Active Directoryプロビジョニング設定の構成

Okta ADエージェントをインストールする場合やビジネスの変更が必要になった場合に、どのようにユーザーデータを管理してアップデートするかを定義します。

  1. 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]に進みます。
  2. [Active Directory]をクリックしてから、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)] リストの[To App(アプリへ)]をクリックして、[Provisioning to App(アプリにプロビジョニング)]セクションの[Edit(編集)]をクリックします。
  4. [Create Users(ユーザーを作成)][Enable(有効化)]チェックボックスをクリックします。

[Create Users(ユーザーを作成)]を有効化すると、OktaがActive Directory(AD)でユーザーを作成できるようになります。たとえば、HRシステムからユーザーをインポートして、Oktaでユーザーを作成してから、OktaにADでユーザーを作成させることができます。この場合、HRシステムがソースになり、このHRソースの変更に基づいてOktaとADがアップデートされます。また、Oktaをすべてのユーザー情報の信頼できる情報源として、そのアップデートをADにプッシュすることもできます。

この機能を導入するには、まずOktaでグループを作成してから、そのグループをADインスタンスに割り当てる必要があります。ユーザーがそのグループに追加されると、ADでもそのユーザーが作成されます。よくあるシナリオは、この種のフローでグループルールを使用して、ユーザーを自動的にADプロビジョニンググループに追加することです。

  1. Activation email recipientフィールドに、Oktaユーザーのパスワードが記載されたアクティベーションメールを受け取るOkta管理者のメールアドレスを入力します。エンドユーザーのOktaパスワードをそのユーザーに提供する責任は管理者にあります。
  2. [AD username format(ADユーザー名の形式)]リストで、ADユーザー名の形式を選択します:
    • Custom — カスタムADユーザー名を使用する場合にこのオプションを選択します。Okta式言語を入力して、ユーザー名形式をマッピングして定義 します。マッピング式を検証するために、ユーザー名を入力して表示アイコンをクリックします。式で属性を変更をご覧ください。
    • Email — メールアドレスをADユーザー名に使用する場合にこのオプションを選択します。
    • Email prefix — メールのプレフィックスをADユーザー名に使用する場合にこのオプションを選択します。
    • From Okta username — Oktaを使用して、Oktaユーザー名からAD ユーザー名を生成する場合にこのオプションを選択します。
    • LDAP UID + custom suffix — LDAPユーザーIDとカスタムのサフィックスをUDユーザー名として使用する場合にこのオプションを選択します。
    • Okta username — Oktaユーザー名をADユーザー名として使用する場合にこのオプションを選択します。
    • Okta username prefix — Oktaユーザー名のプレフィックスをADユーザー名として使用する場合にこのオプションを選択します。
  1. [Update User Attributes(ユーザー属性のアップデート)][Enable(有効)]をクリックして、アプリが割り当てられたタイミングでADのユーザー属性をアップデートします。その後にOktaユーザープロファイルの属性が変更されると、ADの対応する属性値が自動的に上書きされます。Oktaをソースに使用しているユーザーの組織単位のアップデートを有効にするをご覧ください。

  2. [Update OU when the group that provisions a user to AD changes(ユーザーをADにプロビジョニングするグループが変更されたときにOUを更新)]のチェックボックスをオンにすると、ユーザーをADにプロビジョニングするグループが変更されたタイミングで、Oktaをソースとして使用するユーザーの組織単位(OU)がアップデートされます。

    Oktaがユーザーのソースになるため、Oktaをソースとして使用するユーザーのOUがADで変更されても、その変更はOktaに反映されません。そのユーザーが次にOktaでアップデートされると、そのアップデートがOktaの設定に従いOUにプロビジョニングされます。

    警告:プロファイルプッシュが有効化されている場合、OktaはADのCN属性をアップデートします。プロファイルエディターでcnプロパティのマッピングが定義されている場合、そのマッピングが適用されます。マッピングがない場合や、CNマッピングの動作がDo not mapに設定されている場合、CNはFirst Name + " " + Last Nameに設定されます。

  3. [Deactivate Users(ユーザーのディアクティベート)]の隣にある[Enable(有効)]をクリックして、Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのADアカウントをディアクティベートします。

  4. [Sync Password(パスワードの同期)]の隣にある[Enable(有効)]をクリックして、ユーザーのADパスワードをOktaのパスワードと同じにします。

  5. [保存]をクリックします。
  6. オプションです。[Attribute Mappings(属性のマッピング)]セクションで、Active Directoryの属性をOktaの属性にマッピングします。テーブルに表示される属性が、Active Directoryの属性です。このマッピングを編集するには、編集アイコンをクリックします。プロファイルと属性を使用した操作をご覧ください。