パスワード同期のトラブルシューティング

Okta AD Password Sync Agentがすべてのドメインコントローラーにインストールされていて、ユーザーのADパスワードが変更されたが、ユーザーがデスクトップSSOを使用してアプリにサインインできない

この問題の原因として考えられるのは、orgの［Oktausername format（Oktaユーザー名のフォーマット）］が［User Principal Name (UPN)（ユーザープリンシパル名（UPN））］または［sAMAccountName］に設定されていないことです。ADパスワード同期エージェントを機能させるには、［Okta username format（Oktaユーザー名のフォーマット）］を［User Principal Name (UPN)（ユーザープリンシパル名（UPN））］または［sAMAccountName］に設定する必要があります。［Okta username format（Oktaユーザー名のフォーマット）］の設定を確認するには：

Okta Admin Consoleで、［Directory（ディレクトリ）］>［Directory Integrations（ディレクトリ統合）］の順に進みます。
［Active Directory］をクリックし、［Provisioning（プロビジョニング）］タブをクリックします。
［Settings（設定）］リストで、［To Okta（Oktaへ）］をクリックします。
［General（一般）］領域で、［Okta username format（Oktaユーザー名のフォーマット）］に対して［User Principal Name (UPN)（ユーザープリンシパル名（UPN））］または［sAMAccountName］が選択されていることを確認します。

フィルターは正常に読み込まれるが、有効にならない

AD Password Syncエージェントを起動し、エージェントが有効になっていないことを示すメッセージが表示された場合は、Okta URL（例：https://mycompany.okta.com）を入力し、［Verify URL（URLを確認）］をクリックする必要があります。入力ではhttps://プレフィックスを使用します。

信頼関係を確立できない

AD Password Syncエージェントを起動し、「The underlying connection was closed.（基になる接続が閉じられました。）Could not establish trust relationship for the SSL/TLS secure channel（SSL/TLSセキュアチャネルの信頼関係を確立できませんでした）」というメッセージが表示された場合、AD Password Syncエージェントのバージョン1.3.0以降がインストールされており、このエージェントによるSSL証明書ピン留めのサポートによってOktaサーバーと通信できない環境となっています。これは、多くの場合、SSLプロキシーに依存する環境で発生します。この場合にインストールを完了できるようにするために、Oktaでは、ドメインokta.comを許可リストに追加して、SSLプロキシー処理をバイパスすることを推奨しています。

また、以下の説明に従ってSSL証明書ピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティ強化も無効になるため注意が必要です。

SSLピンニングのサポートを無効にするには、Windowsレジストリーを次のように編集します。

［Search（検索）］をクリックし、検索ボックスにregeditと入力し、Enterを押します。
「Do you want to allow this app to make changes your device?（このアプリがデバイスに変更を加えるのを許可しますか？）」というメッセージが表示されたら、［Yes（はい）］をクリックします。
レジストリエディターで、［HKEY_LOCAL_MACHINE］>［SOFTWARE］>［Okta］>［AD Password Sync（ADパスワード同期）］に移動します。
［Enable certificate pinning（証明書ピンニングの有効化）］設定をダブルクリックし、値を0に変更します。
［OK］をクリックして変更内容を保存します。

SSL証明書ピンニングの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」を参照してください。