LDAP統合のトラブルシューティング

LDAPの問題をトラブルシューティングするには、Apache Directory StudioなどのLDAPブラウザーを入手してください。

スキーマ・テンプレートは一般的な値に基づく提案であることに注意してください。LDAP環境はそれぞれ固有であり、デフォルト値を環境固有の設定で上書きする必要がある場合があります。Apache Directory Studioを使用して既存のユーザーやグループの属性を調べてテンプレートの値を確認することや、適切な設定を選択することができます。

テンプレートを変更すると、テンプレートのすべてのデフォルト値が変更されます。上書きした設定は変更されません。


エージェントのインストール中、 [アクセスを許可]をクリックした後に、次のエラー・メッセージが 表示される:

「Oktaからの応答の解析に失敗し、エージェントを登録できません。エラー・コード12。」

ログを確認し、次のエントリーを探します:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No valid public key found in certificate chain.

ログに上記のエントリーが含まれる場合、 Java LDAPエージェント ・バージョン5.3.1 以降のインストールを試みている可能性があり、エージェントによるSSL証明書ピンニングのサポートによってOktaサーバーと通信できない環境となっています。 これは、多くの場合、SSLプロキシーに依存する環境で発生します。この場合にインストールを完了できるようにするために、Oktaでは、ドメインokta.comを許可リストに追加して、SSLプロキシー処理をバイパスすることを推奨しています。

また、以下の説明に従ってSSLピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティー強化も無効になるため注意が必要です。

SSL証明書ピンニングのサポートを無効にするには、ご使用のオペレーティング・システムに応じて以下の手順を実行します。

Windows

コマンド・ラインからOkta LDAP Agentをインストールします。

  1. ホスト・サーバーで、スーパー管理者権限を持つOkta管理者アカウントを使用してOktaにサインインし、管理コンソールにアクセスします。
  2. 次の手順を実行して、Okta LDAP Agentをダウンロードします。
    1. 管理コンソールで、[ディレクトリー] > に移動します[ディレクトリー統合]
    2. [ディレクトリーを追加] > [LDAPディレクトリーを追加]をクリックします。
    3. インストール要件を確認し、 [LDAPのセットアップ]をクリックします。
    4. [エージェントをダウンロード]をクリックし、[EXEインストーラーをダウンロード]を選択して、Windowsサーバーにこれをダウンロードします。
  3. コマンド・ラインを開き、次のコマンドを実行します。

OktaADAgentSetup.exe OktaDisableSslPinning=1

  1. インストールを完了します。
    1. 「このアプリがこのコンピューターに変更を加えることを許可しますか?」というメッセージが表示されたら、 [はい]をクリックします。
    2. [次へ]をクリックします。
    3. ライセンス契約に同意して、[次へ]をクリックします。
    4. デフォルトのインストール・フォルダーの場所をそのまま使用するか、[参照]をクリックして別の場所を選択し、[インストール]をクリックします。
    5. 任意:LDAP over SSL(LDAPS)を有効にする場合は、 LDAP over SSLを有効にするを選択して、この手順を続行します。
    6. LDAP構成画面で、次の情報を入力します。
      • [LDAPサーバー]: LDAPホストとポートをhost:portの形式で入力します。例:ldap.mycompany.com:389
      • [ルートDN]: ユーザーおよびグループの検索元となるDITのルート識別名。
      • [バインドDN]: エージェントがLDAPディレクトリーに接続するために使用するバインドLDAPユーザーの識別名。
      • [バインド・パスワード]:エージェントがLDAPディレクトリーに接続するために使用するバインド識別名のパスワード。
      • 任意: [SSL接続を使用する]: LDAP over SSL(LDAPS)を有効にする場合に選択します。(注:LDAP over SSLを有効にするの手順を実行せずにこの オプションを選択すると、エラー「指定したLDAPサーバーに接続できませんでした」が表示されます。)
  1. [次へ]をクリックします。
  2. 任意:[Okta LDAP Agentプロキシー構成]ページでOkta LDAP Agentのプロキシー・サーバーを入力し、[次へ]をクリックします。

LDAPプロキシー・サーバーが独自のスキーマを返す場合は、プロキシー・サーバーのスキーマとLDAPサーバーのスキーマが異なると、ユーザー・データのインポート時に問題が発生する可能性があります。データのインポートの問題を回避するには、LDAPプロキシー・サーバーとLDAPサーバーのスキーマが同一であることを確認してください。

