Active Directoryのインポートとアカウントの設定を構成する

Okta AD Agentのインストール時に、またはビジネスのニーズの変化に応じて、ユーザーデータをいつどのようにインポートするかを定義します。ユーザー名の形式の定義は、このプロセスの重要な要素です。ユーザー名は、Active Directory（AD）のユーザーをOktaに関連付けるために使用されます。ユーザーのOktaへのサインイン方法に影響するため、正しいユーザー名の形式を選択することが重要になります。

デフォルトでは、Oktaは委任認証時にOktaユーザープロファイルのユーザー名を使用します。たとえば、ADアプリユーザーのユーザー名がsamAccountNameで、Oktaユーザープロファイルのユーザー名（ログインフィールド）がUPNの場合、OktaではUPNを使用してユーザーをサインインさせます。

ADドメインの機能レベルが2003の場合、ADユーザー名には、domain.name形式が含まれるUPNを含める必要があります。

OktaではGUIDを使用して、組織単位（OU）などのオブジェクトを一意に識別します。OUの読み取りとマッチングの際にGUIDを使用します。たとえば、AD内のOUを削除し、同じ名前を持つOUを作成すると仮定します。Oktaでは、これらが別のGUIDを持つため、異なるOUとして扱います。

1. Admin Consoleでディレクトリ（Directory） > ディレクトリ統合（Directory Integrations）の順に進みます。
2. Active Directory をクリックし、プロビジョニング（Provisioning）タブをクリックします。
3. 設定（Settings）（Integration）リストの統合（Integration）（Settings）をクリックし、インポート設定（Import Settings）エリアの次のフィールドを入力します。
   • 接続されているユーザーのOU（User OUs connected to ）Okta ：ユーザーのインポートに使用するOUを追加または削除します。

     早期アクセスリリース

   • ユーザーフィルター（User Filter）：指定した条件に一致するユーザーを選択的にインポートするクエリ構文を作成します。デフォルトはsAMAccountType=805306368です。

     デフォルトのフィルタークエリを変更すると、ユーザーがデプロビジョニングまたは非アクティブ化される場合があります。意図しない結果を回避するために、ディレクトリ環境でこのフィルターをテストして、結果が予想と一致することを確認しておくよう強くお勧めします。Okta

   • 接続されているグループのOU（Group OUs connected to ）Okta ：グループのインポートに使用するOUを追加または削除します。

     早期アクセスリリース

   • グループフィルター（Group Filter）：指定した条件に一致するグループを選択的にインポートするクエリ構文を作成します。デフォルトはobjectCategory=groupです。

     デフォルトのフィルタークエリを変更すると、グループがデプロビジョニングまたは非アクティブ化される場合があります。意図しない結果を回避するために、ディレクトリ環境でこのフィルターをテストして、結果が予想と一致することを確認しておくよう強くお勧めします。Okta

     memberOfなどのバックリンクされた属性は計算された属性であり、ADデータベースに保存されていません。その結果、ユーザーオブジェクトへの変更はOktaには表示されず、変更時にインポート操作は実行されません。特に属性変更の結果としてダウンストリームのシステムで変更が必要とされるときは、計算された属性をマッピングされた属性として使用しないでください。計算された属性をマッピングされた属性として使用すると、オンプレミスのActive DirectoryインスタンスとOkta Universal Directoryの間でデータの一貫性が失われる可能性があります。詳細については、「構築された属性」を参照してください。

4. 保存（Save）をクリックします。

5. 任意。ユーザーがOktaにサインインするときにADでユーザーを認証する場合は、委任認証（Delegated Authentication）セクションでActive Directoryへの委任認証を有効にする（Enable delegated authentication to Active Directory）を選択します。
6. 保存（Save）をクリックします。
7. 設定（Settings）（To Okta）リストのOktaへ（To Okta）（Settings）をクリックし、編集（Edit）をクリックして、一般（General）エリアの次のフィールドを入力します。
   • インポートのスケジュールを設定（Schedule Import）：ユーザーをADからOktaへインポートする頻度を選択します。

