属性マッピング
販売終了のお知らせ
2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。
Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。
サーバー同期ジョブを構成するときは、いくつかのActive Directory(AD)属性をAdvanced Server Accessの必須サーバープロパティにマッピングする必要があります。こうすることで、Advanced Server Accessはドメイン内のサーバーを正確に識別して解決できます。
デフォルト属性
デフォルトでは、Advanced Server Accessは必要なActive Directory属性を自動入力しますが、特定の構成に一致させるためにこれらの属性の編集が必要となる場合があります。
| デフォルトのAD属性 | Advanced Server Accessのプロパティ | 説明 |
|---|---|---|
| dNSHostName | ホスト名 | Advanced Server Access内で検出されたサーバーの識別に使用するホスト名を指定します。 |
| dNSHostName | アクセスアドレス | 検出されたサーバーへの接続にゲートウェイが使用するIPアドレスまたはDNS名を指定します。 注:ドメインで内部DNSサーバーを使用している場合、この名前を解決して検出されたサーバーに接続するようにゲートウェイを構成する必要があります。 |
| operatingSystem | オペレーティングシステム | 検出されたサーバーのオペレーティングシステムを指定します。 |
| unset | 代替名 | 任意。検出されたサーバーの解決に使用される代替ホスト名またはDNSエントリを指定します。これは、Bastion (踏み台)が関わる構成で周期的な接続がある場合、その接続の削除に使用されることがあります。 |
| unset | Bastion (踏み台) | 任意。検出されたサーバーへのトラフィックスをトンネルするためにAdvanced Server Accessクライアントが使用できるBastion(踏み台)ホストを指定します。 |
属性をマッピング
追加のActive Directory属性をAdvanced Server Accessのラベルにマッピングすることで、プロジェクト内でアクセスポリシーを詳細に定義できます。各属性はLDAPクエリに含められ、値はAdvanced Server Accessの指定のラベルにマッピングされます。SID(Security Identifier)や他のバイナリでエンコードされた情報の識別にこのオプションを利用することはできません。
ラベルのマッピングには以下の制限があります。
- チームが追加できるラベルの最大数は10です。
- 属性が複数の値を返す場合、ラベルにマッピングできる値は1つのみです。
- 属性では大文字と小文字が区別され、LDAPクエリが返す値に正確に一致している必要があります。
Active Directory属性をAdvanced Server Accessラベルにマッピングするには、次の操作を行います。
- Advanced Server Accessダッシュボードを開きます。
- 接続(Connections)をクリックして既存の接続を選択します。
- サーバー同期(Server Sync)をクリックして既存のジョブを選択します。
- Active Directory属性(Active Directory Attribute)セクションに移動してこの属性を構成します。これはActive Directoryサーバーの属性であり、これをAdvanced Server Accessラベルにマッピングする必要があります。
- 任意。GUID?(Is GUID?)を選択します。GUID?(Is GUID?)オプションでは、Active Directory属性はGUID(Globally Unique Identifier)として識別されます。このオプションでは、LDAPクエリに対応してActive DirectoryがGUIDをエンコードするため、Advanced Server AccessがActive Directory属性をデコードしてAdvanced Server Accessのラベルに正確にマッピングできます。
- 保存して続行(Save & Continue)をクリックします。
- 任意。「サーバー同期ジョブをテストする」の手順に従ってください。
-
サーバーにアクセスする必要があるユーザーのグループを作成します。このグループのユーザーは、同じラベルを持つサーバーにのみアクセスできます。グループを作成するを参照してください。
-
プロジェクトグループにサーバーセレクターを追加します。
- グループ(Groups)タブに移動します。
- 歯車アイコン(
)をクリックし、編集(Edit)を選択します。 - サーバーアクセス(Server Access)で特定のサーバー(Specific Servers)を選択します。
- ラベルを選択します。ラベルの書式はad.defined ASA Label nameです。
- グループを更新する(Update Group)をクリックしてセレクターを保存します。
関連項目