LDAP統合のトラブルシューティング

LDAPの問題をトラブルシューティングするには、Apache Directory StudioなどのLDAPブラウザーを入手してください。

スキーマテンプレートは一般的な値に基づく提案です。LDAP環境はそれぞれ固有であり、デフォルト値を環境固有の設定で上書きする必要がある場合があります。Apache Directory Studioを使用して既存のユーザーやグループの属性を調べてテンプレートの値を確認することや、適切な設定を選択することができます。

テンプレートを変更すると、テンプレートのすべてのデフォルト値が変更されます。上書きした設定は変更されません。

エージェントのインストール時のエラー

エージェントのインストール中、[Allow Access(アクセスを許可)]をクリックした後に、次のエラーメッセージが表示される:

「Oktaからの応答の解析に失敗し、エージェントを登録できません。エラーコード12。」

ログを確認し、次のエントリーを探します:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No valid public key found in certificate chain.

ログにこのエントリーが含まれている場合は、おそらくJava LDAPエージェントversion 5.3.1以降をインストールしようとしています。お使いの環境では、エージェントによるSSL証明書のピン留めのサポートによってOktaサーバーとの通信が妨げられています。これは、多くの場合、SSL proxies(SSLプロキシー)に依存する環境で発生します。この場合、インストールが完了するようにするには、ドメイン「okta.com」を許可リストに追加してSSLプロキシの処理をバイパスすることをお勧めします。

また、以下の手順に従ってSSLピン留めを無効にすることもできますが、これを行うと、エージェントが提供するセキュリティ強化も無効になるため注意が必要です。

SSL証明書のピン留めのサポートを無効にするには、ご使用のオペレーティングシステムに応じて以下の手順を実行します。

Windows

コマンドラインからOkta LDAP Agentをインストールします。

  1. ホストサーバーで、super admin(スーパー管理者)権限を持つOkta管理者アカウントを使用してOktaにサインインし、Admin Consoleにアクセスします。
  2. 次の手順を実行して、Okta LDAP Agentをダウンロードします。
    1. Okta Admin Consoleで、[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]の順に進みます。
    2. [Add Directory(ディレクトリを追加)][Add LDAP Directory(LDAPディレクトリを追加)]をクリックします。
    3. インストール要件を確認し、[Set Up LDAP(LDAPのセットアップ)]をクリックします。
    4. [Download Agent(エージェントをダウンロード)]をクリックし、[Download EXE Installer(EXEインストーラーをダウンロード)]を選択して、Windowsサーバーにこれをダウンロードします。
  3. コマンドラインを開き、次のコマンドを実行します。OktaADAgentSetup.exe OktaDisableSslPinning=1
  4. インストールを完了します。
    1. [Do you want to allow the following program to make changes to this computer?(このアプリがこのコンピューターに変更を加えることを許可しますか?)]というメッセージが表示されたら、[Yes(はい)]をクリックします。
    2. [Next(次へ)]をクリックします。
    3. ライセンス契約に同意して、[Next(次へ)]をクリックします。
    4. デフォルトのインストールフォルダーの場所をそのまま使用するか、[Browse(参照)]をクリックして別の場所を選択し、[Install(インストール)]をクリックします。 
    5. 任意。LDAP over SSL(LDAPS)を有効にする場合は、[Enable LDAP over SSL(LDAP over SSLを有効にする)]を選択して、この手順を続行します。
    6. LDAP構成ページで、次の情報を入力します。
      • [LDAP Server(LDAPサーバー)]:LDAPホストとポートをhost:portの形式で入力します。例:ldap.mycompany.com:389
      • [Root DN(ルートDN)]:ユーザーおよびグループの検索元となるDITのルート識別名。
      • [Bind DN(バインドDN)]:エージェントがLDAPディレクトリに接続するために使用するバインドLDAPユーザーの識別名。
      • [Bind Password(バインドパスワード)]:エージェントがLDAPディレクトリに接続するために使用するバインド識別名のパスワード。
      • 任意。[SSL接続を使用する]:LDAP over SSL(LDAPS)を有効にする場合に選択します。(Note(注):[Enable LDAP over SSL(LDAP over SSLを有効にする)]の手順を実行せずにこのオプションを選択すると、エラー[Enable LDAP over SSL(指定したLDAPサーバーに接続できませんでした)]が表示されます。)
  5. [Next(次へ)]をクリックします。
  6. 任意。[Okta LDAP Agent Proxy Configuration(Okta LDAP Agentプロキシー構成)]ページでOkta LDAP Agentのプロキシサーバーを入力し、[Next(次へ)]をクリックします。

    LDAPプロキシーサーバーが独自のスキーマを返す場合は、プロキシサーバーのスキーマとLDAPサーバーのスキーマが異なると、ユーザーデータのインポート時に問題が発生する可能性があります。データインポートの問題を回避するには、LDAPプロキシサーバーとLDAPサーバーのスキーマが同一であることを確認してください。

