LDAP統合設定を構成する
Okta LDAP Agentをインストールしたら、Oktaとデータを交換できるように統合設定を構成する必要があります。
- Admin Consoleで、 の順に進みます。
- [Not yet configured(未構成)]とマークされたOkta LDAP Agentをクリックします。
- 次の設定を構成します。
- [LDAP Version(LDAPのバージョン)]: LDAPプロバイダーを選択します。「サポートされるLDAPディレクトリ」を参照してください。
LDAPプロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。LDAPプロバイダーがリストにない場合は、構成フィールドに手動で入力してください。デフォルト値が正しいことを確認します。すべての構成設定に値を指定する必要はありません。
- [Unique Identifier Attribute(一意の識別子の属性)]:選択したLDAPプロバイダーによって定義された、自動入力される値。この値で、インポートされたすべてのLDAPオブジェクト(ユーザーおよびグループ)の一意の不変的な属性を定義します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。Note(注):LDAPサーバーでRFC 4530を実装している場合、このフィールドにentryuuidと入力してください。AD LDSの場合は、objectguidを使用します。
- [DN Attribute(DN属性)]:選択したLDAPプロバイダーによって定義された、自動入力される値。Distinguished Name(識別名)値を含む、すべてのLDAPオブジェクトの属性。
- [LDAP Version(LDAPのバージョン)]: LDAPプロバイダーを選択します。「サポートされるLDAPディレクトリ」を参照してください。
- [User(ユーザー)]セクションで、次の設定を構成します。
- [User Search Base(ユーザー検索ベース)]:ユーザー検索にコンテナの識別名(DN、ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users、dc=example、dc=com。
- [User Object Class(ユーザーオブジェクトクラス)]:Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClass。例:inetorgperson、posixaccount、posixuser。
- [Auxiliary Object Class(補助オブジェクトクラス)]:任意。Oktaインポートクエリで使用する補助objectClassのコンマ区切りリストを入力します。例:auxClass1, auxClass2。
- [User Object Filter(ユーザーオブジェクトフィルター)]:選択したLDAPプロバイダーによって定義された、自動入力される値。デフォルトはobjectClass(objectClass=<entered objectClass name>)です。これは有効なLDAPフィルターである必要があります。
標準的なLDAP検索フィルター表記(RFC 2254)を使用します。例:(&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))
グループオブジェクトにも同じフィルター機能があります。
- [Account Disabled Attribute(アカウントで無効になっている属性)]:Oktaのユーザーのアカウントが無効かどうかを示す属性を入力します。この属性が[Account Disabled Value(アカウントで無効になっている値)]フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
- [Account Disabled Value(アカウントで無効になっている値)]:アカウントがロックされていることを示す値を入力します(例:TRUE)。
- [Password Attribute(パスワード属性)]:ユーザーのパスワード属性を入力します。
- [Password Expiration Attribute(パスワード有効期限切れ属性)]:サポートされるLDAPプロバイダーが選択されたときに自動入力される値。ディレクトリプロバイダーがリストにない場合は、LDAPサーバーのドキュメントまたは構成を参照し、パスワードの有効期限に使用する値を確認してください。多くの場合、この属性はブール値です。
- [Extra User Attributes(追加のユーザー属性)]:任意。LDAPからインポートする追加のユーザー属性を入力します。
- [Group(グループ)]または[Role(ロール)]セクションに入力します。通常、これらの1つのみが使用されます。
グループ
- [Group Search Base(グループ検索ベース)]:Okta orgにインポートされるすべてのグループを保持するグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:ou=groups、dc=example, dc=com。
- [Group Object Class(グループオブジェクトクラス)]:グループのインポート時にOktaがクエリで使用するグループのobjectClassを入力します。例:groupofnames、groupofuniquenames、posixgroup。
- [Group Object Filter(グループオブジェクトフィルター)]:サポートされるLDAPプロバイダーが選択されている場合に自動入力される値。(objectClass=<entered objectClass name>)。
- [Member Attribute(メンバー属性)]:すべてのメンバーDNを含む属性。
