IT Knowledge Base

用戶在OKTA Verify遇上的問題，除一般的不能成功連接VPN外，就是出現用戶或密碼錯誤的訊息。先排除用戶輸入的用戶或密碼錯誤，在Admin Portal及系統設置上，可以先檢查以下部份。

01. 因為OKTA Verify帳戶不是直接同步Windows AD帳戶，所以問題與Windows AD帳戶/密碼無關。但試過將OKTA Verify帳戶刪除再重新建立，但在登入時，依然出現用戶或密碼錯誤的訊息。

02. 檢查OKTA Verify用戶日誌(user logs)，卻看不到用戶任何登入或錯誤的記錄。

03. 翻查OKTA Verify系統日誌，終於看到問題所在，『Login denied. Radius App Cisco ASA VPN (RADIUS) is assigned to more than one user with the same username.』，即是OKTA Verify系統中，有同一個用戶使用同一個名稱作登入，即是有兩個不同用戶名稱，設定了用使用同一個電郵地址。

04. 此問題是因為只要刪除/更改其中一個用戶電郵，用戶便能成功登入。問題是，為何作為唯一(unique)登入名稱，重複時OKTA Verify居然沒有任何警告呢？

01. 今次OKTA Verify帳戶是直接同步Windows AD帳戶，初步估計問題與Windows AD帳戶/密碼有關。但檢查AD帳戶所有設定也是正確，密碼也重新設定一次，但在登入時，依然出現用戶或密碼錯誤的訊息。

02. 到Admin Portal檢查帳戶，雖說OKTA Verify帳戶是直接同步Windows AD帳戶，但登入名稱與Windows AD帳戶是不同時，就人手在Admin Portal內更改為正確的登入名稱，用戶便可以成功登入。

03. 翻查資料，當HR(在Workday)建立新用戶時，如果入錯了用戶電郵，此錯誤就會伸延到Windows AD帳戶，同時，因為OKTA Verify是直接同步Windows AD帳戶，錯誤也會出現到OKTA Verify內。但問題是，當IT發現錯誤，只更改Windows AD帳戶內資料，有關更改根本不會再次去到OKTA Verify內，即是OKTA Verify只會同步新Windows AD一次。之後任你如何更改Windows AD帳戶登入名稱，也不再次更新到OKTA Verify內資料。要改，人手在OKTA Verify Admin Portal內改吧。

04. 又是一個『IT智將』的設計。