LDAP統合設定の構成

Okta LDAP Agentをインストールしたら、Oktaとデータを交換できるように統合設定を構成する必要があります。

1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]。
2. [未構成] とマークされたOkta LDAP Agentをクリックします。
3. 次の設定を構成します。
   • [LDAPのバージョン]： LDAPプロバイダーを選択します。「サポートされるLDAPディレクトリ・サービスを構成する」を参照してください。

   LDAP プロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。LDAPプロバイダーがリストにない場合は、構成フィールドに手動で入力してください。デフォルト値が正しいことを確認します。すべての構成設定に値を指定する必要はありません。

   • [一意の識別子属性]：選択したLDAP プロバイダーによって定義された、自動入力される値。この値で、インポートされたすべてのLDAPオブジェクト（ユーザーおよびグループ）の 一意の不変属性を定義します。Okta組織にインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。注：LDAPサーバーでRFC 4530が実施されている場合、このフィールドには必ず entryuuid と入力してください。 AD LDSの場合は、 objectguidを使用します。
   • DN属性：選択したLDAP プロバイダーによって定義された、自動入力される値。識別名値を含む、すべてのLDAPオブジェクトの属性。
4. [ユーザー]セクションで、次の設定を構成します。
   • [ユーザー検索ベース]：ユーザー検索にコンテナーの識別名（DN、ユーザー・サブツリーのルート）を入力します。 これは、Okta組織にインポートされたすべてのユーザーを保持するコンテナーのベースDNです。例：cn=Users、dc=example、dc=com。
   • [ユーザー・オブジェクト・クラス]：Oktaがユーザーのインポート時に クエリー で使用する、ユーザーのobjectClass。例： inetorgperson、posixaccount、posixuser。
   • [補助オブジェクト・クラス]：任意。Oktaインポート クエリーで使用する補助objectClassesのコンマ区切りリストを入力します。例：auxClass1, auxClass2。
   • [ユーザー・オブジェクト・ フィルター]：選択したLDAP プロバイダーによって定義された、自動入力される値。デフォルトはobjectClass (objectClass=<entered objectClass name>)です。これは有効なLDAP フィルターである必要があります。

     標準的なLDAP検索フィルター表記（RFC 2254）を使用します。例：

     (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

     グループ・オブジェクトにも同じフィルター機能があります。

   • [アカウントで無効になっている属性]：Oktaのユーザーのアカウントが無効かどうかを示す属性を入力します。この属性が [アカウントで無効になっている値]フィールドで指定された値と等しい場合は、 ユーザー・アカウントが非アクティブ化されます。
   • [アカウントで無効になっている値]：アカウントがロックされていることを示す値を入力します（例：TRUE）。
   • [パスワード属性]：ユーザーのパスワード属性を入力します。
   • [パスワード有効期限切れ属性]：サポートされるLDAP プロバイダーが選択されたときに自動入力される値。ディレクトリー・プロバイダーがリストにない場合は、LDAPサーバーのドキュメントまたは構成を参照し、パスワードの有効期限に使用する値を確認してください。多くの場合、この属性はブール値です。
   • [追加のユーザー属性]：任意。LDAPからインポートする追加のユーザー属性を入力します。

5. [グループ]または[ロール]セクションに入力します。通常、これらの1つのみが使用されます。
   グループ

   • [グループ検索ベース] ：Okta組織にインポートされるすべてのグループを保持するグループ検索（グループ・サブツリーのルート）について、コンテナーのDNを入力します。例：ou=groups、dc=example, dc=com。
   • [グループ・ オブジェクト・クラス] ：グループのインポート時にOktaが クエリー で使用するグループのobjectClassを入力します。例： groupofnames、groupofuniquenames、posixgroup。
   • [グループ： オブジェクト： フィルター] ： サポートされるLDAP プロバイダーが選択されている場合に自動入力される値。 (objectClass=<entered objectClass name>)。
   • [メンバー属性] ：すべてのメンバーDNを含む属性。
   • [ユーザー属性] ：Oktaはグループ・オブジェクトのメンバー属性を使用して、実行時にユーザーのグループ・メンバーシップを決定します。グループ・オブジェクトとグループ・フィルターが明示的にposixGroupおよび(objectclass=posixGroup)でない限り、[ユーザー属性]フィールドは空のままにします。posixGroupを使用している場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成することをお勧めします。

