Active Directoryアカウントのマッピングを構成する

はじめに

タスク

  1. Oktaプロファイルテンプレートに属性を追加する
  2. AD属性をOktaプロファイルにマッピングする
  3. Advanced Server Accessのプロファイルテンプレートに属性を追加する
  4. Oktaプロファイル属性をAdvanced Server Accessプロファイル属性にマッピングする
  5. ユーザーまたはグループをAdvanced Server Access
    に割り当てる
  6. 任意。プロジェクトレベルの属性オーバーライドを割り当てる

Oktaプロファイルテンプレートに属性を追加する

最初の手順は、デフォルトのOktaユーザープロファイルへの属性の追加です。この属性には、特定のOktaアカウント用の1つ以上のADユーザー名が格納されます。

Admin Consoleで、Profile Editorを使ってデフォルトのOktaユーザープロファイルにデータ型がstring array(文字列配列)の属性を追加します。その他の設定は、組織のニーズに合わせて構成できます。「Oktaユーザープロファイルにカスタム属性を追加する」をご覧ください。

AD属性をOktaプロファイルにマッピングする

次に、AD属性を自分のOktaユーザープロファイルにマッピングする必要があります。Admin ConsoleProfile Editorを開き、自分のADディレクトリ統合を見つけて[Profile Editor(マッピング)]をクリックします。Okta式を使用してAD属性を文字列にマッピングする必要があります。作成したフィールドを見つけ、左側の列に次の式を入力します。

Arrays.add(Arrays.toCsvString({}),appuser.userName)

Advanced Server Accessのプロファイルテンプレートに属性を追加する

新しいチームでは、このプロセスは必要ありません。既存のチームがお困りの場合は、Oktaサポートまでご連絡ください。

次に、デフォルトのAdvanced Server Accessユーザープロファイルに2つの属性を追加しなければなりません。Advanced Server Accessは、これらの属性を使って、ユーザーが利用できるADユーザーアカウントを格納します。どちらの属性も必須であり、指定どおりの設定を使用する必要があります。

Admin Consoleで、Profile Editorを使ってデフォルトのAdvanced Server Accessユーザープロファイルに属性を追加します。

Active Directory ID

  • Data type(データ型)string array(文字列配列)
  • Display name(表示名)Active Directory Identity
  • Variable name(変数名)activeDirectoryIdentity
  • External name(外部名)activeDirectoryIdentity
  • External namespace(外部ネームスペース)urn:scim:schemas:scaleft:user:1.0
  • Description(説明)Oktaユーザーが利用できるADアカウントのカンマ区切りのリスト。ユーザーは、これらのアカウントの使用時にパスワードを手動で入力する必要があります。
  • Scope(スコープ)Personal(個人)

Active DirectoryパスワードレスID

  • Data type(データ型)string array(文字列配列)
  • Display name(表示名)Active DirectoryパスワードレスID
  • Variable name(変数名)activeDirectoryPasswordlessIdentity
  • External name(外部名)activeDirectoryPasswordlessIdentity
  • External namespace(外部ネームスペース)urn:scim:schemas:scaleft:user:1.0
  • Description(説明)Oktaユーザーが利用できるADアカウントのカンマ区切りのリスト。ユーザーは、これらのアカウントの使用時にパスワードを入力する必要はありません。
  • Scope(スコープ)Personal(個人)

[External name(外部名)]フィールドと[External namespace(外部ネームスペース)]フィールドは、必ずここに記載されているとおりに入力してください。

その他の設定は、組織のニーズに合わせて構成できます。

Oktaプロファイル属性をAdvanced Server Accessプロファイル属性にマッピングする

次に、Oktaプロファイル属性をAdvanced Server Accessの属性にマッピングする必要があります。Admin ConsoleProfile Editorを開き、Okta Advanced Server Accessユーザープロファイルを見つけて[Mappings(マッピング)]をクリックします。手順1で作成したOktaユーザー属性から、手順3で作成したAdvanced Server Access属性へのマッピングを作成します。「Profile EditorでOkta属性をアプリ属性にマッピングする」をご覧ください。

ユーザーまたはグループをAdvanced Server Accessに割り当てる

前の手順を終えると、属性の構成が完了し、使用を開始できます。Advanced Server Accessに割り当てられる新しいユーザーに、これらの属性が含まれます。「アプリケーションをユーザーに割り当てる」をご覧ください。

プロジェクトレベルの属性オーバーライドを割り当てる

環境ごとにADアカウントが異なる場合があります。このような場合、アカウント属性はプロジェクトごとにオーバーライドできます。「プロジェクトレベルの属性オーバーライドを設定する」をご覧ください。