Active Directoryの委任認証を有効にする
委任認証では、ユーザーは組織のActive Directory(AD)の資格情報を入力することでOktaにサインインできます。また、LDAP(Lightweight Directory Access Protocol)を使用するユーザーストアの資格情報を使ってOktaにサインインすることもできます。「LDAPの委任認証を有効にする」を参照してください。
開始する前に
ADインスタンスとOktaを統合します。「Active Directory統合を管理する」を参照してください。
AD委任認証を有効にする
- Admin Consoleで に移動します。
- ADインスタンスを選択します。
- [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[Integration(統合)]を選択します。
- [Delegated Authentication(委任認証)]までスクロールし、[Enable delegated authentication to Active Directory(Active Directoryへの委任認証を有効にする)]を選択します。
- 任意。委任認証の設定をテストします。
- [Test Delegated Authentication(委任認証をテスト)]をクリックします。
- ADのユーザー名とパスワードを入力し、[Authenticate(認証する)]をクリックします。
- 認証が完了したら、[Close(閉じる)]をクリックします。
- [Save(保存)]をクリックします。
デスクトップシングルサインオンを有効にする
デスクトップSSOを使用すれば、ユーザーはWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスするアプリによって自動的に認証されます。「Active Directoryデスクトップシングルサインオン」を参照してください。
委任認証のシステムログ情報を表示する
ボトルネックを容易に特定できるように、System Logには各委任認証(Del Auth)リクエストの所要時間に関する情報が記録されます。System Logには、次の委任認証プロパティの時間がミリ秒単位で記録されます。
- delAuthTimeSpentAtAgent:エージェントがリクエストの処理に要した合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
- delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。
この機能を使用するには、3.1.0以降のバージョンのAD Agentが必要です。
- Okta Admin Consoleで をクリックします。
- ADインスタンスを選択します。
- ページの上部にある[View Logs(ログを表示)]をクリックします。
ジャストインタイムプロビジョニング
Active Directoryでのジャストインタイム(JIT)プロビジョニングの使用に関する詳細については、「Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新する」を参照してください。デスクトップSSOでのJITプロビジョニングについては、「一般的なカスタマイズ設定を構成する」を参照してください。
orgでJITが有効化され、AD統合で委任認証が選択されている場合、JITはユーザープロファイルの作成とユーザーデータのインポートに使用されます。