Active Directoryのプロビジョニング設定を構成する

Okta AD Agentのインストール時に、またはビジネスのニーズの変化に応じて、ユーザーデータを管理、更新する方法を定義します。

  1. Admin Console[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]に移動します。

  2. 設定を構成するActive Directoryエントリを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)]リストで[To App(アプリへ)]を選択します。
  4. [アプリへプロビジョニング]セクションの[Edit(編集)]をクリックします。
  5. [Create Users(ユーザーを作成)][Enable(有効化)]を選択します。このオプションを有効にすると、OktaはActive Directory(AD)にユーザーを作成できるようになります。これにより、外部システムからユーザーをインポートしたり、OktaとADの両方にアカウントを作成したりできます。たとえば、HRシステムからユーザーをインポートする、Oktaにユーザーを作成する、OktaにユーザーをADに作成させることができます。HRシステムはソースであり、ここに加えられた変更はOktaとADの両方に伝播されます。別のユースケースでは、Oktaをすべてのユーザー情報の信頼できるソースとし、Oktaで行われる更新をADにプッシュすることもできます。

    この機能を実装するには、まずOktaでグループを作成し、そのグループをADインスタンスに割り当てる必要があります。グループにユーザーが追加されると、そのユーザーはADにも作成されます。一般的なシナリオでは、このようなフローでグループルールを使用して、ADプロビジョニンググループに自動的にユーザーを追加します。

  6. [Activation email recipient(アクティベーションメールの受信者)]フィールドに、Oktaユーザーのパスワードとともにアクティベーションメールを受信するOkta管理者のメールアドレスを入力します。管理者は、エンドユーザーにOktaパスワードを提供する責任があります。
  7. [AD username format(ADユーザー名の形式)]リストでADユーザー名の形式を選択します。
    • [Custom(カスタム)]:カスタムADユーザー名を使用するには、このオプションを選択します。Okta Expression Languageを入力して、マッピングに使用するユーザー名の形式を定義します。式を検証するには、ユーザー名を入力して表示アイコンをクリックします。「式で属性を変更する」を参照してください。
    • [Email(メール)]:ADユーザー名にメールアドレスを使用するには、このオプションを選択します。
    • [Email prefix(メールのプレフィックス)]:ADユーザー名にメールのプレフィックスを使用するには、このオプションを選択します。
    • [LDAP UID + custom suffix(LDAP UID +カスタムサフィックス)]:ADユーザー名としてLDAPユーザーIDとカスタムサフィックスを使用するには、このオプションを選択します。
    • Okta username(Oktaユーザー名)]:ADユーザー名としてOktaユーザー名を使用するには、このオプションを選択します。
    • Okta username prefix(Oktaユーザー名のプレフィックス)]:ADユーザー名としてOktaユーザー名のプレフィックスを使用するには、このオプションを選択します。
    • [From Okta username(Oktaユーザー名から)]Oktaを使ってOktaユーザー名からADユーザー名を生成するには、このオプションを選択します。生成されたユーザー名には、プレフィックスとしてOktaユーザー名、サフィックスとしてADドメインが含まれます。
  8. [Update User Attributes(ユーザー属性を更新)][Enable(有効化)]を選択すると、アプリの割り当て時にADでユーザーの属性が更新されます。その後Oktaユーザープロファイルの属性が変更されると、ADの対応する属性値が自動的に上書きされます。「Oktaソースユーザーの組織単位の更新を有効化する」を参照してください。

  9. [Update OU when the group that provisions a user to AD changes(ユーザーをADにプロビジョニングするグループが変更されたときにOUを更新)]を選択すると、ユーザーをADにプロビジョニングするグループが変更される際にOktaソースのユーザーの組織単位(OU)が更新されます。

    OktaソースのユーザーのOUがADで変更されても、その変更はOktaに反映されません(Oktaがそのユーザーのソースであるため)。次にOktaでユーザーが更新されると、Oktaで設定されたOUに戻されます。

    プロファイルプッシュが有効な場合、OktaはADのCN属性を更新します。[cn]属性のマッピングがプロファイルエディターに定義されているときは、そのマッピングが適用されます。マッピングがない場合、またはCNマッピングの動作が[Do not map(マッピングしない)]に設定されている場合、CNは名 + " " + 姓に設定されます。「プロファイルプッシュ」を参照してください。

  10. [Deactivate Users(ユーザーの非アクティブ化)][Enable(有効化)]を選択すると、Oktaで割り当てが解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのADアカウントが非アクティブ化されます。

  11. [Sync Password(パスワードを同期)][Enable(有効化)]を選択すると、ユーザーのADパスワードが同期され、そのユーザーのOktaパスワードと同じになります。

  12. [Save(保存)]をクリックします。
  13. 任意。[Attribute Mappings(属性マッピング)]セクションでActive Directory属性をOkta属性にマッピングします。表にリストされている属性はActive Directory属性です。これらのマッピングを編集するには、編集アイコンをクリックします。「プロビジョニングページでアプリ属性をマップ」を参照してください。