  7. Okta LDAP AgentOktaサービスに登録するには、Oktaサブドメイン名を入力し、[Next(次へ)]をクリックします。
  8. [Okta Sign In(Oktaサインイン)]ページで、Okta管理者アカウントのユーザー名とパスワードを入力し、[Sign In(サインイン)]をクリックします。
  9. [Allow Access(アクセスを許可)]をクリックしてOkta APIにアクセスします。Note(注):エラーメッセージが表示される場合は、「Okta LDAPエージェントログの特定」を参照してください。
  10. [Finish(終了)]をクリックします。
  11. LDAP統合設定を構成します。

SSL証明書のピン留めのサポートが無効になっていて再有効化する場合:

  1. Active Directory Agent構成ファイルを見つけて開きます。C:\Program Files (x86)\Okta\Okta AD Agent\OktaAgentSetup.exe.config
  2. SSLピン留めの有効化設定をTrueに変更します。"SslPinningEnabled" value="True"
  3. 構成ファイルを保存して、エージェントを再起動します。

Linux

  1. コマンド ラインで、SSLピン留め有効化設定をfalseに変更します。$ sudo /opt/Okta/OktaLDAPAgent/scripts/configure_agent.sh -sslPinningEnabled false
  2. 構成ファイルを保存して、エージェントを再起動します。

インストールの完了後にSSL証明書ピン留めのサポートを再度有効にするには、OktaLDAPAgent.confを開き、SSLピン留め有効化設定をtrueに変更します。

SSL証明書のピン止めの詳細については、「Webアプリケーションセキュリティプロジェクトを開く」の記事を参照してください。

LDAPロールオブジェクトをインポートできない

ユースケース

LDAPディレクトリにロールを作成したが、JITが有効になっていても、ロールに割り当てられたユーザーがOktaにサインインしたときに、そのロールがOktaにインポートされない。

LDAPロールがOktaに取り込まれるタイミング

LDAPロールは、JIT中ではなく、インポート中にのみOktaに取り込まれます。LDAPロールは、Oktaに取り込まれた後、グループとして表されます。

LDAPグループがOktaに取り込まれるタイミング

LDAPグループは、インポート中およびJIT中にOktaに取り込まれます。

回避策

すべてのユーザーアカウントをOktaにインポートしたくないときは、次のいずれかの回避策をプレビューorgに実装することを検討してください。期待した結果が得られた場合は、本番orgに回避策を実装できます。

特定のLDAPロールと同じメンバーシップを持つグループをOktaにインポートする
  1. インポートするLDAPのロールと同じメンバーシップを持つグループをLDAPに作成します。

  2. JITプロビジョニングまたはLDAPインポートのいずれかを使用して、そのグループとそのメンバーシップをOktaに取り込み、目的のアプリケーションまたは統合に割り当てます。

不要なオブジェクトを確認せずにOktaへのLDAPインポートを実行する
  1. Oktaで、[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)][LDAP][Settings(設定)][Import Settings(インポート設定)]に移動します。

  2. [Import Matching Rules(一致ルールをインポート)]セクションで、下にスクロールして[When no match found(一致が見つからない場合)]に移動し、[Manually confirm new user(新しいユーザーを手動で確認する)]を選択します。これにより、インポートの実行時に新しいユーザーアカウントがOktaに自動的に作成されることがなくなります。

  3. LDAPディレクトリに対してインポートを実行して、ステップ1で作成したグループをインポートします。グループメンバーは、後ほどOktaへのJIT時にグループに追加されます。

非アクティブなLDAPアカウントを一時的に分離する

LDAPディレクトリに非アクティブなユーザーアカウントが多数含まれているためにインポートを実行したくない場合、インポート前に次の回避策を実行して、非アクティブである可能性のあるアカウントを特定し、それらを分離できます。

  1. LDAPディレクトリに対して属性lastlogon(または非アクティブなアカウントをフィルタリングする別の属性)のクエリを実行します。

  2. 非アクティブなユーザーオブジェクトを同期コンテナーの外部に移動して、インポート中にOktaに導入されないようにします。インポートの終了後にこれらのオブジェクトを元の場所に移動できます。

FIPSモードの構成が原因でLDAPエージェントのインストールが失敗する

以下のシナリオでは、FIPSモードの構成に起因するLDAPエージェントのインストール失敗をトラブルシューティングする手順を示します。

  • インタラクティブフロー中にエージェントのインストールが失敗した場合は、フローを再実行し、FIPSモードを有効にするよう求めるプロンプトが表示されたらNを選択します。

  • エージェントのアップグレードプロセス中にエラーが発生した場合は、構成ファイルにfipsMode=falseを追加してインストールコマンドを再実行します。

ユーザー名の確認時のエラー

ユーザー名を確認するときに、次のエラーが表示される:「Username: Does not match required pattern(ユーザー名:必要なパターンと一致しません)」

ユーザー名はメール形式にする必要があります。インポート設定が正しく設定されていることを確認します。「Okta LDAPエージェントをインストールして構成する」を参照してください。

SSLチェックボックスをオンにした後のエラー

[Use SSL connection(SSL接続を使用する)]チェックボックスをオンにすると、次のエラーが発生する:「Failed to connect to the specified LDAP server displays.(「指定したLDAPサーバーに接続できませんでした)」

LDAP over SSL(LDAPS)が有効になっていることを確認してください。「LDAP over SSLを有効にする」を参照してください。