Active Directory属性のOktaプロパティへのマッピング
次の表に、Oktaプロパティが対応するActive Directory(AD)属性にどのようにマップされているかを示します。
ネイティブActive Directory属性 — Active Directory内での属性の名前。
OktaがADアプリに割り当てた属性 — This is the name Okta uses to call native AD attributes when Active DirectoryがOkta内でセットアップされているときにネイティブAD属性を呼び出すためにOktaが使う名前。この値はアプリユーザープロファイルに表示されます。
ネイティブOkta属性 — ネイティブOkta属性の名前。
Oktaに必要 — OktaはOktaユーザープロファイルに特定の基準属性を必要とします。「はい」はOktaがその属性を必要とすることを示します。 プロファイルタイプについてを参照。
マッピング方向ADからOkta — AD属性に対応するOktaプロパティがあるかを示します。
マッピング方向OktaからAD — Oktaプロパティに対応するAD属性があるかを示します。
ネイティブActive Directory属性 | OktaがADに割り当てた属性 | ネイティブOkta属性 | Oktaに必要 | マッピング: ADからOkta | マッピング:OktaからAD | 注 |
|---|---|---|---|---|---|---|
| distinguishedName | dn | dn | はい | はい | はい | |
| givenName | firstName | firstName | はい | はい | はい | |
| はい | はい | はい | ||||
| objectGUID | externalID | externalID | はい | はい | はい | |
| objectSid | objectSid | objectSid | はい | はい | はい | |
| primaryGroupID | primaryGroupID | primaryGroupID | はい | はい | はい | |
| userPrincipalName* | userName | userName、email,、login | はい | いいえ | はい | メールが設定されていない場合にのみ使用します。 Oktaユーザー名の選択肢の1つとして、メール、UPN、sAMAccountNameと共に使用できます。選択すると、SAMAccountNameおよびADドメイン名(命名コンテキスト)と組み合わせてメールアドレスのような形式のOktaユーザー名が生成されます。 |
| sn | lastName | lastName | はい | はい | はい | |
| sAMAccountName | sAMAccountName | substringBefore(user.login, \"@\") | いいえ | いいえ | はい | |
| c | countryCode | countryCode | いいえ | はい | はい | |
| cn | cn | user.firstName + \" \" + user.lastName | いいえ | いいえ | はい | |
| co | co | co | いいえ | はい | はい | |
| countryCode | adCountryCode | countryCode | いいえ | はい | はい | |
| department | department | department | いいえ | はい | はい | |
| departmentNumber | departmentNumber | departmentNumber | いいえ | はい | はい | |
| displayName | displayName | displayName | いいえ | はい | はい | |
| division | division | division | いいえ | はい | はい | |
| employeeID | employeeID | employeeID | いいえ | はい | はい | |
| employeeNumber | employeeNumber | employeeNumber | いいえ | はい | はい | |
| generationQualifier | honorificPrefix | honorificPrefix | いいえ | はい | はい | |
| l | city | city | いいえ | はい | はい | |
| managerDN | managerDN | managerDN | いいえ | WorkdayなどのアプリからOktaに送信されるmanager値があり、その値をmangerDNとしてADで表現できる場合は、managerDnマッピングを使用します。この場合、マネージャーはユーザーと別のドメインに属していてもかまいません。 | ||
| managerUPN | managerUpn | managerUpn | いいえ | はい | はい | WorkdayなどのアプリケーションからOktaに送信されるmanager値があり、その値をmanagerUPNとしてADで表現できる場合は、managerUpnマッピングを使用します。この場合、マネージャーはユーザーと同じドメインに属している必要があります。 |
| middleName | middleName | middleName | いいえ | はい | はい | |
| mobile | mobilePhone | mobilePhone | いいえ | はい | はい | |
| personalTitle | honorificSuffix | honorificSuffix | いいえ | はい | はい | |
| postalCode | postalCode | zipCode | いいえ | はい | はい | |
| preferredLanguage | preferredLanguage | preferredLanguage | いいえ | はい | はい | |
| st | state | state | いいえ | はい | はい | |
| streetAddress | streetAddress | streetAddress | いいえ | はい | はい | |
| telephoneNumber | telephoneNumber | telephoneNumber | いいえ | はい | はい | |
| title | title | title | いいえ | はい | はい |
-
ADアプリユーザープロファイルスキーマは、Oktaユーザープロファイルではなく、姓と名を必要とすることに注意してください。Oktaユーザープロファイルでは姓と名の指定は省略可です。したがって、Oktaソースユーザーを姓または名なしで作成することはできますが、姓と名なしでADユーザーをOktaにインポートすることはできません。
- Oktaで必要なAD属性のどれかがユーザープロファイルにないと、そのユーザーは無視されます。例外はOktaメール属性で、これは必須であるため、ADユーザーオブジェクトのメール属性が入力されていないと、userPrincipalNameという値が自動入力されます。
isCriticalSystemObject属性がtrueに設定されていると、このユーザーは省略されます。この設定はほとんどの場合、システムが使用する内部アカウントですが、管理者などのビルトイン アカウントも含まれます。- カスタム属性がプロファイルエディター必須であるとマークされている(つまり[Add Attribute(属性の追加)]で[Attribute required(属性が必要)]が選択されている)がユーザーのADプロファイルに対応するフィールドがない場合、次回のインポート時、またはJITが有効になっていれば次回のユーザーログイン時にそのユーザーはデプロビジョニングされます。
- managerUPNまたはmanagerDN を不適切な形でマッピングすると、manager値がADのユーザーオブジェクトのアップデートに失敗する可能性があります。
- WorkdayなどのアプリケーションからOktaに送信されるmanager値があり、その値をmanagerUPNとしてADで表現できる場合は、managerUpnマッピングを使用します。この場合、マネージャーはユーザーと同じドメインに属している必要があります。
- WorkdayなどのアプリからOktaに送信されるmanager値があり、その値をmangerDNとしてADで表現できる場合は、managerDnマッピングを使用します。この場合、マネージャーはユーザーと別のドメインに属していてもかまいません。
以下のいずれかの条件が満たされる場合、システムは既にインポートされているユーザーが削除されているように取り扱います。
-
userAccountControl属性にそのユーザーがディアクティベートされていることが示される(増分インポートまたはJITサインインにより検出)。 -
そのユーザーがディレクトリに存在しなくなった(フルインポートでのみ検出)。
このような場合、対応するOktaユーザー(あれば)がディアクティベートされます。ユーザーは、次回のフルインポート時にOU 選択外に出た場合にもディアクティベートされます。