LDAPの委任認証を有効にする

委任認証では、ユーザーは組織のLDAP(Lightweight Directory Access Protocol)ユーザーストアの資格情報を入力することでOktaにサインインできます。また、ユーザーは組織のActive Directory(AD)の資格情報を使ってOktaにサインインすることもできます。「Active Directoryの委任認証を有効にする」を参照してください。

LDAP委任認証を有効にする

ユーザーがOktaにサインインしたときにLDAPで認証するには、委任認証を有効にします。

前提条件:Okta LDAPエージェントをインストールして構成します。「LDAP統合の管理」を参照してください。

orgにLDAP統合を追加すると、委任認証がデフォルトでオンになります。

  1. Admin Consoleで、[Security(セキュリティ)][Delegated Authentication(委任認証)]に移動します。
  2. [LDAP]タブをクリックします。
  3. [Delegated Authentication(委任認証)][Edit(編集)]をクリックします。
  4. [Enable delegated authentication to LDAP(LDAPへの委任認証を有効にする)]を選択します。
  5. 任意。委任認証の設定をテストします。
  1. [Test Delegated Authentication(委任認証をテスト)]をクリックします。
  2. LDAPユーザー名とパスワードを入力し、[Authenticate(認証)]をクリックします。
  3. 認証が完了したら、[Close(閉じる)]をクリックします。
  1. [Save(保存)]をクリックします。

エンドユーザーにLDAPパスワードの変更またはリセットを許可する

OktaでエンドユーザーにLDAPパスワードの変更を許可することができます。ユーザーのパスワードが期限切れの場合、Oktaへの次回のサインイン試行時にパスワードの変更が求められます。

エンドユーザーは、自分の名前のドロップダウンメニューをクリックし、[Settings(設定)][Account(アカウント)][Change Password(パスワード変更)]を選択することでOktaダッシュボードからパスワードを変更できます。

この機能を使用するには、バージョン5.3.0以降のOkta LDAP Agentが必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション(OpenLDAPやIBMなど)で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、「LDAP統合を管理する」を参照してください。

  1. Admin Consoleで、[Security(セキュリティ)][Delegated Authentication(委任認証)]に移動します。
  2. [LDAP]タブをクリックします。
  3. [Delegated Authentication(委任認証)][Edit(編集)]をクリックします。
  4. [Enable delegated authentication to LDAP(LDAPへの委任認証を有効にする)]を選択します。
  5. [LDAP Password Policy(LDAPパスワードポリシー)][Users can change their LDAP passwords in Okta(ユーザーはOktaでLDAPパスワードを変更できます)]を選択します。
  6. [Password Rules Message(パスワードルールメッセージ)]フィールドに、エンドユーザーがパスワードを変更する際に従うべきパスワードポリシールールを記述します。
  7. [Users can reset forgotten LDAP passwords in Okta(ユーザーはOktaでLDAPパスワードを忘れた場合にリセットできます)]を選択します。

新規ユーザーを作成またはインポートしてアクティブ化すると、[Welcome(ようこそ)]ページでセカンダリメールアドレスの入力を求められます。エンドユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。

エンドユーザーがパスワードを忘れた場合や、サインインに失敗した回数が多すぎてLDAPアカウントがロックされた場合は、Okta Sign-In Widget の [Need Help signing in?(サインインにサポートが必要ですか?)]をクリックします。OktaSign-In Widget で[Forgot password or unlock account(パスワードを忘れた場合、またはアカウントロック解除)]リンクをクリックして、メールまたはSMSでパスワードをリセットします。

  • [Reset via email(メールでリセット)]: エンドユーザーはユーザー名またはメールアドレスを入力してから、[Send Email(メールを送信)]ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウントのパスワードリセット用メールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたために[Forgot password?(パスワードを忘れた場合)]リンクをクリックしたユーザーは、LDAPパスワードが変更され、アカウントのロックが解除されます。
  • [Reset via SMS(SMSでリセット)]:エンドユーザーはユーザー名またはメールアドレスを入力してから、[Send Text Message(テキストメッセージを送信)]ボタンをクリックします。これにより、パスワードリセットコードを含むテキストメッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトに従ってパスワードをリセットします。
  1. [Save(保存)]をクリックします。

委任認証のシステムログ情報を表示する

ボトルネックを容易に特定できるように、システムログには各委任認証(Del Auth)リクエストの所要時間に関する情報が記録されます。システムログには、次の委任認証プロパティの時間がミリ秒単位で記録されます。

  • delAuthTimeTotalOktaで委任認証に要した合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
  • delAuthTimeSpentAtAgent:エージェントがリクエストの処理に費やした合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
  • delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。
  1. Okta Admin Consoleで[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]をクリックします。
  2. LDAPインスタンスを選択します。
  3. ページの上部にある[View Logs(ログを表示)]をクリックします。

ジャストインタイムプロビジョニング

orgでジャストインタイム(JIT)が有効化され、LDAP統合で委任認証が選択されている場合、ユーザープロファイルの作成とユーザーデータのインポートにはJITが使用されます。