LDAPインターフェイスの既知の問題

LDAPインターフェイスの既知の問題を以下に示します。

  • UnixまたはLinuxベースのPAM認証はサポートされていません。
  • memberOfで検索すると、検索時間が長くなります。
  • TLS 1.2のみをサポートしています。
  • 読み取り専用のコマンドのみサポートしています。書き込みコマンドはサポートされていません。
  • サーバーでは、1000エントリのページサイズが許可されています。結果のサイズがページサイズを超える場合は、LDAPエラーコードが返されます。大量の結果を表示する場合は、シンプルページネーションコントロールを使用してください。詳細については、 https://www.ietf.org/rfc/rfc2696.txtを参照してください。
  • LDAPアプリがOktaにユーザーやグループのクエリを実行する際、アプリがLDAPiを使ってOktaに接続する場合は、Oktaが信頼できる情報源でなければなりません。
  • OktaのユーザーIDを使用する必要があります。samAccountNameをアプリのサインイン値に使用していると、認証に失敗します。
  • uniquemember属性やmemberOf属性のクエリを行うLDAP検索では、LDAPインターフェイスは、すべてのページを反復してから、メンバーシップの応答をクライアントに返します。
  • LDAPiは memberOfを仮想的な操作属性として定義しています。これは次の場合にのみ返されます。
    • 属性のリストにmemberOfが要求されている場合、または
    • すべての操作属性があは「+」を使って要求されている場合

    memberOf属性のクエリを行うと、組織のレート制限に影響することがあります。レート制限の問題を回避するために、Oktaはグループメンバーシップ属性のuniqueMemberを使用することを推奨します。この構成では、ユーザー数ではなくグループ数でAPI呼び出しをスケーリングします。

    また、LDAPコアスキーマの一部である追加の操作属性についても改善が加えられました。 このリストには、hasSubordinatesstructuralObjectClassentryDNsubschemaSubentryおよびnumSubordinatesが含まれます。numSubordinatesは、ユーザーとグループのコンテナでは計算されないことに注意してください。

  • 機密性の高い属性とLDAPインターフェイス検索 - 機密性の高い属性や、スキーマに存在しない属性を参照するLDAPインターフェイス検索フィルターでは、結果が返されません。

    例えば、カスタム属性の[Employee Number (社員番号)]が機密性の高いものである場合、フィルターemployeenumber=123-45-6789では結果が得られず、フィルター (|(employeenumber=*)(uniqueIdentifier=*)でも結果が得られません。

    また、スキーマに存在しない属性を参照するLDAPi検索フィルターは、結果を返しません。例えば、属性xyzがスキーマに存在しない場合、xyz=fooというフィルターは結果を返さず、(|(xyz=*)(bar=*))というフィルターも結果を返しません。

  • Okta Verifyの多要素認証をLDAPインターフェイスで使用している場合、報告されるIPアドレスはクライアントIPではなくアプリサーバーのIPとなります。これは、LDAPでクライアントのIPを転送できないという制限があるためです。