eDirectory LDAP統合リファレンス

このトピックでは、eDirectory LDAP統合に固有の参考情報を提供します。Okta LDAP Agentをインストールする際、eDirectoryをOktaと統合するためにこの情報が必要になります。「Okta LDAP Agentのインストール」を参照してください。

既知の問題

  • 自分のパスワードのリセットを要求し、管理者がパスワードをリセットした後、そのパスワードを変更する必要があるユーザーは、Okta End-User Dashboardにアクセスするために新しいパスワードを2回指定する必要がある。

  • プロビジョニング設定で[Do nothing(何もしない)]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。

統合の構成

「Okta LDAP Agentのインストール」に記載されているエージェントの初期インストールおよび構成中の、eDirectoryの属性は次のとおりです。

  • 一意の識別子属性:localentryid
  • DN属性:entrydn
  • ユーザーオブジェクトクラス:inetorgperson
  • ユーザーオブジェクトフィルター:(objectclass=inetorgperson)
  • *アカウントで無効になっている属性:loginDisabled
  • *アカウントで無効になっている値:TRUE
  • *アカウントで有効になっている値:FALSE
  • パスワード属性:userpassword
  • グループオブジェクトクラス:groupofnames
  • グループオブジェクトフィルター:(objectclass=groupofnames)
  • メンバー属性:member

スキーマの読み取り

AUXクラスの属性を追加するには、補助クラスを補助オブジェクトクラスとしてディレクトリのプロビジョニング構成に追加します。たとえば、補助オブジェクトクラスがdcObjectの場合、dc属性がOktaスキーマ属性に追加されます。

パスワード変更

ユーザーはOkta End-User Dashboardで[Settings(設定)]を選択してパスワードを変更できます。

LDAPインスタンスでeDirectory固有のパスワード設定を使用している場合、ユーザーにセルフサービスのパスワード変更を行うための正しいACL権限がないと、Oktaでパスワードの変更またはリセットが失敗することがあります。この場合、パスワードの変更は失敗し、「NDS error: no access (-672)(NDSエラー:アクセスなし(-672))」というエラーメッセージが返されます。

パスワードリセット

パスワードリセットは、管理者またはユーザーがパスワードを忘れた場合のフローによってトリガーされます。パスワードリセットは、特定のACLを追加しなくても機能します。

新しいパスワードがパスワードポリシーの基準を満たさない場合、パスワードリセットが失敗する可能性があります。

インポート

eDirectoryには、他のLDAPサーバーとは異なるmodifyTimestampの小数点以下の精度があります。通常の値は3ですが、eDirectoryの場合は1に設定する必要があります。この値を設定する方法は、次の2つです。

  • eDirectoryのサポートが有効で、LDAPエージェントがバージョン5.6.2以降の場合、インストールプロセス中に小数点以下の精度を自動的に1に設定する必要があります。これは、[Directory Integrations(ディレクトリ統合)]>[Provisioning(プロビジョニング)]>[To Okta(Oktaへ)]ページで変更できます。
  • LDAPエージェントのバージョンが5.6.0または5.6.1の場合、属性generalizedTimeMillisecondDecimalPlacesを更新し、OktaLDAPAgent.confファイルでその値を1に設定して、デプロイされたすべてのエージェントの小数点以下の精度を更新します。
  • 5.6.0より前のバージョンのLDAPエージェントは、eDirectory LDAP統合をサポートしていません。

JITプロビジョニング

eDirectoryのジャストインタイム(JIT)プロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)は、E メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IDP)を使用しないでください。

JITプロビジョニングを正常に完了するには、以下が必要です。

  • 構成された命名属性(UIDなど)の値がOktaに存在していないこと。
  • 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリで一意であること。
  • 必須属性が提示されていること。Oktaのデフォルトはemail、givenName、sn、uidです。
  • パスワードが正しいこと。
  • [Account Disabled Attribute(アカウントで無効になっている属性)]が、LDAPサーバーでfalseに設定されていること。

JITプロビジョニングが正常に完了すると、[LDAP settings(LDAP設定)]ページとプロファイルエディタで指定されたすべてのユーザー属性がインポートされます。追加の必須属性を選択するには、プロファイルエディタを使用します。

