Active Directoryプロビジョニング設定の構成
Okta ADエージェントをインストールする場合やビジネスの変更が必要になった場合に、どのようにユーザーデータを管理してアップデートするかを定義します。
- 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]に進みます。
- [Active Directory]をクリックしてから、[Provisioning(プロビジョニング)]タブをクリックします。
- [Settings(設定)] リストの[To App(アプリへ)]をクリックして、[Provisioning to App(アプリにプロビジョニング)]セクションの[Edit(編集)]をクリックします。
- [Create Users(ユーザーを作成)]の[Enable(有効化)]チェックボックスをクリックします。
[Create Users(ユーザーを作成)]を有効化すると、OktaがActive Directory(AD)でユーザーを作成できるようになります。たとえば、HRシステムからユーザーをインポートして、Oktaでユーザーを作成してから、OktaにADでユーザーを作成させることができます。この場合、HRシステムがソースになり、このHRソースの変更に基づいてOktaとADがアップデートされます。また、Oktaをすべてのユーザー情報の信頼できる情報源として、そのアップデートをADにプッシュすることもできます。
この機能を導入するには、まずOktaでグループを作成してから、そのグループをADインスタンスに割り当てる必要があります。ユーザーがそのグループに追加されると、ADでもそのユーザーが作成されます。よくあるシナリオは、この種のフローでグループルールを使用して、ユーザーを自動的にADプロビジョニンググループに追加することです。
- Activation email recipientフィールドに、Oktaユーザーのパスワードが記載されたアクティベーションメールを受け取るOkta管理者のメールアドレスを入力します。エンドユーザーのOktaパスワードをそのユーザーに提供する責任は管理者にあります。
- [AD username format(ADユーザー名の形式)]リストで、ADユーザー名の形式を選択します:
- Custom — カスタムADユーザー名を使用する場合にこのオプションを選択します。Okta式言語を入力して、ユーザー名形式をマッピングして定義 します。マッピング式を検証するために、ユーザー名を入力して表示アイコンをクリックします。式で属性を変更をご覧ください。
- Email — メールアドレスをADユーザー名に使用する場合にこのオプションを選択します。
- Email prefix — メールのプレフィックスをADユーザー名に使用する場合にこのオプションを選択します。
- From Okta username — Oktaを使用して、Oktaユーザー名からAD ユーザー名を生成する場合にこのオプションを選択します。
- LDAP UID + custom suffix — LDAPユーザーIDとカスタムのサフィックスをUDユーザー名として使用する場合にこのオプションを選択します。
- Okta username — Oktaユーザー名をADユーザー名として使用する場合にこのオプションを選択します。
- Okta username prefix — Oktaユーザー名のプレフィックスをADユーザー名として使用する場合にこのオプションを選択します。
- [Update User Attributes(ユーザー属性のアップデート)]で[Enable(有効)]をクリックして、アプリが割り当てられたタイミングでADのユーザー属性をアップデートします。その後にOktaユーザープロファイルの属性が変更されると、ADの対応する属性値が自動的に上書きされます。Oktaをソースに使用しているユーザーの組織単位のアップデートを有効にするをご覧ください。
-
[Update OU when the group that provisions a user to AD changes(ユーザーをADにプロビジョニングするグループが変更されたときにOUを更新)]のチェックボックスをオンにすると、ユーザーをADにプロビジョニングするグループが変更されたタイミングで、Oktaをソースとして使用するユーザーの組織単位(OU)がアップデートされます。
Oktaがユーザーのソースになるため、Oktaをソースとして使用するユーザーのOUがADで変更されても、その変更はOktaに反映されません。そのユーザーが次にOktaでアップデートされると、そのアップデートがOktaの設定に従いOUにプロビジョニングされます。
警告:プロファイルプッシュが有効化されている場合、OktaはADのCN属性をアップデートします。プロファイルエディターでcnプロパティのマッピングが定義されている場合、そのマッピングが適用されます。マッピングがない場合や、CNマッピングの動作がDo not mapに設定されている場合、CNはFirst Name + " " + Last Nameに設定されます。
-
[Deactivate Users(ユーザーのディアクティベート)]の隣にある[Enable(有効)]をクリックして、Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのADアカウントをディアクティベートします。
-
[Sync Password(パスワードの同期)]の隣にある[Enable(有効)]をクリックして、ユーザーのADパスワードをOktaのパスワードと同じにします。
- [保存]をクリックします。
- オプションです。[Attribute Mappings(属性のマッピング)]セクションで、Active Directoryの属性をOktaの属性にマッピングします。テーブルに表示される属性が、Active Directoryの属性です。このマッピングを編集するには、編集アイコンをクリックします。プロファイルと属性を使用した操作をご覧ください。