属性のマッピング

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

サーバー同期ジョブを構成するときは、いくつかのActive Directory (AD)属性を必須のアドバンストサーバーアクセスのサーバープロパティにマッピングする必要があります。こうすることで、アドバンストサーバーアクセスはドメイン内のサーバーを正確に識別して解決することができます。

デフォルトの属性

デフォルトでは、アドバンストサーバーアクセスは必要なAD属性を自動入力しますが、特定の構成に一致させるためにこれらの属性の編集が必要となる場合があります。

デフォルトのAD属性アドバンストサーバーアクセスのプロパティ説明
dNSHostNameホスト名アドバンストサーバーアクセス内で検出されたサーバーの識別に使用するホスト名を指定します。
dNSHostNameアクセスアドレス検出されたサーバーへの接続にゲートウェイが使用するIPアドレスまたはDNS名を指定します。

:ドメインで内部DNSサーバーを使用している場合、この名前を解決して検出されたADサーバーに接続するようにゲートウェイを構成する必要があります。

operatingSystemオペレーティング システム検出されたサーバーのオペレーティングシステムを指定します。
unset代替名任意。検出されたサーバーの解決に使用される代替ホスト名またはDNSエントリを指定します。これは、要塞が関わる構成で周期的な接続がある場合、その接続の削除に使用されることがあります。
unset要塞任意。検出されたサーバーへのトラフィックスをトンネルするためにアドバンストサーバーアクセスのクライアントが使用できる要塞ホストを指定します。

ラベルのマッピング

追加のAD属性をアドバンストサーバーアクセスのラベルにマッピングすることで、プロジェクト内でアクセスポリシーを詳細に定義することができます。各属性はLDAPクエリに含められ、値は指定してASAラベルにマッピングされます。ラベルのマッピングには以下の制限があります。

  • 早期アクセスリリースの間、追加できるラベルは最大10個です。
  • 属性が複数の値を返す場合、ラベルにマッピングできる値は1つのみです。
  • 属性では大文字と小文字が区別され、LDAPクエリが返す値に正確に一致している必要があります。

Is GUID?オプションでは、AD属性をGUID (Globally Unique Identifier)として識別します。LDAPクエリに対応してADがGUIDをエンコードするので、このオプションではアドバンストサーバーアクセスがAD属性をデコードして、ASAラベルに正確にマッピングします。

SID (Security Identifier)や他のバイナリーでエンコードされた情報を識別するためにこのオプションを使用することはできません。

関連項目

サーバーの同期ジョブを作成する