     特定の条件下でインポートが成功すると、指定された管理者に自動的にメールが送信されます。Oktaメールには、インポート中にスキャン、追加、更新、または削除されたユーザーとグループの数が記載されています。Oktaは、スキャンで新規ユーザーまたは新規グループが検出された場合、あるいは既存のユーザープロファイルまたはグループメンバーシップの変更が検出された場合にのみメールを送信します。

   • Oktaユーザー名の形式（ username format）：選択するユーザー名の形式は、ユーザーを最初にインポートしたときに使用した形式と一致する必要があります。この値を変更すると、既存のユーザーでエラーが生じる可能性があります。次のいずれかのオプションを選択します。

     • User Principal Name (UPN)（ユーザープリンシパル名（UPN））：ADのUPNを使用してOktaユーザー名を作成するには、このオプションを選択します。
     • メールアドレス（Email address）：Oktaユーザー名にメールアドレスを使用するには、このオプションを選択します。
     • SAMアカウント名（SAM Account name）：このオプションを選択すると、SAMアカウント名（SAM Account name）（SAM Account Name）とADドメインを組み合わせたOktaユーザー名が生成されます。たとえば、SAMアカウント名がjdoeで、ADドメインがmycompany.okta.comであれば、Oktaユーザー名はjdoe@mycompany.okta.comとなります。
     • カスタム（Custom）：カスタムユーザー名を使用してOktaにサインインするには、このオプションを選択します。Okta Expression Languageを入力して、Oktaユーザー名の形式を定義します。式のマッピングを検証するには、ユーザー名を入力し、表示（View）をクリックします。
     注:

     Oktaユーザーは、ユーザー名のエイリアス部分を入力してサインインできます。ただし、org内にそのエイリアス部分を使用しているユーザーが他にいないことが条件になります。たとえば、jdoe@mycompany.okta.comはjdoeを使用してサインインできます。

   • JITプロビジョニング（JITProvisioning）（JIT Provisioning）：ログイン時にユーザーを作成、更新（Create and update users on login）を選択すると、ユーザーがAD委任認証で初めて認証されるときに自動的にOktaユーザープロファイルが作成されます。ADソースのユーザープロファイルがOktaに存在する場合、既存のユーザープロファイルは、ユーザーがサインインするときに、または管理者がプロファイルを表示するときに更新されます。

   ユーザーが属するセキュリティグループも、選択したOUに属する場合はインポートされます。サインインするユーザーが選択したOUに属していない場合、サインインは失敗します。ジャストインタイム（JIT）プロビジョニングを有効にするときは、委任認証も有効にする必要があります。このオプションは、スケジュールされたインポートの有無にかかわらず使用できます。JITおよびADドメインのシナリオの詳細については、Active Directoryの統合に関するよくある質問を参照してください。

   注:

   「通常」のインポートとJITプロビジョニングの間で、メンバーシップの不整合が発生する可能性があります。このようなメンバーシップの異常は、ネストされたグループを使用する場合に生じる可能性があります。通常のインポート中は、AD OUまたはLDAPオブジェクトフィルターのスコープ外の子グループを検出できません。親グループがOU/オブジェクトフィルターのスコープ内にあり、その子グループがスコープ内にない場合、インポート中に親グループのメンバーシップが誤って解決されます。JITプロビジョニングの関数は「フラットな」メンバーシップのみを検出するため、JITプロビジョニングでは、このようなメンバーシップは親グループに正しく解決されます。

   • USGのサポート（USG support）：ユニバーサルセキュリティグループのサポート（Universal Security Group Support）を選択すると、ユーザーのグループメンバーシップをインポートするときにドメインの境界が無視されます。これは、関連するドメインがOktaで接続されていることを前提としています。また、Oktaと同期するUSGオブジェクトを含む、フォレスト内のすべてのドメインにAD Agentをデプロイする必要があります。これで、接続されている各ドメインが、そのグループをインポートするようになります。ユーザーのグループメンバーシップが（フォレスト内の接続されたドメインから）インポートされたグループと一致すると、Oktaは、そのユーザーのメンバーシップを各グループに同期します。接続されているドメインのグループのみインポートされます。この設定は、 JITプロビジョニング が先に選択されていないと選択できません。

