Active Directoryをプロファイルソースにする

Okta Active Directory(AD)Agentをインストールすると、プロファイルソーシングがデフォルトで有効になります。プロファイルソーシングによって、Active Directory(AD)が接続されたユーザーのアイデンティティオーソリティとなります。プロファイルソーシングを有効にしている場合は、Oktaでユーザープロファイルを編集できず、プロビジョニングイベント中にすべての変更がOktaに同期されます。

プロファイルソースとしてADを無効にした場合、ADで行われた変更はOktaにプッシュされません。ADにパスワードをプッシュするには、パスワードを同期(Sync Password)を有効にし、委任認証(Delegated authentication)を無効にします。ユーザーにはOktaパスワードが割り当てられ、以降のパスワード変更はADにプッシュされます。

ライフサイクル設定を行い、ADでユーザーが非アクティブ化されたときに発生する事象を定義します。Oktaでは、アクティブなユーザーを非アクティブ化、一時停止、またはアクティブなままにすることができます。Oktaユーザーを非アクティブ化または一時停止できるのは、Oktaユーザーの中でも最も優先度の高いプロファイルソースのみです。最も優先度の高いプロファイルソースを確認するには、「プロファイルソーシングについて」を確認します。

  1. Admin Consoleディレクトリ(Directory) > ディレクトリ統合(Directory Integrations)の順に進みます。
  2. Active Directory をクリックします。
  3. プロビジョニング(Provisioning)タブをクリックし、設定(Settings)(To Okta)リストでOktaへ(To Okta)(Settings)を選択します。
  4. 下にスクロールしてプロファイルとライフサイクルのソーシング(Profile & Lifecyle Sourcing)に移動し、編集(Edit)をクリックします。
  5. Active DirectoryがOktaユーザーを検索できるようにする(Allow Active Directory to source users)を選択します。
  6. 任意。ユーザーがアプリで非アクティブ化されている場合(When a user is deactivated in the app)で、以下のオプションを選択します。
    • 何もしない(Do Nothing):アプリでのアクティビティがユーザーのライフサイクルを制御できないようにします。これにより、属性とマッピングのプロファイルソース制御が引き続き可能になります。
    • Oktaユーザーを非アクティブ化(Deactivate user):このデフォルト設定では、ターゲットアプリで非アクティブ化されたときにユーザーを自動的に非アクティブ化できます。
    • Oktaユーザーを一時停止(Suspend user):この設定により、ターゲットアプリで非アクティブ化されたときにユーザーを自動的に一時停止できます。
  7. 任意。ユーザーがアプリで再アクティブ化されている場合(When a user is reactivated in the app)で、以下のオプションを選択します。
    • 一時停止しているOktaユーザーを再アクティブ化:管理者は、一時停止されたOktaユーザーをアプリで再度アクティブ化したときに再度アクティブ化するかどうかを選択できます。
    • 非アクティブ化されているOktaユーザーを再アクティブ化(Reactivate deactivated users) :管理者は、非アクティブ化されたOktaユーザーをアプリで再度アクティブ化したときに再度アクティブ化するかどうかを選択できます。
  8. 保存(Save)をクリックします。