LDAP統合設定の変更

Okta LDAP エージェントのインストールおよび構成後、この手順を使用して組織の変更の必要性に応じて既存の統合設定をアップデートできます。

  1. 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]に進みます。
  2. ディレクトリの一覧からLDAPエージェントを選択します。
  3. [Provisioning(プロビジョニング)]タブをクリックして[Settings(設定)]リストから[Integration(統合)]を選択します。
  4. [Version(バージョン)]リストから、ディレクトリのベンダーを選択します。ベンダー固有の構成テンプレートが用意されており、ユーザーのために設定値をが事前に入力されています。リストにLDAPベンダーが見つからない場合、構成フィールドに手動で入力します。各LDAP環境は一意であるため、Apache Directory StudioなどのLDAPブラウザーを使用してデフォルト値を確認する必要があります。すべての構成設定で値を必須とするわけではありません。「サポートされるLDAPディレクトリサービスの構成」を参照してください。
  5. [Configuration(構成)]セクションで、以下に入力します。
    • Unique Identifier Attribute(一意の識別子の属性) — インポートされる すべてのLDAPオブジェクトの一意の不変的な属性を入力します(ユーザーおよびグループ)。この属性を持つオブジェクトのみがOkra組織にインポートされます。 選択したLDAPバージョンに基づき、Oktaはこのフィールドを自動入力します。初期セットアップ中に、自動入力された値を変更することもできます。LDAPサーバーがRFC 4530を実装している場合、このフィールドに entryuuid と入力します。 AD LDSについては、 objectguidを使用します。
    • DN Attribute(DN属性)Distinguished Name(識別名)値を含むすべてのLDAPオブジェクトに対して属性を入力します。
  6. [User(ユーザー)]セクションで、以下に入力します。
    • User Search Base(ユーザー検索べース) — ユーザー検索のコンテナのDNを入力します(ユーザー サブツリーのルート)。 これは、Okta組織にインポートされるすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users, dc=example, dc=com
    • User Object Class(ユーザー オブジェクト クラス) — Oktaがユーザーをインポートする際に クエリ で使用するユーザーのobjectClassを入力します。例: inetorgperson, posixaccount, posixuser
    • Auxiliary Object Class(補助オブジェクト クラス) — 補助objectClassesのリストをカンマ区切り値で入力します。Oktaはユーザーをインポートする際に クエリ でこれらを使用します。例:auxClass1,auxClass2
    • User Object Filter(ユーザー オブジェクト フィルター) — デフォルトでは、Oktaはこのフィールドを objectClass (objectClass=<入力したobjectClass名>)で自動入力します。これは有効なLDAP フィルターでなければなりません。

      標準LDAP検索フィルターの表記法(RFC 2254)を使用します。以下に例を挙げます。

      (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

      同じフィルター機能がグループ オブジェクトにも適用されます。

    • Account Disabled Attribute(アカウント無効化属性) — Oktaでユーザーのアカウントが無効化されるかどうかを示すユーザー属性を入力します。この属性が [Account Disabled Value(アカウント無効化値)]フィールドで指定した値と一致する場合、 そのユーザー アカウントは無効化されます。
    • Account Disabled Value(アカウント無効化値) — アカウントがロックされていることを示す値(TRUEなど)を入力します。
    • Account Enabled Value(アカウント有効化値) — アカウントがロック解除されてことを示す値(TRUEなど)を入力します。
    • Password Attribute(パスワード属性) — ユーザー パスワード属性を入力します。
    • Password Expiration Attribute(パスワード期限切れ属性) — パスワードとパスワード期限切れ属性名は、LDAPディレクトリによって異なります。事前入力済みのディレクトリの1つを選択すると、Oktaは正しいデフォルト値を自動入力します。ディレクトリがサポート対象リストにない場合、LDAPサーバーのドキュメントまたは設定を参照してそのパスワード期限切れ値を使用します。この属性は通常はブール値ですが、LDAPサーバーによって異なる場合もあります。
  7. Extra User Attributes(追加のユーザー属性)セクションで、LDAPからインポートする追加属性を4つまで指定できます。
  8. [Group(グループ)]セクションで、以下のフィールドに入力します。
    • Group Search Base(グループ検索ベース) — グループ検索でOkta組織にインポートされるすべてのグループを保持するコンテナのDNを入力します(グループ サブツリーのルート)。例:ou=groups, dc=example, dc=com
    • Group Object Class(グループ オブジェクト クラス) — Oktaがグループをインポートする際に クエリ で使用するグループのobjectClassを入力します。例: groupofnames, groupofuniquenames, posixgroup
    • Group Object Filter (グループ オブジェクト フィルター) — デフォルトでは、Oktaは このフィールドを グループのobjectClass (objectClass=<入力したobjectClass名>)で自動入力します。
    • Member Attribute(メンバー属性) — すべてのメンバーDNを含む属性を入力します。
    • User Attribute(ユーザー属性) — Oktaはグループ オブジェクトのメンバー属性を使用してランタイム時にユーザー グループのメンバーシップを判断します。グループ オブジェクトがposixGroup、グループ フィルターが(objectclass=posixGroup)と明示されていない限り、ユーザー属性フィールドは空白にしておきます。posixGroupを使用する場合、メンバー属性値をmemberUIDに、ユーザー属性値をuidに設定することを推奨します。

      例1

      指定されたグループ オブジェクトとグループ フィルターが posixGroup の場合、

      [User Attribute(ユーザー属性)] フィールドに memberUid と入力します。

      例2

      指定されたグループ オブジェクトとグループ フィルターがposixGroup以外の場合、

      [User Attribute(ユーザー属性)] フィールドは空白のままにします。

  1. [Role(ロール)]セクションで、以下のフィールドに入力します。
    • Object Class(オブジェクト クラス) – ロールのobjectClass
    • Membership Attribute(メンバーシップ属性) – ロール メンバーシップ(つまり、ロールDNを含む)を示すユーザー オブジェクトの属性
  1. 構成設定を検証します。
    1. [Example username(ユーザー名の例)]ユーザー名を入力します。

      ユーザーのユーザー名を、指定された ユーザー名形式で入力します。入力するユーザー名はLDAPディレクトリの単一ユーザーを一意に識別するため、Oktaが実行するクエリは指定された ユーザーと、そのユーザーに関する以下の情報を取得します。返された情報をがすべて正しいか確認します。

      • Status(ステータス)
      • UID
      • Unique ID(一意のID)
      • Distinguished Name(識別名)
      • Full Name(フルネーム)
      • Email(Eメール)
      • Groups(グループ) – このユーザーがメンバーとなっているグループ検索ベース内で指定されたグループ オブジェクト クラスのすべてのグループ。予想した グループがここでリストに含まれていない場合、 後ほどグループのインポートは失敗します。
    1. [Test Configuration(構成をテスト)]をクリックします。

      構成の 設定が有効の場合、返されたユーザー オブジェクトの情報とともに[Validation successful!(検証は成功しました)] というメッセージが表示されます。構成に問題がある場合、またはユーザーが見つからない場合、設定を再確認するよう求めるプロンプト が表示されます。