   • ユーザーをインポートしない（Do not import users）：インポート中にユーザーをスキップ（Skip users during import）を選択すると、ディレクトリから新しいユーザーをインポートせずにユーザープロファイルとグループの同期を維持できます。インポート機能を使ってグループを同期する一方で、ジャストインタイム（JIT）プロビジョニングを使って新しいOktaユーザーを作成するときは、このオプションを使用します。

     インポート中にユーザーをスキップ（Skip users during import）が選択されている場合、グループはインポートされますが、ユーザーのインポートが完了するまでグループメンバーシップは更新されません。

     インポート中にユーザーをスキップ（Skip users during import）を選択すると、すべてのインポートはフルインポートで実行されます。

   • アクティベーションメール（Activation emails）：新規ユーザーにアクティベーションメールが送信されないようにするには、このオプションを選択します。Okta管理者は、ユーザーをアクティブ化できます。

     プレビュー環境でADの初期統合および初期構成をおこなっているときは、アクティベーションメールを送信しないように選択することをお勧めします。これにより、エンドユーザーがOktaへの登録および使用を開始できるように準備が整う前に、エンドユーザーがアクティベーションメールを受信するのを防ぐことができます。

   • DirSyncによるインポート（Imports with DirSync）：ADインポートを実行する際にDirSyncを使用するには、このオプションを選択します。AD統合にこの機能を有効にすると、次回に実行されるインポートはフルインポートになります。これは、DirSyncで増分インポートが使用できるために必要であり、ADとのデルタインポートが提供され、パフォーマンスが大幅に向上します。同様に、AD統合のDirSyncを無効にすると、次回のインポートはフルインポートになります。

     注:

     このADインスタンスにUniversal Syncが有効化されているOffice 365アプリインスタンスを持つorgでは、この機能は有効にできません。

     早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

8. 保存（Save）をクリックします。

9. ユーザーの作成と照合（User Creation & Matching）セクションで、編集（Edit）をクリックし、インポートしたユーザーが、既存のOktaユーザーと一致すると判断されるための条件を選択します。

   一致ルールは、インポートを許可するすべてのアプリおよびディレクトリからのユーザーのインポートで使用されます。既存のOktaアカウントがある場合、ADではユーザーを自動的にインポートして確認できます。AD、OPP、およびすべてのプロビジョニング対応アプリは、Oktaへのユーザーの自動インポートおよび自動確認をサポートしています。一致基準（またはルール）を確立することで、インポートしたユーザーを既存のOktaユーザーにマッピングする方法を指定できるようになります。一致ルールを明確に定義しておけば、同じユーザーに対して複数のインスタンスが作成されるのを防ぐ上で役立ちます。

   注:

   この機能は、CSVでインポートされたユーザーリストには適用されません。

   インポートされたユーザーは、次の場合にOktaユーザーに完全一致（Imported user is an exact match to an user if）：次のいずれかのオプションを選択します。

   • Oktaユーザー名の形式の一致（ username format matches）
   • メールの一致（Email matches）
   • 次の必須属性が一致（The following required attributes match）：オプションのリストから選択して基準を確立します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。
   • 次の属性が一致（The following attributes match）：オプションのリストから選択して基準を確立します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。
   • 部分一致を許容（Allow partial matches）：このオプションを選択すると、インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、ユーザーのユーザー名またはメールアドレスが一致しない場合でも、その一致が許容されます。
   • 一致したユーザーを確認（Confirm matched users）：完全一致を自動確定（Auto-confirm exact matche）（Auto-confirm exact matches）または部分一致を自動確認（Auto-confirm partial matches）を選択すると、完全一致または部分一致が自動的に確認されます。オプションを選択しないときは、一致ステータスが確立されてユーザー（People）ページ（ディレクトリ（Directory） > ユーザー（People）でユーザーが有効化された後で、一致を手動で確認します。
   • 新しいユーザーを確認（Confirm new users）：新しいユーザーを自動確定（Auto-confirm new users）または新しいユーザーを自動的にアクティブ化（Auto-activate new users）を選択し、一致基準を満たしたときに新規ユーザーが自動的に確認またはアクティブ化されるようにします。オプションを選択しないときは、ユーザー（People）ページ（ディレクトリ（Directory） > ユーザー（People））で新規ユーザーを手動で確認するか有効化します。

