AD LDS LDAP統合リファレンス
このトピックでは、Active Directory Lightweight Directory Services(AD LDS)のLightweight Directory Access Protocol(LDAP) 統合に固有の参考情報を提供します。Okta LDAP Agentをインストールする際、AD LDSディレクトリーをOktaと統合するためにこの情報が必要になります。 Okta LDAP Agentのインストールを参照してください。
推奨バージョン
Windows Server 2016
既知の問題
- 一時パスワードを要求しているユーザーのステータスが、[アクティブ]から[パスワードの有効期限切れ]に変わらない。
- プロビジョニング設定で[何もしない]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザー・プロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザー・プロファイル属性のソースになります。
統合の構成
Okta LDAP Agentのインストールに記載されているエージェントの初期インストールおよび構成時の、AD LDS統合の属性は次のとおりです。
- 一意の識別子属性:distinguishedname
- DN属性:distinguishedname
- ユーザー・オブジェクト・クラス:identityperson
- ユーザー・オブジェクト・フィルター:(objectclass=identityperson)
- *アカウントで無効になっている属性:msds-useraccountdisabled
- *アカウントで無効になっている値:TRUE
- *アカウントで有効になっている値:FALSE
- パスワード属性:unicodepwd
- グループ・オブジェクト・クラス:group
- グループ・オブジェクト・フィルター:(objectclass=group)
- メンバー属性:member
スキーマの読み取り
AUXクラスの属性を追加するには、補助クラスを補助オブジェクト・クラスとしてディレクトリーのプロビジョニング構成に追加します。
パスワード変更
ユーザーはOkta End-User Dashboardで[設定]を選択してパスワードを変更できます。
ユーザーがパスワードの変更またはリセットを行えるようにするには、[セキュリティー] > [委任認証]をクリックし、[LDAP]タブを選択してから、[ユーザーはOktaでのLDAPパスワードを変更できます]を選択します。
Oktaに表示されるエラー・メッセージは、AD LDSエラー・メッセージの値によって決まります。たとえば、AD LDS値2245は、ユーザーがパスワード・ポリシーの基準を満たさないパスワードを入力した場合に次のエラー・メッセージを生成します。
パスワードを更新できません。新しいパスワードに入力した値が、ドメインの要件(長さ、複雑度、履歴)を満たしていません。
パスワード・リセット
パスワード・リセットは、管理者またはユーザーがパスワードを忘れた場合のフローによってトリガーされます。
新しいパスワードがパスワード・ポリシーの基準を満たさない場合、パスワード・リセットが失敗する可能性があります。
パスワードの検証
AD LDSは、パスワードの検証にローカル・システムのパスワード・ポリシーまたはドメインのパスワード・ポリシーを使用します。
インポート
ユーザー・プロファイルを作成するには、user
、inetOrgPerson
、person
、OrganizationalPerson
などのオブジェクト・クラスを使用します。カスタマイズされたプロファイルを使用するには、IdentityPerson
のオプションを更新してください。
JITプロビジョニング
AD LDSのジャスト・イン・タイム(JIT)プロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IDP)を使用しないでください。
JITプロビジョニングを正常に完了するには、以下が必要です。
- 構成された命名属性(UIDなど)の値がOktaに存在していないこと。
- 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリーで一意であること。
- 必須属性が提示されていること。Oktaのデフォルトはemail、givenName、sn、uidです。
- パスワードが正しいこと。
- [アカウントで無効になっている属性]が、LDAPサーバーでfalseに設定されていること。
JITプロビジョニングが正常に完了すると、[LDAP設定]ページとプロファイル・エディターで指定されたすべてのユーザー属性がインポートされます。追加の必須属性を選択するには、プロファイル・エディターを使用します。
メンバーシップのインポート
インポート時にデフォルトのAD LDS設定を使用すると、objectClassグループのユーザー・グループがインポートされ、member group属性で指定されたユーザーに追加されます。
インポート時にmembership属性がseeAlsoに設定されている場合、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。
プロビジョニング
AD LDSのLDAP 統合に関する、特別な考慮事項はありません。
ユーザー・プロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。
- LDAPプッシュ・パスワードの更新を有効にするには、Oktaカスタマー・サポートに連絡してください。
- 次の手順を実行して、委任認証を無効にします。
- 管理コンソールで、[セキュリティー] > に移動します[委任認証] > [LDAP]をクリックします。
- [委任認証]ペインで[編集]をクリックします。
- [LDAPへの委任認証を有効にする] チェック・ボックスをオフにします。
- [保存]をクリックします。
- デフォルト設定を受け入れてすべてのLDAP ユーザー・パスワードをリセットし、[LDAP 認証を無効にする]をクリックします。
- Okta管理コンソールを開き、[ディレクトリー] > [ディレクトリー統合] > [LDAP] > [プロビジョニング] > [アプリへ]の順にクリックします。
- [編集]をクリックし、[パスワードを同期]の横にある[有効]を選択して、[保存]をクリックします。
[パスワードを同期]が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。
既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。
- 管理コンソールで、[ディレクトリー] > に移動します[ディレクトリー統合] > [LDAP] > [プロビジョニング] > [アプリへ]の順にクリックします。
- [編集]をクリックし、[ユーザーを作成]の横にある[有効]を選択して、[保存]をクリックします。
- [ディレクトリー] > [グループ]をクリックします。
- ユーザーを割り当てるOktaグループを選択します。
- [ディレクトリーを管理]をクリックします。
