OktaをLDAPプロビジョニング設定に構成する

Okta LDAP Agentをインストールして構成したら、orgのニーズの変化に応じ次の手順を使用してOktaをLDAPプロビジョニング設定に更新できます。OktaからLDAPへのプロビジョニング設定では、OktaでLDAPインスタンス上のユーザーデータを共有および更新する方法を定義します。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. ディレクトリのリストからLDAPエージェントを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)]リストで[To App(アプリへ)]を選択します。
  4. [Edit(編集)]をクリックして、以下の設定を行います。
    • [Create Users(ユーザーを作成)][Enable(有効)]を選択し、LDAPが割り当てられているOkta内のグループのメンバーに対しLDAPのユーザーを作成またはリンクを設定します。LDAPが最高の優先度のプロファイルソースの場合、OktaユーザープロファイルはLDAPのユーザープロファイルに対して実行された変更に基づき、自動的に更新されます。
    • [Activation email recipient(アクティベーションEメールの受信者)]:新しいLDAPアカウント認証情報が送信されるメールアドレスを入力します。受信者は、資格情報を適切なユーザーに配布する責任があります。
    • [RDN attribute name(RDN属性名)]:ユーザー相対識別名に使用される属性タイプを選択します(ユーザー識別名の一番左の部分)。属性値は[Profile Editor(プロファイルエディタ)]ページでカスタマイズできます。

      RDN属性をUIDに設定する場合、属性をOkta userName属性にマッピングする必要があります。選択する属性タイプは、このLDAPインスタンスのプロファイルエディタで、プロビジョニングと同じ方向に正しくマッピングされる必要があります。

    • [Update User Attributes(ユーザー属性を更新)][Enable(有効)]を選択すると、アプリの割り当て時にOktaがLDAPでユーザー属性を更新できるようになります。その後Oktaユーザープロファイルの属性が変更されると、LDAPで対応する属性値が自動的に上書きされます。
    • [Deactivate Users(ユーザーの非アクティブ化)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのLDAPアカウントを非アクティブ化するには、[Enable(有効)]を選択します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
    • [Sync Password(パスワードを同期)]:各ユーザーのLDAPパスワードをOktaパスワードと同期するには、[Enable(有効)]を選択します。その後ユーザーのOktaパスワードを変更すると、オンプレミスのLDAPサーバーにプッシュされます。このオプションを有効にするには、代理認証を無効にする必要があります。Active Directory(AD)とLDAPの両方を使用している組織は、ADからOktaを経由してLDAPにユーザーパスワードを同期できるようになりました。
  5. [Save(保存)]をクリックします。
  6. 任意。[Attribute Mappings(属性マッピング)]セクションでLDAP属性をOkta属性にマッピングします。表にリストされている属性はLDAP属性です。これらのマッピングを編集するには、編集アイコンをクリックします。「プロファイルと属性を操作する」を参照してください。