Active Directory統合の考慮事項と制限
Active Directory(AD)統合を使用する場合は、次の点に注意してください。
-
カスタムURLを使用している場合:
- [Agents(エージェント)]:カスタムドメイン(example.customname.com)ではなく、実際のドメイン(example.okta.com)を使用します。
- IWA SSO: web.configファイルを、次のカスタムURLを含むよう修正します:
<oktaSSOConfigGroup>
<oktaSSOConfig orgOktaAuthenticationURL="https://example.customname.com/login/sso_iwa_auth"
orgBackupOktaAuthenticationURL="https://example.customname.com/login/default"
oktaSSOWebAppVersion="1.11.5.0"> - [Agentless DSSO(エージェントレスDSSO)]:すべてのサインインフローとブラウザーのブックマークで正しいURLが使用されていることを確認します。
- ADドメインに属性を追加する場合は、ドメインに接続されているすべてのOkta ADエージェントを再起動します。Okta ADエージェントが再起動されない場合は、Active Directoryの制限により、ADエージェントは新しい属性の値をbase-64でエンコードします。
- ADドメインの名前を変更する場合は、名前変更プロセスを開始する前に、Okta ADエージェントをアンインストールします。名前変更プロセスが完了したら、新しいドメイン名でOkta ADエージェントを再インストールします。名前が変更されたドメインが新しいADアプリインスタンスとしてOktaに表示されます。
- ジャストインタイム(JIT)プロビジョニング中にOktaにインポートされたADソースのユーザーのグループメンバーシップ情報が、フルインポートまたは増分インポートで削除されない場合があります。グループメンバーシップ情報を更新するには、その後のJITまたはプロファイルの更新が必要です。
- プロビジョニング設定で[Do nothing(何もしない)]と表示されている場合、ユーザーが非アクティブ化されてもOktaではアクティブなままになっている。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。
- [Provisioning(プロビジョニング)]タブの[Deactivate Users(ユーザーの非アクティブ化)]が無効の場合、ADから非アクティブ化され、JITプロビジョニングを通じてOktaで再アクティブ化されたユーザーには配布グループが割り当てられません。これを解決するには、ユーザーをADから非アクティブ化した上でフルインポートを実行します。
グループのインポートの制限
Oktaでは、1つのリクエストでADエージェントからOktaサーバーに送信できる合計バイト数が20,971,520バイト(20メガバイト)に制限されています。データのインポート中にOktaのサイズ制限を超過しないようにするため、複数のグループオブジェクトが含まれる結果セットは同じサイズのユニットへと個別に分割されます。各ユニットは別々のリクエストで送信されます。
定義されたサイズ制限を単一グループが超過しても、Oktaに送信することは可能です。サイズが250,000バイト(0.25メガバイト)を超えていれば、標準のHTTP 413(ペイロードが大きすぎる)エラーが返されます。グループdistinguishedName(dn)の長さ、グループ内でのユーザーdnの長さ、グループメンバーシップのサイズはすべてOktaに送信される合計バイト数に影響します。
HTTP 413(ペイロードが大きすぎる)エラーが返された場合、ダイレクトグループメンバーシップをネストされたグループメンバーシップまたはサブグループに分割することをお勧めします。そうすれば、サイズ制限を回避し、データを単一リクエストで送信する上で役立ちます。