パスワード同期のトラブルシューティング
ここに記載されている情報を使用して、パスワードの同期の問題を解決してください。
パスワードの同期の問題を解決するための提案を次に示します。
- Oktaシステム・ログを確認して、パスワード同期イベントの結果、パスワードがアプリケーションまたはActive Directory(AD)にプッシュされたかどうかを確認します。
- パスワード同期の対象アプリケーションに手動でサインオンして、どのパスワードが機能しているか判別します。
- OktaからADへの同期で問題がある場合、Okta AD Agentのサービス・アカウントの権限が正しいこと、およびAgent.logファイルにエラーがないことを確認します。
- Okta AD AgentとPassword Sync Agent(PSA)のログで同期イベントを確認します。
- 失敗したパスワード同期イベントは、[タスク]ページのタスク・リストに表示されます。
Okta AD Password Sync Agentがすべてのドメイン・コントローラーにインストールされていて、ユーザーのADパスワードが変更されたが、ユーザーがデスクトップSSOを使用してアプリにサインインできない
この問題の原因として考えられるのは、組織の[Oktaユーザー名のフォーマット]が[ユーザー・プリンシパル名(UPN)]または[sAMAccountName]に設定されていないことです。AD Password Sync Agentを機能させるには、 [Oktaユーザー名のフォーマット]を[ユーザー・プリンシパル名(UPN)] または[sAMAccountName]に設定する必要があります。[Oktaユーザー名のフォーマット]の設定を確認するには:
- 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]。
- [Active Directory]をクリックし、[プロビジョニング]タブをクリックします。
- [設定]リストで、[Oktaへ]をクリックします。
- [一般]領域で、[Oktaユーザー名のフォーマット]に対して[ユーザー・プリンシパル名(UPN)]または[sAMAccountName]が選択されていることを確認します。
フィルターは正常に読み込まれるが、有効にならない AD Password Syncエージェントを起動し、エージェントが有効になっていないことを示すメッセージが表示された場合は、Okta URL(例:https://mycompany.okta.com)を入力し、[URLを確認]をクリックする必要があります。入力ではhttps://プレフィックスを使用します。
信頼関係を確立できない AD Password Syncエージェントを起動し、[基になる接続が閉じられました。SSL/TLSセキュア・チャネルの信頼関係を確立できませんでした]というメッセージが表示された場合、AD Password Syncエージェントのバージョン1.3.0以降がインストールされており、このエージェントによるSSL証明書ピンニングのサポートによってOktaサーバーと通信できない環境となっています。これは、多くの場合、SSLプロキシーに依存する環境で発生します。この場合にインストールを完了できるようにするために、Oktaでは、ドメインokta.comを許可リストに追加して、SSLプロキシー処理をバイパスすることを推奨しています。
また、以下の説明に従ってSSL証明書ピンニングを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティー強化も無効になるため注意が必要です。
SSLピンニングのサポートを無効にするには、Windowsレジストリーを次のように編集します。
- [検索]をクリックし、検索ボックスにregeditと入力し、Enterを押します。
- [このアプリがデバイスに変更を加えるのを許可しますか?]というメッセージが表示されたら、[はい]をクリックします。
- レジストリエディターで、[HKEY_LOCAL_MACHINE] > [SOFTWARE] > [Okta] > [ADパスワード同期]に移動します。
- [証明書ピンニングの有効化]設定をダブルクリックし、値を0に変更します。
- [OK]をクリックして変更内容を保存します。
SSL証明書ピンニングの詳細については、「Webアプリケーション・セキュリティー・プロジェクトを開く」を参照してください。