- [User Attribute(ユーザー属性)]:Oktaはグループオブジェクトのメンバー属性を使用して、実行時にユーザーのグループメンバーシップを決定します。グループオブジェクトとグループフィルターが明示的にposixGroupおよび(objectclass=posixGroup)でない限り、[user attribute(ユーザー属性)]フィールドは空のままにします。posixGroupを使用している場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成することをお勧めします。
例1
指定したグループオブジェクトとグループフィルターがposixGroupの場合、[User Attribute(ユーザー属性)]フィールドにmemberUidを入力します。
例2
指定したグループオブジェクトおよびグループフィルターがposixGroup以外の場合、[User Attribute(ユーザー属性)]フィールドを空欄のままにします。
Role(ロール)
- [Object Class(オブジェクトクラス)]:ロールのobjectClass。
- [Membership Attribute(メンバーシップ属性)]:ロールのメンバーシップを示す(ロールDNを含む)ユーザーオブジェクトの属性。
- [Validation configuration(検証構成)]セクションで以下の設定を構成します。
- Example username(ユーザー名の例)。
LDAPからユーザーをインポートする場合は、これらの設定を使用して、ユーザーがOktaへのサインイン時に使用するOktaユーザー名を生成します。
Oktaでは、有効なユーザー名はメール形式である必要があります。これらのオプションを正しく構成し、ユーザー名がこの要件を満たしていることを確認してください。
[Email address(メールアドレス)]
ユーザーのLDAPメールアドレスをOktaユーザー名にする場合は、このオプションを選択します。注:メールアドレスはLDAPで一意である必要があります。
たとえば、LDAPのメールアドレスがuser.name@example.comで、Email address(メールアドレス) Oktaユーザー名の形式を選択した場合は、[Username(ユーザー名)]フィールドにuser.name@example.comを入力します。
[Employee Number (従業員番号)](employeeNumber)
ユーザーの従業員番号をOktaユーザー名として使用するには、このオプションを選択します。
[Common Name(共通名)]
(CN)ユーザーの共通名をOktaユーザー名として使用するには、このオプションを選択します。
[User Id(ユーザーID)]
(UID)このオプションは、LDAPディレクトリのUID値がすでにメールアドレス形式で指定されている場合にのみ選択してください。
たとえば、LDAPのUIDがすでにuser.name@example.comのようなメールアドレス形式になっており、ユーザーID(UID) Oktaユーザー名の形式を選択した場合は、[Username(ユーザー名)]フィールドにuser.name@example.comを入力します。
[User Id (UID) + Configurable Suffix(ユーザーID(UID) + 設定可能なサフィックス)]
このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、エンドユーザーを設定可能なメールのサフィックスを使用してサインインさせたい場合のみです。
たとえば、LDAPのUIDがuser.1234で、ユーザーID(UID)+構成可能なサフィックス Okta形式のユーザー名を選択した場合は、[Configurable Suffix(構成可能なサフィックス)]にyourconfigurablesuffix.com、[Username(ユーザー名)]フィールドにuser.1234@yourconfigurablesuffix.comと入力します。
[User Id (UID) @ Domain(ユーザーID(UID)@ドメイン)]
このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、Oktaユーザー名に会社のドメイン名をメールのサフィックスとして含めたい場合のみです。
たとえば、LDAPのUIDがuser.1234で、所属企業のドメイン名がyourdomainnameで、ユーザーID(UID)@ドメイン Okta形式のユーザー名を選択した場合、[Username(ユーザー名)]フィールドにuser.1234@yourdomainname.comと入力します。
[Choose from schema(スキーマから選択)]
単一値のLDAP文字列属性をOktaユーザー名として使用するには、このオプションを選択します。このオプションを選択すると、使用可能な属性のリストが表示されます。
- [Username(ユーザー名)]に入力します。
ユーザーのユーザー名を、指定したユーザー名の形式で入力します。入力するユーザー名はLDAPディレクトリ内の単一ユーザーを一意に識別するため、Oktaが実行するクエリでは指定されたユーザーと、ユーザーに関する以下の詳細のみを取得します。返されたすべての詳細が正しいことを検証します。
- Status (ステータス)
- UID
- Unique ID(一意のID)
- Distinguished Name(識別名)
- Full Name(フルネーム)
- Email(メール)
- Groups(グループ):このユーザーがメンバーであるGroup Search Base(グループ検索ベース)内で指定されたGroup Object Class(グループオブジェクトクラス)のすべてのグループ。予期されたグループがここにリストされていない場合、グループのインポートが後で失敗する可能性があります。
- Example username(ユーザー名の例)。
- 設定の確認が正常に完了したら、[Next(次へ)]、[Done(完了)] の順にクリックし、LDAPの構成を完了します。
設定を検証した後で、OktaはLDAPスキーマ検出プロセスを開始します。