代理認証を有効にする
代理認証では、ユーザーはOrganizationのActive Directory(AD)の資格情報を入力することでOktaにサインインできます。
AD代理認証を有効にする
前提条件:ADインスタンスをOktaと統合します。「Active Directory統合を管理する」を参照してください。
[Setting(設定)]ページで[New Import and Provisioning Settings Experience for Active Directory(Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス)]が有効化されていない場合は、以下の手順を実行します。
- Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]をクリックします。
- ADインスタンスを選択します。
- [Provisioning(プロビジョニング)]タブをクリックしてから、[Settings(設定)]の下にある[Integration(統合)]をクリックします。
- [Delegated Authentication(代理認証)]セクションで、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]を選択します。
- 任意。代理認証の設定をテストします。
- [Test Delegated Authentication(代理認証をテスト)]をクリックします。
- ADのユーザー名とパスワードを入力し、[Authenticate(認証する)]をクリックします。
- 認証が完了したら、[Close(閉じる)]をクリックします。
[AD Username(ADユーザー名)]フィールドに入力する値は、Active Directory(AD)ドメイン名をサフィックスとするユニバーサルプリンシパル名(UPN)です。たとえば、ADドメイン名がoktaad.com
の場合、ADユーザー名UPNには@oktaad.comというサフィックスが含まれます。ADドメイン名のサフィックスを含めない場合、代理認証は失敗します。
- [Save Settings(設定を保存)]をクリックします。
[Settings(設定)]ページで[New Import and Provisioning Settings Experience for Active Directory(Active Directoryの新規インポートおよびプロビジョニング設定エクスペリエンス)]が有効化されている場合は以下の手順を実施します。
- Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]をクリックします。
- ADインスタンスを選択します。
- [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[Integration(統合)]を選択します。
- [Delegated Authentication(代理認証)]までスクロールし、[Enable delegated authentication to Active Directory(Active Directoryへの代理認証を有効にする)]を選択します。
- 任意。代理認証の設定をテストします。
- [Test Delegated Authentication(代理認証をテスト)]をクリックします。
- ADのユーザー名とパスワードを入力し、[Authenticate(認証する)]をクリックします。
- 認証が完了したら、[Close(閉じる)]をクリックします。
- [Save(保存)]をクリックします。
デスクトップシングルサインオンを有効にする
デスクトップSSOを使用すると、ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されます。「Active Directoryデスクトップシングルサインオン」を参照してください。
LDAP代理認証を有効にする
ユーザーがOktaにサインインしたときにLDAPで認証するには、代理認証を有効にします。
前提条件:Okta LDAPエージェントをインストールして構成します。「LDAP統合の管理」を参照してください。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]をクリックします。
- [LDAP]タブをクリックします。
- [Delegated Authentication(代理認証)]で[Edit(編集)]をクリックします。
- [Enable delegated authentication to LDAP(LDAPへの代理認証を有効にする)]を選択します。
- 任意。代理認証の設定をテストします。
- [Test Delegated Authentication(代理認証をテスト)]をクリックします。
- LDAPユーザー名とパスワードを入力し、[Authenticate(認証)]をクリックします。
- 認証が完了したら、[Close(閉じる)]をクリックします。
- [Save(保存)]をクリックします。
エンドユーザーにLDAPパスワードの変更またはリセットを許可する
OktaでエンドユーザーにLDAPパスワードの変更を許可することができます。ユーザーのパスワードが期限切れの場合は、次にOktaにサインインしようとしたときにパスワードを変更するように求められます。
エンドユーザーは、ドロップダウンメニューから自分の名前をクリックし、[Settings(設定)]>[Account(アカウント)]>[Change Password(パスワードを変更)]をクリックして、[Home(ホーム)]ページからパスワードを変更できます。
