Active Directoryのプロビジョニング設定を構成する

Okta AD Agentのインストール時に、またはビジネスのニーズの変化に応じて、ユーザーデータを管理および更新する方法を定義します。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. [Active Directory]をクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)]リストの[To App(アプリへ)]をクリックし、[Provisioning to App(アプリにプロビジョニング)]セクションの[Edit(編集)]をクリックします。
  4. [Create Users(ユーザーを作成)][Enable(有効化)]チェックボックスをクリックします。

[Create Users(ユーザーを作成)]を有効化すると、OktaでActive Directory(AD)にユーザーを作成できます。これにより、たとえば、HRシステムからユーザーをインポートし、Oktaでユーザーを作成して、OktaでADにユーザーを作成することができます。HRシステムがソースであり、OktaとADはHRソースの変更に基づいて更新されます。また、別のユースケースでは、Oktaをすべてのユーザー情報の信頼できる情報源とし、その更新内容をADにプッシュすることもできます。

この機能を実装するには、まずOktaでグループを作成し、そのグループをADインスタンスに割り当てる必要があります。ユーザーがグループに追加されると、そのユーザーがADにも作成されます。一般的なシナリオでは、このようなフローでグループルールを使用して、ユーザーをADプロビジョニンググループに自動的に追加します。

  1. [Activation email recipient(アクティベーションEメールの受信者)]フィールドに、OktaユーザーのパスワードとともにアクティベーションEメールを受信するOkta管理者のメールアドレスを入力します。管理者は、エンドユーザーにOktaパスワードを提供する責任があります。
  2. [AD username format(ADユーザー名のフォーマット)]リストで、ADユーザー名のフォーマットを選択します。
    • [Custom(カスタム)]:カスタムADユーザー名を使用するには、このオプションを選択しますOkta式言語を入力して、ユーザー名のフォーマットの定義をマッピングします。式のマッピングを検証するには、ユーザー名を入力し、[View(表示)]アイコンをクリックします。「式を使用して属性を変更する」を参照してください。
    • [Email(E メール)]:ADユーザー名にE メールアドレスを使用するには、このオプションを選択します。
    • [Email prefix(メールのプレフィックス)]:ADユーザー名にメールのプレフィックスを使用するには、このオプションを選択します。
    • [LDAP UID + custom suffix(LDAP UID +カスタムサフィックス)]:ADユーザー名としてLDAPユーザーIDとカスタムサフィックスを使用するには、このオプションを選択します。
    • [Okta username(Oktaユーザー名)]:ADユーザー名としてOktaユーザー名を使用するには、このオプションを選択します。
    • [Okta username prefix(Oktaユーザー名のプレフィックス)]:ADユーザー名としてOktaユーザー名のプレフィックスを使用するには、このオプションを選択します。
    • [From Okta username(Oktaユーザー名から)]Oktaを使用してOktaユーザー名からADユーザー名を生成するには、このオプションを選択します。生成されたユーザー名には、プレフィックスとしてOktaユーザー名が、サフィックスとしてADドメインが含まれます。
  1. [Update User Attributes(ユーザー属性を更新)][Enable(有効化)]をクリックすると、アプリの割り当て時にADでユーザーの属性が更新されます。その後Oktaユーザープロファイルの属性が変更されると、ADの対応する属性値が自動的に上書きされます。「Oktaソースのユーザーの組織単位の更新を有効化する」を参照してください。
  2. [Update OU when the group that provisions a user to AD changes(ユーザーをADにプロビジョニングするグループが変更されたときにOUを更新)]チェックボックスを選択すると、ユーザーをADにプロビジョニングするグループが変更されたときに、Oktaソースのユーザーの組織単位(OU)が更新されます。

    OktaソースのユーザーのOUがADで変更された場合、その変更はOktaに反映されません(Oktaがそのユーザーのソースであるため)。ユーザーが次回Oktaで更新されるとき、Oktaで設定されたOUにプロビジョニングされます。

    警告:プロファイルプッシュが有効な場合、OktaはADのCN属性を更新します。プロファイルエディタのcnプロパティーにマッピングが定義されている場合は、そのマッピングが適用されます。マッピングがない場合、またはCNマッピングの動作が[Do not map(マッピングしない)]に設定されている場合、CNは名 + " " + 姓に設定されます。

  3. [Deactivate Users(ユーザーの非アクティブ化)]の横にある[Enable(有効化)]をクリックすると、Oktaで割り当てが解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのADアカウントが非アクティブ化されます。

  4. [Sync Password(パスワードを同期)]の横にある[Enable(有効化)]をクリックして、ユーザーのADパスワードをOktaパスワードと同じにします。

  5. [Save(保存)]をクリックします。
  6. 任意。[Attribute Mappings(属性マッピング)]セクションでActive Directory属性をOkta属性にマッピングします。表にリストされている属性はActive Directory属性です。これらのマッピングを編集するには、編集アイコンをクリックします。「プロビジョニング・ページでのアプリケーション属性のマップ」を参照してください。