     例1

     指定したグループ・オブジェクトとグループ・フィルターが posixGroup の場合、

     [ユーザー属性] フィールドに memberUid と入力します。

     例2

     指定したグループ・オブジェクトおよびグループ・フィルターがposixGroup以外の場合、

     [ユーザー属性] フィールドは空白のままにします。

   ロール

   • [オブジェクト・クラス] ： ロールのobjectClass。
   • [メンバーシップ属性] ： ロールのメンバーシップを示す（ロールDNを含む）ユーザー・オブジェクトの属性。

6. [検証構成]セクションで以下の設定を構成します。
   1. ユーザー名の例。

      LDAPからユーザーをインポートする場合は、これらの設定を使用して、ユーザーがOktaへのサインイン時に使用するOktaユーザー名を生成します。

      注： Oktaでは、有効なユーザー名はメール形式である必要があります。これらのオプションを正しく構成し、ユーザー名がこの要件を満たしていることを確認してください。

      メール・アドレス

      ユーザーの LDAP メール・アドレスをOktaユーザー名にする場合は、このオプションを選択します。 注：メール・アドレスはLDAPで一意である必要があります。

      例：

      LDAPの メール・アドレスが user.1234@example.comの場合、

      および[メールアドレス] Oktaユーザー名形式を選択する場合、

      [ユーザー名]フィールドにuser.1234@example.com と入力します。

      [ユーザーID]（UID）

      このオプション は、 LDAPディレクトリーのUID値 がすでにメール・アドレス形式で指定されている場合にのみ選択してください。

      例：

      LDAPのUIDが user.1234@example.comのようにすでにメール・アドレス形式でフォーマットされている場合、

      およびユーザーID （UID） Oktaユーザー名形式を選択する場合、

      [ユーザー名]フィールドにuser.1234@example.com と入力します。

      ユーザーID（UID） + 設定可能なサフィックス

      このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、エンド・ユーザーを設定可能なメールのサフィックスを使用してサインインさせたい場合のみです。

      例：

      LDAPのUIDが user.1234の場合、

      およびユーザーID （UID） + 設定可能なサフィックス Oktaユーザー名形式を選択した場合、

      [設定可能なサフィックス] フィールドにyourconfigurablesuffix.com と入力し、

      [ユーザー名] フィールドにuser.1234@yourconfigurablesuffix.com と入力します。

      ユーザーID（UID）@ドメイン

      このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、 Okta ユーザー名に 会社のドメイン名をメールのサフィックスとして含めたい場合のみです。

      例：

      LDAPのUIDが user.1234の場合、

      および会社のドメイン名がyourdomainnameの場合、

      および、ユーザーID （UID） @ドメイン Oktaユーザー名形式の場合、

      [ユーザー名]フィールドにuser.1234@yourdomainname.com と入力します。

   2. ユーザー名を入力します。

      ユーザーのユーザー名を、指定した ユーザー名の形式で入力します。入力するユーザー名はLDAPディレクトリー内の単一ユーザーを一意に識別するため、Oktaが実行するクエリーでは指定された ユーザーと、ユーザーに関する以下の詳細のみを取得します。返されたすべての詳細が正しいことを検証します。

      • ステータス
      • UID
      • 一意のID
      • 識別名
      • フル・ネーム
      • メール
      • グループ： このユーザーがメンバーであるグループ検索ベース内で指定されたグループ・オブジェクト・クラスのすべてのグループ。予期された グループがここにリストされていない場合、 グループのインポートが後で失敗する可能性があります。
   3. [構成をテスト]をクリックします。

      構成の設定が有効な場合は、返されたユーザー・オブジェクトに関する情報とともに、「検証に成功しました。」 というメッセージが表示されます。 構成に問題がある場合、またはユーザーが見つからない場合は、 設定を確認するよう求めるメッセージが表示されます。

7. 設定の確認が正常に完了したら、[次へ]、[完了] の順にクリックし、LDAPの構成を完了します。

設定を検証した後で、OktaはLDAPスキーマ検出プロセスを開始します。