場合、Password Sync Agentを使用してADでのパスワードの変更を追跡し、変更内容をOktaに同期する必要があります。または、OktaでADパスワードを変更するようにユーザーに依頼するか、ADでパスワード変更後にOktaにサインインしてパスワードをアプリケーションと同期するように依頼することもできます。

次の表で説明するシナリオは、Okta AD Password Sync Agentをインストールする必要があるかどうかを判断する際に役立つことを目的としています。

シナリオ ユーザー・エクスペリエンス 結果
OktaがADドメインに接続されている。Okta AD Password Sync Agentがデプロイされていない。
  • ワークステーションのサインイン画面からパスワードを変更する。
  • デバイスにサインオンする。
  • パスワードの同期によって別のアプリケーションへのサインインを試行する。
新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワード・エラー・メッセージを受信する。新しいパスワードをOkta統合アプリに同期するには、Oktaからサインアウトしてからサインインする必要があります。
OktaがADドメインに接続され、デスクトップ・シングル・サインオン(DSSO)が実施されている。Okta AD Password Sync Agentがデプロイされていない。新しいパスワードがアプリケーションに同期されていないため、ユーザーがパスワード・エラー・メッセージを受信する。新しいパスワードを同期するには、Oktaからサインアウトしてからサインインする必要があります。
OktaがADドメインに接続され、DSSOは実施されている場合とされていない場合がある。Okta AD Password Sync Agentが、ドメイン内のすべてのドメイン・コントローラーにインストールされている。ユーザーはアプリケーションに正常にアクセスできる。Okta AD Password Sync Agentがパスワード変更イベントを傍受してOktaにプッシュしました。

Active Directoryパスワード・リセットのワークフロー

ユーザーがOktaでADパスワードを変更すると、OktaはADエージェントを使用して要求をADに送信します。ADパスワード・リセットは、パスワード同期イベントとは異なります。

以下に、一般的なパスワード・リセットのワークフローを示します。

  • ユーザーがOktaへのサインオン試行に失敗しました。
  • ユーザーはパスワード・リセットをリクエストします。
  • ユーザーは、パスワード忘れの質問またはパスワード忘れの質問を含むSMS認証に正常に回答します。
  • ユーザーはOktaに対しては認証されますが、ADに対しては認証されません。
  • ユーザーが新しいパスワードを入力するよう要求されます。
  • Oktaによって新しいパスワードが一時的に保持されます。
  • OktaがパスワードをADにプッシュします。これには、Okta Active Directory(AD)エージェント・サービス・アカウントのより高い権限が必要です。
  • ADパスワード・リセットで、パスワード同期を使用したアプリケーションへのパスワード同期がアクティブ化されます。
  • Oktaからパスワードを消去します。

開始する前に

  • Oktaと統合されたADドメインを用意します。
  • Okta Active Directory(AD)エージェントをインストールし、フォレスト内の各統合ドメインに設定します。
  • Okta AD Password Sync Agentをインストールし、フォレスト内の各統合ドメインのすべてのドメイン・コントローラーに設定します。
  • 委任認証を有効にします。委任認証の詳細については、「認証」を参照してください。
  • Oktaユーザー名の形式はUPNまたはSAM アカウント名にする必要があります。他のユーザー名形式を使用してActive DirectoryをOktaにマッピングした場合、Okta AD Password Sync Agentは失敗します。
  • 統合のセキュリティーを向上させるために、TLS1.2セキュリティー・プロトコルのみを使用して通信するようになりました。Windows 2008 R2ではTLS 1.2がデフォルトで無効になっているため、レジストリーを使用して有効にする必要があります。Windows 2008 R2を使用している場合は、次のregkeysが正しく設定されていることを確認してください。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

Okta AD Password Sync Agentのインストール

Okta Active Directory Password Sync Agentバージョン1.4.0以降をインストールする場合、Visual Studio 2019用のMicrosoft Visual C ++再頒布可能パッケージが以前にインストールされていなければインストールされます。

