パスワード同期のトラブルシューティング

ここに記載されている情報を使用して、パスワードの同期の問題を解決してください。

パスワードの同期の問題を解決するための提案を次に示します。

  • Okta System Logを確認して、パスワード同期イベントの結果、パスワードがアプリケーションまたはActive Directory(AD)にプッシュされたかどうかを確認します。
  • パスワード同期の対象アプリケーションに手動でサインオンして、どのパスワードが機能しているか判別します。
  • OktaからADへの同期で問題がある場合、Okta AD Agentのサービスアカウントの権限が正しいこと、およびAgent.logファイルにエラーがないことを確認します。
  • Okta AD AgentとPassword Sync Agent(PSA)のログで同期イベントを確認します。
  • 失敗したパスワード同期イベントは、[Tasks(タスク)]ページのタスクリストに表示されます。

Okta AD Password Sync Agentがすべてのドメインコントローラーにインストールされていて、ユーザーのADパスワードが変更されたが、ユーザーがデスクトップSSOを使用してアプリにサインインできない

この問題の原因として考えられるのは、orgの[Okta username format(Oktaユーザー名の形式)][User Principal Name (UPN)(ユーザープリンシパル名(UPN))]または[sAMAccountName]に設定されていないことです。ADパスワード同期エージェントを機能させるには、[Okta username format(Oktaユーザー名の形式)][User Principal Name (UPN)(ユーザープリンシパル名(UPN))]または[sAMAccountName]に設定する必要があります。[Okta username format(Oktaユーザー名の形式)]の設定を確認するには:

  1. Admin Consoleで、[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. [Active Directory]をクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)]リストで、[To Okta(Oktaへ)]をクリックします。
  4. [General(一般)]領域で、[Okta username format(Oktaユーザー名の形式)]に対して[User Principal Name (UPN)(ユーザープリンシパル名(UPN))]または[sAMAccountName]が選択されていることを確認します。

フィルターは正常に読み込まれるが、有効にならない

AD Password Syncエージェントを起動し、エージェントが有効になっていないことを示すメッセージが表示された場合は、Okta URL(例:https://mycompany.okta.com)を入力し、[Verify URL(URLを確認)]をクリックする必要があります。入力ではhttps://プレフィックスを使用します。

信頼関係を確立できない

AD Password Syncエージェントを起動し、「The underlying connection was closed.(基になる接続が閉じられました。)Could not establish trust relationship for the SSL/TLS secure channel(SSL/TLSセキュアチャネルの信頼関係を確立できませんでした)」というメッセージが表示された場合、AD Password Syncエージェントのバージョン1.3.0以降がインストールされており、このエージェントによるSSL証明書ピン留めのサポートによってOktaサーバーと通信できない環境となっています。これは、多くの場合、SSLプロキシーに依存する環境で発生します。この場合にインストールを完了できるようにするために、Oktaでは、ドメインokta.comを許可リストに追加して、SSLプロキシー処理をバイパスすることを推奨しています。

また、以下の説明に従ってSSL証明書ピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティ強化も無効になるため注意が必要です。

SSLピンニングのサポートを無効にするには、Windowsレジストリーを次のように編集します。

  1. [Search(検索)]をクリックし、検索ボックスにregeditと入力し、Enterを押します。
  2. 「Do you want to allow this app to make changes your device?(このアプリがデバイスに変更を加えるのを許可しますか?)」というメッセージが表示されたら、[Yes(はい)]をクリックします。
  3. レジストリエディターで、[HKEY_LOCAL_MACHINE][SOFTWARE][Okta][AD Password Sync(ADパスワード同期)]に移動します。
  4. [Enable certificate pinning(証明書ピンニングの有効化)]設定をダブルクリックし、値を0に変更します。
  5. [OK]をクリックして変更内容を保存します。

SSL証明書ピンニングの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」を参照してください。