- 左側のペインでLDAPインスタンスを選択し、[次へ]をクリックします。
- [プロビジョニング宛先DN]フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
- [変更を確認]をクリックします。
トラブルシューティング
LDAP ディレクトリー認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェント・ログに表示されます。
エージェント:成功
POST initiated with result status=SUCCESS、actionType=USER_AUTH_AND_UPDATE、actionId=ADSttbJoCgX6d8bVs0g3、diagnostic message=、error code=、matched dn=、message=SUCCESS、result code=、vendor=AD_LDS
エージェント:委任認証の失敗
POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSttkKzNHPmn4Cky0g3、diagnostic message=8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 52e、v3839?、error code=49、matched dn=CN=LynxyADLVSWih2Group、CN=UsersGroup、OU=usersLynxy、DC=funnyface、DC=net、DC=local、 message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 52e、v3839?'、diagnosticMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 52e、v3839?')、result code=invalid credentials、vendor=AD_LDS
エージェント:ユーザーなし
POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSttml2duHannKQp0g3、diagnostic message=、error code=、matched dn=、message=User not found while executing query: (&(objectclass=identityperson)(uid=LynxyADLDSWith2Group22s@lynxy.com))、result code=、vendor=AD_LDS
エージェント:ユーザーの非アクティブ化(msDS-UserAccountDisabled = TRUE)
POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSttoAFlo2ktz8nu0g3、diagnostic message=8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 533、v3839?、error code=49、matched dn=CN=LynxyADLVSWih2Group、CN=UsersGroup、OU=usersLynxy、DC=funnyface、DC=net、DC=local、 message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 533、v3839?'、diagnosticMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 533、v3839?')、result code=invalid credentials、vendor=AD_LDS
エージェント:アカウントの有効期限切れ
POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADStxkjhWLW7DX9qN0g3、diagnostic message=8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 701、v3839?、error code=49、matched dn=CN=LynxyADLVSUserForChange2、CN=UsersGroup、OU=usersLynxy、DC=funnyface、DC=net、DC=local、message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 701、v3839?'、diagnosticMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 701、v3839?')、result code=invalid credentials、vendor=AD_LDS
エージェント:パスワードの有効期限切れ
POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSu99dXaoVG7gFjG0g3、diagnostic message=8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 532、v3839?、error code=49、matched dn=CN=delauth2、CN=\#Users、DC=funnyface、DC=net、DC=local、message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='8009030C: LdapErr: DSID-0C09042A、 comment: AcceptSecurityContext error、data 532、v3839?'、diagnosticMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 532, v3839?')、result code=invalid credentials、vendor=AD_LDS
エージェント:アカウント・ロック
POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSv4gTD5ihbuqeep0g3、diagnostic message=8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 775、v3839?、error code=49、matched dn=CN=test1706 test1706、CN=UsersGroup、OU=usersLynxy、DC=funnyface、DC=net、DC=local、message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 775、v3839?'、diagnosticMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 775、v3839?')、result code=invalid credentials、vendor=AD_LDS