代理認証を有効にする

代理認証では、ユーザーはOrganizationのActive Directory（AD）の資格情報を入力することでOktaにサインインできます。

AD代理認証を有効にする

デスクトップシングルサインオンを有効にする

LDAP代理認証を有効にする

代理認証のシステムログ情報を表示する

ジャストインタイムプロビジョニング

AD代理認証を有効にする

前提条件：ADインスタンスをOktaと統合します。「Active Directory統合を管理する」を参照してください。

［Setting（設定）］ページで［New Import and Provisioning Settings Experience for Active Directory（Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス）］が有効化されていない場合は、以下の手順を実行します。

1. Okta Admin Consoleで、［Directory（ディレクトリ）］>［Directory Integrations（ディレクトリ統合）］をクリックします。
2. ADインスタンスを選択します。
3. ［Provisioning（プロビジョニング）］タブをクリックしてから、［Settings（設定）］の下にある［Integration（統合）］をクリックします。
4. ［Delegated Authentication（代理認証）］セクションで、［Enable delegated authentication to Active Directory（Active Directoryへの代理認証を有効にする）］を選択します。
5. 任意。代理認証の設定をテストします。

1. ［Test Delegated Authentication（代理認証をテスト）］をクリックします。
2. ADのユーザー名とパスワードを入力し、［Authenticate（認証する）］をクリックします。

［AD Username（ADユーザー名）］フィールドに入力する値は、Active Directory（AD）ドメイン名をサフィックスとするユニバーサルプリンシパル名（UPN）です。たとえば、ADドメイン名がoktaad.comの場合、ADユーザー名UPNには@oktaad.comというサフィックスが含まれます。ADドメイン名のサフィックスを含めない場合、代理認証は失敗します。

3. 認証が完了したら、［Close（閉じる）］をクリックします。

5. ［Save Settings（設定を保存）］をクリックします。

［Settings（設定）］ページで［New Import and Provisioning Settings Experience for Active Directory（Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス）］が有効化されている場合は以下の手順を実施します。

1. Okta Admin Consoleで、［Directory（ディレクトリ）］>［Directory Integrations（ディレクトリ統合）］をクリックします。
2. ADインスタンスを選択します。
3. ［Provisioning（プロビジョニング）］タブをクリックして［Settings（設定）］リストから［Integration（統合）］を選択します。
4. ［Delegated Authentication（代理認証）］までスクロールし、［Enable delegated authentication to Active Directory（Active Directoryへの代理認証を有効にする）］を選択します。
5. 任意。代理認証の設定をテストします。

1. ［Test Delegated Authentication（代理認証をテスト）］をクリックします。
2. ADのユーザー名とパスワードを入力し、［Authenticate（認証する）］をクリックします。
3. 認証が完了したら、［Close（閉じる）］をクリックします。

6. ［Save（保存）］をクリックします。

デスクトップシングルサインオンを有効にする

デスクトップSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。「Active Directoryデスクトップシングルサインオン」を参照してください。

LDAP代理認証を有効にする

ユーザーがOktaにサインインしたときにLDAPで認証するには、代理認証を有効にします。

前提条件：Okta LDAPエージェントをインストールして構成します。「LDAP統合の管理」を参照してください。

1. Okta Admin Consoleで、［Security（セキュリティ）］>［Delegated Authentication（代理認証）］をクリックします。
2. ［LDAP］タブをクリックします。
3. ［Delegated Authentication（代理認証）］で［Edit（編集）］をクリックします。
4. ［Enable delegated authentication to LDAP（LDAPへの代理認証を有効にする）］を選択します。
5. 任意。代理認証の設定をテストします。

1. ［Test Delegated Authentication（代理認証をテスト）］をクリックします。
2. LDAPユーザー名とパスワードを入力し、［Authenticate（認証）］をクリックします。
3. 認証が完了したら、［Close（閉じる）］をクリックします。

