代理認証を有効にする

代理認証では、ユーザーは組織のActive Directory(AD)の資格情報を入力することでOktaにサインインできます。

AD代理認証を有効にする

デスクトップシングルサインオンを有効にする

LDAP委任認証を有効にする

委任認証のシステムログ情報を表示する

ジャストインタイムプロビジョニング

AD委任認証を有効にする

前提条件:ADインスタンスをOktaと統合します。「Active Directory統合を管理する」を参照してください。

[Setting(設定)]ページで[New Import and Provisioning Settings Experience for Active Directory(Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス)]が有効化されていない場合は、以下の手順を実行します。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]をクリックします。
  2. ADインスタンスを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックしてから、[Settings(設定)]の下にある[Integration(統合)]をクリックします。
  4. [Delegated Authentication(代理認証)]セクションで、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]を選択します。
  5. 任意。代理認証の設定をテストします。
  1. [Test Delegated Authentication(代理認証をテスト)]をクリックします。
  2. ADのユーザー名とパスワードを入力し、[Authenticate(認証する)]をクリックします。
  3. [AD Username(ADユーザー名)]フィールドに入力する値は、Active Directory(AD)ドメイン名をサフィックスとするユニバーサルプリンシパル名(UPN)です。たとえば、ADドメイン名がoktaad.comの場合、ADユーザー名UPNには@oktaad.comというサフィックスが含まれます。ADドメイン名のサフィックスを含めない場合、代理認証は失敗します。

  4. 認証が完了したら、[Close(閉じる)]をクリックします。
  1. [Save Settings(設定を保存)]をクリックします。

[Settings(設定)]ページで[New Import and Provisioning Settings Experience for Active Directory(Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス)]が有効化されている場合は以下の手順を実施します。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]をクリックします。
  2. ADインスタンスを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[Integration(統合)]を選択します。
  4. [Delegated Authentication(代理認証)]までスクロールし、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]を選択します。
  5. 任意。代理認証の設定をテストします。
  1. [Test Delegated Authentication(代理認証をテスト)]をクリックします。
  2. ADのユーザー名とパスワードを入力し、[Authenticate(認証する)]をクリックします。
  3. 認証が完了したら、[Close(閉じる)]をクリックします。
  1. [Save(保存)]をクリックします。

デスクトップ・シングル・サインオンを有効にする

デスクトップSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。「Active Directoryデスクトップシングルサインオン」を参照してください。

LDAP委任認証を有効にする

ユーザーがOktaにサインインしたときにLDAPで認証するには、代理認証を有効にします。

前提条件:Okta LDAPエージェントをインストールして構成します。「LDAP統合の管理」を参照してください。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]をクリックします。
  2. [LDAP]タブをクリックします。
  3. [Delegated Authentication(代理認証)][Edit(編集)]をクリックします。
  4. [Enable delegated authentication to LDAP(LDAPへの代理認証を有効にする)]を選択します。
  5. 任意。代理認証の設定をテストします。
  1. [Test Delegated Authentication(代理認証をテスト)]をクリックします。
  2. LDAPユーザー名とパスワードを入力し、[Authenticate(認証)]をクリックします。
  3. 認証が完了したら、[Close(閉じる)]をクリックします。
  1. [Save(保存)]をクリックします。

エンドユーザーにLDAPパスワードの変更またはリセットを許可する

OktaでエンドユーザーにLDAPパスワードの変更を許可することができます。ユーザーのパスワードが期限切れの場合は、次にOktaにサインインしようとしたときにパスワードを変更するように求められます。

エンドユーザーは、ドロップダウンメニューから自分の名前をクリックし、[Settings(設定)]>[Account(アカウント)]>[Change Password(パスワードを変更)]をクリックして、[Home(ホーム)]ページからパスワードを変更できます。

この機能を使用するには、Okta LDAPエージェントのバージョン5.3.0以降が必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション(OpenLDAPやIBMなど)で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、「LDAP統合」を参照してください。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]をクリックします。
  2. [LDAP]タブをクリックします。
  3. [Delegated Authentication(代理認証)][Edit(編集)]をクリックします。
  4. [Enable delegated authentication to LDAP(LDAPへの代理認証を有効にする)]を選択します。
  5. LDAPパスワードポリシーで、[Users can change their LDAP passwords in Okta(ユーザーはOktaでのLDAPパスワードを変更できます)]を選択します。
  6. [Password Rules Message(パスワードルールメッセージ)]フィールドに、エンドユーザーがパスワードを変更する際に従うべきパスワードポリシールールを記述します。
  7. [Users can reset forgotten LDAP passwords in Okta(ユーザーはOktaでLDAPパスワードを忘れた場合にリセットできます)]を選択します。

新規ユーザーを作成またはインポートしてアクティブ化すると、[Welcome(ようこそ)]ページでセカンダリのメールアドレスの入力を求められます。エンドユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。

エンドユーザーがパスワードを忘れた場合、またはサインイン試行が何度も失敗してLDAPアカウントがロックされた場合、Okta Sign-in Widgetで[Need Help signing in?(サインインでヘルプが必要ですか?)]>[Forgot password or unlock account(パスワードを忘れた場合やアカウントをアンロックする)]リンクをクリックすることで電子メールやSMSを使用してパスワードをリセットできます。

  • [Reset via email(メールでリセット)]:エンドユーザーはユーザー名またはメールアドレスを入力してから、[Send Email(メールを送信)]ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウントのパスワードリセット用メールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたために[Forgot password?(パスワードを忘れた場合)]リンクをクリックしたユーザーは、LDAPパスワードが変更され、アカウントのロックが解除されます。
  • [Reset via SMS(SMSでリセット)]:エンドユーザーはユーザー名またはメールアドレスを入力してから、[Send Text Message(テキストメッセージを送信)]ボタンをクリックします。これにより、パスワードリセットコードを含むテキストメッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトに従ってパスワードをリセットします。
  1. [Save(保存)]をクリックします。

代理認証のシステムログ情報を表示する

AD代理認証のボトルネックを特定しやすくするため、システムログには各代理認証(Del Auth)リクエストの所要時間に関する情報が含まれています。システムログには次の時間がミリ秒単位で含まれています。

  • delAuthTimeTotalOktaで代理認証に費やされた合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
  • delAuthTimeSpentAtAgent:エージェントがリクエストの処理に費やした合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
  • delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。

:この機能を使用するには、ADエージェントのバージョン3.1.0以降が必要です。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]をクリックします。
  2. ADインスタンスを選択します。
  3. ページの上部にある[View Logs(ログを表示)]をクリックします。

ジャストインタイムプロビジョニング

ジャストインタイム(JIT)プロビジョニングについての詳細は、以下を参照してください。

orgでJITが有効になっていて、ADまたはLDAP統合で代理認証が選択されている場合、JITを使用してユーザープロファイルを作成し、ユーザーデータをインポートします。