メンバーシップのインポート

インポート時にデフォルトのeDirectory設定を使用すると、objectClass groupofnamesのユーザーグループがインポートされ、member group属性で指定されたユーザーに追加されます。

インポート時にmembership属性がseeAlsoに設定されている場合、ユーザーはseeAlsoユーザー属性に追加されたグループに割り当てられます。

プロビジョニング

eDirectory LDAP統合に関する、特別な考慮事項はありません。

ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。

  1. LDAPプッシュパスワードの更新を有効にするには、Oktaカスタマーサポートに連絡してください。
  2. 次の手順を実行して、代理認証を無効にします。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]>[LDAP]に移動します。
    2. [Delegated Authentication(代理認証)]ペインで[Edit(編集)]をクリックします。
    3. [Enable delegated authentication to LDAP(LDAPへの代理認証を有効にする)]チェックボックスをオフにします。
    4. [Save(保存)]をクリックします。
    5. デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、[Disable LDAP Authentication(LDAP認証を無効にする)]をクリックします。
  3. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[LDAP]>[Provisioning(プロビジョニング)]>[To App(アプリへ)]の順に進みます。
  4. [Edit(編集)]をクリックし、[Sync Password(パスワードを同期)]の横にある[Enable(有効)]を選択して、[Save(保存)]をクリックします。

    5. [Sync Password(パスワードを同期)]が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。

既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[LDAP]>[Provisioning(プロビジョニング)]>[To App(アプリへ)]の順に進みます。
  2. [Edit(編集)]をクリックし、[Create Users(ユーザーを作成)]の横にある[Enable(有効)]を選択して、[Save(保存)]をクリックします。
  3. [Directory(ディレクトリ)]>[Groups(グループ)]をクリックします。
  4. ユーザーを割り当てるOktaグループを選択します。
  5. [Manage Directories(ディレクトリを管理)]をクリックします。
  6. 左側のペインでLDAPインスタンスを選択し、[Next(次へ)]をクリックします。
  7. [Provisioning Destination DN(プロビジョニング宛先DN)]フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
  8. [Confirm Changes(変更を確認)]をクリックします。

トラブルシューティング

LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。

エージェント:成功

POST initiated with result status=SUCCESS、actionType=USER_AUTH_AND_UPDATE、actionId=ADSuirvHXkjvU4It20g3、diagnostic message=、error code=、matched dn=、message=SUCCESS、result code=、vendor=UNDEFINED

エージェント:代理認証の失敗

POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSzbsNoy4eNjPI090g3、diagnostic message=NDS error: failed authentication (-669)、error code=49、matched dn=cn=UserEdirectoryNewOne@edir.com、o=QAUsers、dc=Okta、dc=Com、message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='NDS error: failed authentication (-669)'、diagnosticMessage='NDS error: failed authentication (-669)')、result code=invalid credentials、vendor=UNDEFINED

エージェント:ユーザーなし

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSzbmckuuz7LniPk0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=UserEdirectoryNewOne@edir.com333)), result code=, vendor=UNDEFINED

エージェント:パスワードの有効期限切れ

POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSu99dXaoVG7gFjG0g3、diagnostic message=8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 532、v3839?、error code=49、matched dn=CN=delauth2、CN=\#Users、DC=funnyface、DC=net、DC=local、message=LDAPException(resultCode=49 (invalid credentials)、errorMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 532、v3839?'、diagnosticMessage='8009030C: LdapErr: DSID-0C09042A、comment: AcceptSecurityContext error、data 532, v3839?')、result code=invalid credentials、vendor=AD_LDS

エージェント:ユーザーの非アクティブ化(loginDisabled = TRUE)

POST initiated with result status=FAILURE、actionType=USER_AUTH_AND_UPDATE、actionId=ADSzbyLP2YaxpJyKI0g3、diagnostic message=NDS error: log account expired (-220)、error code=53、matched dn=cn=UserEdirectoryNewOne@edir.com,o=QAUsers、dc=Okta、dc=Com、message=LDAPException(resultCode=53 (unwilling to perform)、errorMessage='NDS error: log account expired (-220)'、diagnosticMessage='NDS error: log account expired (-220)')、result code=unwilling to perform、vendor=UNDEFINED