アプリケーションパスワードの同期

Oktaは、クラウドおよびオンプレミスのアプリケーションが利用可能な場合、標準APIを使用して、それらのアプリケーションとパスワードを同期します。パスワードの同期にAPIを使用する場合、Okta Active Directory Password Syncエージェントは必要ありません。

Oktaの事前構築された統合により、カスタムスクリプトを作成しなくてもパスワード同期API機能を利用できます。カスタム統合がある場合、またはオンプレミスエージェントを使用している場合、パスワード同期を実装するためにOktaプロフェッショナルサービスの支援が必要になる場合があります。

Okta to Application - Sync Okta Password(OktaからアプリケーションへーOktaパスワードを同期)]が有効な場合、デフォルトの動作では既存のパスワードが同期されます。Oktaパスワードは、Oktaへのサインオンに使用するパスワードです。

Active DirectoryまたはLDAPで委任認証を使用するようにOktaを構成している場合、Oktaへのサインインに使用されるパスワードはActive Directory(AD)またはLDAPのパスワードです。OktaはアプリケーションAPIを使用して、Active DirectoryまたはLDAPのパスワードをアプリケーションに同期します。パスワードはアプリケーションのパスワードとして保存されます。

委任認証を使用していない場合、Oktaへのアクセスに使用されるパスワードはOktaで保存および管理されます。OktaはアプリケーションAPIを使用して、パスワードをアプリケーションに同期します。

次のイベントによってパスワードの同期がアクティブになります。

  • Oktaソースのパスワードをリセットする
  • Oktaにサインインする
  • Oktaに委任認証でサインインする

ランダムな新しいパスワードの同期

Google Suite、Salesforce、Atlassian JIRAなどの一部のアプリケーションでは、Oktaを使用して、ユーザーが最初にアプリケーションにアクセスするときにパスワードを作成して割り当てることができます。この機能には、Password Sync Agentは必要ありません。

次のイベントにより、ランダムな新しいパスワードの同期がアクティブ化されます。

  • トリガーされた、またはグループベースのアプリケーション割り当てをインポートする
  • アプリケーションへのユーザーの手動割り当て

Oktaで生成されるパスワードは16文字で、大文字と小文字、数字がランダムに適用されます。Oktaとアプリの同期を成功させるには、Oktaでランダムに生成されるパスワードが、アプリのパスワードの複雑さに関する最小要件に準拠している必要があります。Oktaでランダムに生成されるパスワードがアプリの最小ポリシーに準拠していない場合、Oktaの[Task(タスク)]ページ([Dashboard(ダッシュボード)][Tasks(タスク)])にエラーが表示されます。このような場合、Oktaはリクエストに応じて、アプリごとにパスワードポリシーを変更して、そのアプリの最小ポリシーに適合できます。

パスワードの周期の同期

このオプションを使用すると、ユーザーがOktaパスワードを変更するたびに新しいランダムパスワードが作成されます。同期されるパスワードは、Oktaパスワードやディレクトリパスワードではありません。これは、Oktaパスワードのリセットによってアクティブ化される、新しいランダムなパスワードです。パスワードが生成されてOktaに保存され、アプリケーションAPIを使用してアプリケーションにプッシュされます。この機能には、Password Sync Agentは必要ありません。

次のイベントにより、パスワードの周期がアクティブ化されます。

  • トリガーされた、またはグループベースのアプリケーション割り当てをインポートする
  • 管理者起点のパスワードの変更(Oktaまたは委任認証)
  • ユーザー起点のパスワードの変更または復元(Oktaまたは委任認証)

モバイルパスワードの同期

Oktaからモバイルへの同期では、パスワードがモバイルデバイスのアプリケーションクライアントに同期されます。この機能は、Okta Mobility Management(OMM)で構成されたiOSおよびAndroidのネイティブメールクライアントでのみ使用できます。この機能には、Password Sync Agentは必要ありません。

次のイベントにより、Oktaからモバイルへの同期がアクティブ化されます。

  • ユーザー起点のパスワードの変更または復元(Oktaまたは委任認証)
  • 管理者起点のパスワードの変更(Oktaまたは委任認証)
  • トリガーされた、またはグループベースのアプリ割り当てをインポートする

モバイルWorkflowsでは、Active Directory Password SyncエージェントからADパスワードをリセットする場合、パスワードの同期を有効にする必要はありません。パスワードのリセット通知により、更新されたExchange ActiveSync(EAS)メール構成が、Okta Mobility Management(OMM)に登録されている対応デバイスに配布されます。どのアプリケーションでもパスワードの同期が有効になっていない場合、暗号化されたADパスワードがデバイスにプッシュされた後、そのパスワードがOktaから削除されます。Okta Mobility Management(OMM)に登録されているデバイスの場合、パスワードの同期を有効にする必要はありません。

Oktaパスワードまたはランダムパスワードをプロビジョニング対応アプリケーションに同期する

Oktaの初期セットアップ時、またはユーザーのOktaパスワードが変更されたときに、ユーザーのOktaパスワードまたはランダムパスワードをプロビジョニング対応アプリにプッシュします。

フェデレーテッドユーザーには適用されません(ソースorgで外部IdPによって認証されたユーザー、JITでプロビジョニングされたユーザーなど)。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. アプリケーションをクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)]リストで、[To App(アプリへ)]をクリックします。
  4. [Edit(編集)]をクリックします。
  5. 下にスクロールして[Sync Password(パスワードを同期)]セクションに移動し、[Enable(有効化)]をクリックします。
  6. 次の設定を構成します。
  • [Sync a randomly generated password(ランダムに生成したパスワードを同期)]:このオプションを選択すると、ランダムに生成された一意のパスワードが各アプリユーザーにセットアップ時にプッシュされます。この目的は、単一のOktaパスワードの盗難によってorganization全体が危険にさらされるのを防ぐことです。ユーザーは、ランダムなパスワードが生成されたという通知をホームページで受け取ります。

[Note(注)]: このオプションを選択する場合は、[Reveal Password(パスワード表示)]機能を有効にして、エンドユーザーがパスワードを表示できるようにする必要があります([Applications(アプリケーション)][Applications(アプリケーション)][Sign On(サインオン)][Settings(設定)][Credential Details(資格情報の詳細)])。

  • [Sync Okta Password(Oktaパスワードを同期)]:このオプションにより、初期セットアップ時にユーザーのOktaパスワードがすべてのアプリユーザーにプッシュされます。
  • [Password cycle(パスワードの周期)]:このオプションを選択すると、ユーザーのOktaパスワードが変更されるたびに新しいランダムパスワードが生成され、アプリに同期されます。

[Note(注)]:ユーザーは、このアプリをインストールしたすべてのデバイスでパスワードを更新する必要がある場合があります。

  • [Reset All App Passwords(すべてのアプリパスワードをリセット)]:すべてのアプリユーザーのパスワードをリセットするには、このオプションを選択します。
  1. [Save(保存)]をクリックします。