IBM LDAP統合リファレンス
このトピックでは、IBM Lightweight Directory Access Protocol(LDAP)統合に固有の参考情報を提供します。Okta LDAP Agentのインストール時にIBMディレクトリをOktaと統合する際に、この情報が必要になります。「Okta LDAP Agentのインストール」を参照してください。
既知の問題
- ユーザーは、期限が切れた自分のパスワードを更新できません。管理者によるリセットが必要です。
- プロビジョニング設定に[Do nothing(何もしない)]と表示される場合、ユーザーが非アクティブ化されてもOktaではアクティブなままとなります。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。
統合の構成
「Okta LDAP Agentのインストール」に記載されているエージェントの初期インストールおよび構成時の、IBM統合の属性は次のとおりです。
- 一意のID属性:ibm-entryuuid
- DN属性:distinguishedname
- ユーザーオブジェクトクラス:inetorgperson
- ユーザーオブジェクトフィルター:(objectclass=inetorgperson)
- *アカウントで無効化された属性:ibm-pwdAccountLocked
- *アカウントで無効化された値:TRUE
- *アカウントで有効になっている値:FALSE
- パスワード属性:userpassword
- グループオブジェクトクラス:groupofuniquenames
- グループオブジェクトフィルター: (objectclass=groupofuniquenames)
- メンバー属性:uniquemember
アカウントをロックするには、ユーザーのパスワードを削除するか、pwdLockout属性をTRUEに設定します。その他のユーザープロファイル属性を選択するには、Profile Editorを使用します。
スキーマの参照
IBM LDAPの統合に関する、特別な考慮事項はありません。
パスワード変更
ユーザーはOkta End-User Dashboardで[Settings(設定)]を選択してパスワードを変更できます。
ユーザーが自分のパスワードを変更またはリセットできるようにするには、[LDAP]タブを選択してから を選択します。
をクリックし、Admin Consoleの[Delegated Authentication(委任認証)]ページに検証エラーメッセージが表示されます。
パスワードは、デフォルトではプレーンテキストです。保存前にパスワードを暗号化するには、「IBM Security Directory Server」ドキュメントの「パスワードの暗号化」を参照してください。
パスワードリセット
パスワードリセットは、管理者またはユーザーがパスワードを忘れた場合のフローによってトリガーされます。
IBMのパスワードポリシーはOktaでは複製されません。LDAPパスワードポリシーの基準を満たさないパスワードが生成され、認証が失敗する可能性があります。これを回避するには、Oktaでパスワードリセットを許可する前に、IBM Directory Serverのパスワードポリシーを確認し、競合を特定して修正してください。
ユーザーは、期限切れのパスワードを更新できません。管理者によるリセットが必要です。
IBM LDAP統合ではパスワードの期限切れに対する警告はサポートされておらず、LDAPグループパスワードポリシーの[Password age(パスワードの有効期間)]値を設定しても効果はありません。
インポート
IBM LDAPの統合に関する、特別な考慮事項はありません。
JITプロビジョニング
IBMジャストインタイム(JIT)プロビジョニングに関する特別な考慮事項はありません。ユーザーID(UID)は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IdP)を使用しないでください。
JITプロビジョニングを正常に完了するには、次の条件が満たされている必要があります。
- 構成された命名属性(UIDなど)の値がOktaに存在しないこと。
- 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリで一意であること。
- 必須属性が存在すること。Oktaのデフォルトはemail、givenName、sn、uidです。
- パスワードが正しいこと。
- [Account Disabled Attribute(アカウントで無効化されている属性)]がLDAPサーバーでfalseに設定されていること。
JITプロビジョニングが正常に完了すると、[LDAP settings(LDAP設定)]ページとProfile Editorで指定されたすべてのユーザー属性がインポートされます。その他の必須属性を選択するには、Profile Editorを使用します。
プロビジョニング
IBMのパスワードポリシーはOktaでは複製されません。LDAPパスワードポリシーの基準を満たさないパスワードが生成され、認証が失敗する可能性があります。これを回避するには、Oktaでパスワードリセットを許可する前に、IBM Directory Serverのパスワードポリシーを確認し、競合を特定して修正してください。
ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。
- Oktaカスタマーサポートに連絡してLDAPプッシュパスワードの更新を有効化します。
- 次の手順を実行して、委任認証を無効にします。
- Okta Admin Consoleで、 に移動します。
- [Delegated Authentication(委任認証)]ペインで[Edit(編集)]をクリックします。
- [Enable delegated authentication to LDAP(LDAPへの委任認証を有効にする)]チェックボックスをオフにします。
- [Save(保存)]をクリックします。
- デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、[Disable LDAP Authentication(LDAP認証を無効にする)]をクリックします。
- デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、[Disable LDAP Authentication(LDAP認証を無効にする)]をクリックします。
- Okta Admin Consoleを開き、 の順にクリックします。
- [Edit(編集)]をクリックし、[Sync Password(パスワードを同期)]の横にある[Enable(有効)]を選択して、[Save(保存)]をクリックします。
[Sync Password(パスワードを同期)]が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。
既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。
- Okta Admin Consoleで に移動します。
- [Edit(編集)]をクリックし、[Create Users(ユーザーを作成)]の横にある[Enable(有効)]を選択して、[Save(保存)]をクリックします。
- をクリックします。
- ユーザーを割り当てるOktaグループを選択します。
- [Manage Directories(ディレクトリを管理)]をクリックします。
- 左側のペインでLDAPインスタンスを選択し、[Next(次へ)]をクリックします。
- [Provisioning Destination DN(プロビジョニング宛先DN)]フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
- [Confirm Changes(変更を確認)]をクリックします。
トラブルシューティング
LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。
エージェント:成功
scanResultsがユーザーおよびグループ情報とともに送信されます。
POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSx27FqYtCqky2Wv0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=IBM
エージェント:委任認証の失敗
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSx1f9Wa5VsAmx8g0g3, diagnostic message=, error code=49, matched dn=cn=DelAuth,ou=Automation,O=FOX, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=IBM
エージェント:ユーザーなし
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSx1zLU1yUw7hcKM0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=asdfasdf)), result code=, vendor=IBM
エージェント:パスワードの有効期限切れ
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSydvdqGivWZ2eBN0g3, diagnostic message=, error code=508, matched dn=cn=PasswordExpired,ou=Automation,o=FOX, message=LDAPException(resultCode=508, errorMessage='508'), result code=508, vendor=IBM
エージェント:ロックアウト
POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSyhmxo2EEQAPJTu0g3, diagnostic message=Error, Account is locked, error code=53, matched dn=cn=smith117 newman,ou=automation,o=fox, message=LDAPException(resultCode=53 (unwilling to perform), errorMessage='Error, Account is locked', diagnosticMessage='Error, Account is locked'), result code=unwilling to perform, vendor=IBM