OktaからLDAP のプロビジョニング設定を構成する

Okta LDAP エージェントをインストールして設定した後、適宜この手順を使用し、OktaからLDAPのプロビジョニング設定を更新できます。OktaからLDAP のプロビジョニング設定では、OktaがLDAPインスタンス上のユーザーデータを共有および更新する方法を定義します。

  1. 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]
  2. ディレクトリの一覧からLDAPエージェントを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[To App(アプリへ)]を選択します。
  4. [Edit(編集)]をクリックして、以下の設定を完了します。
    • Create Users(ユーザーを作成)[Enable(有効化)] を選択して、LDAPが割り当てられているOkta内のグループのメンバーを作成またはリンクします。LDAPが最高の優先度のプロファイルソースの場合、OktaユーザープロファイルはLDAPで実行されたユーザープロファイルの変更に基づき、自動的に更新されます。
    • Activation email recipient(アクティベーションメール受信者) — 新しいLDAPアカウント認証情報が送信されるメールアドレスを入力します。受信者は、資格情報を適切なユーザーに配布する責任があります。
    • RDN attribute name(RDN属性名) — ユーザー相対識別名に使用される属性タイプを選択します(ユーザー相対識別名の一番左の部分)。属性値をプロファイルエディターページでカスタマイズできます。

      RDN属性をUIDに設定した場合、属性をOkta userName 属性にマップする必要があります。選択した属性タイプは、プロファイルエディターでプロビジョニングと同じ方向にこのLDAPインスタンスに正しくマップする必要があります。

    • Update User Attributes(ユーザー属性を更新)[Enable(有効)]を選択して、アプリが割り当てられたときにOktaがLDAPでユーザー属性を更新できるようにします。その後にOktaユーザープロファイルの属性が変更されると、LDAPの対応する属性値が自動的に上書きされます。
    • Deactivate Users(ユーザーをディアクティベート) —Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのADアカウントをディアクティベートするには [Enable(有効)]を選択します。Oktaでアプリが再度ユーザーに割り当てられた場合、アカウントをリアクティベートできます。
    • Sync Password(パスワードを同期) — 各ユーザーの LDAPパスワードをOktaパスワードに 同期する場合に[Enable(有効化)]を選択します。ユーザーのOktakパスワードへのその後の変更はすべてオンプレミスLDAPサーバーにプッシュされます。このオプションを有効にするには、代理認証を無効にする必要があります。Active Directory (AD)と LDAPを両方使用する組織は、Oktaを介してユーザーパスワードをADからLDAPに同期化することができるようになりました。
  5. [保存]をクリックします。
  6. オプションです。[Attribute Mappings(属性のマッピング)]セクションで、LDAP属性をOkta属性にマッピングします。次の表に示されている属性はLDAP属性です。このマッピングを編集するには、編集アイコンをクリックします。プロファイルと属性を使用した操作を参照してください。