  1. Okta LDAP AgentをOktaサービスに登録するには、Oktaサブドメイン名を入力し、[次へ]をクリックします。
  2. Oktaのサインイン・ページで、Okta管理者アカウントのユーザー名とパスワードを入力し、[サインイン]をクリックします。
  3. [アクセスを許可] をクリックして Okta APIにアクセスします。:エラー・メッセージが表示される場合は、Okta LDAPエージェント・ログの特定を参照してください。
  4. [終了]をクリックします。
  5. LDAP統合設定を構成します。

SSL証明書ピンニングのサポートが無効になっていて再度有効にする場合:

  1. ADエージェント構成ファイルを見つけて開きます。

    C:\Program Files (x86)\Okta\Okta AD Agent\OktaAgentSetup.exe.config

  1. SSLピンニングの有効化設定をTrueに変更します。

    "SslPinningEnabled" value="True"

  1. 構成ファイルを保存して、エージェントを再起動します。

Linux

  1. コマンド・ラインで、SSL ピンニング有効化 設定をfalseに変更します。

    $ sudo /opt/Okta/OktaLDAPAgent/scripts/configure_agent.sh -sslPinningEnabled false

  1. 構成ファイルを保存して、エージェントを再起動します。

インストールの完了後にSSL証明書ピンニングのサポートを再度有効にするには、OktaLDAPAgent.confを開き、SSL ピンニング有効化 設定をtrueに変更します。

SSL証明書ピンニングの詳細については、「Webアプリケーション・セキュリティー・プロジェクトを開く」の記事を参照してください。


ユース・ケース

LDAPディレクトリーに新しいロールを作成したが、JITが有効になっていても、ロールに割り当てられたユーザーがOktaにサインインしたときに、そのロールがOktaにインポートされない。

LDAPロールがOktaに取り込まれるタイミング

LDAPロールは、JIT中ではなく、インポート中にのみOktaに取り込まれます。LDAPロールは、Oktaに取り込まれた後、グループとして表されます。

LDAPグループがOktaに取り込まれるタイミング

LDAPグループは、インポート中およびJIT中にOktaに取り込まれます。

回避策

すべてのユーザー・アカウントをOktaにインポートしたくない場合は、プレビュー組織に次の回避策のいずれかを実装することを検討してください。期待した結果が得られた場合は、本番組織に回避策を実装できます。

特定のLDAPロールと同じメンバーシップを持つグループをOktaにインポートする

  1. インポートするLDAPのロールと同じメンバーシップを持つグループをLDAPに作成します。

  2. JITプロビジョニングまたはLDAPインポートのいずれかを使用して、そのグループとそのメンバーシップをOktaに取り込み、目的のアプリケーションまたは統合に割り当てます。

不要なオブジェクトを確認せずにOktaへのLDAPインポートを実行する

  1. Oktaで、[ディレクトリー] > [ディレクトリー統合] > [LDAP] > [設定] > [インポート設定]に移動します。

  2. [一致ルールをインポート]セクションで、[一致が見つからない場合]まで下にスクロールし、[新しいユーザーを手動で確認する]を選択します。これにより、インポートの実行時に新しいユーザー・アカウントがOktaに自動的に作成されることがなくなります。

  3. LDAPディレクトリーに対してインポートを実行して、ステップ1で作成したグループをインポートします。グループ・メンバーは、後ほどOktaへのJIT時にグループに追加されます。

非アクティブなLDAPアカウントを一時的に分離する

LDAPディレクトリーに非アクティブなユーザー・アカウントが多数含まれているためにインポートを実行したくない場合、インポート前に次の回避策を実行して、非アクティブである可能性のあるアカウントを特定し、それらを分離できます。

  1. LDAPディレクトリーに対して属性lastlogon(または非アクティブなアカウントをフィルタリングする別の属性)のクエリーを実行します。

  2. 非アクティブなユーザー・オブジェクトを同期コンテナーの外部に移動して、インポート中にOktaに導入されないようにします。インポートの終了後にこれらのオブジェクトを元の場所に移動できます。


ユーザー名を確認するときに、次のエラーが表示される:

「ユーザー名:必要なパターンと一致しません」

ユーザー名はメール形式にする必要があります。インポート設定が正しく設定されていることを確認します。「Okta LDAPエージェントをインストールして構成する」を参照してください。


[SSL接続を使用する]チェック・ボックスをオンにすると、次のエラーが発生する:

「指定したLDAPサーバーに接続できませんでした」というメッセージが表示される。

LDAP over SSL(LDAPS)が有効になっていることを確認してください。「LDAP over SSLを有効にする」を参照してください。