Active Directoryのプロビジョニング設定を構成する

Okta AD Agentのインストール時に、またはビジネスのニーズの変化に応じて、ユーザーデータを管理、更新する方法を定義します。

1. Admin Consoleでディレクトリ（Directory） > ディレクトリ統合（Directory Integrations）の順に進みます。

2. 設定を構成する Active Directory エントリを選択します。
3. プロビジョニング（Provisioning）タブをクリックし、設定（Settings）（To App）リストでアプリへ（To App）（Settings）を選択します。
4. アプリへプロビジョニング（Edit）セクションの編集（Edit）（Provisioning to App）をクリックします。
5. ユーザーを作成（Create Users）（Enable）の有効化（Enable）（Create Users）を選択します。このオプションを有効にすると、OktaはActive Directory（AD）にユーザーを作成できるようになります。これにより、外部システムからユーザーをインポートしたり、OktaとADの両方にアカウントを作成したりできます。たとえば、HRシステムからユーザーをインポートする、Oktaにユーザーを作成する、OktaにユーザーをADに作成させることができます。HRシステムはソースであり、ここに加えられた変更はOktaとADの両方に伝播されます。別のユースケースでは、Oktaをすべてのユーザー情報の信頼できるソースとし、Oktaで行われる更新をADにプッシュすることもできます。

   この機能を実装するには、まずOktaでグループを作成し、そのグループをADインスタンスに割り当てる必要があります。グループにユーザーが追加されると、そのユーザーはADにも作成されます。一般的なシナリオでは、このようなフローでグループルールを使用して、ADプロビジョニンググループに自動的にユーザーを追加します。

6. アクティベーションメールの受信者（Activation email recipient）フィールドに、Oktaユーザーのパスワードとともにアクティベーションメールを受信するOkta管理者のメールアドレスを入力します。管理者は、エンドユーザーにOktaパスワードを提供する責任があります。
7. ADユーザー名の形式（AD username format）リストでADユーザー名の形式を選択します。
   • カスタム（Custom）：カスタムADユーザー名を使用するには、このオプションを選択します。Okta式言語を入力して、マッピングに使用するユーザー名の形式を定義します。式を検証するには、ユーザー名を入力して表示アイコンをクリックします。式で属性を変更するを参照してください。
   • メール（Email）：ADユーザー名にメールアドレスを使用するには、このオプションを選択します。
   • メールのプレフィックス（Email prefix）：ADユーザー名にメールのプレフィックスを使用するには、このオプションを選択します。
   • LDAP UID +カスタムサフィックス（LDAP UID + custom suffix）：ADユーザー名としてLDAPユーザーIDとカスタムサフィックスを使用するには、このオプションを選択します。
   • Oktaユーザー名（username）：ADユーザー名としてOktaユーザー名を使用するには、このオプションを選択します。
   • Oktaユーザー名のプレフィックス（username prefix）：ADユーザー名としてOktaユーザー名のプレフィックスを使用するには、このオプションを選択します。
   • Oktaユーザー名から（From username）：Oktaを使ってOktaユーザー名からADユーザー名を生成するには、このオプションを選択します。生成されたユーザー名には、プレフィックスとしてOktaユーザー名、サフィックスとしてADドメインが含まれます。
8. ユーザー属性を更新（Update User Attributes）の有効化（Enable）を選択すると、アプリの割り当て時にADでユーザーの属性が更新されます。その後Oktaユーザープロファイルの属性が変更されると、ADの対応する属性値が自動的に上書きされます。「Oktaソースユーザーの組織単位の更新を有効化する」を参照してください。

9. ユーザーをADにプロビジョニングするグループが変更されたときにOUを更新（Update OU when the group that provisions a user to AD changes）を選択すると、ユーザーをADにプロビジョニングするグループが変更される際にOktaソースのユーザーの組織単位（OU）が更新されます。

   OktaソースのユーザーのOUがADで変更されても、その変更はOktaに反映されません（Oktaがそのユーザーのソースであるため）。次にOktaでユーザーが更新されると、Oktaで設定されたOUに戻されます。

   注意:

   プロファイルプッシュが有効な場合、OktaはADのCN属性を更新します。cn属性のマッピングがプロファイルエディターに定義されているときは、そのマッピングが適用されます。マッピングがない場合、またはCNマッピングの動作がマッピングしない（Do not map）に設定されている場合、CNはFirst Name + " " + Last Nameに設定されます。プロファイルプッシュを参照してください。

10. ユーザーの非アクティブ化（Deactivate Users）（Enable）の有効化（Enable）（Deactivate Users）を選択すると、Oktaで割り当てが解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのADアカウントが非アクティブ化されます。

11. パスワードを同期（Sync Password）（Enable）の有効化（Enable）（Sync Password）を選択すると、ユーザーのADパスワードが同期され、そのユーザーのOktaパスワードと同じになります。

12. 保存（Save）をクリックします。
13. 任意。属性マッピング（Attribute Mappings）セクションでActive Directory属性をOkta属性にマッピングします。表にリストされている属性はActive Directory属性です。これらのマッピングを編集するには、編集アイコンをクリックします。プロビジョニングページでアプリ属性をマップを参照してください。