Acticve Directory → Okta WIC ID連携(ID同期)ナレッジ(後編)
浅葉 正史関連ナレッジ
以下は、掲題のブログの前編から引き続き、AD→Oktaディレクトリ統合について、実務を通して得たナレッジのメモの続きとなります。
アカウントロック&ロック解除の動作
管理コンソールの[セキュリティ]-[Authenticator]の「パスワード」設定で、「Active Directory Policy」の「ロック解除」を「OktaとActive Directoryのユーザーをロックを解除」に設定することにより、AD側でロック(パスワードを指定回以上間違えた場合等)されたユーザーを、Okta側でセルフロック解除することができるようになる。
この「OktaとActive Directoryのユーザーをロックを解除」の機能を使用するには、AD上のOkta AD Agentサービスの動作アカウント(既定では「OktaService」にドメインのユーザー管理権限を付与(ドメインの「Account Operators」グループに入れるなど) する必要あり。
また、上記「ロック解除」の設定を「Oktaユーザーのみロック解除」にしている場合も、AD側でユーザーがロックされている状態でユーザーがOktaの認証を行おうとすると「アカウントのロックを解除しますか?」の画面が表示される。画面の指示に従って、ロック解除のオペレーションを行うと「アカウントのロックは正常に解除されました!」とメッセージが表示されるが、実際にはAD上のユーザーはロックされたままであるため、ユーザーがログインしようとすると再び「アカウントのロックを解除しますか?」の画面が出るという動作になる。利用者の混乱を避けるには「ロック解除」の設定は「OktaとActive Directoryのユーザーをロックを解除」の方にした方が良さそう。
セルフパスワードリセット(委任認証では不可)
委任認証のAD→Oktaのディレクトリ統合環境では、Oktaのセルフパスワードリセットは出来ない。
上記Authenticator「パスワード」の「Active Directory Policy」のルールの設定で、セルフパスワードリセットの設定を有効にすること自体は可能であるが、設定を有効にしても実際にはセルフパスワードリセットは出来ない。
ユーザーのOkta Dashboardのプロファイル編集画面では「パスワード変更」の項目が表示されるものの鍵マークがついておりパスワード変更は不可。(なお、以下スクリーンショットに表示されている「AD管理です。」は、管理コンソールの設定([カスタマイズ]-[その他])でカスタマイズ可能な文言で、検証で設定した文言。)
Oktaの認証画面の「パスワードをお忘れですか?」のリンクからパスワードの変更が出来るかを試してみたが、変更後のパスワードの入力画面でどのようなパスワードを入力しても「パスワードの要件が満たされていません」というエラーとなり、パスワードの変更は出来なかった。
エージェントサーバー停止時の挙動
委任認証の処理を仲介するOkta AD エージェントサーバーは障害に備えて冗長構成にすることが推奨されるが、全てのエージェントサーバーが停止した場合も、ただちに全てのユーザーの認証ができなくなるというわけではない。
委任認証でログインしたパスワードは5日間はOkta上にキャッシュされる。そのため、過去5日以内にOktaにログインしているユーザーについては、全てのエージェントサーバーが停止している状態であっても、前回ログインから5日間のキャッシュ保持期間であれば、前回ログイン時のパスワードでログインが可能。
以下は、パスワードのキャッシュについて記述のあるOkta公式ドキュメントページ
なお、全AD Agentサーバーが停止した状態で、Okta上にパスワードがキャッシュされていない(5日以内にログインしていない等)ユーザーがログインしようとすると、以下のように「不正なリクエストです。」というエラーになる。
エージェントのバージョンアップ
エージェントサーバーにインストールするソフト、Okta AD Agentはしばしば新しいバージョンがリリースされる。
以下はOkta AD Agentのバージョン履歴のOkta公式ページ
https://help.okta.com/ja-jp/content/topics/settings/version_histories/ver_history_ad_agent.htm
Oktaがサポートするバージョンは最新バージョンおよび直近24カ月以内にリリースされたバージョンまでとなるため、導入時のバージョンのまま塩漬けするのではなく、新バージョンがリリースされたら更新する運用が望ましい。
以下はOktaのエージェントソフトのサポートポリシー公式ページ
https://help.okta.com/ja-jp/content/topics/directory/agent-support-policies.htm
エージェントのアップデートは、Oktaで自動更新のスケジュール設定が可能。以下リンクが自動更新の設定方法を記載した公式ページ。更新時にたまたま該当サーバーで処理しているユーザーの委任認証のセッションがあるとセッションが切れてしまうと予想されるので、自動更新はユーザーのOkta認証が少ない時間にスケジュールすることが望ましい。
https://help.okta.com/ja-jp/content/topics/directory/agent-auto-update-schedule.htm
なお、最近2024年3月に、当社の検証環境で、実際にこの自動スケジュールでバージョン3.16から3.17への更新処理が実行されたが、土曜の0:00~6:00の間に更新処理がされるようにスケジュールしたところ、2台のエージェントサーバーの更新処理が0:10~0:12の2分の間に完了していた。更新のリリースからアップデートまで1週間間隔を空けるスケジュール設定としていたが、更新がリリースされ一週間後に自動更新がスケジュールされたタイミングと、更新処理が始まったタイミング、完了したタイミングでそれぞれ管理者宛にメール通知が届いた。
おわりに
今回のAD→Oktaディレクトリ統合についてのナレッジ紹介のブログは以上となります。
また今後も不定期に、Oktaを使う上で役立ちそうなナレッジを紹介するブログを更新していけたらと考えています。
