パスワードをOktaからActive Directoryに同期する
Oktaでは、OktaからActive Directory(AD)にユーザーパスワードを同期することができます。Oktaを認証の信頼できる情報源にする場合は、パスワードの同期機能を有効にしてください。引き続きADインスタンスを使用して、Oktaに接続できないレガシーリソースへのアクセスを認証できます。
OktaをADと同期できるようにするには、ADドメインの委任認証設定をオフにする必要があります。Okta Active Directory(AD)エージェントには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワードの変更はすべてOktaで開始され、ADに伝播されます。ユーザーがADで直接パスワードを変更することは禁止する必要があります。ユーザーの現在のOktaパスワードは、ユーザーが次回Oktaに正常にサインインしたときにADにプッシュされます。
次のイベントにより、OktaからADへの同期がアクティブ化されます。
- ユーザーがOktaパスワードを更新する。
- ユーザーがOktaパスワードを復元する。
- 管理者がOktaパスワードのリセットを開始する。
OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは[User must change password at next logon(ユーザーは次回ログオン時にパスワード変更が必要)]という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにサインインする必要があります。
はじめに
パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリに同期するには:
- Oktaと統合されたADインスタンスを使用します。
- ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとします。
- Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制します。
- 委任認証を無効にし、Okta ADパスワード同期エージェントはインストールしません。
OktaパスワードをActive Directoryに同期する
Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。
- Okta Admin Consoleで、 の順に進みます。
- [Settings(設定)]リストで、[Integration(統合)]をクリックします。
- 下にスクロールして、[Enable delegated authentication to Active Directory(Active Directoryへの委任認証を有効にする)]チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
- [Save(保存)]をクリックします。
-
[Create Okta password (recommended)(Oktaパスワードを作成(推奨))]を選択します。
これにより、既存のパスワードがリセットされます。ADに割り当てられているユーザー全員に、新しいパスワードを設定するよう指示する自動メールが届きます。
- [Disable AD Authentication(AD認証を無効化)]をクリックします。
- [Settings(設定)]リストで、[To App(アプリへ)]をクリックしてから[Edit(編集)]をクリックします。
- スクロールして[Sync Password(パスワードを同期)]セクションに移動し、[Enable(有効化)]をクリックします。
- [Save(保存)]をクリックします。