Limitations connues de l'interface LDAP

L'interface LDAP est un outil léger conçu pour effectuer les opérations LDAP suivantes : BIND, UNBIND, and SEARCH. Bien qu'il puisse exécuter ces fonctions de base sans dépendre d'un serveur LDAP, il se peut qu'il ne prenne pas en charge toutes les fonctionnalités et fonctions avancées que fournit votre serveur LDAP actuel. Ainsi, avant de remplacer votre serveur LDAP par l'interface LDAP , évaluez soigneusement ses capacités et ses limitations.

Cette rubrique partage des problèmes courants et des limitations connus. Cependant, il se peut qu'elle ne couvre pas tous les scénarios possibles. Okta recommande de travailler avec votre équipe de vente Okta ou CSM avant d'intégrer l'interface LDAP dans vos plans de configuration LDAP .

Recherches et références d'attributs

  • Le jeton OIDC expire toutes les heures et cette durée ne peut pas être modifiée. Pour continuer à effectuer une RECHERCHE sur la même connexion, les utilisateurs doivent exécuter une autre opération BIND après l'expiration du jeton.

  • Le temps de traitement de memberOf et uniqueMember peut être long, en fonction du nombre total de membres du groupe et du rôle d'administrateur qui exécute l'opération de recherche. Les recherches exécutées par des utilisateurs aux rôles plus restreints prennent plus de temps à traiter.
  • Les résultats de recherche sont limités à 1 000 entrées par page. Pour les jeux de résultats volumineux, le contrôle de la pagination simple (RFC 2696) est obligatoire.
  • L'interface LDAP définit memberOf comme un attribut virtuel opérationnel. Il n'est renvoyé que dans les cas suivants :
    • memberOf est requis dans la liste d'attributs.
    • L'ensemble des attributs opérationnels sont requis via l'utilisation de '+'.

  • Les attributs disponibles dans l'interface LDAP ne représentent qu'un sous-ensemble du schéma LDAP complet et peuvent comporter des incohérences dans la dénomination. Le filtre LDAP prend en charge tous les attributs, y compris les attributs personnalisés, à l'exception de l'attribut responsable. Toutefois, les listes LDAP incluent tous les attributs, y compris l'attribut responsable.

    Pour consulter les schémas d'interface LDAP disponibles, effectuez une recherche sur l'interface LDAP à l'aide des éléments suivants :

    Attribut Valeur

    Nom unique de base

    		 cn=schema

    Portée

    BASE

    Filtre

    objectclass=subschema

    Attributs demandés

    ldapSyntaxes matchingRules attributeTypes objectClasses

    Vous pouvez également utiliser + ou tous les attributs utilisateur.

  • Les résultats de la recherche ne sont pas renvoyés si des attributs de schéma non pris en charge sont utilisés dans la requête de recherche.

Chiffrement

  • TLS 1.2 est uniquement pris en charge.
  • l'interface LDAP prend en charge deux méthodes d'utilisation de connexions chiffrées : LDAPS et StartTLS. Une connexion doit être chiffrée à l'aide de l'une de ces méthodes pour utiliser l'interface LDAP . N'importe laquelle opération reçue sur une connexion non chiffrée est immédiatement rejetée.

Authentification (BIND)

  • L'authentification PAM Linux ou Unix n'est pas prise en charge.

  • Votre UID (Identifiant utilisateur) pour les connexions aux application est directement contrôlé par le mappage de connexion configuré pour cette app spécifique dans Okta. Quel que soit l'attribut choisi dans le mappage de connexion (par exemple, appUser.samAccountName pour Active Directory), la valeur sera utilisée comme UID.

  • Lors de l'utilisation de l'authentification multifacteur Okta Verify sur l'interface LDAP, l'adresse IP utilisée sera l'IP appserver plutôt que l'IP client. Cela provient des limitations de la capacité à transférer l'IP client via LDAP.