こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています
今回はADへ逆同期済みのOktaからADへのパスワード同期を試してみます
Oktaを完全なユーザーソースとしつつも、ADを利用する必要がある場合に強力な機能です
OktaからADへの逆同期については下記のエントリーを御覧ください
設定の手順は下記の通りで、ADへの逆同期の設定ができていれば簡単です
公式ドキュメントにも記載がありますので、こちらも御覧ください
余談ですが、どんどんドキュメントが日本語化対応していて嬉しいですね!
以前書いたエントリーの通りですが、少し注意点があります
Delegated Authenticationを無効にしないで逆同期することもできるのですが、その場合はAD委任認証となるのでOktaのパスワードをADに同期することはできません
そのため、OktaからADにパスワードを同期するためにはDelegated Authenticationを無効にする必要があります
Okta管理画面のDirectory →Directory Integrations → Active Directory → Provisioning → IntegrationのDelegated Authenticationのチェックを外します
推奨設定のCreate Okta passwordを選択してAD Authentication(Delegated Authentication)を無効にします
ADへの逆同期の設定が完了しましたので、パスワード同期の設定をします
Okta管理画面からDirectory → Direcotry Integrations → Active Directory → Provisioning → to AppにてSync PasswordをEnableにすることで、OktaにログインするとADにパスワードが同期されます
試してみた!については前回と同じケースだったので割愛しますが、無事OktaのパスワードでADログオンできました
OktaからADへの逆同期のケースでのパスワード同期についてご紹介しました
逆同期する場合、Oktaがマスターディレクトリーとなるため、OktaからADへのパスワード同期も要件として出てくることが多いかと思いますので、この内容だけブログにしてみました
ADとOktaの連携は奥が深く、まだまだブログネタが溜まっているのでどんどん発信していきたいと思います!