パスワードをOktaからActive Directoryに同期する

パスワードの同期を有効にすると、ユーザーパスワードがOktaからActive Directory（AD）に同期され、さらにプロビジョニング対応アプリケーションに同期されます。

OktaからADへの同期では、OktaパスワードがADにプッシュされます。これは、Oktaを最終的な認証リソースにし、Oktaに接続できないレガシーリソースへのアクセスを認証するためにADインスタンスを使用する必要がある場合に便利です。OktaをADと同期できるようにするには、ADドメインの代理認証設定をオフにする必要があります。Okta Active Directory（AD）Agentには、新しいパスワードをADに書き込むための追加の権限が必要です。パスワード変更はすべてOktaで開始してADに反映する必要があります。また、ユーザーがADで直接パスワードを変更することを禁止する必要があります。

次のイベントにより、OktaからADへの同期がアクティブ化されます。

• ユーザーがOktaパスワードを更新する
• ユーザーがOktaパスワードを復元する
• 管理者がOktaパスワードのリセットを開始する

OktaユーザーがOktaアカウントをアクティブ化した後にADにプッシュされた場合、ADユーザーオブジェクトは［User must change password at next logon（ユーザーは次回ログオン時にパスワード変更が必要）］という状態になります。このシナリオでは、パスワードをOktaからADにプッシュするために、ユーザーは最初にOktaにログオンする必要があります。

はじめに

パスワードをOktaからADに同期し、さらにプロビジョニング対応アプリケーションに同期するには：

• Oktaと統合されたADインスタンスを使用する
• ADインスタンスにインポートまたは割り当てられるユーザーはOktaをソースとする
• Okta AD Agentのサービスアカウントにより、ユーザーにパスワードのリセットを許可し、パスワードの変更権限を強制する
• 代理認証を無効にし、Okta ADパスワード同期エージェントはインストールしない

OktaパスワードをActive Directoryに同期する

Oktaの初期セットアップ中、またはユーザーのOktaパスワードが変更されるたびに、ユーザーのOktaパスワードをADにプッシュします。

1. Okta Admin Consoleで、［Directory（ディレクトリ）］>［Directory Integrations（ディレクトリ統合）］>［Active Directory］>［Provisioning（プロビジョニング）］の順に進みます。
2. ［Settings（設定）］リストで、［Integration（統合）］をクリックします。
3. 下にスクロールして、［Enable delegated authentication to Active Directory（Active Directoryへの代理認証を有効にする）］チェックボックスをオフにします。これにより、ADをソースとするパスワードがOktaに転送されます。
4. ［Save（保存）］をクリックします。

5. ［Create Okta password (recommended)（Oktaパスワードを作成（推奨））］を選択します。

   注意：この操作により既存のパスワードがリセットされ、新しいパスワードを作成するためのメールがADに割り当てられているすべてのユーザーに自動送信されます。

6. ［Disable AD Authentication（AD認証を無効化）］をクリックします。
7. ［Settings（設定）］リストで［To App（アプリへ）］をクリックし、［Edit（編集）］をクリックし、［Sync Password（パスワードを同期）］セクションまでスクロールし、［Enable（有効化）］を選択します。
8. ［Save（保存）］をクリックします。