Active Directory属性のOktaプロパティへのマッピング
次の表は、Oktaのプロパティが対応するActive Directory(AD)属性にどのようにマッピングされるかを示しています。
ネイティブActive Directory属性 :これはAD内の属性名です。
OktaによってADアプリに割り当てられた属性:これは、ADがOkta内でアプリとして設定されている場合に、ネイティブAD属性を呼び出すためにOktaが使用する名前です。この値は、アプリのユーザープロファイルに表示されます。
ネイティブOkta属性 :これはネイティブOkta属性名です。
Oktaで必須:Oktaでは、Oktaユーザープロファイルに特定の基本属性が必要です。[Yes(はい)]は、属性がOktaで必須であることを示します。「プロファイルタイプについて」を参照してください。
ADからOktaへのマッピング:AD属性に対応するOktaプロパティがあるかどうかを示します。
OktaからADへのマッピング:Oktaプロパティに対応するAD属性があるかどうかを示します。
|
ネイティブActive Directory属性 |
OktaによってADに割り当てられた属性 |
ネイティブOkta属性 |
Oktaで必須 |
マッピング: ADからOktaへ |
マッピング:OktaからADへ | 備考 |
|---|---|---|---|---|---|---|
| distinguishedName | dn | dn | はい | はい | はい | |
| givenName | firstName | firstName | はい | はい | はい | |
| はい | はい | はい | ||||
| objectGUID | externalId | externalId | はい | はい | はい | |
| objectSid | objectSid | objectSid | はい | はい | はい | |
| primaryGroupID | primaryGroupID | primaryGroupID | はい | はい | はい | |
| userPrincipalName* | userName | userName、email、login | はい | いいえ | はい |
emailが設定されていない場合にのみ使用します。 Oktaユーザー名基本設定の選択肢の1つとして、 email、UPN、およびsAMAccountNameと一緒に使用できます。選択すると、sAMAccountNameとADドメイン名(命名コンテキスト)を組み合わせてOktaユーザー名が生成され、E メールのような値を形成します。 |
| sn | lastName | lastName | はい | はい | はい | |
| sAMAccountName | sAMAccountName | substringBefore(user.login, \"@\") | いいえ | いいえ | はい | |
| c | countryCode | countryCode | いいえ | はい | はい | |
| cn | cn | user.firstName + \" \" + user.lastName | いいえ | いいえ | はい | |
| co | co | co | いいえ | はい | はい | |
| countryCode | adCountryCode | countryCode | いいえ | はい | はい | |
| department | department | department | いいえ | はい | はい | |
| departmentNumber | departmentNumber | departmentNumber | いいえ | はい | はい | |
| displayName | displayName | displayName | いいえ | はい | はい | |
| division | division | division | いいえ | はい | はい | |
| employeeID | employeeID | employeeID | いいえ | はい | はい | |
| employeeNumber | employeeNumber | employeeNumber | いいえ | はい | はい | |
| generationQualifier | honorificPrefix | honorificPrefix | いいえ | はい | はい | |
| l | city | city | いいえ | はい | はい | |
| managerDN | managerDN | managerDN | いいえ |
Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。 |
||
| managerUPN | managerUpn | managerUpn | いいえ | はい | はい |
Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。 |
| middleName | middleName | middleName | いいえ | はい | はい | |
| mobile | mobilePhone | mobilePhone | いいえ | はい | はい | |
| personalTitle | honorificSuffix | honorificSuffix | いいえ | はい | はい | |
| postalCode | postalCode | zipCode | いいえ | はい | はい | |
| preferredLanguage | preferredLanguage | preferredLanguage | いいえ | はい | はい | |
| st | state | state | いいえ | はい | はい | |
| streetAddress | streetAddress | streetAddress | いいえ | はい | はい | |
| telephoneNumber | telephoneNumber | telephoneNumber | いいえ | はい | はい | |
| title | title | title | いいえ | はい | はい |
-
任意のOktaユーザープロファイルとは異なり、ADアプリのユーザープロファイルスキーマには姓名が必要となります。したがって、現在は、Oktaソースのユーザーであれば姓名を使用せずに作成することができますが、姓名のないADユーザーをOktaにインポートすることはできません。
- Oktaで必須のAD属性がユーザーのプロファイルにない場合、そのユーザーは無視されます。例外はOktaで必須のemail属性です。ADユーザーオブジェクトのemail属性が入力されていない場合は、userPrincipalName値が入力されます。
- isCriticalSystemObject属性がtrueに設定されている場合、そのユーザーは省略されます。この設定は大半がシステムで使用される内部アカウント用ですが、管理者のような様々な組み込みアカウントも含まれています。
- カスタム属性がプロファイルエディターで必須とマークされていて(つまり、[Add Attribute(属性を追加)]ダイアログで[Attribute required(必須属性)]が選択されている場合)、対応するフィールドがユーザーのADプロファイルに存在しない場合、ユーザーは次のインポート中にデプロビジョニングされます。JITが有効な場合は、ユーザーの次回ログイン時にデプロビジョニングされます。
- managerUPNまたはmanagerDNを誤ってマッピングすると、マネージャー値のユーザーオブジェクトがADで更新できなくなります。
- Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。
- Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。
次のいずれかの条件を満たす場合、システムでは以前にインポートされたユーザーが削除済みとして処理されます。
-
userAccountControl属性が、ユーザーが非アクティブ化されていることを示している(増分インポートまたはJITサインインによって検出されます)。
-
ユーザーがディレクトリからいなくなる(フルインポートによってのみ検出されます)。
上記が発生した場合、対応するOktaユーザー(存在する場合)が非アクティブ化されます。次のフルインポート中にユーザーがOUの選択を解除した場合も、ユーザーは非アクティブ化されます。