委任認証を有効にする

委任認証では、ユーザーは組織のActive Directory(AD)の資格情報を入力することでOktaにサインインできます。

AD委任認証を有効にする

前提条件:ADインスタンスをOktaと統合します。Active Directory統合を管理するを参照してください。

[設定]ページで[Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス]有効にしていない場合は、次の手順を使用します。

  1. Okta管理コンソールで、[ディレクトリー] > [ディレクトリー統合]をクリックします。
  2. ADインスタンスを選択します。
  3. [設定]タブをクリックし、[委任認証]領域の[Active Directoryへの委任認証を有効にする]を選択します。
  4. 任意:委任認証の設定をテストします。
  1. [委任認証をテスト]をクリックします。
  2. ADのユーザー名とパスワードを入力し、[認証する]をクリックします。
  3. [ADユーザー名]フィールドに入力する値は、Active Directory(AD)ドメイン名をサフィックスとするユニバーサル・プリンシパル名(UPN)です。たとえば、ADドメイン名がoktaad.comの場合、ADユーザー名UPNには@oktaad.comというサフィックスが含まれます。ADドメイン名のサフィックスを含めない場合、委任認証は失敗します。

  4. 認証が完了したら[閉じる]をクリックします。
  1. [設定を保存]をクリックします。

[設定]ページで[Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス]を有効にした場合は、この手順を使用します。

  1. Okta管理コンソールで、[ディレクトリー] > [ディレクトリー統合]をクリックします。
  2. ADインスタンスを選択します。
  3. [プロビジョニング]タブをクリックし、[設定]リストで[統合]を選択します。
  4. [委任認証]までスクロールし、[Active Directoryへの委任認証を有効にする]を選択します。
  5. 任意:委任認証の設定をテストします。
  1. [委任認証をテスト]をクリックします。
  2. ADのユーザー名とパスワードを入力し、[認証する]をクリックします。
  3. 認証が完了したら[閉じる]をクリックします。
  1. [保存]をクリックします。

デスクトップ・シングル・サインオンを有効にする

デスクトップSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。Active Directoryデスクトップ・シングル・サインオンを参照してください。

LDAP委任認証を有効にする

ユーザーがOktaにサインインしたときにLDAPで認証するには、委任認証を有効にします。

前提条件:Okta LDAP Agentをインストールして構成します。LDAP統合の管理を参照してください。

  1. Okta管理コンソールで、[セキュリティー] > [委任認証]をクリックします。
  2. [LDAP] タブをクリックします。
  3. [委任認証][編集]をクリックします。
  4. [LDAPへの委任認証を有効にする]を選択します。
  5. 任意:委任認証の設定をテストします。
  1. [委任認証をテスト]をクリックします。
  2. LDAPのユーザー名とパスワードを入力し、[認証する]をクリックします。
  3. 認証が完了したら[閉じる]をクリックします。
  1. [保存]をクリックします。

エンド・ユーザーによるLDAPパスワードの変更またはリセットを許可する

Oktaでエンド・ユーザーがLDAPパスワードを変更できるようにすることができます。ユーザーのパスワードが期限切れの場合は、次にOktaにサインインしようとしたときにパスワードを変更するように求められます。

エンド・ユーザーは、ドロップダウン・メニューから自分の名前をクリックし、[設定] > [アカウント] > [パスワードを変更]をクリックして、[ホーム]ページからパスワードを変更できます。

この機能を使用するには、Okta LDAPエージェント・バージョン5.3.0以降が必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション(OpenLDAPやIBMなど)で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、LDAP 統合を参照してください。

  1. Okta管理コンソールで、[セキュリティー] > [委任認証]をクリックします。
  2. [LDAP] タブをクリックします。
  3. [委任認証][編集]をクリックします。
  4. [LDAPへの委任認証を有効にする]を選択します。
  5. LDAPパスワード・ポリシーで、[ユーザーはOktaでのLDAPパスワードを変更できます]を選択します。
  6. [パスワード・ルール・メッセージ]フィールドに、エンド・ユーザーがパスワードを変更する際に従う必要のあるパスワード・ポリシー・ルールについての説明があります。
  7. [ユーザーはOktaでLDAPパスワードを忘れた場合にリセットできます]を選択します。

新規ユーザーを作成またはインポートしてアクティブ化すると、[ようこそ]ページで予備のメール・アドレスの入力を求められます。エンド・ユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。

エンド・ユーザーがパスワードを忘れた場合や、サインインに失敗した回数が多すぎてLDAPアカウントがロックされた場合は、Oktaサインイン・ウィジェットの [サインインについてサポートが必要ですか?]> [パスワードを忘れた場合、またはアカウント・ロック解除]リンクをクリックして、メールまたはSMSでパスワードをリセットします。

  • [メールでリセット]: エンド・ユーザーはユーザー名またはメール・アドレスを入力してから、[メールを送信]ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウント・パスワードのリセットのメールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたために[パスワードを忘れた場合]リンクをクリックしたユーザーの場合、LDAPパスワードが変更され、アカウントのロックが解除されます。
  • [SMSでリセット]:エンド・ユーザーはユーザー名またはメール・アドレスを入力してから、[テキスト・メッセージを送信]ボタンをクリックします。これにより、パスワード・リセット・コードを含むテキスト・メッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトを続けてパスワードをリセットします。
  1. [保存]をクリックします。

Del Authシステム・ログ情報を表示する

AD委任認証のボトルネックを特定しやすくするため、システム・ログには各委任認証(Del Auth)リクエストの所要時間に関する情報が含まれています。システム・ログには次の時間(ミリ秒)が含まれています。

  • delAuthTimeTotal:OktaでDel Authに費やされた合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
  • delAuthTimeSpentAtAgent:エージェントがリクエストの処理に費やした合計時間。これには、ドメイン・コントローラーで費やされた時間が含まれます。
  • delAuthTimeSpentAtDomainController:ドメイン・コントローラーで費やされた時間。

:この機能を使用するには、ADエージェントのバージョン3.1.0以降が必要です。

  1. Okta管理コンソールで、[ディレクトリー] > [ディレクトリー統合]をクリックします。
  2. ADインスタンスを選択します。
  3. ページの上部にある[ログを表示]をクリックします。

ジャスト・イン・タイム・プロビジョニング

ジャスト・イン・タイム(JIT) プロビジョニングの詳細については、以下を参照してください。

組織でJITが有効になっていて、ADまたはLDAP統合で委任認証が選択されている場合、JITを使用してユーザー・プロファイルを作成し、ユーザー・データをインポートします。