会社からオンプレADを消しました ~OktaとオンプレADの切り離し編(実践)~

会社からオンプレADを消しました ~OktaとオンプレADの切り離し編(実践)~

こんにちは俊介です。
今回の記事ははOktaとオンプレADの切り離す際の手順を書いたものになります。
詳しくは、次のはじめにに書いていますのでさっそく進めていきたいと思います。

はじめに

このブログは3部構成になっており、それぞれブログを下記の順番で書いております。

今回はOktaとオンプレAD切り離しの話になります。
まだ事前準備を読んでない方がいらっしゃいましたら、そちらも読んで頂けますと幸いです。

やることリスト

作業の簡単な流れは下記の通りです。

  1. Oktaで連携の切り離し作業
  2. Amazon Web ServicesでオンプレADを止めるor消す作業

Okta側でやること

  • オンプレADとOktaの同期を止める
  • Oktaと連携しているオンプレADのユーザーの連携を切る
  • Oktaに存在しているユーザーそれぞれのOktaのPsasswordをリセットする

Amazon Web Services側でやること

  • オンプレADのインスタンスを止める

注意点

システム管理者(作業実施者)

  • OktaのPWリセットについて

作業実施者は自身のアカウントをPWリセットを行えず、Oktaにログイン出来なくなります。
なので、別の方に対応してもらうことになります。

システムの利用者(Oktaのアカウント所有者)

  • 秘密のPWの確認について

Passwordリセットを行う際に必ず「秘密の質問」を聞かれます。
こちらを通過しないとアカウントがロックされてしまいますのでアカウント所有者は事前に知っておく、または変更しておく事が必要になります。
対応手順は下記の通りです。
Oktaのダッシュボードを開いて左下にある「設定」を押下します

「プロファイルの編集」を押下します

秘密の質問は下の方にあります。
「編集」を押下して再設定ができます。

切り離しの手順(作業者の対応手順)

  1. Okta管理画面の上部タブ「Directory」から「Directory Integrations」を選択する
  1. 「Active Directory」を押下する

「Active」から「Inactive」に変える

  1. 切り離し対象のユーザーの右にある「×」を押下する

注意!
ここで私は自分自身のアカウントを切り離してしまい、後続にてOktaのログインが出来なくなりました…
必ず、他のシステム管理者の方に対応して頂いてください!
理由:自分自身ではOktaのPasswordのリセットは行えません。
その為、そのまま切り離しをしてしまうと後続の作業が出来なくなります。

  1. 「OK」を押下する
  1. Integrationsからユーザーが消えてるのを確認できたらOK
  1. Okta管理画面の上部タブ「Directory」から「People」を選択する
  1. 特定のアカウントを選択する
  1. 右上の「Reset Password」を押下する
  1. 「Reset Password Link」を押下する

パズワードリセットの方法を聞かれます。
「Reset Password Link」を選択することによって、アカウント所有者にメールで通知させる事が出来ます。

OktaのPasswordリセット~Oktaログイン確認の手順(アカウント所有者の手順)

  1. メールがアカウント所有者に届くので「パスワードのリセット」を押下する
  1. パスワードとは別に秘密の質問が聞かれるので答える

注意!
何度も秘密の質問で間違えると、Oktaのアカウントがロックされてしまいます。
必ず事前に秘密の質問の確認を行っときましょう!
ロックされた場合はシステム管理者に連絡して、対応してもらってください!
※最後にある補足にて対応手順を書いています。

  1. 新しいPWを設定する
  1. 「プッシュを送信」を押下する
  1. 電話番号を追加する(任意)

必要に応じて電話番号を追加するか、後で通知を押する

  1. ダッシュボードが表示される

Oktaに無事ログインしてダッシュボードが表示されたらOKです。

後作業

問題なくOktaにログインできたら、最後にオンプレADを止める作業になります。
弊社はAmazon Web ServicesのEC2にオンプレADのインスタンスを立てています。
Okta側で作業が完了して、これからオンプレADを使わないので止めます。

補足

「メールシステムがOktaと連携していて、Oktaにサインインしないとメールが見られず、パスワードリセットがユーザー自身によってできない場合」。

対応手順は下記の通りです。

  1. Okta管理画面の上部タブ「Directory」から「People」を選択する
  1. 対象ユーザーを押下して「Set Password & Active」を押下する
  1. 「Set Password & Active」を再度押下する
  1. ランダム生成された一時的なパスワードが設定され、それが表示されるのでユーザーに伝える(SlackのDM等)
  1. ユーザーにはOktaにログインしてもらい、PWを変えて貰えば完了

もしアカウントがロックされてしまったら…

アカウント保有者は社内のOktaシステム管理者に助けを求めてください。
システム管理者の方は下記の手順を実施してあげてください。

  1. Okta管理画面の上部タブ「Directory」から「People」を選択して対象ユーザーを探します。
  2. 左上の「Unlock Action」を押下する
  1. 「unlock」を押下する

終わりに

今回はオンプレADとOktaの切り離しについて書きました。
自分自身でも色々とテストして実際に挑みましたが、テストでは起きなかった事、気づけた部分などもありそこら編も書かせて頂きましたので、このブログを見て少しでも皆様がスムーズに対応出来たら嬉しいです。
次回は OktaとAzure ADの連携について書いていきたいと思います。

情報システム部門は企業のコア

CTA-IMAGE 株式会社クラウドネイティブは、情報システム部門のコンサルティング専門家集団です。 ゼロトラストの概念を国内でいち早く取り入れ、現実的に実装できる国内唯一のコンサルティング会社です。 「どの製品選べばいいの?」 「社内インフラ改革はどこから?」 「セキュリティって結局どうすれば?」 その疑問や不安にお応えします。