パスワードをOktaからActive Directoryに同期する

パスワードの同期を有効にすると、ユーザー・パスワードがOktaからActive Directory(AD)に同期され、さらにプロビジョニング対応アプリケーションに同期されます。

OktaからADへの同期では、OktaパスワードがADにプッシュされます。これは、Oktaを最終的な認証リソースにし、Oktaに接続できないレガシー・リソースへのアクセスを認証するためにADインスタンスを使用する必要がある場合に便利です。OktaをADと同期できるようにするには、ADドメインの委任認証設定をオフにする必要があります。Okta Active Directory(AD)エージェントには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワード変更はすべてOktaで開始してADに反映する必要があります。また、ユーザーがADで直接パスワードを変更することを禁止する必要があります。

次のイベントにより、OktaからADへの同期がアクティブ化されます。

  • ユーザーがOktaパスワードを更新する
  • ユーザーがOktaパスワードを復元する
  • 管理者がOktaパスワードのリセットを開始する

OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザー・オブジェクトは「ユーザーが次回ログオン時にパスワードを変更する必要がある」という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにログオンする必要があります。

開始する前に

パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリケーションに同期するには:

  • Oktaと統合されたADインスタンスを使用する
  • ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとする
  • Okta AD Agentのサービス・アカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制する
  • 委任認証を無効にし、Okta AD Password Sync Agentはインストールしない

OktaパスワードをActive Directoryに同期する

Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合] > [Active Directory] > [プロビジョニング]
  2. [設定]リストで、[統合]をクリックします。
  3. 下にスクロールして、[Active Directoryへの委任認証を有効にする]チェック・ボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
  4. [保存]をクリックします。
  5. [Oktaパスワードを作成(推奨)]を選択します。
  6. [AD認証を無効化]をクリックします。
  7. [設定]リストで[アプリへ]をクリックし、[編集]をクリックし、[パスワードを同期]セクションまでスクロールし、[有効化]を選択します。
  8. [保存]をクリックします。