コンテンツまでスキップ

【Okta】Active DirectoryとOktaの連携(AD→Okta→Appパスワード同期編)

Picture of kusumin

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています

今回はADからOktaへディレクトリ同期済みの環境でOkta AD Password Sync Agentを利用したADからOktaへのパスワード同期を試してみます

ADからOktaへのディレクトリ同期については下記のエントリーを御覧ください

必要なシーン

ブログのタイトルが少し回りくどく見えるかと思いますが、これが重要なポイントで、実はAD → Oktaへのパスワード同期はディレクトリ同期だけで完結しています

では、Password Sync Agentがどのようなシーンで必要になるかというと、ADジョイン済みの端末のパスワードを変更した際に、ADパスワードをOktaを介してアプリケーションに同期するケースです

AD Password Sync Agentをインストールするのですが、こちらはADのパスワードをOktaのパスワードに同期するために必要なのではなく、あくまで上記のケースのために必要となります

アプリケーションに同期せずにOktaのみに同期する場合はPassword Sync Agentは必要なく、ADユーザーのパスワードを変更後、Oktaにログインすると変更が反映されます

設定手順

設定の手順は下記の通りです

  1. AD → Okta同期設定
  2. Okta AD Password Sync Agentインストール
  3. AD委任認証(代理認証)を有効化
  4. Okta上でApplicationへのSync Passwordを有効化

公式ドキュメントにも記載がありますので、こちらも御覧ください

AD → Okta同期設定

ADからOktaへのディレクトリ同期については下記エントリーを参考に設定を進めてください

注意点としてはOktaユーザー名の形式がUPNまたはSAMアカウント名である必要があります

okta-ad-pw-sync-001

それ以外を選択すると次の手順でインストールするOkta AD Password Sync Agentの実行に失敗してしまいます

AD Password Sync Agentインストール

次にドメインコントローラー上でOkta AD Password Sync Agentをインストールします

Okta管理画面にログインし、SecurityDelegated Authentication に移動し、一番下の方のDownload Okta AD Password Syncをクリックします

okta-ad-pw-sync-002

Password Sync Agentを展開してインストールを進めていきます

okta-ad-pw-sync-003

OktaのテナントURLを入力します

okta-ad-pw-sync-004

インストールするディレクトリを指定する場合は変更します

okta-ad-pw-sync-005

以上でインストール完了です

okta-ad-pw-sync-006

インストール完了後はドメインコントローラーを再起動をする必要があります

再起動完了するとPassword Sync Agentが起動していることが確認できます

okta-ad-pw-sync-007

AD委任認証(代理認証)を有効化

次にAD委任認証(代理認証)を有効化します

DirectoryDirectory Integrations から対象のActive Directoryを選択し、ProvisioningIntegrationDelegated Authenticationにチェックを入れます

okta-ad-pw-sync-008

Okta上でApplicationへのSync Passwordを有効化

パスワードを同期するアプリケーションの設定を最後に実施します

今回はGoogle WorkspaceへADユーザーのパスワードを同期してみます

OktaのGoogle Workspaceアプリのプロビジョニング設定を実施した後、To AppSync PasswordEnableにチェックをいれ、Sync Okta Passwordを選択します

okta-ad-pw-sync-009

以上で設定は完了です

やってみた

まずAD側でログイン権限を持つユーザーをOktaに同期されるOU内に作成します

okta-ad-pw-sync-010

ADからOktaに同期されたら(もしくは強制Importを実施したら)ADユーザーのパスワードで①ADユーザー②Oktaユーザー、③Google Workspaceのログインを試行すると無事両方ともログインできることが確認できます

次にADユーザーのパスワードの変更を実施します(適宜グループポリシーも変更しておきましょう)

okta-ad-pw-sync-011

OktaログインはAD委任認証をしているため、変更後のパスワードでログインできます

そして、OktaからPassword SyncしているGoogle Workspaceにも変更後のパスワードでログインできることが確認できました!

最後に

今回はOkta AD Password Sync Agentを利用したOktaを介したADユーザーパスワードのアプリケーションへの同期についてご紹介しました

Password Sync Agentという名前でADからOktaへのパスワード同期の際に必ず必要と誤解されやすいです(実際僕も以前勘違いしていました)が、正しく理解して必要なシーンで活用していきましょう!
,