Active Directory属性のOktaプロパティーへのマッピング
次の表は、Oktaのプロパティーが対応するActive Directory(AD)属性にどのようにマッピングされるかを示しています。
ネイティブActive Directory属性 :これはAD内の属性名です。
OktaによってADアプリに割り当てられた属性:これは、ADがOkta内でアプリとして設定されている場合に、ネイティブAD属性を呼び出すためにOktaが使用する名前です。この値は、アプリのユーザー・プロファイルに表示されます。
ネイティブOkta属性 :これはネイティブOkta属性名です。
Oktaで必須:Oktaでは、Oktaユーザー・プロファイルに特定の基本属性が必要です。[はい]は、属性がOktaで必須であることを示します。 プロファイル・タイプについてを参照してください。
ADからOktaへのマッピング:AD属性に対応するOktaプロパティーがあるかどうかを示します。
OktaからADへのマッピング:Oktaプロパティーに対応するAD属性があるかどうかを示します。
ネイティブActive Directory属性 | OktaによってADに割り当てられた属性 | ネイティブOkta属性 | Oktaで必須 | マッピング: ADからOktaへ | マッピング:OktaからADへ | 注 |
|---|---|---|---|---|---|---|
| distinguishedName | dn | dn | はい | あり | あり | |
| givenName | firstName | firstName | はい | あり | あり | |
| はい | あり | あり | ||||
| objectGUID | externalID | externalID | はい | あり | あり | |
| objectSid | objectSid | objectSid | はい | あり | あり | |
| primaryGroupID | primaryGroupID | primaryGroupID | はい | あり | あり | |
| userPrincipalName* | userName | userName、email、login | はい | なし | あり | メールが設定されていない場合にのみ使用します。 Oktaユーザー名設定の選択肢の1つとして、メール、UPN、およびsAMAccountNameと一緒に使用できます。選択すると、SAMAccountNameとADドメイン名(命名コンテキスト)を組み合わせてOktaユーザー名が生成され、メールのような値を形成します。 |
| sn | lastName | lastName | はい | あり | あり | |
| sAMAccountName | sAMAccountName | substringBefore(user.login, \"@\") | いいえ | なし | あり | |
| c | countryCode | countryCode | いいえ | あり | あり | |
| cn | cn | user.firstName + \" \" + user.lastName | いいえ | なし | あり | |
| co | co | co | いいえ | あり | あり | |
| countryCode | adCountryCode | countryCode | いいえ | あり | あり | |
| department | department | department | いいえ | あり | あり | |
| departmentNumber | departmentNumber | departmentNumber | いいえ | あり | あり | |
| displayName | displayName | displayName | いいえ | あり | あり | |
| division | division | division | いいえ | あり | あり | |
| employeeID | employeeID | employeeID | いいえ | あり | あり | |
| employeeNumber | employeeNumber | employeeNumber | いいえ | あり | あり | |
| generationQualifier | honorificPrefix | honorificPrefix | いいえ | あり | あり | |
| l | city | city | いいえ | あり | あり | |
| managerDN | managerDN | managerDN | いいえ | Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。 | ||
| managerUPN | managerUpn | managerUpn | いいえ | あり | あり | Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。 |
| middleName | middleName | middleName | いいえ | あり | あり | |
| mobile | mobilePhone | mobilePhone | いいえ | あり | あり | |
| personalTitle | honorificSuffix | honorificSuffix | いいえ | あり | あり | |
| postalCode | postalCode | zipCode | いいえ | あり | あり | |
| preferredLanguage | preferredLanguage | preferredLanguage | いいえ | あり | あり | |
| st | state | state | いいえ | あり | あり | |
| streetAddress | streetAddress | streetAddress | いいえ | あり | あり | |
| telephoneNumber | telephoneNumber | telephoneNumber | いいえ | あり | あり | |
| title | title | title | いいえ | あり | あり |
-
任意のOktaユーザー・プロファイルとは異なり、ADアプリのユーザー・プロファイル・スキーマには姓名が必要となります。したがって、現在は、Oktaから提供するユーザーであれば姓名を使用せずに作成することができますが、姓名のないADユーザーをOktaにインポートすることはできません。
- Oktaで必須のAD属性がユーザーのプロファイルにない場合、そのユーザーは無視されます。例外はOktaで必須のemail属性です。ADユーザー・オブジェクトのemail属性が入力されていない場合は、userPrincipalName値が入力されます。
isCriticalSystemObject属性がtrueに設定されている場合、そのユーザーは省略されます。この設定は大半がシステムで使用される内部アカウント用ですが、管理者のような様々な組み込みアカウントも含まれています。- カスタム属性がプロファイル・エディターで必須とマークされていて(つまり、[属性を追加]ダイアログで[必須属性]が選択されている場合)、対応するフィールドがユーザーのADプロファイルに存在しない場合、ユーザーは次のインポート中にプロビジョニング解除されます。JITが有効な場合は、ユーザーの次回ログイン時にプロビジョニング解除されます。
- managerUPNまたはmanagerDN を誤ってマッピングすると、マネージャー値のユーザー・オブジェクトがADで更新できなくなります。
- Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。
- Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。
次のいずれかの条件を満たす場合、システムでは以前にインポートされたユーザーが削除済みとして処理されます。
-
userAccountControl属性が、ユーザーが非アクティブ化されていることを示している(増分インポートまたはJITサインインによって検出されます)。 -
ユーザーがディレクトリーからいなくなる(フル・インポートによってのみ検出されます)。
上記が発生した場合、対応するOktaユーザー(存在する場合)が非アクティブ化されます。次のフル・インポート中にユーザーがOU の選択を解除した場合も、ユーザーは非アクティブ化されます。