ユーザー同期の検出ルール
注:
販売終了のお知らせ
2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。
Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。
検出ルールは、ユーザーがActive Directory(AD)から同期され、Advanced Server Accessに割り当てられる方法を決定します。ADジョブごとに作成できる検出ルールは1つのみです。
検出ルールは以下のとおりです。
- ベースDN(Base DN):ルールがユーザーを検索する場所をコントロールする
- LDAPクエリ(LDAP Query):ユーザーを絞り込む特定の条件をコントロールする
一般的なベースDNの設定
ベースDNの設定を使用して、LDAPクエリがユーザーを検索する場所をコントロールできます。デフォルトでは、検索スコープは接続の作成時に指定したドメイン情報を使用します。
| 使用状況 | 例 |
|---|---|
ocorp.comドメイン内のコンシューマーの組織単位を検索する |
cn=users,dc=ocorp,DC=com |
ocorp.comドメイン内の権限を持つアカウントの組織単位を検索する |
|
test.ocorp.eduドメイン内の英語OUにある管理者オブジェクトを検索する |
|
一般的なLDAPクエリ
LDAPクエリを調整して、特定の条件に合うユーザーを見つけることができます。次の例は、特定のニーズに合わせて修正が必要になる場合があります。デフォルトの設定により、検出ルールには検索スコープ内のすべてのユーザーを見つけるLDAPが含まれます。
| 使用状況 | 例 |
|---|---|
| すべてのユーザーを見つける | (objectclass=user) |