代理認証を有効にする

代理認証では、ユーザーは組織のActive Directory（AD）の資格情報を入力することでOktaにサインインできます。

AD代理認証を有効にする

デスクトップシングルサインオンを有効にする

LDAP委任認証を有効にする

委任認証のシステムログ情報を表示する

ジャストインタイムプロビジョニング

AD委任認証を有効にする

前提条件: ADインスタンスとOktaを統合します。「Active Directory統合を管理する」を参照してください。

［Setting（設定）］ページで［New Import and Provisioning Settings Experience for Active Directory（Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス）］が有効化されていないときは、次の手順を実行します。

1. Admin Consoleで［Directory（ディレクトリ）］［Directory Integrations（ディレクトリ統合）］に移動します。
2. ADインスタンスを選択します。
3. ［Provisioning（プロビジョニング）］タブをクリックし、［Settings（設定）］の下の［Integration（統合）］をクリックします。
4. ［Delegated Authentication（委任認証）］セクションで、［Enable delegated authentication to Active Directory（Active Directoryへの委任認証を有効にする）］を選択します。
5. 任意。委任認証の設定をテストします。
   1. ［Test Delegated Authentication（委任認証をテスト）］をクリックします。
   2. ADのユーザー名とパスワードを入力し、［Authenticate（認証する）］をクリックします。

   ［AD Username（ADユーザー名）］フィールドに入力する値は、Active Directory（AD）ドメイン名をサフィックスとするユニバーサルプリンシパル名（UPN）です。たとえば、ADドメイン名がoktaad.comの場合、ADユーザー名UPNには@oktaad.comというサフィックスが含まれます。ADドメイン名のサフィックスを含めない場合、委任認証は失敗します。

   3. 認証が完了したら、［Close（閉じる）］をクリックします。
6. ［Save Settings（設定を保存）］をクリックします。

［Settings（設定）］ページで［Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス］が有効化されているときは、次の手順を実施します。

1. Admin Consoleで［Directory（ディレクトリ）］［Directory Integrations（ディレクトリ統合）］に移動します。
2. ADインスタンスを選択します。
3. ［Provisioning（プロビジョニング）］タブをクリックして［Settings（設定）］リストから［Integration（統合）］を選択します。
4. ［Delegated Authentication（委任認証）］までスクロールし、［Enable delegated authentication to Active Directory（Active Directoryへの委任認証を有効にする）］を選択します。
5. 任意。委任認証の設定をテストします。

1. ［Test Delegated Authentication（委任認証をテスト）］をクリックします。
2. ADのユーザー名とパスワードを入力し、［Authenticate（認証する）］をクリックします。
3. 認証が完了したら、［Close（閉じる）］をクリックします。

6. ［Save（保存）］をクリックします。

デスクトップ・シングル・サインオンを有効にする

デスクトップSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。「Active Directoryデスクトップシングルサインオン」を参照してください。

LDAP委任認証を有効にする

ユーザーがOktaにサインインしたときにLDAPで認証するには、委任認証を有効にします。

前提条件：Okta LDAPエージェントをインストールして構成します。「LDAP統合の管理」を参照してください。

1. Admin Consoleで［Security（セキュリティ）］［Delegated Authentication（委任認証）］に移動します。
2. ［LDAP］タブをクリックします。
3. ［Delegated Authentication（委任認証）］で［Edit（編集）］をクリックします。
4. ［Enable delegated authentication to LDAP（LDAPへの委任認証を有効にする）］を選択します。
5. 任意。委任認証の設定をテストします。

1. ［Test Delegated Authentication（委任認証をテスト）］をクリックします。
2. LDAPユーザー名とパスワードを入力し、［Authenticate（認証）］をクリックします。
3. 認証が完了したら、［Close（閉じる）］をクリックします。

6. ［Save（保存）］をクリックします。

エンドユーザーにLDAPパスワードの変更またはリセットを許可する

OktaでエンドユーザーにLDAPパスワードの変更を許可することができます。ユーザーのパスワードが期限切れの場合、次にOktaへのサインインを試みると、パスワードの変更を求められます。

