Configurer les paramètres d'approvisionnement Active Directory

Lorsque vous installez l'agent AD d'Okta ou quand les besoins de votre entreprise changent, vous pouvez définir la façon dont les données utilisateur sont gérées et mises à jour.

  1. Dans Admin Console, accédez à DirectoryIntégrations de répertoires.

  2. Sélectionnez l'entrée Active Directory dont vous souhaitez configurer les paramètres.
  3. Cliquez sur l'onglet Approvisionnement et sélectionnez Dans l'application dans la liste des Paramètres.
  4. Dans la section Approvisionnement dans l'application, cliquez sur Modifier.
  5. Sélectionnez Activer pour Créer des utilisateurs. Lorsque vous activez cette option, Okta peut créer des utilisateurs sur Active Directory (AD). Cela vous permet d'importer des utilisateurs depuis un système externe et de créer des comptes à la fois dans Okta et dans AD. Par exemple, vous pouvez importer des utilisateurs depuis un système RH, créer les utilisateurs sur Okta, puis déclencher la création d'utilisateurs sur AD par Okta. Le système RH est la source et les modifications qui y sont apportées sont propagées vers Okta et AD. Un autre cas d'utilisation peut inclure Okta en tant que source principale pour l'ensemble des informations utilisateur qui envoie toutes les mises à jour faites dans Okta sur AD.

    Afin de mettre en œuvre cette fonctionnalité, vous aurez tout d'abord besoin de créer un groupe sur Okta, puis d'assigner ce groupe à votre instance AD. Lorsque des utilisateurs sont ajoutés au groupe, ils sont également créé sur AD. Un scénario fréquent est l'utilisation de règles de groupe pour ce type de flux afin d'ajouter automatiquement des utilisateurs au groupe d'approvisionnement AD.

  6. Dans le champ Destinataire de l'e-mail d'activation, saisissez l'adresse e-mail de l'administrateur Okta qui recevra les e-mails d'activation contenant le mot de passe de l'utilisateur Okta. Il incombe à l'administrateur de transmettre à l'utilisateur final sont mot de passe Okta.
  7. Dans la liste de Format du nom d'utilisateur AD, sélectionnez le format pour le nom d'utilisateur AD :
    • Personnalisé: sélectionnez cette option afin d'utiliser un nom d'utilisateur personnalisé sur AD. Saisissez le Okta Expression Language afin de définir le format de nom d'utilisateur à utiliser pour le mappage. Pour valider votre expression, saisissez un nom d'utilisateur, puis cliquez sur l'icône d'affichage. Voir la section Modifier les attributs avec des expressions.
    • E-mail : sélectionnez cette option afin d'utiliser une adresse e-mail pour les noms d'utilisateur sur AD.
    • Préfixe d'e-mail : sélectionnez cette option afin d'utiliser un préfixe d'e-mail pour les noms d'utilisateur sur AD.
    • ID utilisateur LDAP + suffixe personnalisé : sélectionnez cette option afin d'utiliser l'identifiant utilisateur LDAP accompagné d'un suffixe personnalisé pour former le nom d'utilisateur.
    • Nom d'utilisateur Okta : sélectionnez cette option afin d'utiliser le nom d'utilisateur Okta comme nom d'utilisateur AD.
    • Préfixe de nom d'utilisateur Okta : sélectionnez cette option afin d'utiliser le préfixe de nom d'utilisateur Okta comme nom d'utilisateur AD.
    • Depuis le nom d'utilisateur Okta : sélectionnez cette option afin d'utiliser Okta pour générer le nom d'utilisateur AD à partir du nom d'utilisateur Okta . Le nom d'utilisateur généré inclut le nom d'utilisateur Okta en préfixe et le domaine AD en tant que suffixe.
  8. Sélectionnez Activer pour la section Mettre à jour les attributs d'utilisateur pour mettre à jour les attributs utilisateur sur AD lorsqu'une application est assignée. Les futurs changements d'attributs affectant le profil utilisateur Okta remplaceront automatiquement la valeur d'attribut correspondante sur AD. Consultez Activer les mises à jour des unités organisationnelles de l'utilisateur provenant d'Okta.

  9. Sélectionnez Mettez à jour l'UO lorsque le groupe qui approvisionne un utilisateur à AD est modifié afin de mettre à jour l'unité organisationnelle (OU) d'un utilisateur sourcée depuis Okta en cas de modification du group approvisionnant un utilisateur vers AD.

    Si l'OU d'un utilisateur sourcé depuis Okta change sur AD, ce changement n'est pas reflété sur Okta parce que Okta est la source pour cet utilisateur. À la prochaine mise à jour de l'utilisateur dans Okta, il est à nouveau approvisionné vers l'OU tel que défini sur Okta.

    Lorsque l'envoi du profil est actif, Okta met à jour l'attribut CN sur AD. Si un mappage est défini pour l'attribut cn dans le Profile Editor, alors ce mappage est appliqué. S'il n'y a pas de mappage ou si le comportement reatif au mappage de CN est défini comme Do not map (Ne pas mapper), alors le CN est défini comme suit : Prénom + " " + Nom de famille. Reportez-vous à Envoi de profils.

  10. Sélectionnez Activer pour Désactiver les utilisateurs afin de désactiver le compte AD d'un utilisateur lorsqu'il n'est pas affecté dans Okta ou que son compte Okta est désactivé.

  11. Sélectionnez Activer pour Synchroniser un mot de passe afin que les mots de passe AD des utilisateurs soient identiques à leurs mots de passe Okta .

  12. Cliquez sur Enregistrer.
  13. Facultatif. Mappez les attributs Active Directory vers les attributs Okta dans la section Attribute Mappings (Mappages d'attributs). Les attributs listés dans le tableau sont vos attributs Active Directory. Pour modifier ces mappages, cliquez sur l'icône de modification. Voir Mapper des attributs d'application sur la page Approvisionnement