パスワードをOktaからActive Directoryに同期する

Oktaでは、OktaからActive Directory（AD）にユーザーパスワードを同期することができます。Oktaを認証の信頼できる情報源にする場合は、パスワードの同期機能を有効にしてください。引き続きADインスタンスを使用して、Oktaに接続できないレガシーリソースへのアクセスを認証できます。

OktaをADと同期できるようにするには、ADドメインの委任認証設定をオフにする必要があります。Okta Active Directory（AD）Agentには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワードの変更はすべてOktaで開始され、ADに伝播されます。ユーザーがADで直接パスワードを変更することは禁止する必要があります。ユーザーの現在のOktaパスワードは、ユーザーが次回Oktaに正常にサインインしたときにADにプッシュされます。

次のイベントにより、OktaからADへの同期がアクティブ化されます。

• ユーザーがOktaパスワードを更新する。
• ユーザーがOktaパスワードを復元する。
• 管理者がOktaパスワードのリセットを開始する。

OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは［User must change password at next logon（ユーザーは次回ログオン時にパスワード変更が必要）］という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにサインインする必要があります。

はじめに

パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリに同期するには：

• Oktaと統合されたADインスタンスを使用します。
• ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとします。
• Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制します。
• 委任認証を無効にし、Okta ADパスワード同期エージェントはインストールしません。

OktaパスワードをActive Directoryに同期する

Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。

1. Okta Admin Consoleで、［Directory（ディレクトリ）］［Directory Integrations（ディレクトリ統合）］［Active Directory］［Provisioning（プロビジョニング）］の順に進みます。
2. ［Settings（設定）］リストで、［Integration（統合）］をクリックします。
3. 下にスクロールして、［Enable delegated authentication to Active Directory（Active Directoryへの委任認証を有効にする）］チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
4. ［Save（保存）］をクリックします。

5. ［Oktaパスワードを作成（推奨）］を選択します。

   これにより、既存のパスワードがリセットされます。ADに割り当てられているユーザー全員に、新しいパスワードを設定するよう指示する自動メールが届きます。

6. ［Disable AD Authentication（AD認証を無効化）］をクリックします。
7. ［Settings（設定）］リストで、［To App（アプリへ）］をクリックしてから［Edit（編集）］をクリックします。
8. スクロールして［Sync Password（パスワードを同期）］セクションに移動し、［Enable（有効化）］をクリックします。
9. ［Save（保存）］をクリックします。