LDAP をOktaプロビジョニング設定に構成する

Okta LDAP Agentをインストールして構成したら、組織のニーズの変化に応じ次の手順を使用してLDAP をOktaプロビジョニング設定に更新できます。LDAPからOkta プロビジョニング設定への更新では、LDAPユーザー・データをOktaと共有および管理する方法を定義します。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]
  2. ディレクトリーのリストからLDAPエージェントを選択します。
  3. [プロビジョニング]タブをクリックし、[設定]リストで[Oktaへ]を選択します。
  4. [編集]をクリックし、以下の設定を行います。
    • [インポートのスケジュールを設定] : ユーザーをLDAPからOktaへインポートする頻度を選択します。
    • [Oktaユーザー名のフォーマット]:ユーザー名のフォーマットを指定します。 LDAPからユーザーをインポートする場合は、Oktaでこの属性 を使用してOktaユーザー名を生成します。LDAPのセットアップ中に[設定のインポート]にアクセスすると、ユーザー名のフォーマットは構成のテスト時に選択したオプションと一致するため、変更する必要はありません。後でこのページにアクセスし、必要に応じて別のオプションを選択することもできます。 ユーザー名はメール形式にする必要があるため、選択したオプション がご使用の環境に適していることを確認してください。

    カスタム式を使用してインポートされたユーザーのユーザー名を作成できますが、ジャストインタイム(JIT)プロビジョニングの実行中にLDAPでアカウントを検索するために使用される検索クエリーが決定される場合、カスタム式は考慮されません。[Oktaユーザー名のフォーマット]フィールドを[カスタム]に設定し、JITプロビジョニングを有効にしてもLDAPユーザー・アカウントが存在しない場合、LDAPディレクトリーでは、Oktaへのサインインに使用するユーザー名に一致する一意識別子(uid)またはメール(mail)属性が検索されます。

    • [アプリケーション・ユーザー名の更新]:この設定は変更できません。
    • [アクティベーション・メール]:新規ユーザーのアクティベーション・メールを送信しない場合に選択します。
    • [増分インポート]:最後のインポート後に作成また更新されたユーザーのみインポートする場合に選択します。一致ルールでは、これらのユーザーのみが評価されます。これは、スケジュールされたインポートで実行されるインポートの種類です。
    • [最大クロック誤差] :増分インポートは、modifyTimestamp属性に依存してLDAPエントリーがインポートされているかどうかを判断します。ただし、一部のオンプレミスLDAPサーバーのシステム・クロックが逆戻りして、一部の更新が失われる可能性があります。更新を見逃さないようにするには、クロック誤差をサーバーのクロック・ドリフトが可能な限り最大となる値に設定します。増分インポートのパフォーマンスを改善するには、LDAPサーバーでmodifyTimestamp属性のインデックスを作成する必要があります。
  5. [保存]をクリックします。
  6. [ユーザーの作成および照合]設定を定義するには、[編集]をクリックして以下の設定を完了します。&

    • [インポートされたユーザーは、次の場合にOktaユーザーに完全一致します:]インポートを許可するすべてのアプリおよびディレクトリーからのユーザーのインポートで一致ルールが使用される場合。一致基準を作成することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。

      インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準を選択します。オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。

    • [部分一致を許容]:インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、ユーザーのユーザー名またはメール・アドレスが一致しない場合、部分一致が発生します。

    • [一致したユーザーを確認]:既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。オフの場合は、一致を手動で確認する必要があります。

    • [新しいユーザーを確認]:選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されないことに注意してください。

      • プロビジョニング解除の詳細については、プロビジョニングをご覧ください。

  7. [保存]をクリックします。
  8. [プロファイルとライフサイクルのソーシング]設定を定義するには、[編集]をクリックして以下の設定を完了します。&
    • [LDAP によるOktaユーザーのソースを許可]:このオプションはデフォルトで有効になっています。プロファイル・ソースにより、LDAPは接続されたユーザーのID機関となります。有効にしている場合、Oktaでユーザー・プロファイルを編集できず、プロビジョニング・イベント中に変更がOktaに同期されます。このオプションを無効にしてLDAPを通常のアプリケーションとして扱うことができます。この機能を無効にしても、LDAPで実行するユーザー の更新はOktaのユーザーに プッシュ・バックされません。 たとえば、LDAPでユーザー名を変更しても、Oktaユーザーには影響しません。プロファイル・ソースとしてLDAPを無効にした場合、ユーザーの認証情報は引き続きLDAPによって管理されるため、OktaでユーザーのLDAPパスワードをリセットすることはできません。ただし、委任認証を無効にし( AD委任認証を有効にするを参照) 、[パスワードを同期]オプションを有効にして、パスワードをLDAPに プッシュできます。つまり、ユーザーには委任されたOktaパスワードがありますが、それ以降のパスワードの更新はすべてLDAPにプッシュされます。
    • [ユーザーがアプリで非アクティブ化されている場合]:ユーザーのアカウントがOktaで非アクティブ化されている場合は、Oktaで実行する必要のあるアクションを指定します。
      • [何もしない]:いずれのアクションも実行しません。
      • [非アクティブ化]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのLDAPアカウントを非アクティブ化します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
      • [一時停止]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。

    • [ユーザーがアプリで再アクティブ化されている場合]:ユーザーのアカウントがOktaで再アクティブ化されている場合は、Oktaで実行する必要のあるアクションを指定します。
      • [一時停止しているOktaユーザーを再アクティブ化]:一時停止されていたOktaユーザーがLDAPで再アクティブ化されている場合に、再アクティブ化されます。
      • [非アクティブ化されているOktaユーザーを再アクティブ化]:非アクティブ化されていたOktaユーザーがLDAPで再アクティブ化されている場合に、再アクティブ化されます。

  9. [保存]をクリックします。
  10. 任意:[インポート・セーフガード]設定を定義するには、[編集]をクリックして以下を完了します。
    • [アプリの割り当て解除のセーフガード][有効]を選択してインポート・セーフガードを有効にするか、[無効]を選択してインポート・セーフガードを無効にします。
    • [任意のアプリから未割り当てのしきい値にする]:使用可能なアプリや未割り当て組織の割合を入力するか、[デフォルトに設定]を選択して割合をデフォルト値に設定します。

    • [組織全体の割り当て解除のセーフガード][有効]を選択して組織全体のインポート・セーフガードを有効にするか、[無効]を選択して組織全体のインポート・セーフガードを無効にします。

    • [組織で未割り当てのしきい値にする]:組織に対して使用可能なアプリや未割り当て組織の割合を入力するか、[デフォルトに設定]を選択して組織の割合をデフォルト値に設定します。

  11. [保存]をクリックします。

関連項目

インポート・セーフガードについて