Active Directory属性のOktaプロパティへのマッピング
次の表は、Oktaのプロパティが対応するActive Directory(AD)属性にどのようにマッピングされるかを示しています。
Native Active Directory attribute(ネイティブActive Directory属性) :これはAD内の属性名です。
Attribute assigned to the AD app by Okta(OktaによってADアプリに割り当てられた属性):これは、ADがOkta内でアプリとして設定されている場合に、ネイティブAD属性を呼び出すためにOktaが使用する名前です。この値は、アプリのユーザープロファイルに表示されます。
Native Okta attribute(ネイティブOkta属性) :これはネイティブOkta属性名です。
Required by Okta(Oktaで必須):Oktaでは、Oktaユーザープロファイルに特定の基本属性が必要です。[Yes(はい)]は、属性がOktaで必須であることを示します。「プロファイルタイプ」を参照してください。
Mapping Direction AD to Okta(ADからOktaへのマッピング):AD属性に対応するOktaプロパティがあるかどうかを示します。
Mapping Direction Okta to AD(OktaからADへのマッピング):Oktaプロパティに対応するAD属性があるかどうかを示します。
|
ネイティブActive Directory属性 |
OktaによってADに割り当てられた属性 |
ネイティブOkta属性 |
Oktaで必須 |
マッピング: ADからOktaへ |
マッピング:OktaからADへ | 備考 |
|---|---|---|---|---|---|---|
| distinguishedName | dn | dn | はい | はい | はい | |
| givenName | firstName | firstName | はい | はい | はい | |
| はい | はい | はい | ||||
| objectGUID | externalId | externalId | はい | はい | はい | |
| objectSid | objectSid | objectSid | はい | はい | はい | |
| primaryGroupID | primaryGroupID | primaryGroupID | はい | はい | はい | |
| userPrincipalName* | userName | userName、email、login | はい | いいえ | はい |
emailが設定されていない場合にのみ使用します。 Oktaユーザー名基本設定の選択肢の1つとして、 email、UPN、およびsAMAccountNameと一緒に使用できます。選択すると、sAMAccountNameとADドメイン名(命名コンテキスト)を組み合わせてOktaユーザー名が生成され、メールのような値を形成します。 |
| sn | lastName | lastName | はい | はい | はい | |
| sAMAccountName | sAMAccountName | substringBefore(user.login, \"@\") | いいえ | いいえ | はい | |
| c | countryCode | countryCode | いいえ | はい | はい | |
| cn | cn | user.firstName + \" \" + user.lastName | いいえ | いいえ | はい | |
| co | co | co | いいえ | はい | はい | |
| countryCode | adCountryCode | countryCode | いいえ | はい | はい | |
| department | department | department | いいえ | はい | はい | |
| departmentNumber | departmentNumber | departmentNumber | いいえ | はい | はい | |
| displayName | displayName | displayName | いいえ | はい | はい | |
| division | division | division | いいえ | はい | はい | |
| employeeID | employeeID | employeeID | いいえ | はい | はい | |
| employeeNumber | employeeNumber | employeeNumber | いいえ | はい | はい | |
| generationQualifier | honorificPrefix | honorificPrefix | いいえ | はい | はい | |
| l | city | city | いいえ | はい | はい | |
| managerDN | managerDN | managerDN | いいえ |
Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。 |
||
| managerUPN | managerUpn | managerUpn | いいえ | はい | はい |
Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。 |
| middleName | middleName | middleName | いいえ | はい | はい | |
| mobile | mobilePhone | mobilePhone | いいえ | はい | はい | |
| personalTitle | honorificSuffix | honorificSuffix | いいえ | はい | はい | 一部のADインスタンスでは、personalTitleの代わりにhonorificSuffix属性が使用される場合があります。これはOktaではactive_directory.honorificSuffixとして表示されます。2019年10月より前に作成されたAD統合を操作する場合に予想される動作です。 |
| postalCode | postalCode | zipCode | いいえ | はい | はい | |
| preferredLanguage | preferredLanguage | preferredLanguage | いいえ | はい | はい | |
| st | state | state | いいえ | はい | はい | |
| streetAddress | streetAddress | streetAddress | いいえ | はい | はい | |
| telephoneNumber | telephoneNumber | telephoneNumber | いいえ | はい | はい | |
| title | title | title | いいえ | はい | はい |
-
任意のOktaユーザープロファイルとは異なり、ADアプリのユーザープロファイルスキーマには姓名が必要となります。したがって、現在は、Oktaソースのユーザーであれば姓名を使用せずに作成することができますが、姓名のないADユーザーをOktaにインポートすることはできません。
- Oktaで必須のAD属性がユーザーのプロファイルにない場合、そのユーザーは無視されます。例外はOktaで必須のemail属性です。ADユーザーオブジェクトのemail属性が入力されていない場合は、userPrincipalName値が入力されます。
- isCriticalSystemObject属性がtrueに設定されている場合、そのユーザーは省略されます。この設定は大半がシステムで使用される内部アカウント用ですが、Administrator(管理者)のような様々な組み込みアカウントも含まれています。
- カスタム属性がProfile Editorで必須とマークされていて(つまり、[Add Attribute(属性を追加)]ダイアログで[Attribute required(必須属性)]が選択されている場合)、対応するフィールドがユーザーのADプロファイルに存在しない場合、ユーザーは次のインポート中にデプロビジョニングされます。JITが有効な場合は、ユーザーの次回ログイン時にデプロビジョニングされます。
- managerUPNまたはmanagerDNを誤ってマッピングすると、マネージャー値のユーザーオブジェクトがADで更新できなくなります。
- Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。
- Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmanagerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。
次のいずれかの条件を満たす場合、システムでは以前にインポートされたユーザーが削除済みとして処理されます。
-
userAccountControl属性が、ユーザーが非アクティブ化されていることを示している(増分インポートまたはJITサインインによって検出されます)。
-
ユーザーがディレクトリからいなくなる(フルインポートによってのみ検出されます)。
上記が発生した場合、対応するOktaユーザー(存在する場合)が非アクティブ化されます。次のフルインポート中にユーザーがOUの選択を解除した場合も、ユーザーは非アクティブ化されます。