LDAP からOktaへのプロビジョニング設定の構成
Okta LDAP エージェントをインストールして設定した後、適宜この手順を使用し、LDAP をOktaプロビジョニング設定に更新できます。LDAPからOkta へのプロビジョニング設定では、LDAPユーザーデータがどのようにOktaと共有され、管理されるかを定義します。
- 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]に進みます。
- ディレクトリの一覧からLDAPエージェントを選択します。
- [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[To Okta(Oktaへ)]を選択します。
- [Edit(編集)]をクリックして、以下の設定を入力します。
- Schedule import(インポートのスケジュール) – LDAPからOktaにユーザーをインポートする頻度を選択します。
- Okta username format(Oktaユーザー名の形式) – ユーザー名の形式を指定します。 LDAPからユーザーをインポートするとき、 Oktaはこの属性 を使用してOktaユーザー名を生成します。LDAPセットアップ中に[Import Settings(設定をインポート)] にアクセスする際、ユーザー名形式は設定をテストしたときに選択したオプションに一致しており、変更する必要はないはずです。必要に応じて、あとでこのページにアクセスして別のオプションを選択することもできます。 ユーザー名はメール形式でなければならないため、選択したオプション
カスタム式を使用してインポートしたユーザーのユーザー名を作成することもできますが、Just-in-Time(JIT)プロビジョニング中にLDAP内のアカウントを見つけるために検索クエリを使用する際にはカスタム式は考慮されません。 Oktaユーザー名フィールドを Custom(カスタム)に設定し、JITプロビジョニングを有効にしたときにLDAP アカウントが存在しないと、Oktaへのサインイン時に使用したユーザー名に一致するLDAPディレクトリで一意識別子(uid)またはメール(mail)属性 を検索します。
- Update application user name on(アプリケーションユーザー名の変更 — この設定は変更できません。
- Activation emails(アクティベーションEメール) — 新しいユーザーアクティベーションの通史を送信したくない場合は、これを選択します。
- Incremental import(増分インポート) — 前回のインポート以降に作成されたか更新されたユーザーのみをインポートします。一致ルールの評価は、該当するユーザーに対してのみ実行されます。これは、スケジュールされたインポートによって実行されるタイプのインポートです。
- Maximum clock skew(最大クロック スキュー) — 増分インポートは、LDAPエントリがインポート済みかの判断のために modifyTimestamp属性に依存しています。しかしながら、一部のオンプレミスLDAPサーバーのシステムクロックの遅延によって更新の一部が漏れることがあります。更新漏れを防止するために、クロックスキューをサーバーのクロックの最大ずれ値に設定します。増分インポートのパフォーマンスを向上するには、modifyTimestamp属性をLDAP サーバーにインデックス付けする必要があります。
- [保存]をクリックします。
- [User Creation(ユーザー作成)] & [Matching(一致)] の設定を定義するために、[Edit(編集)]をクリックして次の設定を行います:
Imported user is an exact match to Okta user if(以下の場合インポートしたユーザーはOktaユーザーと完全一致) :一致ルールは、インポートを許可するすべてのアプリとディレクトリからのユーザーのインポートで使用されます。一致基準を確立することで、インポートされたユーザーをどのように新規ユーザーとして定義するか、既存のOktaユーザーにマッピングするかを指定できます。
インポートしたユーザーが既存のOktaユーザーに完全一致かを確定する一致基準を選択します。オプションリストから自由に組み合わせて選んで基準を確定します。新しくインポートしたユーザーが完全一致とみなされるためには、選択した各オプションがtrueになる必要があります。3番目のオプションを選択すると、1番目と2番目のオプションは無効にされます。
Allow partial matches(部分一致を許可):インポートされたユーザーの姓または名が既存のOktaユーザーと一致するが、ユーザーのユーザー名またはメールアドレスは一致しない場合、部分一致となります。
Confirm matched users(一致するユーザーを確認):既存ユーザーの確認またはアクティベーションを自動化する場合に選択します。選択しない場合、一致は手動で確認する必要があります。
Confirm new users(新規ユーザーを確認):新たにインポートされたユーザーの確認またはアクティベーションを自動化する場合に選択します。このオプションを選択した場合、インポートの確認中に選択解除できます。この機能はOktaに既に存在するユーザーに対しては適用されません。
デプロビジョニングの詳細は、「プロビジョニングとデプロビジョニングの概要」を参照してください。
- [保存]をクリックします。
- [Profile & Lifecycle Sourcing(プロファイルとライフサイクルソーシング)]の設定を定義するために、[Edit(編集)]をクリックして次の設定を行います:
- Allow LDAP to source Okta users(LDAPがOktaユーザーをソースできるようにする) — このオプションはデフォルトで有効にされます。プロファイル・ソースにより、LDAPは接続されたユーザーのID機関となります。有効にすると、Oktaでユーザープロファイルが編集不可能になり、プロビジョニングイベント時に変更がOktaに同期されるようになります。このオプションを無効にして、LDAPを通常のアプリケーションとして取り扱うこともできます。この機能を無効にすると、LDAPで実行するユーザー アップデートはOktaのユーザープロファイルに プッシュバックされなくなります。 たとえば、LDAPでユーザーの名前を変更しても、その変更はOktaユーザーに反映されません。プロファイルソースとしてのLDAPを無効にしても、ユーザーの資格情報は引き続きLDAPで管理されるため、ユーザーのLDAPパスワードをOktaでリセットできなくなります。ただし、代理認証を無効にし(こちらをご覧ください) 、[Sync Password(パスワードの同期)]オプションを有効にすることで、パスワードをLDAPに プッシュできます。つまり、ユーザーは委任されたOktaパスワードを持つものの、以降のパスワードの更新はLDAPにプッシュされます。
- When a user is deactivated in the app — ユーザーのアカウントがOktaでディアクティベートされた場合にOktaが実行するアクションを指定します。
- Do nothing — アクションは実行されません。
- Deactivate — Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのLDAPアカウントをディアクティベートします。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
- Suspend — Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
- When a user is reactivated in the app:ユーザーのアカウントがOktaでリアクティベートされ場合にOktaが実行するアクションを指定します。
- Reactivate suspended Okta users — 一時停止されたOktaユーザーを、そのユーザーがLDAPでリアクティベートされた場合にリアクティベートします。
- Reactivate deactivated Okta users — ディアクティベートされたOktaユーザーを、そのユーザーがLDAPでリアクティベートされた場合にリアクティベートします。
- [保存]をクリックします。
- オプションです。[Import Safeguard(インポートセーフガード)]設定を定義する場合は、[Edit(編集)]をクリックして以下を行います:
- App unassignment safeguard — [Enabled(有効)]を選択してインポートセーフガードを有効にするか、[Disabled(無効)]を選択してインポートセーフガードを無効にします。
- is the threshold for unassignments from any app — 許容できるアプリや組織の未割り当ての割合を入力するか、[Set to default(デフォルトに設定)]を選択して割合をデフォルト値に設定します。
Org-wide unassignment safeguard — [Enabled(有効)]を選択してインポートセーフガードを組織全体で有効にするか、[Disabled(無効)]を選択してインポートセーフガードを組織全体で無効にします。
is the threshold for unassignments across the org — 組織で許容できるアプリや組織の未割り当ての割合を入力するか、[Set to default(デフォルトに設定)]を選択して組織での割合をデフォルト値に設定します。
-
[保存]をクリックします。