【Okta】Active DirectoryとOktaの連携（Okta→AD逆同期編）

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

ネクストモードではID統合管理(IDaaS）のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています

前回は連携済みのOktaとActive Directoryを用いて、ADからOktaへの同期を実施しました

今回は前回とは逆方向のOktaからADへの逆同期についてご紹介します

どんなケース？

設定をご紹介する前に、OktaからADにユーザーを同期するケースについて考えてみます

Oktaをユーザー管理のマスターにしつつ、将来的に廃止したいAD管理の一部を残すためにOktaからADにユーザーやグループを同期するというケースが考えられます

既存でADを運用している場合、既存のADユーザーとOktaユーザーをリンクすることが可能ですので段階的に移行する計画を立てることもできます

Oktaユーザー・グループの準備

それでは、OktaからADへの逆同期の設定をしていきましょう

まずADに同期するOktaユーザーとOktaグループをOktaで準備します

Okta管理画面からDirectory → PeopleからOktaユーザーをADドメインで作成します

名前が不格好ですが、できました

Directory → Groupsから次にOktaグループを作成します

Oktaサービスアカウントの権限設定

Okta AD AgentのService Accountの権限を編集します

• Pre-Windows 2000 Compatible Accessグループ
• Domain Adminsグループ

Domain Adminsを渡したくない場合は、ドキュメントに従って権限の付与を実施します

OktaからADへのプロビジョニング設定

OktaからADへユーザーを逆同期する場合、ADにパスワード同期をするために下記設定が必要となります

• AD代理認証（Delegated Authentication）の無効化
• Sync Passwordの有効化
• ADにユーザープッシュした後に、Oktaにログイン（重要です）
• Okta ADパスワード同期エージェントはインストールしない

Okta管理画面のDirectory →Directory Integrations → Active Directory → Provisioning → IntegrationのDelegated Authenticationのチェックを外します

Oktaのパスワードを作成する推奨パターンでAD代理認証（Delegated Authentication）を無効化します

次にto Appの項目を設定します

• Create Users：OktaからADにユーザー自動作成
• Update User Attributes：OktaからADにユーザー属性更新
• Deactivate Users：OktaからADにユーザー自動削除
• Sync Password：OktaからADにユーザーPW同期

Sync PasswordをEnableにすることで、OktaにログインするとADにパスワードが同期されます

Create UsersのActivation email recipientはOktaからADにユーザーが作成された際にPWと合わせて通知する先のメールアドレスとなります

OktaユーザーのPWを同期する前のAD側のPWなので、PWの情報は今回は使いません

Oktaグループへのディレクトリ連携

プロビジョニングの設定が完了したら事前に作成したOktaグループにActive Directoryを紐付けます

OktaグループのDirectoriesタブからManage Directoriesをクリックします

紐付けるADインスタンスを選択してNextをクリックします

次にOktaからADに同期したユーザーを追加したいOUを選択してConfirm Changesをクリックします

Oktaグループのプッシュ設定

次にOktaからOktaグループをプッシュすることでADグループを作成できますので設定をしていきます

ADサーバーのPush Groupsから同期するOktaグループを選択します

同期先のOU、グループのスコープを選択して、Saveをクリックします

Activeになれば完了です

OktaからADにユーザー同期してみる

それでは準備で作成したOktaユーザーをOktaグループに追加します

AD上のユーザーを確認するとOktaから同期したユーザーが確認できました

セキュリティグループも同期できています

グループにユーザーも割り当てられていることが確認できます

Oktaに一度ログインしてからADに参加しているPCにログインすると、OktaからADにパスワードが同期されているためOktaのパスワードでAD参加端末にログインすることもできました！

Okta上でユーザーをDeactivateもしくは同期しているグループからの割当を外すとADでは無効の状態となります

Oktaユーザーは削除しなければ、Profile sourceがADからOktaに変わった状態で残りますので再度ユーザーを紐付ける場合はグループに割り当てればOKです

おまけ

検証している際にTo Appの注意書きが気になり、Attribute Mappingsをなんとかしようと無駄な時間を過ごしていました

distinguishedName, objectGUIDなんてADユーザーじゃないのにどうすればいいんだ、、、というにわとりたまごなことを考えて悶ていましたが、徒労に終わりました

結論で言えば何も設定はいりません

OktaからADに同期したユーザーは下記のようにProfile sourced by Active Directoryとなります

そして悩みに悩んでいたGUIDやDNについてもAD属性が引っ張られてきていました

最後に

OktaからADへの逆同期についてご紹介しました

パスワードの同期については別の記事でADからOktaの方向の同期も合わせて書きますが、改めて細やかで柔軟な設定ができるOktaの魅力を実感することができました

Oktaを使いたいけどADも一部で使っている、ID管理を整理していきたいという方の参考になれば幸いです