エンドユーザーは、ドロップダウンメニューから自分の名前をクリックし、［Settings（設定）］［Account（アカウント）］［Change Password（パスワード変更）］をクリックして、［Home（ホーム）］ページからパスワードを変更できます。

この機能を使用するには、Okta LDAPエージェントのバージョン5.3.0以降が必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション（OpenLDAPやIBMなど）で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、「LDAP統合」を参照してください。

1. Admin Consoleで［Security（セキュリティ）］［Delegated Authentication（委任認証）］に移動します。
2. ［LDAP］タブをクリックします。
3. ［Delegated Authentication（委任認証）］で［Edit（編集）］をクリックします。
4. ［Enable delegated authentication to LDAP（LDAPへの委任認証を有効にする）］を選択します。
5. ［LDAP Password Policy（LDAPパスワードポリシー）］で［Users can change their LDAP passwords in Okta（ユーザーはOktaでLDAPパスワードを変更できます）］を選択します。
6. ［Password Rules Message（パスワードルールメッセージ）］フィールドに、エンドユーザーがパスワードを変更する際に従うべきパスワードポリシールールを記述します。
7. ［Users can reset forgotten LDAP passwords in Okta（ユーザーはOktaでLDAPパスワードを忘れた場合にリセットできます）］を選択します。

新規ユーザーを作成またはインポートしてアクティブ化すると、［Welcome（ようこそ）］ページでセカンダリメールアドレスの入力を求められます。エンドユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。

エンドユーザーがパスワードを忘れた場合や、サインインに失敗した回数が多すぎてLDAPアカウントがロックされた場合は、Oktaサインインウィジェットの ［Need Help signing in?（サインインにサポートが必要ですか？）］をクリックします。Oktaサインインウィジェットで［Forgot password or unlock account（パスワードを忘れた場合、またはアカウントロック解除）］リンクをクリックして、メールまたはSMSでパスワードをリセットします。

• [Reset via email（メールでリセット）]： エンド・ユーザーはユーザー名またはメール・アドレスを入力してから、[Send Email（メールを送信）]ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウントのパスワードリセット用メールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたために［Forgot password?（パスワードを忘れた場合）］リンクをクリックしたユーザーは、LDAPパスワードが変更され、アカウントのロックが解除されます。
• ［Reset via SMS（SMSでリセット）］：エンドユーザーはユーザー名またはメールアドレスを入力してから、［Send Text Message（テキストメッセージを送信）］ボタンをクリックします。これにより、パスワードリセットコードを含むテキストメッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトに従ってパスワードをリセットします。

8. ［Save（保存）］をクリックします。

委任認証のシステムログ情報を表示する

AD委任認証のボトルネックを特定しやすくするため、システムログには各委任認証（Del Auth）リクエストの所要時間に関する情報が含まれています。システムログには次のミリ秒単位の時間が含まれます。

• delAuthTimeTotal：Oktaで委任認証に費やされた合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
• delAuthTimeSpentAtAgent：エージェントがリクエストの処理に費やした合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
• delAuthTimeSpentAtDomainController：ドメインコントローラーで費やされた時間。

［Note（注）］：この機能を使用するには、ADエージェントのバージョン［3.1.0］以降が必要です。

1. Okta Admin Consoleで［Directory（ディレクトリ）］［Directory Integrations（ディレクトリ統合）］をクリックします。
2. ADインスタンスを選択します。
3. ページの上部にある［View Logs（ログを表示）］をクリックします。

ジャストインタイムプロビジョニング

ジャストインタイム（JIT）プロビジョニングについての詳細は、以下を参照してください。

• Active Directoryについては、「Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新する」を参照してください。
• デスクトップSSOについては、「一般的なカスタマイズ設定を構成する」を参照してください。

orgでJITが有効になっていて、ADまたはLDAP統合で委任認証が選択されている場合、JITを使用してユーザープロファイルを作成し、ユーザーデータをインポートします。