10. 保存（Save）をクリックします。

11. プロファイルとライフサイクルのソーシング（Profile & Lifecycle Sourcing）設定を定義するには、編集（Edit）をクリックして次の設定を完了します。
    • Active DirectoryがOktaユーザーをソーシング（Active Directory to source users）：このオプションはデフォルトで有効です。プロファイルソーシングにより、ADは接続されたユーザーのアイデンティティオーソリティとなります。有効な場合、Oktaでユーザープロファイルを編集できず、プロビジョニングイベント中に変更がOktaに同期されます。このオプションを無効にして、ADを通常のアプリケーションとして扱うことができます。この機能を無効にしても、ADで実行したユーザーの更新は、Oktaのユーザープロファイルにプッシュバックされません。たとえば、ADでユーザー名を変更しても、Oktaユーザーには影響しません。ただし、委任認証が有効になっている限り、ユーザーはセルフサービスによるパスワードリセットを使用してOktaでADパスワードをリセットできます。
    • ユーザーがアプリで非アクティブ化されている場合（When a user is deactivated in the app）：ユーザーのアカウントがOktaで非アクティブ化された場合に、Oktaで実行する必要のあるアクションを指定します。
      • 何もしない（Do nothing）：いずれのアクションも実行されません。
      • 非アクティブ化（Deactivate）（Deactivate:）：ユーザーがOktaで割り当て解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを非アクティブ化します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
      • 一時停止（Suspend）（Suspend:）：ユーザーがOktaで割り当て解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
    ユーザーがアプリで再アクティブ化されている場合（When a user is reactivated in the app）：ユーザーのアカウントがOktaで再アクティブ化されている場合は、Oktaで実行する必要のあるアクションを指定します。

    • 一時停止されたOktaユーザーを再度有効にする（Reactivate suspended users）：LDAPで再度有効化される場合に、一時停止されたOktaユーザーを再度有効にします。
    • 非有効化されたOktaユーザーを再度有効にする（Reactivate deactivated users）：LDAPで再度有効にされる場合に、非有効化されたOktaユーザーを再度有効にします。

12. 保存（Save）をクリックします。

13. 任意。インポートセーフガード（Import Safeguard）設定を定義するには、編集（Edit）をクリックして次の操作を完了します。
    • アプリ割り当て解除のセーフガード（App unassignment safeguard）（App unassignment safeguard:）：インポートセーフガードを有効にする場合は有効（Enabled）、インポートセーフガードを無効にする場合は無効（Disabled）を選択します。
    • 任意のアプリから未割り当てのしきい値にする（is the threshold for unassignments from any app）：アプリまたはorgの許容される未割り当て割合を入力するか、デフォルトに設定（Set to default）を選択して割合をデフォルト値に設定します。

    • org全体の割り当て解除のセーフガード（Org-wide unassignment safeguard）：org全体のインポートセーフガードを有効にする場合は有効（Enabled）、無効にする場合は無効（Disabled）を選択します。

    • orgで未割り当てのしきい値にする（is the threshold for unassignments across the org）：orgで許容されるアプリとorgの未割り当て割合を入力するか、デフォルトに設定（Set to default）を選択してorgの割合をデフォルト値に設定します。

14. 保存（Save）をクリックします。

次の手順

Active Directoryのプロビジョニング設定を構成する