Considérations et limites concernant l'intégration Active Directory
N' oubliez pas ce qui suit lorsque vous utilisez des intégrations Active Directory (AD) :
-
Si vous utilisez une URL personnalisée :
- Agents : utilisez le domaine réel (exemple.okta.com) et non pas le domaine personnalisé (exemple.nompersonnalisé.com).
- SSO IWA : modifiez le fichier web.config pour inclure l'URL personnalisée. <oktaSSOConfigGroup><oktaSSOConfig orgOktaAuthenticationURL="https://example.customname.com/login/sso_iwa_auth" orgBackupOktaAuthenticationURL="https://example.customname.com/login/default" oktaSSOWebAppVersion="1.11.5.0">
- Agentless Desktop SSO : assurez-vous que l'ensemble des flux de connexion et des marque-pages du navigateur utilise l'URL adéquate.
- Lorsque vous ajoutez un attribut à un domaine AD, redémarrez chaque agent AD d'Okta connecté au domaine. Si l' agent AD d'Okta n'est pas redémarré, une restriction Active Directory amènera les agents à encoder les valeurs des nouveaux attributs en base 64.
- Pour renommer un domaine AD, désinstallez l'agent AD d'Okta avant d'entamer le processus de renommage. Une fois le domaine renommé, réinstallez l'agent AD d'Okta avec le nouveau nom de domaine. Un domaine renommé apparaît sous forme de nouvelle instance d'application AD dans Okta.
- Parfois, les informations liées aux appartenances aux groupes des utilisateurs sourcés depuis AD et importés sur Okta durant l'approvisionnement juste à temps (JIT) ne sont pas supprimées lors d'importations complètes ou incrémentielles. Les mises à jour JIT ou de profil ultérieures incluent obligatoirement une mise à jour des informations d'appartenances aux groupes.
- Lorsque les paramètres d'approvisionnement indiquent Ne rien faire alors que les utilisateurs sont désactivés, les utilisateurs restent actifs sur Okta. Lorsqu'une seule source fournit des attributs de profil utilisateur, les utilisateurs désactivés sont déconnectés de la source et Okta devient la source des attributs de profil utilisateur.
- Lorsque Désactiver les utilisateurs est désactivé dans l'onglet Approvisionnement, les utilisateurs désactivés depuis AD et réactivés dans Okta par le biais de l' approvisionnement JIT ne disposent pas de groupes de distribution qui leur sont affectés. Pour résoudre ce problème, désactivez l'utilisateur d' D et effectuez une importation complète.
Limites d'importation de groupes
Okta limite le nombre total d'octets pouvant être envoyés depuis un agent AD vers le serveur Okta lors d'une unique requête à 20 971 520 octets (20 mégaoctets). Afin d'éviter de dépasser les limitations de taille d'Okta durant l'importation de données, les jeux de résultats contenant plusieurs objets de groupe sont divisés en unités de tailles séparées. Chaque unité est envoyée dans une requête distincte.
Si un unique groupe dépasse la limite de taille définie, il sera tout de même envoyé à Okta. Une erreur HTTP 413 (Charge utile trop grande) standard peut être renvoyée si la taille dépasse 250 000 octets (0,25 mégaoctet). La longueur du distinguishedName (Nom unique), dit "dn", du groupe, de l'utilisateur au sein du groupe, ainsi que le volume des appartenances au groupe sont incluses dans le nombre total d'octets envoyés à Okta.
Si une erreur HTTP 413 (Charge utile trop grande) s'affiche, il est recommandé de séparer des appartenances directes aux groupes dans des sous-groupes. Cela permet d'éviter la limite de taille et permet d'envoyer les données en une seule requête.