  1. ドメイン・コントローラーでOkta管理コンソールに移動し、[セキュリティー] > [委任認証]をクリックします。次に、右ペインで下にスクロールし、[Okta AD Password Syncをダウンロード]をクリックします。
  2. インストーラー・ファイルをダブルクリックし、プロンプトに従います。
  3. プロンプトが表示されたら、OktaのURLを入力します(例:https://mycompany.okta.com)。入力時はhttps://プロトコルを使用する必要があります。
  4. プロンプトが表示されたら、Okta AD Password Sync Agentをインストールする場所を選択し、[インストール]をクリックします。
  5. [終了]をクリックします。
  6. サーバーを再起動します。
  7. 任意:Oktaと統合するフォレスト内のすべてのドメイン・コントローラーに対して、手順1から6を繰り返します。

無人インストール

スクリプトまたはコマンドを使用して、Okta AD Password Sync Agentの無人インストールを実行できます。無人モードでは、インストール完了後のシステムの再起動は行いません。システムを手動で再起動するか、shutdown /rコマンドを使用する必要があります。

無人インストールの構文は次のとおりです。

  • OktaPasswordSyncSetup.exe /install /q2 OktaURL=https://mycompany.okta.com

    または

  • msiexec /i OktaPasswordSyncSetup.msi /quiet EXEOPTIONS="/q2 OktaURL=https://mycompany.okta.com"

複数のサーバーにインストールする場合は、レジストリー・ファイルを作成してOkta AD Password Sync Agentで使用されるOktaユーザー名のフォーマットを設定しておくことをお勧めします。Okta Username FormatというDWORD値を作成すると、SAMアカウント名(値=1)またはUPN(値=0)のいずれかを選択できます。

たとえば、ユーザー名のフォーマットをSAMアカウント名に設定するには、以下を使用して.regファイルを作成します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Okta\AD Password Sync]

"Okta username format"=dword:00000001

Okta AD Password Sync AgentをWindows Server Coreリリース2にインストールする

Active Directory(AD)Password SyncエージェントをWindows Server Coreにインストールする前に、次の手順を実行する必要があります。

  1. http://support.microsoft.com/kb/2624641でホットフィックスをインストールします。

  2. 以前のバージョンのエージェントにダウングレードする場合は、以前のバージョンのTarmaインストーラーを手動でアンインストールしてください。アンインストーラーは次の場所にあります。

    %ProgramData%\InstallMate\{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe

    無人アンインストールを実行する場合: %ProgramData%\InstallMate{5433CCD3-328D-4326-9E1A-56C9B1D3A7E1}\Setup.exe /remove /q2

  3. Okta AD Password Sync Agentは管理コンソールをサポートしていないため、regeditを使用して設定を無効にする必要があります。Okta AD Password Sync Agentのログは、%ProgramData%\Okta\AD Password Sync\logsで監視できます。

  4. Okta AD Password Sync Agentをインストールします。「Okta AD Password Sync Agentのインストール」を参照してください。

Okta AD Password Sync Agentの構成

  1. [スタート] > [すべてのプログラム] > [Okta]> [Okta AD Password Sync] > [Okta AD Password Syncエージェント管理コンソール]をクリックします。
  2. [URLの確認]をクリックして、OktaのURL が正しいこと、およびターゲット・サーバーがアクセス可能であることを確認します。URLが有効な場合は、[Okta URL]フィールドの下に成功メッセージが表示されます。

注:エラー・メッセージが表示された場合は、 パスワード同期のトラブルシューティングを参照してください。

必要に応じて[ログ重大度]の設定を変更できます。次のいずれかのオプションを選択して、レポートに記録する情報を制御できます。

  • [なし]:何も記録しません。
  • [デバッグ]:デバッグ、情報、およびエラー・イベントを記録します。
  • [情報]:情報とエラー・イベントを記録します。これはデフォルトのログ・レベルです。
  • [エラー]:エラー・イベントのみを記録します。