Active Directory属性のOktaプロパティへのマッピング

次の表に、Oktaプロパティが対応するActive Directory(AD)属性にどのようにマップされているかを示します。

ネイティブActive Directory属性 — Active Directory内での属性の名前。

OktaがADアプリに割り当てた属性 — This is the name Okta uses to call native AD attributes when Active DirectoryがOkta内でセットアップされているときにネイティブAD属性を呼び出すためにOktaが使う名前。この値はアプリユーザープロファイルに表示されます。

ネイティブOkta属性 — ネイティブOkta属性の名前。

Oktaに必要 — OktaはOktaユーザープロファイルに特定の基準属性を必要とします。「はい」はOktaがその属性を必要とすることを示します。 プロファイルタイプについてを参照。

マッピング方向ADからOkta — AD属性に対応するOktaプロパティがあるかを示します。

マッピング方向OktaからAD — Oktaプロパティに対応するAD属性があるかを示します。

ネイティブActive Directory属性

OktaがADに割り当てた属性

ネイティブOkta属性

Oktaに必要

マッピング:

ADからOkta

マッピング:OktaからAD
distinguishedNamedndnはいはいはい
givenNamefirstNamefirstNameはいはいはい
mailemailemailはいはいはい
objectGUIDexternalIDexternalIDはいはいはい
objectSidobjectSidobjectSidはいはいはい
primaryGroupIDprimaryGroupIDprimaryGroupIDはいはいはい
userPrincipalName*userNameuserName、email,、login はいいいえはいメールが設定されていない場合にのみ使用します。
Oktaユーザー名の選択肢の1つとして、メール、UPN、sAMAccountNameと共に使用できます。選択すると、SAMAccountNameおよびADドメイン名(命名コンテキスト)と組み合わせてメールアドレスのような形式のOktaユーザー名が生成されます。
snlastNamelastNameはいはいはい
sAMAccountName sAMAccountNamesubstringBefore(user.login, \"@\")いいえいいえはい
ccountryCodecountryCodeいいえはいはい
cncnuser.firstName + \" \" + user.lastNameいいえいいえはい
cococoいいえはいはい
countryCodeadCountryCodecountryCodeいいえはいはい
departmentdepartmentdepartmentいいえはいはい
departmentNumberdepartmentNumberdepartmentNumberいいえはいはい
displayNamedisplayNamedisplayNameいいえはいはい
divisiondivisiondivisionいいえはいはい
employeeIDemployeeIDemployeeIDいいえはいはい
employeeNumberemployeeNumberemployeeNumberいいえはいはい
generationQualifierhonorificPrefixhonorificPrefixいいえはいはい
lcitycityいいえはいはい
managerDNmanagerDNmanagerDNいいえ

WorkdayなどのアプリからOktaに送信されるmanager値があり、その値をmangerDNとしてADで表現できる場合は、managerDnマッピングを使用します。この場合、マネージャーはユーザーと別のドメインに属していてもかまいません。

managerUPNmanagerUpnmanagerUpnいいえはいはい

WorkdayなどのアプリケーションからOktaに送信されるmanager値があり、その値をmanagerUPNとしてADで表現できる場合は、managerUpnマッピングを使用します。この場合、マネージャーはユーザーと同じドメインに属している必要があります。

middleNamemiddleNamemiddleNameいいえはいはい
mobilemobilePhonemobilePhoneいいえはいはい
personalTitlehonorificSuffixhonorificSuffixいいえはいはい
postalCodepostalCodezipCode いいえはいはい
preferredLanguagepreferredLanguagepreferredLanguageいいえはいはい
ststatestateいいえはいはい
streetAddressstreetAddressstreetAddressいいえはいはい
telephoneNumbertelephoneNumbertelephoneNumberいいえはいはい
titletitletitleいいえはいはい
  • ADアプリユーザープロファイルスキーマは、Oktaユーザープロファイルではなく、姓と名を必要とすることに注意してください。Oktaユーザープロファイルでは姓と名の指定は省略可です。したがって、Oktaソースユーザーを姓または名なしで作成することはできますが、姓と名なしでADユーザーをOktaにインポートすることはできません。

  • Oktaで必要なAD属性のどれかがユーザープロファイルにないと、そのユーザーは無視されます。例外はOktaメール属性で、これは必須であるため、ADユーザーオブジェクトのメール属性が入力されていないと、userPrincipalNameという値が自動入力されます。
  • isCriticalSystemObject属性がtrueに設定されていると、このユーザーは省略されます。この設定はほとんどの場合、システムが使用する内部アカウントですが、管理者などのビルトイン アカウントも含まれます。
  • カスタム属性がプロファイルエディター必須であるとマークされている(つまり[Add Attribute(属性の追加)][Attribute required(属性が必要)]が選択されている)がユーザーのADプロファイルに対応するフィールドがない場合、次回のインポート時、またはJITが有効になっていれば次回のユーザーログイン時にそのユーザーはデプロビジョニングされます。
  • managerUPNまたはmanagerDN を不適切な形でマッピングすると、manager値がADのユーザーオブジェクトのアップデートに失敗する可能性があります。
    • WorkdayなどのアプリケーションからOktaに送信されるmanager値があり、その値をmanagerUPNとしてADで表現できる場合は、managerUpnマッピングを使用します。この場合、マネージャーはユーザーと同じドメインに属している必要があります。
    • WorkdayなどのアプリからOktaに送信されるmanager値があり、その値をmangerDNとしてADで表現できる場合は、managerDnマッピングを使用します。この場合、マネージャーはユーザーと別のドメインに属していてもかまいません。

以下のいずれかの条件が満たされる場合、システムは既にインポートされているユーザーが削除されているように取り扱います。

  • userAccountControl属性にそのユーザーがディアクティベートされていることが示される(増分インポートまたはJITサインインにより検出)。

  • そのユーザーがディレクトリに存在しなくなった(フルインポートでのみ検出)。

このような場合、対応するOktaユーザー(あれば)がディアクティベートされます。ユーザーは、次回のフルインポート時にOU 選択外に出た場合にもディアクティベートされます。