6. ［Save（保存）］をクリックします。

エンドユーザーにLDAPパスワードの変更またはリセットを許可する

OktaでエンドユーザーにLDAPパスワードの変更を許可することができます。ユーザーのパスワードが期限切れの場合は、次にOktaにサインインしようとしたときにパスワードを変更するように求められます。

エンドユーザーは、ドロップダウンメニューから自分の名前をクリックし、［Settings（設定）］>［Account（アカウント）］>［Change Password（パスワードを変更）］をクリックして、［Home（ホーム）］ページからパスワードを変更できます。

この機能を使用するには、Okta LDAPエージェントのバージョン5.3.0以降が必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション（OpenLDAPやIBMなど）で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、「LDAP統合」を参照してください。

1. Okta Admin Consoleで、［Security（セキュリティ）］>［Delegated Authentication（代理認証）］をクリックします。
2. ［LDAP］タブをクリックします。
3. ［Delegated Authentication（代理認証）］で［Edit（編集）］をクリックします。
4. ［Enable delegated authentication to LDAP（LDAPへの代理認証を有効にする）］を選択します。
5. LDAPパスワードポリシーで、［Users can change their LDAP passwords in Okta（ユーザーはOktaでのLDAPパスワードを変更できます）］を選択します。
6. ［Password Rules Message（パスワードルールメッセージ）］フィールドに、エンドユーザーがパスワードを変更する際に従うべきパスワードポリシールールを記述します。
7. ［Users can reset forgotten LDAP passwords in Okta（ユーザーはOktaでLDAPパスワードを忘れた場合にリセットできます）］を選択します。

新規ユーザーを作成またはインポートしてアクティブ化すると、［Welcome（ようこそ）］ページでセカンダリのメールアドレスの入力を求められます。エンドユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。

エンドユーザーがパスワードを忘れた場合、またはサインイン試行が何度も失敗してLDAPアカウントがロックされた場合、Okta Sign-in Widgetで［Need Help signing in?（サインインでヘルプが必要ですか？）］>［Forgot password or unlock account（パスワードを忘れた場合やアカウントをアンロックする）］リンクをクリックすることで電子メールやSMSを使用してパスワードをリセットできます。

• ［Reset via email（メールでリセット）］：エンドユーザーはユーザー名またはメールアドレスを入力してから、［Send Email（メールを送信）］ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウントのパスワードリセット用メールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたために［Forgot password?（パスワードを忘れた場合）］リンクをクリックしたユーザーは、LDAPパスワードが変更され、アカウントのロックが解除されます。
• ［Reset via SMS（SMSでリセット）］：エンドユーザーはユーザー名またはメールアドレスを入力してから、［Send Text Message（テキストメッセージを送信）］ボタンをクリックします。これにより、パスワードリセットコードを含むテキストメッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトに従ってパスワードをリセットします。

8. ［Save（保存）］をクリックします。

代理認証のシステムログ情報を表示する

AD代理認証のボトルネックを特定しやすくするため、システムログには各代理認証（Del Auth）リクエストの所要時間に関する情報が含まれています。システムログには次の時間がミリ秒単位で含まれています。

• delAuthTimeTotal：Oktaで代理認証に費やされた合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
• delAuthTimeSpentAtAgent：エージェントがリクエストの処理に費やした合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
• delAuthTimeSpentAtDomainController：ドメインコントローラーで費やされた時間。

注：この機能を使用するには、ADエージェントのバージョン3.1.0以降が必要です。

1. Okta Admin Consoleで、［Directory（ディレクトリ）］>［Directory Integrations（ディレクトリ統合）］をクリックします。
2. ADインスタンスを選択します。
3. ページの上部にある［View Logs（ログを表示）］をクリックします。

ジャストインタイムプロビジョニング

ジャストインタイム（JIT）プロビジョニングについての詳細は、以下を参照してください。

• Active Directoryについては、「Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新する」を参照してください。
• デスクトップSSOについては、「Okta orgのカスタマイズ」を参照してください。

orgでJITが有効になっていて、ADまたはLDAP統合で代理認証が選択されている場合、JITを使用してユーザープロファイルを作成し、ユーザーデータをインポートします。