この機能を使用するには、Okta LDAPエージェントのバージョン5.3.0以降が必要です。この機能は、パスワードの有効期限が切れたときにpwdReset属性をTRUEに正しく設定するすべてのLDAPディストリビューション(OpenLDAPやIBMなど)で機能します。バージョン5.3.0以降をインストールする前に、必ずエージェントの5.3.0より前のバージョンをアンインストールしてください。エージェントのインストール手順については、「LDAP統合」を参照してください。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]をクリックします。
- [LDAP]タブをクリックします。
- [Delegated Authentication(代理認証)]で[Edit(編集)]をクリックします。
- [Enable delegated authentication to LDAP(LDAPへの代理認証を有効にする)]を選択します。
- LDAPパスワードポリシーで、[Users can change their LDAP passwords in Okta(ユーザーはOktaでのLDAPパスワードを変更できます)]を選択します。
- [Password Rules Message(パスワードルールメッセージ)]フィールドに、エンドユーザーがパスワードを変更する際に従うべきパスワードポリシールールを記述します。
- [Users can reset forgotten LDAP passwords in Okta(ユーザーはOktaでLDAPパスワードを忘れた場合にリセットできます)]を選択します。
新規ユーザーを作成またはインポートしてアクティブ化すると、[Welcome(ようこそ)]ページでセカンダリのメールアドレスの入力を求められます。エンドユーザーがアドレスを入力すると、変更の確認を求める確認メールが送信されます。
エンドユーザーがパスワードを忘れた場合、またはサインイン試行が何度も失敗してLDAPアカウントがロックされた場合、Okta Sign-in Widgetで[Need Help signing in?(サインインでヘルプが必要ですか?)]>[Forgot password or unlock account(パスワードを忘れた場合やアカウントをアンロックする)]リンクをクリックすることで電子メールやSMSを使用してパスワードをリセットできます。
- [Reset via email(メールでリセット)]:エンドユーザーはユーザー名またはメールアドレスを入力してから、[Send Email(メールを送信)]ボタンをクリックします。その後、ユーザーは24時間以内に有効期限が切れるアカウントのパスワードリセット用メールを受信します。これにより、ユーザーのOktaパスワードとLDAPパスワードの両方がリセットされます。アカウントがロックされたために[Forgot password?(パスワードを忘れた場合)]リンクをクリックしたユーザーは、LDAPパスワードが変更され、アカウントのロックが解除されます。
- [Reset via SMS(SMSでリセット)]:エンドユーザーはユーザー名またはメールアドレスを入力してから、[Send Text Message(テキストメッセージを送信)]ボタンをクリックします。これにより、パスワードリセットコードを含むテキストメッセージが表示されます。受信したら、ユーザーは電話からコードを入力し、プロンプトに従ってパスワードをリセットします。
- [Save(保存)]をクリックします。
代理認証のシステムログ情報を表示する
AD代理認証のボトルネックを特定しやすくするため、システムログには各代理認証(Del Auth)リクエストの所要時間に関する情報が含まれています。システムログには次の時間がミリ秒単位で含まれています。
- delAuthTimeTotal:Oktaで代理認証に費やされた合計時間。この時間は、エージェントでの合計時間と、エージェントがリクエストの処理を開始するまでのOktaのキュー待機時間で構成されます。リクエストを処理するのに十分なエージェントがない場合は、キューの待機時間が長くなる可能性があります。
- delAuthTimeSpentAtAgent:エージェントがリクエストの処理に費やした合計時間。これには、ドメインコントローラーで費やされた時間が含まれます。
- delAuthTimeSpentAtDomainController:ドメインコントローラーで費やされた時間。
注:この機能を使用するには、ADエージェントのバージョン3.1.0以降が必要です。
- Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]をクリックします。
- ADインスタンスを選択します。
- ページの上部にある[View Logs(ログを表示)]をクリックします。
ジャストインタイムプロビジョニング
ジャストインタイム(JIT)プロビジョニングについての詳細は、以下を参照してください。
- Active Directoryについては、「Active Directoryのジャストインタイムプロビジョニングでユーザーを追加および更新する」を参照してください。
- デスクトップSSOについては、「Okta orgのカスタマイズ」を参照してください。
orgでJITが有効になっていて、ADまたはLDAP統合で代理認証が選択されている場合、JITを使用してユーザープロファイルを作成し、ユーザーデータをインポートします。