パスワードをOktaからActive Directoryに同期する
パスワードの同期を有効にすると、ユーザーパスワードがOktaからActive Directory(AD)に同期され、さらにプロビジョニング対応アプリケーションに同期されます。
OktaからADへの同期では、OktaパスワードがADにプッシュされます。これは、Oktaを最終的な認証リソースにし、Oktaに接続できないレガシーリソースへのアクセスを認証するためにADインスタンスを使用する必要がある場合に便利です。OktaをADと同期できるようにするには、ADドメインの代理認証設定をオフにする必要があります。Okta Active Directory(AD)Agentには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワード変更はすべてOktaで開始してADに反映する必要があります。また、ユーザーがADで直接パスワードを変更することを禁止する必要があります。
次のイベントにより、OktaからADへの同期がアクティブ化されます。
- ユーザーがOktaパスワードを更新する
- ユーザーがOktaパスワードを復元する
- 管理者がOktaパスワードのリセットを開始する
OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは[User must change password at next logon(ユーザーは次回ログオン時にパスワード変更が必要)]という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにログオンする必要があります。
はじめに
パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリケーションに同期するには:
- Oktaと統合されたADインスタンスを使用する
- ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとする
- Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制する
- 代理認証を無効にし、Okta ADパスワード同期エージェントはインストールしない
OktaパスワードをActive Directoryに同期する
Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。
- Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]>[Active Directory]>[Provisioning(プロビジョニング)]の順に進みます。
- [Settings(設定)]リストで、[Integration(統合)]をクリックします。
- 下にスクロールして、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
- [Save(保存)]をクリックします。
-
[Create Okta password (recommended)(Oktaパスワードを作成(推奨))]を選択します。
注意:この操作により既存のパスワードがリセットされ、新しいパスワードを作成するためのメールがADに割り当てられているすべてのユーザーに自動送信されます。
- [Disable AD Authentication(AD認証を無効化)]をクリックします。
- [Settings(設定)]リストで[To App(アプリへ)]をクリックし、[Edit(編集)]をクリックし、[Sync Password(パスワードを同期)]セクションまでスクロールし、[Enable(有効化)]を選択します。
- [Save(保存)]をクリックします。