LDAP統合設定の変更

orgのニーズの変化に応じて、既存の統合設定を更新します。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. ディレクトリのリストからLDAPエージェントを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)]リストで[Integration(統合)]を選択します。
  4. [Version(バージョン)]リストで、ディレクトリベンダーを選択します。ベンダー固有の構成テンプレートが提供され、構成設定が事前に入力されます。LDAP環境はそれぞれ一意であるため、デフォルト値を確認する必要があります。すべての構成設定に値を指定する必要はありません。「サポートされるLDAPディレクトリサービスを構成する」を参照してください。
  5. LDAPベンダーがリストにない場合は、構成フィールドに手動で入力してください。

  6. [Configuration(構成)]セクションで、以下の入力を行います。
    • [Unique Identifier Attribute(一意の識別子の属性)]:インポートされるすべてのLDAPオブジェクト(ユーザーおよびグループ)の、一意の不変的な属性を入力します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。LDAPサーバーでRFC 4530を実装している場合、このフィールドにentryuuidと入力してください。AD LDSの場合は、objectguidを使用します。
    • [DN Attribute(DN属性)]識別名値を含む、すべてのLDAPオブジェクトの属性を入力します。
  7. [User(ユーザー)]セクションで、以下の入力を行います。
    • [User Search Base(ユーザー検索ベース)]:ユーザー検索にコンテナーのDN(ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users、dc=example、dc=com
    • [User Object Class(ユーザーオブジェクトクラス)]:Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClassを入力します。例:inetorgperson、posixaccount、posixuser
    • [Auxiliary Object Class(補助オブジェクトクラス)]:補助objectClassesのコンマ区切りリストを入力します。Oktaでは、ユーザーをインポートする際に、クエリでこれらを使用します。例:auxClass1, auxClass2
    • [User Object Filter(ユーザーオブジェクトフィルター)]:このフィールドはOktaによって自動入力されます。値を変更する場合、有効なLDAPフィルターとする必要があります。

      標準的なLDAP検索フィルター表記(RFC 2254)を使用します。例:

      (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

      グループオブジェクトにも同じフィルター機能があります。

    • [Account Disabled Attribute(アカウントで無効になっている属性)]:Oktaのユーザーのアカウントが無効かどうかを示すユーザー属性を入力します。この属性が[Account Disabled Value(アカウントで無効になっている値)]フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
    • [Account Disabled Value(アカウントで無効になっている値)]:アカウントがロックされていることを示す値を入力します(例:TRUE)。
    • [Account Enabled Value(アカウントで有効になっている値)]:アカウントがロック解除されていることを示す値を入力します(例:TRUE)。
    • [Password Attribute(パスワード属性)]:ユーザーのパスワード属性を入力します。
    • [Password Expiration Attribute(パスワード有効期限切れ属性)]:パスワード有効期限の属性名を入力します。通常はブール値です。サポートされているリストにないLDAPディレクトリを選択した場合は、LDAPサーバーのドキュメントを参照してその値を使用してください。
  8. [Extra User Attributes(追加のユーザー属性)]セクションで、LDAPからインポートする追加属性を最大4つ指定できます。
  9. [Group(グループ)]セクションで、以下のフィールドに入力します。
    • [Group Search Base(グループ検索ベース)]:Okta orgにインポートされるすべてのグループを保持するグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:ou=groups、dc=example, dc=com
    • [Group Object Class(グループオブジェクトクラス)]:グループのインポート時にOktaがクエリで使用するグループのobjectClassを入力します。例:groupofnamesgroupofuniquenamesposixgroup
    • [Group Object Filter(グループオブジェクトフィルター)]:デフォルトでは、OktaでこのフィールドにグループのobjectClassが自動入力されます(objectClass=<entered objectClass name>)。
    • [Member Attribute(メンバー属性)]:すべてのメンバーDNを含む属性を入力します。
    • [User Attribute(ユーザー属性)]:Oktaはグループオブジェクトのメンバー属性を使用して、実行時にユーザーのグループメンバーシップを決定します。グループオブジェクトとグループフィルターが明示的にposixGroupおよび(objectclass=posixGroup)でない限り、ユーザー属性フィールドは空のままにします。posixGroupを使用する場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成してください。
  1. [Role(ロール)]セクションで、以下のフィールドに入力します。
    • [Object Class(オブジェクトクラス)]:ロールのobjectClass。
    • [Membership Attribute(メンバーシップ属性)]:ロールのメンバーシップを示す(ロールDNを含む)ユーザーオブジェクトの属性。
  1. 構成設定を検証します。
    1. [Example username(ユーザー名の例)]フィールドにユーザー名を入力します。
    1. 返されたすべてのユーザー詳細が正しいことを検証します。予期されたグループがここにリストされていない場合、グループのインポートが後で失敗する可能性があります。

    2. [Test Configuration(構成をテスト)]をクリックします。

      構成の設定が有効な場合は、返されたユーザーオブジェクトに関する情報とともに、[Validation successful!(検証に成功しました)]というメッセージが表示されます。構成に問題がある場合、またはユーザーが見つからない場合は、設定を確認するよう求めるメッセージが表示されます。